不久前,杭州市餘杭區(qū)人民(mín)法院對一起“報複性”案件進行了裁定:被告人邱某因對計算機信息系統中(zhōng)存儲、處理(lǐ)或者傳輸的數據和應用(yòng)程序進行删除,犯“破壞計算機信息系統罪”罪名(míng)成立,被判處有(yǒu)期徒刑二年六個月,緩刑三年,并依法賠償被害單位經濟損失。
這場“兩敗俱傷”的案件,不僅是一次對個人違反數據安(ān)全相關法律法規後果的真實展現,也對企業檢視自身安(ān)全意識、安(ān)全管理(lǐ)與防護建設工(gōng)作(zuò)等方面的缺失和不足敲響了警鍾。下面就讓我們走近這起案件的細節,挖掘它背後蘊含的啓示:
2018年4月,時任浙江XX網絡科(kē)技(jì )有(yǒu)限公(gōng)司技(jì )術總監的邱某被規勸離職。原本是一次看似尋常的人事變動,卻在不滿情緒高漲的邱某心中(zhōng)埋下了怨恨的種子并最終結成惡果。
2018年6月23日10時許,被告人邱某在位于杭州市餘杭區(qū)的家中(zhōng),利用(yòng)其離職前已掌握的、前東家所使用(yòng)的阿裏雲服務(wù)器及數據庫賬号密碼,通過其本人的筆(bǐ)記本電(diàn)腦進入該公(gōng)司雲數據庫管理(lǐ)界面,對數據庫索引和部分(fēn)表進行了惡意删除,導緻該公(gōng)司為(wèi)6萬+用(yòng)戶提供服務(wù)的SaaS等計算機信息系統自當日10:21:59-13:47:13以及21:17:42-23:07:49期間無法正常運行,累計故障時間約5小(xiǎo)時15分(fēn)。
就是這短短的5個多(duō)小(xiǎo)時,隻為(wèi)解自己心頭的一時之氣,讓邱某面臨着牢獄之災的嚴厲懲罰;而作(zuò)為(wèi)被害的一方,邱某曾任職的這家網絡科(kē)技(jì )公(gōng)司,也并非毫無過錯...
作(zuò)為(wèi)國(guó)内最大的雲服務(wù)商(shāng),阿裏雲本身具(jù)備一定的基本安(ān)全策略,如果被害公(gōng)司充分(fēn)利用(yòng)并正确配置了相關基本安(ān)全策略,想來邱某也不會如此輕易得逞。例如:數據庫不應該直接暴露在互聯網上,而應通過白名(míng)單功能(néng),僅允許業務(wù)系統和指定的運維終端訪問;在運維終端上,應該設有(yǒu)對應的權限控制,讓員工(gōng)通過私人電(diàn)腦無法進行訪問,更不要說是一個已經離職的前員工(gōng)。可(kě)以看到,被害公(gōng)司在數據安(ān)全方面存在幾處明顯問題:
1、缺乏必要的權限控制
邱某作(zuò)為(wèi)XX網絡科(kē)技(jì )有(yǒu)限公(gōng)司的技(jì )術總監,擁有(yǒu)雲服務(wù)器和數據庫的訪問權限無可(kě)厚非;但根據最小(xiǎo)化原則,邱某隻需擁有(yǒu)對雲資源的隻讀權限即可(kě),且在離職前,其所掌握的這些公(gōng)司賬号和權限應被全部收回。而根據案件情況,以上幾點安(ān)全工(gōng)作(zuò)顯然沒有(yǒu)得到XX公(gōng)司的有(yǒu)效執行,在缺少對員工(gōng)基本權限控制的情況下,風險便随之而來。
2、安(ān)全觀念與法律意識淡薄
我們無法靠猜測确定,邱某在實施報複行動之前,是否預料到他(tā)的所作(zuò)所為(wèi)将會對公(gōng)司和自己帶來怎樣的後果;但其最終選擇跨越法律的紅線(xiàn),就足以說明一個問題——在一家企業中(zhōng),如果連技(jì )術總監都這般缺乏安(ān)全觀念與法律意識,遑論其他(tā)員工(gōng),而問題真的隻出在個人麽?
3、缺少必要的數據安(ān)全防護手段
根據案件情況可(kě)以發現,XX網絡科(kē)技(jì )有(yǒu)限公(gōng)司的SaaS服務(wù)是直接暴露在互聯網上的。在這種情況下,即使沒有(yǒu)邱某,也很(hěn)可(kě)能(néng)會有(yǒu)公(gōng)司内部其他(tā)的“内鬼”張某、趙某,或網絡上的黑客李某、孫某等等,通過各種手段攻入公(gōng)司數據庫并實施破壞行為(wèi)或竊取數據牟利。正所謂“凡事預則立,不預則廢”,企業應早做準備以應對風險,未雨綢缪總好過亡羊補牢!
企業上雲之後,IT環境和業務(wù)系統都發生了巨大變化,僅僅适應這些變化就要耗費很(hěn)多(duō)精(jīng)力,此時再面對各式各樣的數據安(ān)全問題,單憑企業自身力量想要實現全面、高效、可(kě)靠的防護升級,在短時間内恐難理(lǐ)出頭緒。為(wèi)此,安(ān)華金和專門推出“雲數據安(ān)全治理(lǐ)服務(wù)”,旨在幫忙企業快速提升數據安(ān)全防護水平。
安(ān)華金和雲數據安(ān)全治理(lǐ)服務(wù)包括:數據安(ān)全評估、數據分(fēn)類分(fēn)級、數據安(ān)全方案設計三大部分(fēn),能(néng)夠為(wèi)企業逐步理(lǐ)清數據安(ān)全現狀及數據資産(chǎn)情況,制定數據分(fēn)類分(fēn)級标準,并提供切實可(kě)行的數據安(ān)全解決方案:
1、數據安(ān)全評估
根據數據安(ān)全成熟度模型(DSMM)及數據安(ān)全治理(lǐ)理(lǐ)念,主要采用(yòng)數據安(ān)全調查問卷、數據安(ān)全狀況訪談、數據生命周期核心階段風險評估等方式,對企業數據安(ān)全狀況建立基本認知;同時,運用(yòng)敏感數據識别、數據庫漏洞整體(tǐ)檢測等技(jì )術工(gōng)具(jù),對企業數據資産(chǎn)進行梳理(lǐ);并通過政策法規對标、數據安(ān)全合規分(fēn)析等方法,梳理(lǐ)企業在合規性上的現狀。
綜上,通過對數據使用(yòng)的核心環節進行摸底,并對數據庫進行抽樣檢查與資産(chǎn)梳理(lǐ),幫助企業發現自身潛藏的問題,了解自身真實的數據安(ān)全狀況,從而發現問題、改進問題。
2、數據分(fēn)類分(fēn)級
參考通用(yòng)數據分(fēn)類分(fēn)級方法,結合國(guó)家及行業相關法律法規、政策指南和企業自身業務(wù)需求,與企業共同制定數據分(fēn)類分(fēn)級标準;根據分(fēn)類分(fēn)級标準,對企業數據進行分(fēn)類分(fēn)級操作(zuò);同時,驗證分(fēn)類分(fēn)級标準的科(kē)學(xué)性和合理(lǐ)性,并在必要時對分(fēn)類分(fēn)級标準做進一步修正。通過對數據進行分(fēn)類分(fēn)級,幫助企業根據不同需求對數據資産(chǎn)(如一般數據、重要數據、敏感數據等)執行有(yǒu)針對性、有(yǒu)重點的防護措施。
3、數據安(ān)全方案設計
根據以上數據安(ān)全評估情況,參照數據分(fēn)類分(fēn)級标準及其結果,安(ān)華金和可(kě)有(yǒu)針對性的制定數據安(ān)全治理(lǐ)解決方案,推動企業的制度完善,并提供專業的技(jì )術支撐:
· 根據數據安(ān)全合規性評估結果及數據資産(chǎn)特征,制定切合企業實際的數據安(ān)全合規方案;
· 根據數據安(ān)全現狀評估結果,結合客戶的實際業務(wù)場景,制定切合客戶實際的數據安(ān)全保護方案。
通過雲數據安(ān)全治理(lǐ)服務(wù),能(néng)夠明顯降低企業面臨的數據安(ān)全風險,進一步提升企業數據安(ān)全防護與合規能(néng)力,從而減少由此造成的經濟損失與品牌聲譽影響,助力企業持續健康發展。
