這是描述信息
首頁-關于我們

一個真實案件的啟示與云數據安全治理服務

不久前,杭州市余杭區人民法院對一起“報復性”案件進行了裁定:被告人邱某因對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除,犯“破壞計算機信息系統罪”罪名成立,被判處有期徒刑二年六個月,緩刑三年,并依法賠償被害單位經濟損失。

這場“兩敗俱傷”的案件,不僅是一次對個人違反數據安全相關法律法規后果的真實展現,也對企業檢視自身安全意識、安全管理與防護建設工作等方面的缺失和不足敲響了警鐘。下面就讓我們走近這起案件的細節,挖掘它背后蘊含的啟示:
2018年4月,時任浙江XX網絡科技有限公司技術總監的邱某被規勸離職。原本是一次看似尋常的人事變動,卻在不滿情緒高漲的邱某心中埋下了怨恨的種子并最終結成惡果。
2018年6月23日10時許,被告人邱某在位于杭州市余杭區的家中,利用其離職前已掌握的、前東家所使用的阿里云服務器及數據庫賬號密碼,通過其本人的筆記本電腦進入該公司云數據庫管理界面,對數據庫索引和部分表進行了惡意刪除,導致該公司為6萬+用戶提供服務的SaaS等計算機信息系統自當日10:21:59-13:47:13以及21:17:42-23:07:49期間無法正常運行,累計故障時間約5小時15分。
就是這短短的5個多小時,只為解自己心頭的一時之氣,讓邱某面臨著牢獄之災的嚴厲懲罰;而作為被害的一方,邱某曾任職的這家網絡科技公司,也并非毫無過錯...
作為國內最大的云服務商,阿里云本身具備一定的基本安全策略,如果被害公司充分利用并正確配置了相關基本安全策略,想來邱某也不會如此輕易得逞。例如:數據庫不應該直接暴露在互聯網上,而應通過白名單功能,僅允許業務系統和指定的運維終端訪問;在運維終端上,應該設有對應的權限控制,讓員工通過私人電腦無法進行訪問,更不要說是一個已經離職的前員工。可以看到,被害公司在數據安全方面存在幾處明顯問題:
1、缺乏必要的權限控制
邱某作為XX網絡科技有限公司的技術總監,擁有云服務器和數據庫的訪問權限無可厚非;但根據最小化原則,邱某只需擁有對云資源的只讀權限即可,且在離職前,其所掌握的這些公司賬號和權限應被全部收回。而根據案件情況,以上幾點安全工作顯然沒有得到XX公司的有效執行,在缺少對員工基本權限控制的情況下,風險便隨之而來。
2、安全觀念與法律意識淡薄
我們無法靠猜測確定,邱某在實施報復行動之前,是否預料到他的所作所為將會對公司和自己帶來怎樣的后果;但其最終選擇跨越法律的紅線,就足以說明一個問題——在一家企業中,如果連技術總監都這般缺乏安全觀念與法律意識,遑論其他員工,而問題真的只出在個人么?
3、缺少必要的數據安全防護手段
根據案件情況可以發現,XX網絡科技有限公司的SaaS服務是直接暴露在互聯網上的。在這種情況下,即使沒有邱某,也很可能會有公司內部其他的“內鬼”張某、趙某,或網絡上的黑客李某、孫某等等,通過各種手段攻入公司數據庫并實施破壞行為或竊取數據牟利。正所謂“凡事預則立,不預則廢”,企業應早做準備以應對風險,未雨綢繆總好過亡羊補牢!
企業上云之后,IT環境和業務系統都發生了巨大變化,僅僅適應這些變化就要耗費很多精力,此時再面對各式各樣的數據安全問題,單憑企業自身力量想要實現全面、高效、可靠的防護升級,在短時間內恐難理出頭緒。為此,安華金和專門推出“云數據安全治理服務”,旨在幫忙企業快速提升數據安全防護水平。

安華金和云數據安全治理服務包括:數據安全評估、數據分類分級、數據安全方案設計三大部分,能夠為企業逐步理清數據安全現狀及數據資產情況,制定數據分類分級標準,并提供切實可行的數據安全解決方案:
1、數據安全評估
根據數據安全成熟度模型(DSMM)及數據安全治理理念,主要采用數據安全調查問卷、數據安全狀況訪談、數據生命周期核心階段風險評估等方式,對企業數據安全狀況建立基本認知;同時,運用敏感數據識別、數據庫漏洞整體檢測等技術工具,對企業數據資產進行梳理;并通過政策法規對標、數據安全合規分析等方法,梳理企業在合規性上的現狀。
綜上,通過對數據使用的核心環節進行摸底,并對數據庫進行抽樣檢查與資產梳理,幫助企業發現自身潛藏的問題,了解自身真實的數據安全狀況,從而發現問題、改進問題。
2、數據分類分級
參考通用數據分類分級方法,結合國家及行業相關法律法規、政策指南和企業自身業務需求,與企業共同制定數據分類分級標準;根據分類分級標準,對企業數據進行分類分級操作;同時,驗證分類分級標準的科學性和合理性,并在必要時對分類分級標準做進一步修正。通過對數據進行分類分級,幫助企業根據不同需求對數據資產(如一般數據、重要數據、敏感數據等)執行有針對性、有重點的防護措施。
3、數據安全方案設計
根據以上數據安全評估情況,參照數據分類分級標準及其結果,安華金和可有針對性的制定數據安全治理解決方案,推動企業的制度完善,并提供專業的技術支撐:
· 根據數據安全合規性評估結果及數據資產特征,制定切合企業實際的數據安全合規方案;
· 根據數據安全現狀評估結果,結合客戶的實際業務場景,制定切合客戶實際的數據安全保護方案。
通過云數據安全治理服務,能夠明顯降低企業面臨的數據安全風險,進一步提升企業數據安全防護與合規能力,從而減少由此造成的經濟損失與品牌聲譽影響,助力企業持續健康發展。

不用播放器看美女露逼视频