近日,有媒体曝出,国家电网推出的掌上电力、电e宝App正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入“黑产”,危害持续扩大。有知情人士向该媒体记者出示了山东某市3万多户号、密码、地址的数据泄露截图,“这只是冰山一角,这些数据现在一次就可以找到几十万条。”
比详细地址泄露更危险的是,这些数据如今或已经流入黑市。从国家电网App泄露出去的一手数据,匹配目前已经在黑市泛滥的电商订单、快递数据、身份证、银行卡信息,所有这些数据经过整合加工,带来的危害难以估计,最简单的,可以根据用电数据分析你家什么时候有人、什么时候没人,后果可想而知。
针对此次数据泄露事件,国家电网的相关职能部门已积极展开查证行动。国家电网表示,公司一直都非常重视用户个人信息的保护,不仅从技术手段上进行严密防控,在业务管理方面也实现周密管理。其实早在此次数据泄露事件出现之前,国家电网已经意识到信息安全的严重性,已经有相关职能部门正在筹建国家电网互联网安全联盟,邀请国内各个领域的安全厂商,为国网系统的各部门、各分公司提供系统安全、网络安全、工控安全和数据安全等方面的安全保障。
作为国内数据安全解决方案的重要提供商,中安威士(原北京中安比特科技有限公司)也有幸被邀请加入国网互联网安全联盟。中安威士拥有国内最完整的数据库安全产品线。其中:
- 数据库审计系统:能够通过监控数据库的多重状态和通信内容,准确评估数据库所面临的风险,并通过日志记录提供事后追查机制。
- 数据库防火墙:通过实时分析对数据库的访问流量,自动建立正常访问数据库的特征模型,发现和过滤对数据库的违规访问和攻击行为。
- 数据库加密系统:通过数据库的视图、触发器、存储过程机制,防止数据存储介质丢失、数据库文件被复制、SQL注入攻击导致的DBA权限泄漏(滥用)等情况造成的数据泄密。
- 数据库脱敏系统:对数据库请求通讯协议进行解析,对SQL进行重写,为运维人员和开发、测试环境提供准真实数据。
- 云端数据安全管理系统:主要解决云上企业用户的数据访问活动不透明,核心敏感数据可能被泄露或被篡改等难题,保障企业用户云上数据的安全可靠,并帮助企业用户快速通过国家或行业监管部门的合规审计。
相信本次数据泄露事件,能加快国网互联网安全联盟的筹建进度。我们相信,在众多像我们这样的专业安全厂商的鼎力协助下,我国能源行业的信息安全保障能力必将大大增强。