一個真實案件的啟示與云數據安全治理服務

買回去前，重慶市余杭區群眾法院網對一起去“威脅恐嚇性”情況做好了栽定：起訴人邱某因對算機的新信息模式中儲存方式、工作還接入的數劇和APP編譯程序做好卸載，犯“影響算機的新信息模式罪”犯罪行為成立公司，叛刑處無期徒刑二年幾個月時間，緩刑一年，并依法行政賠償金受害的單位經濟性損毀。

這場“兩敗俱傷”的案件，不僅是一次對個人違反數據安全相關法律法規后果的真實展現，也對企業檢視自身安全意識、安全管理與防護建設工作等方面的缺失和不足敲響了警鐘。下面就讓我們走近這起案件的細節，挖掘它背后蘊含的啟示：
2018年4月，時任浙江XX網絡科技有限公司技術總監的邱某被規勸離職。原本是一次看似尋常的人事變動，卻在不滿情緒高漲的邱某心中埋下了怨恨的種子并最終結成惡果。
2018年6月23日10時許，被告人邱某在位于杭州市余杭區的家中，利用其離職前已掌握的、前東家所使用的阿里云服務器及數據庫賬號密碼，通過其本人的筆記本電腦進入該公司云數據庫管理界面，對數據庫索引和部分表進行了惡意刪除，導致該公司為6萬+用戶提供服務的SaaS等計算機信息系統自當日10:21:59-13:47:13以及21:17:42-23:07:49期間無法正常運行，累計故障時間約5小時15分。
就是這短短的5個多小時，只為解自己心頭的一時之氣，讓邱某面臨著牢獄之災的嚴厲懲罰；而作為被害的一方，邱某曾任職的這家網絡科技公司，也并非毫無過錯...
作為國內最大的云服務商，阿里云本身具備一定的基本安全策略，如果被害公司充分利用并正確配置了相關基本安全策略，想來邱某也不會如此輕易得逞。例如：數據庫不應該直接暴露在互聯網上，而應通過白名單功能，僅允許業務系統和指定的運維終端訪問；在運維終端上，應該設有對應的權限控制，讓員工通過私人電腦無法進行訪問，更不要說是一個已經離職的前員工。可以看到，被害公司在數據安全方面存在幾處明顯問題：
1、缺乏必要的權限控制
邱某作為XX網絡科技有限公司的技術總監，擁有云服務器和數據庫的訪問權限無可厚非；但根據最小化原則，邱某只需擁有對云資源的只讀權限即可，且在離職前，其所掌握的這些公司賬號和權限應被全部收回。而根據案件情況，以上幾點安全工作顯然沒有得到XX公司的有效執行，在缺少對員工基本權限控制的情況下，風險便隨之而來。
2、安全觀念與法律意識淡薄
我們無法靠猜測確定，邱某在實施報復行動之前，是否預料到他的所作所為將會對公司和自己帶來怎樣的后果；但其最終選擇跨越法律的紅線，就足以說明一個問題——在一家企業中，如果連技術總監都這般缺乏安全觀念與法律意識，遑論其他員工，而問題真的只出在個人么？
3、缺少必要的數據安全防護手段
根據案件情況可以發現，XX網絡科技有限公司的SaaS服務是直接暴露在互聯網上的。在這種情況下，即使沒有邱某，也很可能會有公司內部其他的“內鬼”張某、趙某，或網絡上的黑客李某、孫某等等，通過各種手段攻入公司數據庫并實施破壞行為或竊取數據牟利。正所謂“凡事預則立，不預則廢”，企業應早做準備以應對風險，未雨綢繆總好過亡羊補牢！
企業上云之后(hou)，IT環境(jing)和(he)業務系統都發生(sheng)了巨大變化，僅(jin)僅(jin)適應這些變化就(jiu)要耗費很(hen)多精(jing)力(li)，此時(shi)再面(mian)對各(ge)式各(ge)樣的(de)數(shu)據(ju)安全(quan)(quan)問題，單憑企業自身(shen)力(li)量想要實現(xian)全(quan)(quan)面(mian)、高效、可靠的(de)防護升(sheng)級，在短時(shi)間(jian)內恐難理出頭(tou)緒。為此，安華金和(he)專(zhuan)門推出“云數(shu)據(ju)安全(quan)(quan)治理服務”，旨在幫忙企業快速提升(sheng)數(shu)據(ju)安全(quan)(quan)防護水(shui)平。

安華金和云數據安全治理服務包括：數據安全評估、數據分類分級、數據安全方案設計三大部分，能夠為企業逐步理清數據安全現狀及數據資產情況，制定數據分類分級標準，并提供切實可行的數據安全解決方案：
1、數據安全評估
根據數據安全成熟度模型（DSMM）及數據安全治理理念，主要采用數據安全調查問卷、數據安全狀況訪談、數據生命周期核心階段風險評估等方式，對企業數據安全狀況建立基本認知；同時，運用敏感數據識別、數據庫漏洞整體檢測等技術工具，對企業數據資產進行梳理；并通過政策法規對標、數據安全合規分析等方法，梳理企業在合規性上的現狀。
綜上，通過對數據使用的核心環節進行摸底，并對數據庫進行抽樣檢查與資產梳理，幫助企業發現自身潛藏的問題，了解自身真實的數據安全狀況，從而發現問題、改進問題。
2、數據分類分級
參考通用數據分類分級方法，結合國家及行業相關法律法規、政策指南和企業自身業務需求，與企業共同制定數據分類分級標準；根據分類分級標準，對企業數據進行分類分級操作；同時，驗證分類分級標準的科學性和合理性，并在必要時對分類分級標準做進一步修正。通過對數據進行分類分級，幫助企業根據不同需求對數據資產（如一般數據、重要數據、敏感數據等）執行有針對性、有重點的防護措施。
3、數據安全方案設計
根據以上數據安全評估情況，參照數據分類分級標準及其結果，安華金和可有針對性的制定數據安全治理解決方案，推動企業的制度完善，并提供專業的技術支撐：
· 根據數據安全合規性評估結果及數據資產特征，制定切合企業實際的數據安全合規方案；
· 根據數據安全現狀評估結果，結合客戶的實際業務場景，制定切合客戶實際的數據安全保護方案。
通過云數據(ju)安(an)全治(zhi)理服(fu)務，能(neng)夠(gou)明顯降(jiang)低企(qi)(qi)業(ye)面臨的(de)數據(ju)安(an)全風險(xian)，進一步(bu)提升企(qi)(qi)業(ye)數據(ju)安(an)全防護與合規能(neng)力(li)(li)，從(cong)而(er)減少(shao)由此造成的(de)經濟損失與品牌聲譽影響，助力(li)(li)企(qi)(qi)業(ye)持續(xu)健康發展。