萬小博

（國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心 上海市 201315）

數(shù)據(jù)安全一方面要求數(shù)據(jù)本身安全，另一方面要求收集、存儲、加工、傳輸數(shù)據(jù)的信息系統(tǒng)應(yīng)具備相應(yīng)的管理和技術(shù)措施來保障數(shù)據(jù)的安全性，使得數(shù)據(jù)僅在被授權(quán)的情況下才能訪問和使用，避免發(fā)生修改、偽造、竊取等情況，有效保障數(shù)據(jù)的機密性、完整性、可用性等安全屬性。數(shù)據(jù)資產(chǎn)在整個互聯(lián)網(wǎng)中起著至關(guān)重要的作用，同時隱藏著龐大的經(jīng)濟效益，正是由于其巨大的經(jīng)濟價值，使得許多攻擊者通過滲透、外掛木馬、釣魚、偽基站等方式方法來獲取這些數(shù)據(jù)資產(chǎn)。導(dǎo)致數(shù)據(jù)泄露的因素有多個方面，包括技術(shù)因素，例如黑客入侵、軟件漏洞、惡意木馬、釣魚網(wǎng)站等，也包括非技術(shù)因素，例如內(nèi)部人員泄密、管理措施不當(dāng)、非有意識泄密等。由于受利益的驅(qū)使，除了黑客之外，一部分企業(yè)內(nèi)部人員惡意出售接觸到的數(shù)據(jù)資產(chǎn)，從中獲取經(jīng)濟利益。也有部分企業(yè)員工由于缺乏安全意識把數(shù)據(jù)存放在不安全的地方，導(dǎo)致數(shù)據(jù)被泄露。

《中華人民共和國數(shù)據(jù)安全法》于2021 年6 月10 日經(jīng)十三屆全國人民代表大會常委會第二十九次會議表決通過，自2021 年9 月1 日起施行；《中華人民共和國個人信息保護法》于2021 年8 月20 日第十三屆全國人民代表大會常務(wù)委員會第三十次會議表決通過，自2021 年11 月1 日起施行。一系列立法表明國家在重要數(shù)據(jù)和個人信息保護領(lǐng)域的頂層設(shè)計在不斷完善，國家也在不斷加大數(shù)據(jù)安全領(lǐng)域的監(jiān)管和執(zhí)法力度。但是，目前我國面臨的網(wǎng)絡(luò)安全形勢依然十分嚴(yán)峻，數(shù)據(jù)安全事件特別是個人信息泄露事件屢屢頻發(fā)，數(shù)據(jù)安全治理仍然任重而道遠(yuǎn)。

1 信息“公示”導(dǎo)致數(shù)據(jù)泄露

政府信息公開一般是指黨政機關(guān)、事業(yè)單位、社會團體等組織在工作過程中產(chǎn)生或收集的，以特定形式收集、存儲的信息，及時、準(zhǔn)確地公開發(fā)布。政府信息公開在保障公民、法人、社會團體等組織便捷獲取政府公開信息，提高政府工作的規(guī)范性與透明度，建設(shè)法治社會，發(fā)揮政務(wù)數(shù)據(jù)對社會生產(chǎn)、生活和經(jīng)濟發(fā)展的服務(wù)作用等方面發(fā)揮了積極的作用。然而，現(xiàn)實中存在一些政府部門在公示信息時將公民姓名、身份證號、手機號碼、銀行卡號、家庭住址等個人隱私不經(jīng)過脫敏處理，進(jìn)行直接“曝光”。這也透露出相關(guān)部門一些工作人員缺乏相關(guān)的法律知識，在保護公民重要數(shù)據(jù)及個人隱私方面意識較欠缺。

《中華人民共和國政府信息公開條例》第十五條規(guī)定，“涉及商業(yè)秘密、個人隱私等公開會對第三方合法權(quán)益造成損害的政府信息，行政機關(guān)不得公開。但是，第三方同意公開或者行政機關(guān)認(rèn)為不公開會對公共利益造成重大影響的，予以公開。”早在2018 年，國務(wù)院辦公廳印發(fā)的《2018 年政務(wù)公開工作要點》（國辦發(fā)〔2018〕23 號）也明確指出，“加強政府信息公開審查工作。政府信息公開前要依法依規(guī)嚴(yán)格審查，特別要做好對公開內(nèi)容表述、公開時機、公開方式的研判，避免發(fā)生信息發(fā)布失信、影響社會穩(wěn)定等問題。要依法保護好個人隱私，除懲戒公示、強制性信息披露外，對于其他涉及個人隱私的政府信息，公開時要去標(biāo)識化處理，選擇恰當(dāng)?shù)姆绞胶头秶??！彪m然法律法規(guī)做出了明確規(guī)定，但是，此類公示時將公民個人隱私信息泄露的事件卻時有發(fā)生。

另外一個頻發(fā)由于公示信息引發(fā)個人信息泄露的是全國各大高校。例如每年各大高校的“國家獎學(xué)金”獲獎名單公示。按規(guī)定，“國家獎學(xué)金”候選人名單，須在校內(nèi)公示；“國家獎學(xué)金”獲得者名單，須在當(dāng)?shù)孛襟w公示。部分高校在“國家獎學(xué)金”候選人名單進(jìn)行公示時，在公布了學(xué)生的姓名、院系、專業(yè)、學(xué)號、性別、民族、入學(xué)年月之外，還公布了學(xué)生完整的公民身份證號碼。再例如，部分高校在貧困生助學(xué)信息公示時，也存在將姓名、學(xué)號、出生年月日、身份證號碼、銀行卡號等個人敏感信息未經(jīng)過脫敏完整公示的現(xiàn)象。針對這些現(xiàn)象，教育部也曾發(fā)布預(yù)警通知，要求各大高校在進(jìn)行信息公示時，嚴(yán)格遵守國家法律法規(guī)規(guī)定，在評定獎學(xué)金、助學(xué)金等各工作環(huán)節(jié)中，嚴(yán)禁公示學(xué)生身份證號碼、家庭地址、電話號碼、出生日期等個人敏感信息。

2 安全漏洞導(dǎo)致數(shù)據(jù)泄露

在導(dǎo)致數(shù)據(jù)泄露的各種因素中，安全漏洞導(dǎo)致的數(shù)據(jù)泄露占有很大比重。安全漏洞是程序開發(fā)設(shè)計者在硬件、軟件、Web 應(yīng)用程序等產(chǎn)品或系統(tǒng)的具體實現(xiàn)過程中引入的設(shè)計缺陷，或者是在系統(tǒng)配置、安全策略等方面存在的設(shè)置錯誤，導(dǎo)致使攻擊者能夠通過遠(yuǎn)程或者本地在未授權(quán)的情況下訪問或破壞系統(tǒng)。

近年來，安全漏洞一直呈現(xiàn)高速增長態(tài)勢。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示，2020 年，國家信息安全漏洞共享平臺（CNVD）共收錄安全漏洞20704 個，同比增長27.9%。其中，高危漏洞數(shù)量為7420 個；“零日”漏洞數(shù)量為8902 個。在收錄的漏洞中，可用于實施遠(yuǎn)程網(wǎng)絡(luò)攻擊的漏洞有16466 個，可用于實施本地攻擊的漏洞有3855 個，可用于實施臨近網(wǎng)絡(luò)攻擊的漏洞有383 個。

2.1 弱口令漏洞

學(xué)校教務(wù)系統(tǒng)、教育機構(gòu)學(xué)員管理系統(tǒng)、疫情防控系統(tǒng)等信息系統(tǒng)后臺一般有人員管理功能，在這些功能頁面往往涉及人員的詳細(xì)信息，例如姓名、性別、身份證號、手機號碼等字段。若此類信息系統(tǒng)存在弱口令漏洞，攻擊者可通過弱口令登錄系統(tǒng)，導(dǎo)致數(shù)據(jù)存在泄露風(fēng)險。

2.2 越權(quán)訪問漏洞

越權(quán)訪問漏洞是Web 應(yīng)用程序中一種常見的安全漏洞。該漏洞是指應(yīng)用在對用戶的權(quán)限進(jìn)行檢查時存在漏洞，使得攻擊者在擁有較低的賬戶權(quán)限后，通過一些特殊的方式來繞過系統(tǒng)對權(quán)限的檢查（例如修改數(shù)據(jù)包的值或者直接訪問其他用戶相應(yīng)頁面的鏈接），訪問或者操作其他用戶或者更高權(quán)限用戶才能訪問到的頁面或數(shù)據(jù)。越權(quán)訪問可以分為水平越權(quán)和垂直越權(quán)：水平越權(quán)是指攻擊者通過越權(quán)范圍漏洞，訪問到了一個和他擁有相同權(quán)限用戶的資源，而垂直越權(quán)指的是一個低級別用戶訪問到了一個高級別用戶的資源。例如，某些信息系統(tǒng)，由于訪問權(quán)限限制不嚴(yán)格，存在越權(quán)訪問漏洞，導(dǎo)致用戶在訪問自己頁面的時候，可以通過修改URL中“id”、“userid”等值越權(quán)訪問其他用戶頁面，進(jìn)而導(dǎo)致可以通過爬取的方式，全量獲取整個信息系統(tǒng)的數(shù)據(jù)。

2.3 SQL注入漏

SQL 注入（SQL Injection），被廣泛用于非法獲取網(wǎng)站控制權(quán)和數(shù)據(jù)庫數(shù)據(jù)，這是在應(yīng)用程序的輸入處理中發(fā)生的安全漏洞。在web 應(yīng)用程序中，忽略了對輸入字符串中包含的SQL 命令的檢查，并且將輸入數(shù)據(jù)誤認(rèn)為是要運行的常規(guī)SQL 命令，導(dǎo)致數(shù)據(jù)庫受到攻擊，從而可能導(dǎo)致查詢，修改和刪除數(shù)據(jù)，并進(jìn)一步導(dǎo)致網(wǎng)站嵌入惡意代碼，植入后門程序的危害等。SQL 注入漏洞可直接導(dǎo)致web 應(yīng)用程序后臺數(shù)據(jù)庫存在泄露風(fēng)險。

互聯(lián)網(wǎng)上有大量自動化SQL 注入攻擊工具，使得攻擊者可以很方便獲取存在SQL 注入漏洞的網(wǎng)站后臺數(shù)據(jù)庫數(shù)據(jù)，大大降低了攻擊的技術(shù)門檻。例如，SQLMap，是一款開源滲透測試工具，可用于自動檢測和利用SQL 注入漏洞，并接管數(shù)據(jù)庫服務(wù)器。SQLMap 是一個基于命令行的半自動化SQL 注入攻擊工具，支持MySQL，Oracle，PostgreSQL等多種數(shù)據(jù)庫的測試。如圖1 所示為某信息系統(tǒng)存在SQL 注入漏洞，通過SQLMap 工具，即可獲取后臺數(shù)據(jù)庫相關(guān)信息。

圖1： SQLMap 測試數(shù)據(jù)庫漏洞

2.4 聯(lián)網(wǎng)數(shù)據(jù)庫安全漏洞

數(shù)據(jù)庫存在弱口令、未授權(quán)訪問、緩沖區(qū)溢出等安全漏洞可直接導(dǎo)致數(shù)據(jù)庫漏洞存在泄露風(fēng)險。根據(jù)CNVD 漏洞共享平臺網(wǎng)站顯示，2021 年，CNVD 共發(fā)布涉及Oracle、Mysql、SQL Server 等數(shù)據(jù)庫安全漏洞公告252 條。與此同時，我國境內(nèi)有大量數(shù)據(jù)庫暴露在公共互聯(lián)網(wǎng)上，數(shù)據(jù)庫安全漏洞導(dǎo)致這些聯(lián)網(wǎng)數(shù)據(jù)庫存在極大的數(shù)據(jù)安全隱患。

2019 年初，國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn)，我國境內(nèi)部分MongoDB 數(shù)據(jù)庫暴露在互聯(lián)網(wǎng)上導(dǎo)致重要信息泄露。經(jīng)進(jìn)一步排查，我國境內(nèi)互聯(lián)網(wǎng)上使用MongoDB 數(shù)據(jù)庫服務(wù)的IP 地址有約2.5 萬個，其中存在信息泄露風(fēng)險的IP 地址有468 個。Elasticsearch 數(shù)據(jù)庫也曝出類似安全隱患。經(jīng)過分析，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)這兩個數(shù)據(jù)庫均是在默認(rèn)情況下，無需權(quán)限驗證即可通過默認(rèn)端口本地或遠(yuǎn)程訪問數(shù)據(jù)庫并進(jìn)行任意的增、刪、改、查等操作。為此，國家互聯(lián)網(wǎng)應(yīng)急中心建議，檢查使數(shù)據(jù)庫配置情況，對其默認(rèn)配置進(jìn)行修改，包括修改默認(rèn)服務(wù)器端口、創(chuàng)建管理賬號并配置用戶認(rèn)證權(quán)限。同時盡量不要將數(shù)據(jù)庫部署在公共互聯(lián)網(wǎng)上，并對訪問數(shù)據(jù)庫IP 地址采取限制等措施。

3 API使用不當(dāng)導(dǎo)致數(shù)據(jù)泄露

API（Application Programming Interface）全稱“應(yīng)用程序編程接口”，是通過定義函數(shù)、協(xié)議、數(shù)據(jù)結(jié)構(gòu)等方式來明確應(yīng)用程序中各個組件之間的通信與數(shù)據(jù)交互模式，將web 應(yīng)用、操作系統(tǒng)、數(shù)據(jù)庫，以及計算機硬件或者軟件以接口形式提供給外部使用。由于近年來軟件的規(guī)模日益龐大，常常需要把復(fù)雜的系統(tǒng)劃分成小的組成部分，編程接口的設(shè)計十分重要。程序設(shè)計的實踐中，編程接口的設(shè)計首先要使軟件系統(tǒng)的職責(zé)得到合理劃分。良好的接口設(shè)計可以降低系統(tǒng)各部分的相互依賴，提高組成單元的內(nèi)聚性，降低組成單元間的耦合程度，從而提高系統(tǒng)的維護性和擴展性。API 既可以連接服務(wù)又可以用來傳輸數(shù)據(jù)，提供應(yīng)用程序與開發(fā)人員以訪問數(shù)據(jù)或特定功能的能力，而又無需了解實現(xiàn)原理。

API 在現(xiàn)代應(yīng)用程序架構(gòu)中發(fā)揮著越來越重要的作用，同時，越來越多的攻擊者開始將目標(biāo)對準(zhǔn)API，由API 接口引起的攻擊事件或數(shù)據(jù)泄漏事件頻頻發(fā)生，嚴(yán)重?fù)p害了企業(yè)和用戶的利益， 受到各方的高度關(guān)注。

隨著針對API 的攻擊日益嚴(yán)重，OWASP 組織也推出了OWASP API Security TOP 10 項目，對目前API 最受關(guān)注的十大風(fēng)險點進(jìn)行了總結(jié)：

Top1：失效的對象級別授權(quán)（Broken Object Level Authorization）

API 通常會暴露權(quán)限驗證的訪問端，這就使得攻擊者可以通過在發(fā)送請求中改變對象的ID 等方式來攻擊存在“失效的對象級授權(quán)”漏洞的API。這將導(dǎo)致敏感數(shù)據(jù)的未授權(quán)訪問問題。

Top2：失效的用戶身份驗證（Broken User Authentication）

由于身份驗證機制沒有按照預(yù)設(shè)的機制正確實現(xiàn)，使得攻擊者能夠破壞身份驗證令牌，偽造他人用戶身份，破壞了系統(tǒng)識別客戶端/用戶的能力，損害API 的整體安全性。

Top 3：過度的數(shù)據(jù)暴露（Excessive Data Exposure）

API 開發(fā)者為了能夠以便捷通用的方式實現(xiàn)功能，通常會將所有數(shù)據(jù)全部返回請求者。API 在對查詢請求進(jìn)行響應(yīng)的時候返回了過多的信息，通常會導(dǎo)致數(shù)據(jù)泄露問題。

Top 4：缺乏資源和速率限制（Lack of Resources & Rate Limiting）

通常，API 不會對客戶端可以請求的資源的大小或數(shù)量施加任何限制。這不僅會影響 API 服務(wù)器的性能，甚至導(dǎo)致遭受拒絕服務(wù)攻擊，而且還會導(dǎo)致攻擊者可以通過暴力破解等方式進(jìn)行攻擊。

Top 5：失效的功能級授權(quán)（Broken Function Level Authorization）

攻擊者利用漏洞將合法的API 請求發(fā)送給他們不應(yīng)訪問的API ，通過利用這些問題，攻擊者可以訪問其他用戶的資源或功能。

Top6：批量分配（Mass Assignment）

當(dāng) API 將客戶端提供的數(shù)據(jù)，例如JSON 數(shù)據(jù)，綁定到應(yīng)用程序，又沒有適當(dāng)?shù)倪^濾時，就會發(fā)生批量分配問題。攻擊者可以通過評估API 結(jié)構(gòu)和對象關(guān)系，檢測批量分配漏洞，更改和修改隱藏起來的對象屬性。

Top7：安全配置錯誤（Security Misconfiguration）

安全配置錯誤是最常見的安全問題，這通常是由于不安全的默認(rèn)配置、不完整的臨時配置、開源云存儲、錯誤的HTTP 標(biāo)頭配置以及包含敏感信息的詳細(xì)錯誤信息所造成的。

Top 8：注入（Injection）

API 通常將用戶輸入數(shù)據(jù)作為請求參數(shù)來使用，當(dāng) API沒有任何過濾機制來檢測用戶數(shù)據(jù)時，攻擊者可以將惡意命令注入應(yīng)用程序。攻擊者的惡意數(shù)據(jù)可以欺騙解釋器執(zhí)行惡意命令或在未授權(quán)的情況下訪問數(shù)據(jù)。Top 9：資產(chǎn)管理不當(dāng)（Improper Assets Management）

與傳統(tǒng)的 Web 應(yīng)用程序相比，API 往往會有很多版本供用戶訪問，因此對版本管理非常重要。一些未下線的歷史接口、暴露的測試接口經(jīng)常被攻擊者利用進(jìn)而導(dǎo)致數(shù)據(jù)泄露。

Top 10： 日 志 和 監(jiān) 控 不 足（Insufficient Logging&Monitoring）

API 的訪問日志和攻擊日志等對安全十分重要，如果沒有日志和監(jiān)測，或者日志和監(jiān)測能力不足，那么就幾乎不可能跟蹤可疑活動并及時響應(yīng)攻擊。

Facebook 曾被曝出由于其API 可能存在安全漏洞，導(dǎo)致Facebook 一個存有2 億余條記錄的數(shù)據(jù)庫被公開，有兩周時間它可以被任何人訪問，其中每條記錄包括Facebook用戶的ID、姓名以及電話號碼等個人信息。

新浪微博也被曝出有5.38 億條微博用戶信息在暗網(wǎng)出售，其中1.72 億有賬號基本信息，包括用戶ID、性別、地理位置等。對此，微博回應(yīng)稱此次的數(shù)據(jù)泄漏源于2019 年被黑灰產(chǎn)利用通訊錄上傳接口進(jìn)行暴力匹配，通過通訊錄、手機號反查微博好友昵稱的方式，獲取大量賬號、昵稱、賬號與手機信息的綁定關(guān)系等。

此外，疫情期間，個別人臉識別、疫情防控等相關(guān)的App、小程序等也因為API 接口安全措施不足，大量個人信息存在被非授權(quán)遍歷、進(jìn)而導(dǎo)致數(shù)據(jù)被泄露的風(fēng)險。

由此可見，API 一旦出現(xiàn)安全問題，可能導(dǎo)致規(guī)模龐大的數(shù)據(jù)泄露問題，這目前也是黑產(chǎn)盜取大量個人信息的常見渠道。

4 防范數(shù)據(jù)泄露對策

除上述原因外，錯誤配置的云存儲、未受保護的代碼存儲庫、脆弱的開源軟件等也是導(dǎo)致發(fā)生數(shù)據(jù)安全事件的常見原因。防范數(shù)據(jù)安全，需要以法律法規(guī)為基礎(chǔ)、綜合管理、技術(shù)等各種手段。

（1）數(shù)據(jù)運營者應(yīng)當(dāng)落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)規(guī)定的基本義務(wù)。例如，網(wǎng)絡(luò)安全等級保護制度就是一種普適性制度，是關(guān)鍵信息基礎(chǔ)設(shè)施保護的基礎(chǔ)，對企業(yè)數(shù)據(jù)安全防護工作具有指導(dǎo)意義。網(wǎng)絡(luò)安全等級保護制度一定程度上能夠指導(dǎo)企業(yè)數(shù)據(jù)安全保護相關(guān)工作的落地。

（2）數(shù)據(jù)安全建設(shè)基于網(wǎng)絡(luò)安全建設(shè)，網(wǎng)絡(luò)安全建設(shè)是數(shù)據(jù)安全建設(shè)的基礎(chǔ)。保障數(shù)據(jù)安全需要建立規(guī)范的管理措施并配以相對應(yīng)的技術(shù)手段，并充分利用和發(fā)揮好管理與技術(shù)的關(guān)系。傳統(tǒng)的成熟的網(wǎng)絡(luò)安全技術(shù)措施，是保障數(shù)據(jù)安全的基礎(chǔ)；專門針對數(shù)據(jù)的技術(shù)措施，如加密、去標(biāo)識化等需要與傳統(tǒng)技術(shù)措施有機結(jié)合。

（3）數(shù)據(jù)安全建設(shè)是一個長期持續(xù)改進(jìn)的過程，通過數(shù)據(jù)分類分級、數(shù)據(jù)安全評估等過程建立基本保護框架后，后期需要根據(jù)信息系統(tǒng)變化情況，不斷通過再次進(jìn)行風(fēng)險識別，進(jìn)而對風(fēng)險進(jìn)行控制，再進(jìn)行數(shù)據(jù)安全評估等過程進(jìn)行閉環(huán)迭代，持續(xù)對數(shù)據(jù)安全保護工作進(jìn)行改進(jìn)與優(yōu)化，保障數(shù)據(jù)安全。

5 結(jié)束語

在當(dāng)今大數(shù)據(jù)時代，數(shù)據(jù)越來越多的得到人們的重視。數(shù)據(jù)已經(jīng)與傳統(tǒng)工業(yè)社會的土地、勞動力、資本一樣，變成必不可少的投入資源，是核心的生產(chǎn)要素。數(shù)字技術(shù)發(fā)展日新月異，廣泛滲透到產(chǎn)業(yè)和經(jīng)濟領(lǐng)域，成為推動經(jīng)濟發(fā)展的重要動力，也催生出了數(shù)字經(jīng)濟。然而，數(shù)字經(jīng)濟發(fā)展帶來重大機遇的同時也帶來了數(shù)據(jù)安全的挑戰(zhàn)。近年來，大規(guī)模數(shù)據(jù)泄露事件在全球范圍內(nèi)頻繁發(fā)生、違法違規(guī)收集使用個人信息等安全問題愈演愈烈，且這些安全問題已經(jīng)對公民、法人以及整個社會造成了嚴(yán)重的負(fù)面影響與危害。結(jié)合幾種常見導(dǎo)致數(shù)據(jù)泄露的原因來看，網(wǎng)絡(luò)運營者應(yīng)落實各項法律法規(guī)要求，切實提高數(shù)據(jù)保護意識，保障重要數(shù)據(jù)和個人信息安全，推動數(shù)字經(jīng)濟持續(xù)深入發(fā)展。