不久前,杭州市余杭區人民法院對一起“報復性”案件進(jìn)行了裁定:被告人邱某因對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進(jìn)行刪除,犯“破壞計算機信息系統罪”罪名成立,被判處有期徒刑二年六個(gè)月,緩刑三年,并依法賠償被害單位經(jīng)濟損失。
這場(chǎng)“兩敗俱傷”的案件,不僅是一次對個(gè)人違反數據安全相關(guān)法律法規后果的真實(shí)展現,也對企業(yè)檢視自身安全意識、安全管理與防護建設工作等方面的缺失和不足敲響了警鐘。下面就讓我們走近這起案件的細節,挖掘它背后蘊含的啟示:
2018年4月,時(shí)任浙江XX網(wǎng)絡(luò )科技有限公司技術(shù)總監的邱某被規勸離職。原本是一次看似尋常的人事變動(dòng),卻在不滿(mǎn)情緒高漲的邱某心中埋下了怨恨的種子并最終結成惡果。
2018年6月23日10時(shí)許,被告人邱某在位于杭州市余杭區的家中,利用其離職前已掌握的、前東家所使用的阿里云服務(wù)器及數據庫賬號密碼,通過(guò)其本人的筆記本電腦進(jìn)入該公司云數據庫管理界面,對數據庫索引和部分表進(jìn)行了惡意刪除,導致該公司為6萬(wàn)+用戶(hù)提供服務(wù)的SaaS等計算機信息系統自當日10:21:59-13:47:13以及21:17:42-23:07:49期間無(wú)法正常運行,累計故障時(shí)間約5小時(shí)15分。
就是這短短的5個(gè)多小時(shí),只為解自己心頭的一時(shí)之氣,讓邱某面臨著(zhù)牢獄之災的嚴厲懲罰;而作為被害的一方,邱某曾任職的這家網(wǎng)絡(luò )科技公司,也并非毫無(wú)過(guò)錯...
作為國內最大的云服務(wù)商,阿里云本身具備一定的基本安全策略,如果被害公司充分利用并正確配置了相關(guān)基本安全策略,想來(lái)邱某也不會(huì )如此輕易得逞。例如:數據庫不應該直接暴露在互聯(lián)網(wǎng)上,而應通過(guò)白名單功能,僅允許業(yè)務(wù)系統和指定的運維終端訪(fǎng)問(wèn);在運維終端上,應該設有對應的權限控制,讓員工通過(guò)私人電腦無(wú)法進(jìn)行訪(fǎng)問(wèn),更不要說(shuō)是一個(gè)已經(jīng)離職的前員工??梢钥吹?,被害公司在數據安全方面存在幾處明顯問(wèn)題:
1、缺乏必要的權限控制
邱某作為XX網(wǎng)絡(luò )科技有限公司的技術(shù)總監,擁有云服務(wù)器和數據庫的訪(fǎng)問(wèn)權限無(wú)可厚非;但根據最小化原則,邱某只需擁有對云資源的只讀權限即可,且在離職前,其所掌握的這些公司賬號和權限應被全部收回。而根據案件情況,以上幾點(diǎn)安全工作顯然沒(méi)有得到XX公司的有效執行,在缺少對員工基本權限控制的情況下,風(fēng)險便隨之而來(lái)。
2、安全觀(guān)念與法律意識淡薄
我們無(wú)法靠猜測確定,邱某在實(shí)施報復行動(dòng)之前,是否預料到他的所作所為將會(huì )對公司和自己帶來(lái)怎樣的后果;但其最終選擇跨越法律的紅線(xiàn),就足以說(shuō)明一個(gè)問(wèn)題——在一家企業(yè)中,如果連技術(shù)總監都這般缺乏安全觀(guān)念與法律意識,遑論其他員工,而問(wèn)題真的只出在個(gè)人么?
3、缺少必要的數據安全防護手段
根據案件情況可以發(fā)現,XX網(wǎng)絡(luò )科技有限公司的SaaS服務(wù)是直接暴露在互聯(lián)網(wǎng)上的。在這種情況下,即使沒(méi)有邱某,也很可能會(huì )有公司內部其他的“內鬼”張某、趙某,或網(wǎng)絡(luò )上的黑客李某、孫某等等,通過(guò)各種手段攻入公司數據庫并實(shí)施破壞行為或竊取數據牟利。正所謂“凡事預則立,不預則廢”,企業(yè)應早做準備以應對風(fēng)險,未雨綢繆總好過(guò)亡羊補牢!
企業(yè)上云之后,IT環(huán)境和業(yè)務(wù)系統都發(fā)生了巨大變化,僅僅適應這些變化就要耗費很多精力,此時(shí)再面對各式各樣的數據安全問(wèn)題,單憑企業(yè)自身力量想要實(shí)現全面、高效、可靠的防護升級,在短時(shí)間內恐難理出頭緒。為此,安華金和專(zhuān)門(mén)推出“云數據安全治理服務(wù)”,旨在幫忙企業(yè)快速提升數據安全防護水平。
安華金和云數據安全治理服務(wù)包括:數據安全評估、數據分類(lèi)分級、數據安全方案設計三大部分,能夠為企業(yè)逐步理清數據安全現狀及數據資產(chǎn)情況,制定數據分類(lèi)分級標準,并提供切實(shí)可行的數據安全解決方案:
1、數據安全評估
根據數據安全成熟度模型(DSMM)及數據安全治理理念,主要采用數據安全調查問(wèn)卷、數據安全狀況訪(fǎng)談、數據生命周期核心階段風(fēng)險評估等方式,對企業(yè)數據安全狀況建立基本認知;同時(shí),運用敏感數據識別、數據庫漏洞整體檢測等技術(shù)工具,對企業(yè)數據資產(chǎn)進(jìn)行梳理;并通過(guò)政策法規對標、數據安全合規分析等方法,梳理企業(yè)在合規性上的現狀。
綜上,通過(guò)對數據使用的核心環(huán)節進(jìn)行摸底,并對數據庫進(jìn)行抽樣檢查與資產(chǎn)梳理,幫助企業(yè)發(fā)現自身潛藏的問(wèn)題,了解自身真實(shí)的數據安全狀況,從而發(fā)現問(wèn)題、改進(jìn)問(wèn)題。
2、數據分類(lèi)分級
參考通用數據分類(lèi)分級方法,結合國家及行業(yè)相關(guān)法律法規、政策指南和企業(yè)自身業(yè)務(wù)需求,與企業(yè)共同制定數據分類(lèi)分級標準;根據分類(lèi)分級標準,對企業(yè)數據進(jìn)行分類(lèi)分級操作;同時(shí),驗證分類(lèi)分級標準的科學(xué)性和合理性,并在必要時(shí)對分類(lèi)分級標準做進(jìn)一步修正。通過(guò)對數據進(jìn)行分類(lèi)分級,幫助企業(yè)根據不同需求對數據資產(chǎn)(如一般數據、重要數據、敏感數據等)執行有針對性、有重點(diǎn)的防護措施。
3、數據安全方案設計
根據以上數據安全評估情況,參照數據分類(lèi)分級標準及其結果,安華金和可有針對性的制定數據安全治理解決方案,推動(dòng)企業(yè)的制度完善,并提供專(zhuān)業(yè)的技術(shù)支撐:
· 根據數據安全合規性評估結果及數據資產(chǎn)特征,制定切合企業(yè)實(shí)際的數據安全合規方案;
· 根據數據安全現狀評估結果,結合客戶(hù)的實(shí)際業(yè)務(wù)場(chǎng)景,制定切合客戶(hù)實(shí)際的數據安全保護方案。
通過(guò)云數據安全治理服務(wù),能夠明顯降低企業(yè)面臨的數據安全風(fēng)險,進(jìn)一步提升企業(yè)數據安全防護與合規能力,從而減少由此造成的經(jīng)濟損失與品牌聲譽(yù)影響,助力企業(yè)持續健康發(fā)展。