一個真實案件的啟示與云數據安全治理服務

一陣子前，蘇州市余杭區民眾人民檢察院對一塊“對付性”民事案件實施了栽定：犯罪嫌疑人邱某因對運算機企業內容體系中存放、凈化處理以及發送的數據資料和應用領域應用設置實施清空，犯“毀損運算機企業內容體系罪”刑法罪名創辦，被判刑處徒刑二年四月，緩刑一年，并守法索賠被害案機構條件財產損失。

這場“兩敗俱傷”的案件，不僅是一次對個人違反數據安全相關法律法規后果的真實展現，也對企業檢視自身安全意識、安全管理與防護建設工作等方面的缺失和不足敲響了警鐘。下面就讓我們走近這起案件的細節，挖掘它背后蘊含的啟示：
2018年4月，時任浙江XX網絡科技有限公司技術總監的邱某被規勸離職。原本是一次看似尋常的人事變動，卻在不滿情緒高漲的邱某心中埋下了怨恨的種子并最終結成惡果。
2018年6月23日10時許，被告人邱某在位于杭州市余杭區的家中，利用其離職前已掌握的、前東家所使用的阿里云服務器及數據庫賬號密碼，通過其本人的筆記本電腦進入該公司云數據庫管理界面，對數據庫索引和部分表進行了惡意刪除，導致該公司為6萬+用戶提供服務的SaaS等計算機信息系統自當日10:21:59-13:47:13以及21:17:42-23:07:49期間無法正常運行，累計故障時間約5小時15分。
就是這短短的5個多小時，只為解自己心頭的一時之氣，讓邱某面臨著牢獄之災的嚴厲懲罰；而作為被害的一方，邱某曾任職的這家網絡科技公司，也并非毫無過錯...
作為國內最大的云服務商，阿里云本身具備一定的基本安全策略，如果被害公司充分利用并正確配置了相關基本安全策略，想來邱某也不會如此輕易得逞。例如：數據庫不應該直接暴露在互聯網上，而應通過白名單功能，僅允許業務系統和指定的運維終端訪問；在運維終端上，應該設有對應的權限控制，讓員工通過私人電腦無法進行訪問，更不要說是一個已經離職的前員工。可以看到，被害公司在數據安全方面存在幾處明顯問題：
1、缺乏必要的權限控制
邱某作為XX網絡科技有限公司的技術總監，擁有云服務器和數據庫的訪問權限無可厚非；但根據最小化原則，邱某只需擁有對云資源的只讀權限即可，且在離職前，其所掌握的這些公司賬號和權限應被全部收回。而根據案件情況，以上幾點安全工作顯然沒有得到XX公司的有效執行，在缺少對員工基本權限控制的情況下，風險便隨之而來。
2、安全觀念與法律意識淡薄
我們無法靠猜測確定，邱某在實施報復行動之前，是否預料到他的所作所為將會對公司和自己帶來怎樣的后果；但其最終選擇跨越法律的紅線，就足以說明一個問題——在一家企業中，如果連技術總監都這般缺乏安全觀念與法律意識，遑論其他員工，而問題真的只出在個人么？
3、缺少必要的數據安全防護手段
根據案件情況可以發現，XX網絡科技有限公司的SaaS服務是直接暴露在互聯網上的。在這種情況下，即使沒有邱某，也很可能會有公司內部其他的“內鬼”張某、趙某，或網絡上的黑客李某、孫某等等，通過各種手段攻入公司數據庫并實施破壞行為或竊取數據牟利。正所謂“凡事預則立，不預則廢”，企業應早做準備以應對風險，未雨綢繆總好過亡羊補牢！
企業(ye)上云(yun)之后，IT環(huan)境和業(ye)務(wu)(wu)系統都發生(sheng)了巨大變化，僅(jin)僅(jin)適(shi)應(ying)這些(xie)變化就要(yao)(yao)耗費很多精力(li)，此時(shi)再面對各式(shi)各樣(yang)的(de)數據(ju)安(an)全(quan)(quan)問(wen)題，單憑企業(ye)自身力(li)量(liang)想(xiang)要(yao)(yao)實現全(quan)(quan)面、高效、可靠的(de)防護升級，在短時(shi)間內恐難理出頭緒。為此，安(an)華(hua)金和專門推出“云(yun)數據(ju)安(an)全(quan)(quan)治理服務(wu)(wu)”，旨(zhi)在幫(bang)忙企業(ye)快速(su)提升數據(ju)安(an)全(quan)(quan)防護水平(ping)。

安華金和云數據安全治理服務包括：數據安全評估、數據分類分級、數據安全方案設計三大部分，能夠為企業逐步理清數據安全現狀及數據資產情況，制定數據分類分級標準，并提供切實可行的數據安全解決方案：
1、數據安全評估
根據數據安全成熟度模型（DSMM）及數據安全治理理念，主要采用數據安全調查問卷、數據安全狀況訪談、數據生命周期核心階段風險評估等方式，對企業數據安全狀況建立基本認知；同時，運用敏感數據識別、數據庫漏洞整體檢測等技術工具，對企業數據資產進行梳理；并通過政策法規對標、數據安全合規分析等方法，梳理企業在合規性上的現狀。
綜上，通過對數據使用的核心環節進行摸底，并對數據庫進行抽樣檢查與資產梳理，幫助企業發現自身潛藏的問題，了解自身真實的數據安全狀況，從而發現問題、改進問題。
2、數據分類分級
參考通用數據分類分級方法，結合國家及行業相關法律法規、政策指南和企業自身業務需求，與企業共同制定數據分類分級標準；根據分類分級標準，對企業數據進行分類分級操作；同時，驗證分類分級標準的科學性和合理性，并在必要時對分類分級標準做進一步修正。通過對數據進行分類分級，幫助企業根據不同需求對數據資產（如一般數據、重要數據、敏感數據等）執行有針對性、有重點的防護措施。
3、數據安全方案設計
根據以上數據安全評估情況，參照數據分類分級標準及其結果，安華金和可有針對性的制定數據安全治理解決方案，推動企業的制度完善，并提供專業的技術支撐：
· 根據數據安全合規性評估結果及數據資產特征，制定切合企業實際的數據安全合規方案；
· 根據數據安全現狀評估結果，結合客戶的實際業務場景，制定切合客戶實際的數據安全保護方案。
通過云數(shu)(shu)據安全(quan)(quan)治理服務，能(neng)夠明顯降低企(qi)業面臨(lin)的數(shu)(shu)據安全(quan)(quan)風(feng)險，進一步提升企(qi)業數(shu)(shu)據安全(quan)(quan)防護與(yu)合規能(neng)力(li)，從而減少由此造成(cheng)的經濟損失與(yu)品牌聲譽(yu)影響(xiang)，助力(li)企(qi)業持續健康發展。