不久前,杭州市余杭區(qū)人民法院對(duì)一起“報(bào)復(fù)性”案件進(jìn)行了裁定:被告人邱某因?qū)τ?jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除,犯“破壞計(jì)算機(jī)信息系統(tǒng)罪”罪名成立,被判處有期徒刑二年六個(gè)月,緩刑三年,并依法賠償被害單位經(jīng)濟(jì)損失。
這場(chǎng)“兩敗俱傷”的案件,不僅是一次對(duì)個(gè)人違反數(shù)據(jù)安全相關(guān)法律法規(guī)后果的真實(shí)展現(xiàn),也對(duì)企業(yè)檢視自身安全意識(shí)、安全管理與防護(hù)建設(shè)工作等方面的缺失和不足敲響了警鐘。下面就讓我們走近這起案件的細(xì)節(jié),挖掘它背后蘊(yùn)含的啟示:
2018年4月,時(shí)任浙江XX網(wǎng)絡(luò)科技有限公司技術(shù)總監(jiān)的邱某被規(guī)勸離職。原本是一次看似尋常的人事變動(dòng),卻在不滿情緒高漲的邱某心中埋下了怨恨的種子并最終結(jié)成惡果。
2018年6月23日10時(shí)許,被告人邱某在位于杭州市余杭區(qū)的家中,利用其離職前已掌握的、前東家所使用的阿里云服務(wù)器及數(shù)據(jù)庫(kù)賬號(hào)密碼,通過(guò)其本人的筆記本電腦進(jìn)入該公司云數(shù)據(jù)庫(kù)管理界面,對(duì)數(shù)據(jù)庫(kù)索引和部分表進(jìn)行了惡意刪除,導(dǎo)致該公司為6萬(wàn)+用戶提供服務(wù)的SaaS等計(jì)算機(jī)信息系統(tǒng)自當(dāng)日10:21:59-13:47:13以及21:17:42-23:07:49期間無(wú)法正常運(yùn)行,累計(jì)故障時(shí)間約5小時(shí)15分。
就是這短短的5個(gè)多小時(shí),只為解自己心頭的一時(shí)之氣,讓邱某面臨著牢獄之災(zāi)的嚴(yán)厲懲罰;而作為被害的一方,邱某曾任職的這家網(wǎng)絡(luò)科技公司,也并非毫無(wú)過(guò)錯(cuò)...
作為國(guó)內(nèi)最大的云服務(wù)商,阿里云本身具備一定的基本安全策略,如果被害公司充分利用并正確配置了相關(guān)基本安全策略,想來(lái)邱某也不會(huì)如此輕易得逞。例如:數(shù)據(jù)庫(kù)不應(yīng)該直接暴露在互聯(lián)網(wǎng)上,而應(yīng)通過(guò)白名單功能,僅允許業(yè)務(wù)系統(tǒng)和指定的運(yùn)維終端訪問(wèn);在運(yùn)維終端上,應(yīng)該設(shè)有對(duì)應(yīng)的權(quán)限控制,讓員工通過(guò)私人電腦無(wú)法進(jìn)行訪問(wèn),更不要說(shuō)是一個(gè)已經(jīng)離職的前員工。可以看到,被害公司在數(shù)據(jù)安全方面存在幾處明顯問(wèn)題:
1、缺乏必要的權(quán)限控制
邱某作為XX網(wǎng)絡(luò)科技有限公司的技術(shù)總監(jiān),擁有云服務(wù)器和數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限無(wú)可厚非;但根據(jù)最小化原則,邱某只需擁有對(duì)云資源的只讀權(quán)限即可,且在離職前,其所掌握的這些公司賬號(hào)和權(quán)限應(yīng)被全部收回。而根據(jù)案件情況,以上幾點(diǎn)安全工作顯然沒(méi)有得到XX公司的有效執(zhí)行,在缺少對(duì)員工基本權(quán)限控制的情況下,風(fēng)險(xiǎn)便隨之而來(lái)。
2、安全觀念與法律意識(shí)淡薄
我們無(wú)法靠猜測(cè)確定,邱某在實(shí)施報(bào)復(fù)行動(dòng)之前,是否預(yù)料到他的所作所為將會(huì)對(duì)公司和自己帶來(lái)怎樣的后果;但其最終選擇跨越法律的紅線,就足以說(shuō)明一個(gè)問(wèn)題——在一家企業(yè)中,如果連技術(shù)總監(jiān)都這般缺乏安全觀念與法律意識(shí),遑論其他員工,而問(wèn)題真的只出在個(gè)人么?
3、缺少必要的數(shù)據(jù)安全防護(hù)手段
根據(jù)案件情況可以發(fā)現(xiàn),XX網(wǎng)絡(luò)科技有限公司的SaaS服務(wù)是直接暴露在互聯(lián)網(wǎng)上的。在這種情況下,即使沒(méi)有邱某,也很可能會(huì)有公司內(nèi)部其他的“內(nèi)鬼”張某、趙某,或網(wǎng)絡(luò)上的黑客李某、孫某等等,通過(guò)各種手段攻入公司數(shù)據(jù)庫(kù)并實(shí)施破壞行為或竊取數(shù)據(jù)牟利。正所謂“凡事預(yù)則立,不預(yù)則廢”,企業(yè)應(yīng)早做準(zhǔn)備以應(yīng)對(duì)風(fēng)險(xiǎn),未雨綢繆總好過(guò)亡羊補(bǔ)牢!
企業(yè)上云之后,IT環(huán)境和業(yè)務(wù)系統(tǒng)都發(fā)生了巨大變化,僅僅適應(yīng)這些變化就要耗費(fèi)很多精力,此時(shí)再面對(duì)各式各樣的數(shù)據(jù)安全問(wèn)題,單憑企業(yè)自身力量想要實(shí)現(xiàn)全面、高效、可靠的防護(hù)升級(jí),在短時(shí)間內(nèi)恐難理出頭緒。為此,安華金和專門推出“云數(shù)據(jù)安全治理服務(wù)”,旨在幫忙企業(yè)快速提升數(shù)據(jù)安全防護(hù)水平。
安華金和云數(shù)據(jù)安全治理服務(wù)包括:數(shù)據(jù)安全評(píng)估、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全方案設(shè)計(jì)三大部分,能夠?yàn)槠髽I(yè)逐步理清數(shù)據(jù)安全現(xiàn)狀及數(shù)據(jù)資產(chǎn)情況,制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn),并提供切實(shí)可行的數(shù)據(jù)安全解決方案:
1、數(shù)據(jù)安全評(píng)估
根據(jù)數(shù)據(jù)安全成熟度模型(DSMM)及數(shù)據(jù)安全治理理念,主要采用數(shù)據(jù)安全調(diào)查問(wèn)卷、數(shù)據(jù)安全狀況訪談、數(shù)據(jù)生命周期核心階段風(fēng)險(xiǎn)評(píng)估等方式,對(duì)企業(yè)數(shù)據(jù)安全狀況建立基本認(rèn)知;同時(shí),運(yùn)用敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)庫(kù)漏洞整體檢測(cè)等技術(shù)工具,對(duì)企業(yè)數(shù)據(jù)資產(chǎn)進(jìn)行梳理;并通過(guò)政策法規(guī)對(duì)標(biāo)、數(shù)據(jù)安全合規(guī)分析等方法,梳理企業(yè)在合規(guī)性上的現(xiàn)狀。
綜上,通過(guò)對(duì)數(shù)據(jù)使用的核心環(huán)節(jié)進(jìn)行摸底,并對(duì)數(shù)據(jù)庫(kù)進(jìn)行抽樣檢查與資產(chǎn)梳理,幫助企業(yè)發(fā)現(xiàn)自身潛藏的問(wèn)題,了解自身真實(shí)的數(shù)據(jù)安全狀況,從而發(fā)現(xiàn)問(wèn)題、改進(jìn)問(wèn)題。
2、數(shù)據(jù)分類分級(jí)
參考通用數(shù)據(jù)分類分級(jí)方法,結(jié)合國(guó)家及行業(yè)相關(guān)法律法規(guī)、政策指南和企業(yè)自身業(yè)務(wù)需求,與企業(yè)共同制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn);根據(jù)分類分級(jí)標(biāo)準(zhǔn),對(duì)企業(yè)數(shù)據(jù)進(jìn)行分類分級(jí)操作;同時(shí),驗(yàn)證分類分級(jí)標(biāo)準(zhǔn)的科學(xué)性和合理性,并在必要時(shí)對(duì)分類分級(jí)標(biāo)準(zhǔn)做進(jìn)一步修正。通過(guò)對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),幫助企業(yè)根據(jù)不同需求對(duì)數(shù)據(jù)資產(chǎn)(如一般數(shù)據(jù)、重要數(shù)據(jù)、敏感數(shù)據(jù)等)執(zhí)行有針對(duì)性、有重點(diǎn)的防護(hù)措施。
3、數(shù)據(jù)安全方案設(shè)計(jì)
根據(jù)以上數(shù)據(jù)安全評(píng)估情況,參照數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)及其結(jié)果,安華金和可有針對(duì)性的制定數(shù)據(jù)安全治理解決方案,推動(dòng)企業(yè)的制度完善,并提供專業(yè)的技術(shù)支撐:
· 根據(jù)數(shù)據(jù)安全合規(guī)性評(píng)估結(jié)果及數(shù)據(jù)資產(chǎn)特征,制定切合企業(yè)實(shí)際的數(shù)據(jù)安全合規(guī)方案;
· 根據(jù)數(shù)據(jù)安全現(xiàn)狀評(píng)估結(jié)果,結(jié)合客戶的實(shí)際業(yè)務(wù)場(chǎng)景,制定切合客戶實(shí)際的數(shù)據(jù)安全保護(hù)方案。
通過(guò)云數(shù)據(jù)安全治理服務(wù),能夠明顯降低企業(yè)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn),進(jìn)一步提升企業(yè)數(shù)據(jù)安全防護(hù)與合規(guī)能力,從而減少由此造成的經(jīng)濟(jì)損失與品牌聲譽(yù)影響,助力企業(yè)持續(xù)健康發(fā)展。