信息系统常见数据泄露原因及应对策略分析

万小博

（国家计算机网络应急技术处理协调中心上海分中心 上海市 201315）

数据安全一方面要求数据本身安全，另一方面要求收集、存储、加工、传输数据的信息系统应具备相应的管理和技术措施来保障数据的安全性，使得数据仅在被授权的情况下才能访问和使用，避免发生修改、伪造、窃取等情况，有效保障数据的机密性、完整性、可用性等安全属性。数据资产在整个互联网中起着至关重要的作用，同时隐藏着庞大的经济效益，正是由于其巨大的经济价值，使得许多攻击者通过渗透、外挂木马、钓鱼、伪基站等方式方法来获取这些数据资产。导致数据泄露的因素有多个方面，包括技术因素，例如黑客入侵、软件漏洞、恶意木马、钓鱼网站等，也包括非技术因素，例如内部人员泄密、管理措施不当、非有意识泄密等。由于受利益的驱使，除了黑客之外，一部分企业内部人员恶意出售接触到的数据资产，从中获取经济利益。也有部分企业员工由于缺乏安全意识把数据存放在不安全的地方，导致数据被泄露。

《中华人民共和国数据安全法》于2021 年6 月10 日经十三届全国人民代表大会常委会第二十九次会议表决通过，自2021 年9 月1 日起施行；《中华人民共和国个人信息保护法》于2021 年8 月20 日第十三届全国人民代表大会常务委员会第三十次会议表决通过，自2021 年11 月1 日起施行。一系列立法表明国家在重要数据和个人信息保护领域的顶层设计在不断完善，国家也在不断加大数据安全领域的监管和执法力度。但是，目前我国面临的网络安全形势依然十分严峻，数据安全事件特别是个人信息泄露事件屡屡频发，数据安全治理仍然任重而道远。

1 信息“公示”导致数据泄露

政府信息公开一般是指党政机关、事业单位、社会团体等组织在工作过程中产生或收集的，以特定形式收集、存储的信息，及时、准确地公开发布。政府信息公开在保障公民、法人、社会团体等组织便捷获取政府公开信息，提高政府工作的规范性与透明度，建设法治社会，发挥政务数据对社会生产、生活和经济发展的服务作用等方面发挥了积极的作用。然而，现实中存在一些政府部门在公示信息时将公民姓名、身份证号、手机号码、银行卡号、家庭住址等个人隐私不经过脱敏处理，进行直接“曝光”。这也透露出相关部门一些工作人员缺乏相关的法律知识，在保护公民重要数据及个人隐私方面意识较欠缺。

《中华人民共和国政府信息公开条例》第十五条规定，“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开。但是，第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的，予以公开。”早在2018 年，国务院办公厅印发的《2018 年政务公开工作要点》（国办发〔2018〕23 号）也明确指出，“加强政府信息公开审查工作。政府信息公开前要依法依规严格审查，特别要做好对公开内容表述、公开时机、公开方式的研判，避免发生信息发布失信、影响社会稳定等问题。要依法保护好个人隐私，除惩戒公示、强制性信息披露外，对于其他涉及个人隐私的政府信息，公开时要去标识化处理，选择恰当的方式和范围。”虽然法律法规做出了明确规定，但是，此类公示时将公民个人隐私信息泄露的事件却时有发生。

另外一个频发由于公示信息引发个人信息泄露的是全国各大高校。例如每年各大高校的“国家奖学金”获奖名单公示。按规定，“国家奖学金”候选人名单，须在校内公示；“国家奖学金”获得者名单，须在当地媒体公示。部分高校在“国家奖学金”候选人名单进行公示时，在公布了学生的姓名、院系、专业、学号、性别、民族、入学年月之外，还公布了学生完整的公民身份证号码。再例如，部分高校在贫困生助学信息公示时，也存在将姓名、学号、出生年月日、身份证号码、银行卡号等个人敏感信息未经过脱敏完整公示的现象。针对这些现象，教育部也曾发布预警通知，要求各大高校在进行信息公示时，严格遵守国家法律法规规定，在评定奖学金、助学金等各工作环节中，严禁公示学生身份证号码、家庭地址、电话号码、出生日期等个人敏感信息。

2 安全漏洞导致数据泄露

在导致数据泄露的各种因素中，安全漏洞导致的数据泄露占有很大比重。安全漏洞是程序开发设计者在硬件、软件、Web 应用程序等产品或系统的具体实现过程中引入的设计缺陷，或者是在系统配置、安全策略等方面存在的设置错误，导致使攻击者能够通过远程或者本地在未授权的情况下访问或破坏系统。

近年来，安全漏洞一直呈现高速增长态势。根据国家互联网应急中心数据显示，2020 年，国家信息安全漏洞共享平台（CNVD）共收录安全漏洞20704 个，同比增长27.9%。其中，高危漏洞数量为7420 个；“零日”漏洞数量为8902 个。在收录的漏洞中，可用于实施远程网络攻击的漏洞有16466 个，可用于实施本地攻击的漏洞有3855 个，可用于实施临近网络攻击的漏洞有383 个。

2.1 弱口令漏洞

学校教务系统、教育机构学员管理系统、疫情防控系统等信息系统后台一般有人员管理功能，在这些功能页面往往涉及人员的详细信息，例如姓名、性别、身份证号、手机号码等字段。若此类信息系统存在弱口令漏洞，攻击者可通过弱口令登录系统，导致数据存在泄露风险。

2.2 越权访问漏洞

越权访问漏洞是Web 应用程序中一种常见的安全漏洞。该漏洞是指应用在对用户的权限进行检查时存在漏洞，使得攻击者在拥有较低的账户权限后，通过一些特殊的方式来绕过系统对权限的检查（例如修改数据包的值或者直接访问其他用户相应页面的链接），访问或者操作其他用户或者更高权限用户才能访问到的页面或数据。越权访问可以分为水平越权和垂直越权：水平越权是指攻击者通过越权范围漏洞，访问到了一个和他拥有相同权限用户的资源，而垂直越权指的是一个低级别用户访问到了一个高级别用户的资源。例如，某些信息系统，由于访问权限限制不严格，存在越权访问漏洞，导致用户在访问自己页面的时候，可以通过修改URL中“id”、“userid”等值越权访问其他用户页面，进而导致可以通过爬取的方式，全量获取整个信息系统的数据。

2.3 SQL注入漏

SQL 注入（SQL Injection），被广泛用于非法获取网站控制权和数据库数据，这是在应用程序的输入处理中发生的安全漏洞。在web 应用程序中，忽略了对输入字符串中包含的SQL 命令的检查，并且将输入数据误认为是要运行的常规SQL 命令，导致数据库受到攻击，从而可能导致查询，修改和删除数据，并进一步导致网站嵌入恶意代码，植入后门程序的危害等。SQL 注入漏洞可直接导致web 应用程序后台数据库存在泄露风险。

互联网上有大量自动化SQL 注入攻击工具，使得攻击者可以很方便获取存在SQL 注入漏洞的网站后台数据库数据，大大降低了攻击的技术门槛。例如，SQLMap，是一款开源渗透测试工具，可用于自动检测和利用SQL 注入漏洞，并接管数据库服务器。SQLMap 是一个基于命令行的半自动化SQL 注入攻击工具，支持MySQL，Oracle，PostgreSQL等多种数据库的测试。如图1 所示为某信息系统存在SQL 注入漏洞，通过SQLMap 工具，即可获取后台数据库相关信息。

图1： SQLMap 测试数据库漏洞

2.4 联网数据库安全漏洞

数据库存在弱口令、未授权访问、缓冲区溢出等安全漏洞可直接导致数据库漏洞存在泄露风险。根据CNVD 漏洞共享平台网站显示，2021 年，CNVD 共发布涉及Oracle、Mysql、SQL Server 等数据库安全漏洞公告252 条。与此同时，我国境内有大量数据库暴露在公共互联网上，数据库安全漏洞导致这些联网数据库存在极大的数据安全隐患。

2019 年初，国家互联网应急中心监测发现，我国境内部分MongoDB 数据库暴露在互联网上导致重要信息泄露。经进一步排查，我国境内互联网上使用MongoDB 数据库服务的IP 地址有约2.5 万个，其中存在信息泄露风险的IP 地址有468 个。Elasticsearch 数据库也曝出类似安全隐患。经过分析，国家互联网应急中心发现这两个数据库均是在默认情况下，无需权限验证即可通过默认端口本地或远程访问数据库并进行任意的增、删、改、查等操作。为此，国家互联网应急中心建议，检查使数据库配置情况，对其默认配置进行修改，包括修改默认服务器端口、创建管理账号并配置用户认证权限。同时尽量不要将数据库部署在公共互联网上，并对访问数据库IP 地址采取限制等措施。

3 API使用不当导致数据泄露

API（Application Programming Interface）全称“应用程序编程接口”，是通过定义函数、协议、数据结构等方式来明确应用程序中各个组件之间的通信与数据交互模式，将web 应用、操作系统、数据库，以及计算机硬件或者软件以接口形式提供给外部使用。由于近年来软件的规模日益庞大，常常需要把复杂的系统划分成小的组成部分，编程接口的设计十分重要。程序设计的实践中，编程接口的设计首先要使软件系统的职责得到合理划分。良好的接口设计可以降低系统各部分的相互依赖，提高组成单元的内聚性，降低组成单元间的耦合程度，从而提高系统的维护性和扩展性。API 既可以连接服务又可以用来传输数据，提供应用程序与开发人员以访问数据或特定功能的能力，而又无需了解实现原理。

API 在现代应用程序架构中发挥着越来越重要的作用，同时，越来越多的攻击者开始将目标对准API，由API 接口引起的攻击事件或数据泄漏事件频频发生，严重损害了企业和用户的利益， 受到各方的高度关注。

随着针对API 的攻击日益严重，OWASP 组织也推出了OWASP API Security TOP 10 项目，对目前API 最受关注的十大风险点进行了总结：

Top1：失效的对象级别授权（Broken Object Level Authorization）

API 通常会暴露权限验证的访问端，这就使得攻击者可以通过在发送请求中改变对象的ID 等方式来攻击存在“失效的对象级授权”漏洞的API。这将导致敏感数据的未授权访问问题。

Top2：失效的用户身份验证（Broken User Authentication）

由于身份验证机制没有按照预设的机制正确实现，使得攻击者能够破坏身份验证令牌，伪造他人用户身份，破坏了系统识别客户端/用户的能力，损害API 的整体安全性。

Top 3：过度的数据暴露（Excessive Data Exposure）

API 开发者为了能够以便捷通用的方式实现功能，通常会将所有数据全部返回请求者。API 在对查询请求进行响应的时候返回了过多的信息，通常会导致数据泄露问题。

Top 4：缺乏资源和速率限制（Lack of Resources & Rate Limiting）

通常，API 不会对客户端可以请求的资源的大小或数量施加任何限制。这不仅会影响 API 服务器的性能，甚至导致遭受拒绝服务攻击，而且还会导致攻击者可以通过暴力破解等方式进行攻击。

Top 5：失效的功能级授权（Broken Function Level Authorization）

攻击者利用漏洞将合法的API 请求发送给他们不应访问的API ，通过利用这些问题，攻击者可以访问其他用户的资源或功能。

Top6：批量分配（Mass Assignment）

当 API 将客户端提供的数据，例如JSON 数据，绑定到应用程序，又没有适当的过滤时，就会发生批量分配问题。攻击者可以通过评估API 结构和对象关系，检测批量分配漏洞，更改和修改隐藏起来的对象属性。

Top7：安全配置错误（Security Misconfiguration）

安全配置错误是最常见的安全问题，这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。

Top 8：注入（Injection）

API 通常将用户输入数据作为请求参数来使用，当 API没有任何过滤机制来检测用户数据时，攻击者可以将恶意命令注入应用程序。攻击者的恶意数据可以欺骗解释器执行恶意命令或在未授权的情况下访问数据。Top 9：资产管理不当（Improper Assets Management）

与传统的 Web 应用程序相比，API 往往会有很多版本供用户访问，因此对版本管理非常重要。一些未下线的历史接口、暴露的测试接口经常被攻击者利用进而导致数据泄露。

Top 10： 日 志 和 监 控 不 足（Insufficient Logging&Monitoring）

API 的访问日志和攻击日志等对安全十分重要，如果没有日志和监测，或者日志和监测能力不足，那么就几乎不可能跟踪可疑活动并及时响应攻击。

Facebook 曾被曝出由于其API 可能存在安全漏洞，导致Facebook 一个存有2 亿余条记录的数据库被公开，有两周时间它可以被任何人访问，其中每条记录包括Facebook用户的ID、姓名以及电话号码等个人信息。

新浪微博也被曝出有5.38 亿条微博用户信息在暗网出售，其中1.72 亿有账号基本信息，包括用户ID、性别、地理位置等。对此，微博回应称此次的数据泄漏源于2019 年被黑灰产利用通讯录上传接口进行暴力匹配，通过通讯录、手机号反查微博好友昵称的方式，获取大量账号、昵称、账号与手机信息的绑定关系等。

此外，疫情期间，个别人脸识别、疫情防控等相关的App、小程序等也因为API 接口安全措施不足，大量个人信息存在被非授权遍历、进而导致数据被泄露的风险。

由此可见，API 一旦出现安全问题，可能导致规模庞大的数据泄露问题，这目前也是黑产盗取大量个人信息的常见渠道。

4 防范数据泄露对策

除上述原因外，错误配置的云存储、未受保护的代码存储库、脆弱的开源软件等也是导致发生数据安全事件的常见原因。防范数据安全，需要以法律法规为基础、综合管理、技术等各种手段。

（1）数据运营者应当落实《网络安全法》《数据安全法》等法律法规规定的基本义务。例如，网络安全等级保护制度就是一种普适性制度，是关键信息基础设施保护的基础，对企业数据安全防护工作具有指导意义。网络安全等级保护制度一定程度上能够指导企业数据安全保护相关工作的落地。

（2）数据安全建设基于网络安全建设，网络安全建设是数据安全建设的基础。保障数据安全需要建立规范的管理措施并配以相对应的技术手段，并充分利用和发挥好管理与技术的关系。传统的成熟的网络安全技术措施，是保障数据安全的基础；专门针对数据的技术措施，如加密、去标识化等需要与传统技术措施有机结合。

（3）数据安全建设是一个长期持续改进的过程，通过数据分类分级、数据安全评估等过程建立基本保护框架后，后期需要根据信息系统变化情况，不断通过再次进行风险识别，进而对风险进行控制，再进行数据安全评估等过程进行闭环迭代，持续对数据安全保护工作进行改进与优化，保障数据安全。

5 结束语

在当今大数据时代，数据越来越多的得到人们的重视。数据已经与传统工业社会的土地、劳动力、资本一样，变成必不可少的投入资源，是核心的生产要素。数字技术发展日新月异，广泛渗透到产业和经济领域，成为推动经济发展的重要动力，也催生出了数字经济。然而，数字经济发展带来重大机遇的同时也带来了数据安全的挑战。近年来，大规模数据泄露事件在全球范围内频繁发生、违法违规收集使用个人信息等安全问题愈演愈烈，且这些安全问题已经对公民、法人以及整个社会造成了严重的负面影响与危害。结合几种常见导致数据泄露的原因来看，网络运营者应落实各项法律法规要求，切实提高数据保护意识，保障重要数据和个人信息安全，推动数字经济持续深入发展。