不久前,杭州市余杭區(qū)人民法院對一起“報復性”案件進行了裁定:被告人邱某因對計算機信息系統(tǒng)中存儲����、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除,犯“破壞計算機信息系統(tǒng)罪”罪名成立�����,被判處有期徒刑二年六個月���,緩刑三年�����,并依法賠償被害單位經濟損失���。
這場“兩敗俱傷”的案件,不僅是一次對個人違反數(shù)據(jù)安全相關法律法規(guī)后果的真實展現(xiàn)���,也對企業(yè)檢視自身安全意識�、安全管理與防護建設工作等方面的缺失和不足敲響了警鐘。下面就讓我們走近這起案件的細節(jié)�����,挖掘它背后蘊含的啟示:
2018年4月�����,時任浙江XX網(wǎng)絡科技有限公司技術總監(jiān)的邱某被規(guī)勸離職�����。原本是一次看似尋常的人事變動�����,卻在不滿情緒高漲的邱某心中埋下了怨恨的種子并最終結成惡果��。
2018年6月23日10時許���,被告人邱某在位于杭州市余杭區(qū)的家中�,利用其離職前已掌握的�、前東家所使用的阿里云服務器及數(shù)據(jù)庫賬號密碼,通過其本人的筆記本電腦進入該公司云數(shù)據(jù)庫管理界面,對數(shù)據(jù)庫索引和部分表進行了惡意刪除����,導致該公司為6萬+用戶提供服務的SaaS等計算機信息系統(tǒng)自當日10:21:59-13:47:13以及21:17:42-23:07:49期間無法正常運行,累計故障時間約5小時15分�。
就是這短短的5個多小時,只為解自己心頭的一時之氣�,讓邱某面臨著牢獄之災的嚴厲懲罰�����;而作為被害的一方���,邱某曾任職的這家網(wǎng)絡科技公司����,也并非毫無過錯...
作為國內最大的云服務商�����,阿里云本身具備一定的基本安全策略���,如果被害公司充分利用并正確配置了相關基本安全策略���,想來邱某也不會如此輕易得逞�。例如:數(shù)據(jù)庫不應該直接暴露在互聯(lián)網(wǎng)上��,而應通過白名單功能�,僅允許業(yè)務系統(tǒng)和指定的運維終端訪問;在運維終端上���,應該設有對應的權限控制�����,讓員工通過私人電腦無法進行訪問���,更不要說是一個已經離職的前員工。可以看到���,被害公司在數(shù)據(jù)安全方面存在幾處明顯問題:
1�、缺乏必要的權限控制
邱某作為XX網(wǎng)絡科技有限公司的技術總監(jiān)���,擁有云服務器和數(shù)據(jù)庫的訪問權限無可厚非���;但根據(jù)最小化原則,邱某只需擁有對云資源的只讀權限即可,且在離職前�,其所掌握的這些公司賬號和權限應被全部收回。而根據(jù)案件情況���,以上幾點安全工作顯然沒有得到XX公司的有效執(zhí)行�,在缺少對員工基本權限控制的情況下�,風險便隨之而來。
2���、安全觀念與法律意識淡薄
我們無法靠猜測確定,邱某在實施報復行動之前�,是否預料到他的所作所為將會對公司和自己帶來怎樣的后果;但其最終選擇跨越法律的紅線�,就足以說明一個問題——在一家企業(yè)中,如果連技術總監(jiān)都這般缺乏安全觀念與法律意識���,遑論其他員工�,而問題真的只出在個人么���?
3����、缺少必要的數(shù)據(jù)安全防護手段
根據(jù)案件情況可以發(fā)現(xiàn),XX網(wǎng)絡科技有限公司的SaaS服務是直接暴露在互聯(lián)網(wǎng)上的�。在這種情況下,即使沒有邱某��,也很可能會有公司內部其他的“內鬼”張某��、趙某���,或網(wǎng)絡上的黑客李某���、孫某等等,通過各種手段攻入公司數(shù)據(jù)庫并實施破壞行為或竊取數(shù)據(jù)牟利���。正所謂“凡事預則立��,不預則廢”�����,企業(yè)應早做準備以應對風險�����,未雨綢繆總好過亡羊補牢����!
企業(yè)上云之后,IT環(huán)境和業(yè)務系統(tǒng)都發(fā)生了巨大變化�,僅僅適應這些變化就要耗費很多精力,此時再面對各式各樣的數(shù)據(jù)安全問題�����,單憑企業(yè)自身力量想要實現(xiàn)全面��、高效�����、可靠的防護升級����,在短時間內恐難理出頭緒����。為此,安華金和專門推出“云數(shù)據(jù)安全治理服務”���,旨在幫忙企業(yè)快速提升數(shù)據(jù)安全防護水平���。
安華金和云數(shù)據(jù)安全治理服務包括:數(shù)據(jù)安全評估���、數(shù)據(jù)分類分級、數(shù)據(jù)安全方案設計三大部分�,能夠為企業(yè)逐步理清數(shù)據(jù)安全現(xiàn)狀及數(shù)據(jù)資產情況,制定數(shù)據(jù)分類分級標準�����,并提供切實可行的數(shù)據(jù)安全解決方案:
1��、數(shù)據(jù)安全評估
根據(jù)數(shù)據(jù)安全成熟度模型(DSMM)及數(shù)據(jù)安全治理理念����,主要采用數(shù)據(jù)安全調查問卷、數(shù)據(jù)安全狀況訪談���、數(shù)據(jù)生命周期核心階段風險評估等方式���,對企業(yè)數(shù)據(jù)安全狀況建立基本認知;同時�����,運用敏感數(shù)據(jù)識別、數(shù)據(jù)庫漏洞整體檢測等技術工具�,對企業(yè)數(shù)據(jù)資產進行梳理;并通過政策法規(guī)對標�、數(shù)據(jù)安全合規(guī)分析等方法,梳理企業(yè)在合規(guī)性上的現(xiàn)狀�。
綜上,通過對數(shù)據(jù)使用的核心環(huán)節(jié)進行摸底����,并對數(shù)據(jù)庫進行抽樣檢查與資產梳理,幫助企業(yè)發(fā)現(xiàn)自身潛藏的問題�����,了解自身真實的數(shù)據(jù)安全狀況����,從而發(fā)現(xiàn)問題、改進問題����。
2���、數(shù)據(jù)分類分級
參考通用數(shù)據(jù)分類分級方法�����,結合國家及行業(yè)相關法律法規(guī)�、政策指南和企業(yè)自身業(yè)務需求,與企業(yè)共同制定數(shù)據(jù)分類分級標準���;根據(jù)分類分級標準�����,對企業(yè)數(shù)據(jù)進行分類分級操作�;同時�����,驗證分類分級標準的科學性和合理性���,并在必要時對分類分級標準做進一步修正�����。通過對數(shù)據(jù)進行分類分級����,幫助企業(yè)根據(jù)不同需求對數(shù)據(jù)資產(如一般數(shù)據(jù)、重要數(shù)據(jù)����、敏感數(shù)據(jù)等)執(zhí)行有針對性、有重點的防護措施�。
3、數(shù)據(jù)安全方案設計
根據(jù)以上數(shù)據(jù)安全評估情況��,參照數(shù)據(jù)分類分級標準及其結果���,安華金和可有針對性的制定數(shù)據(jù)安全治理解決方案�,推動企業(yè)的制度完善�,并提供專業(yè)的技術支撐:
· 根據(jù)數(shù)據(jù)安全合規(guī)性評估結果及數(shù)據(jù)資產特征,制定切合企業(yè)實際的數(shù)據(jù)安全合規(guī)方案�����;
· 根據(jù)數(shù)據(jù)安全現(xiàn)狀評估結果�����,結合客戶的實際業(yè)務場景�,制定切合客戶實際的數(shù)據(jù)安全保護方案�����。
通過云數(shù)據(jù)安全治理服務,能夠明顯降低企業(yè)面臨的數(shù)據(jù)安全風險�����,進一步提升企業(yè)數(shù)據(jù)安全防護與合規(guī)能力�,從而減少由此造成的經濟損失與品牌聲譽影響,助力企業(yè)持續(xù)健康發(fā)展�。
產品咨詢:4000 258 365 
