据有关单位综合分析发现,多份重要单位的项目文件、技术代码等数据直接暴露于互联网,存在敏感数据泄露风险,请各单位根据形式特点做好防范。
一、形式特点
1.从数据类型看,项目建设相关内容占大多数,通过互联网可直接查看项目文件、技术代码、配置信息等。
2.从存放位置看,代码仓库和云笔记是重灾区,在Github、Gitee等代码仓库,《笔记》《语雀》等云笔记的较多,还发现存放在网盘的。
3.从风险威胁看,此类数据易被恶意利用。涉事数据主要为老旧版本文件、已下线系统、演示系统代码,对实际系统影响有限,但存在被攻击者用于关联分析实际在用系统代码结构,进而实施攻击渗透,或被不法分子恶意炒作的风险。
二、防范意见
1.强化供应商监管,健全完善管理制度,明确项目文件、技术代码等敏感数据安全责任、义务及追责条款,严禁其私自在互联网侧进行开发、测试工作。
2.加强安全教育,杜绝将本单位敏感数据上传云笔记、网盘等此类事件发生。
3.定期开展自查自检,及时清理删除不宜在互联网上公开的项目文件、技术代码、公民个人信息等内容。
版权所有©-数据信息中心-网络信息安全办公室
地址:宝鸡市宝福路56号(宝福路校区) 蟠龙新区北社街1号(蟠龙校区)