公司與公共機構(gòu)在運營過程中，高度依賴數(shù)據(jù)庫來存儲和處理海量數(shù)據(jù)。這些數(shù)據(jù)庫中往往保存著關(guān)鍵業(yè)務(wù)信息以及高度敏感數(shù)據(jù)，像財務(wù)數(shù)據(jù)（稅務(wù)記錄、銀行賬戶信息、信用卡資料）、個人數(shù)據(jù)（家庭住址、人事檔案）、產(chǎn)品數(shù)據(jù)等。由于數(shù)據(jù)庫常與應(yīng)用程序、網(wǎng)絡(luò)服務(wù)相互集成，無論是內(nèi)部還是外部，都面臨著諸多網(wǎng)絡(luò)威脅。

不少首席信息官和 IT 領(lǐng)導(dǎo)者認(rèn)為，自身的 IT 基礎(chǔ)設(shè)施已具備有效抵御網(wǎng)絡(luò)攻擊的能力。多層防火墻、殺毒軟件以及入侵檢測與預(yù)防系統(tǒng)（IPS），看似構(gòu)建起了堅固防線，實則給人帶來一種虛假的安全感。許多人并未意識到，最大的安全隱患往往潛藏在內(nèi)部 —— 正是使用這些系統(tǒng)的員工。

員工常常成為網(wǎng)絡(luò)釣魚郵件、欺騙性外部來電的受害者。由于如今的網(wǎng)絡(luò)釣魚手段越發(fā)高明，加之人工智能驅(qū)動的欺騙技術(shù)不斷升級，這些威脅變得愈發(fā)難以識別。在工作壓力和時間緊迫的情況下，員工很容易判斷失誤，不經(jīng)意間點擊惡意鏈接，或是將機密信息泄露給外界。

正因如此，網(wǎng)絡(luò)攻擊頻頻得手。歐洲網(wǎng)絡(luò)安全局（ENISA）的最新研究顯示，在 2023 年 7 月至 2024 年 6 月這 12 個月里，歐盟的公司和政府機構(gòu)成為網(wǎng)絡(luò)攻擊的重點目標(biāo)。

從行業(yè)分布來看，公共部門遭受攻擊的比例最高，達(dá) 19%；其次是交通部門，占 11%；銀行及金融部門占 9%。此前，德國聯(lián)邦議會、市政機構(gòu)、大學(xué)醫(yī)院，荷蘭執(zhí)法部門，西班牙公民及政府機構(gòu)等遭受的網(wǎng)絡(luò)攻擊，至今仍令人印象深刻。

從威脅類型分析，對存儲數(shù)據(jù)的直接威脅占比 45%，其中數(shù)據(jù)泄露事件占 19%，勒索軟件攻擊占 26% 。

《通用數(shù)據(jù)保護條例》（GDPR）第 32 條明確規(guī)定，數(shù)據(jù)控制者和處理者需采取適當(dāng)?shù)募夹g(shù)與組織措施，確保達(dá)到與風(fēng)險相匹配的安全水平，特別強調(diào)將 “個人數(shù)據(jù)的匿名化和加密” 作為有效手段。德國聯(lián)邦信息安全辦公室（BSI）在其 BSI 標(biāo)準(zhǔn) 200 - 1 至 200 - 4 中，也將加密列為降低 IT 操作風(fēng)險的關(guān)鍵策略。

根據(jù) GDPR 第 33 條，公司一旦發(fā)現(xiàn)數(shù)據(jù)泄露，需在 72 小時內(nèi)向監(jiān)管機構(gòu)報告，除非該泄露不太可能對個人權(quán)利造成風(fēng)險。若報告延遲超過 72 小時，則必須說明原因。然而，在實際操作中，IT 領(lǐng)域?qū)τ?GDPR 報告要求的正確應(yīng)用仍存在困惑。為此，歐洲數(shù)據(jù)保護委員會（EDPB）制定了指南，并附上案例研究。

其中 “案例編號 01：具有適當(dāng)備份且無數(shù)據(jù)泄露的勒索軟件” 頗具代表性：一家小型制造公司的計算機系統(tǒng)遭遇勒索軟件攻擊，數(shù)據(jù)被加密。但由于該公司采用了靜態(tài)數(shù)據(jù)加密，且加密算法先進，解密密鑰未泄露，攻擊者只能獲取加密后的個人數(shù)據(jù)，無法讀取和利用。因此，按照指南，該公司無需向當(dāng)局和受影響個人報告此次事件。

北京軟件開發(fā)公司心玥科技基于專業(yè)經(jīng)驗，強烈建議客戶為 Adabas 數(shù)據(jù)庫實施加密與審計。這兩項措施相互配合，能夠形成最佳技術(shù)組合，有效抵御內(nèi)外部攻擊，防止數(shù)據(jù)泄露，最大程度降低 IT 風(fēng)險。