北京软件开发公司强烈建议客户为数据库实施加密与审计

公司与公共机构在运营过程中，高度依赖数据库来存储和处理海量数据。这些数据库中往往保存着关键业务信息以及高度敏感数据，像财务数据（税务记录、银行账户信息、信用卡资料）、个人数据（家庭住址、人事档案）、产品数据等。由于数据库常与应用程序、网络服务相互集成，无论是内部还是外部，都面临着诸多网络威胁。

不少首席信息官和 IT 领导者认为，自身的 IT 基础设施已具备有效抵御网络攻击的能力。多层防火墙、杀毒软件以及入侵检测与预防系统（IPS），看似构建起了坚固防线，实则给人带来一种虚假的安全感。许多人并未意识到，最大的安全隐患往往潜藏在内部 —— 正是使用这些系统的员工。

员工常常成为网络钓鱼邮件、欺骗性外部来电的受害者。由于如今的网络钓鱼手段越发高明，加之人工智能驱动的欺骗技术不断升级，这些威胁变得愈发难以识别。在工作压力和时间紧迫的情况下，员工很容易判断失误，不经意间点击恶意链接，或是将机密信息泄露给外界。

正因如此，网络攻击频频得手。欧洲网络安全局（ENISA）的最新研究显示，在 2023 年 7 月至 2024 年 6 月这 12 个月里，欧盟的公司和政府机构成为网络攻击的重点目标。

从行业分布来看，公共部门遭受攻击的比例最高，达 19%；其次是交通部门，占 11%；银行及金融部门占 9%。此前，德国联邦议会、市政机构、大学医院，荷兰执法部门，西班牙公民及政府机构等遭受的网络攻击，至今仍令人印象深刻。

从威胁类型分析，对存储数据的直接威胁占比 45%，其中数据泄露事件占 19%，勒索软件攻击占 26% 。

《通用数据保护条例》（GDPR）第 32 条明确规定，数据控制者和处理者需采取适当的技术与组织措施，确保达到与风险相匹配的安全水平，特别强调将 “个人数据的匿名化和加密” 作为有效手段。德国联邦信息安全办公室（BSI）在其 BSI 标准 200 - 1 至 200 - 4 中，也将加密列为降低 IT 操作风险的关键策略。

根据 GDPR 第 33 条，公司一旦发现数据泄露，需在 72 小时内向监管机构报告，除非该泄露不太可能对个人权利造成风险。若报告延迟超过 72 小时，则必须说明原因。然而，在实际操作中，IT 领域对于 GDPR 报告要求的正确应用仍存在困惑。为此，欧洲数据保护委员会（EDPB）制定了指南，并附上案例研究。

其中 “案例编号 01：具有适当备份且无数据泄露的勒索软件” 颇具代表性：一家小型制造公司的计算机系统遭遇勒索软件攻击，数据被加密。但由于该公司采用了静态数据加密，且加密算法先进，解密密钥未泄露，攻击者只能获取加密后的个人数据，无法读取和利用。因此，按照指南，该公司无需向当局和受影响个人报告此次事件。

北京软件开发公司心玥科技基于专业经验，强烈建议客户为 Adabas 数据库实施加密与审计。这两项措施相互配合，能够形成最佳技术组合，有效抵御内外部攻击，防止数据泄露，最大程度降低 IT 风险。