网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


一个真实案件的启示与云数据安全治理服务

2020-02-25 22:31 推荐: 浏览: 44 views 字号:

摘要: 不久前,杭州市余杭区人民法院对一起“报复性”案件进行了裁定:被告人邱某因对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除,犯“破坏计算机信息系统罪”罪名成立,被判处有期徒刑二年六个月,缓刑三年,并依法赔偿被害单位经济损失。 这场“两败俱伤”的案...

不久前,杭州市余杭区人民法院对一起“报复性”案件进行了裁定:被告人邱某因对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除,犯“破坏计算机信息系统罪”罪名成立,被判处有期徒刑二年六个月,缓刑三年,并依法赔偿被害单位经济损失。

微信图片_20200224112709.jpg

这场“两败俱伤”的案件,不仅是一次对个人违反数据安全相关法律法规后果的真实展现,也对企业检视自身安全意识、安全管理与防护建设工作等方面的缺失和不足敲响了警钟。下面就让我们走近这起案件的细节,挖掘它背后蕴含的启示:
2018年4月,时任浙江XX网络科技有限公司技术总监的邱某被规劝离职。原本是一次看似寻常的人事变动,却在不满情绪高涨的邱某心中埋下了怨恨的种子并最终结成恶果。
2018年6月23日10时许,被告人邱某在位于杭州市余杭区的家中,利用其离职前已掌握的、前东家所使用的阿里云服务器及数据库账号密码,通过其本人的笔记本电脑进入该公司云数据库管理界面,对数据库索引和部分表进行了恶意删除,导致该公司为6万+用户提供服务的SaaS等计算机信息系统自当日10:21:59-13:47:13以及21:17:42-23:07:49期间无法正常运行,累计故障时间约5小时15分。
就是这短短的5个多小时,只为解自己心头的一时之气,让邱某面临着牢狱之灾的严厉惩罚;而作为被害的一方,邱某曾任职的这家网络科技公司,也并非毫无过错...
作为国内最大的云服务商,阿里云本身具备一定的基本安全策略,如果被害公司充分利用并正确配置了相关基本安全策略,想来邱某也不会如此轻易得逞。例如:数据库不应该直接暴露在互联网上,而应通过白名单功能,仅允许业务系统和指定的运维终端访问;在运维终端上,应该设有对应的权限控制,让员工通过私人电脑无法进行访问,更不要说是一个已经离职的前员工。可以看到,被害公司在数据安全方面存在几处明显问题:
1、缺乏必要的权限控制
邱某作为XX网络科技有限公司的技术总监,拥有云服务器和数据库的访问权限无可厚非;但根据最小化原则,邱某只需拥有对云资源的只读权限即可,且在离职前,其所掌握的这些公司账号和权限应被全部收回。而根据案件情况,以上几点安全工作显然没有得到XX公司的有效执行,在缺少对员工基本权限控制的情况下,风险便随之而来。
2、安全观念与法律意识淡薄
我们无法靠猜测确定,邱某在实施报复行动之前,是否预料到他的所作所为将会对公司和自己带来怎样的后果;但其最终选择跨越法律的红线,就足以说明一个问题——在一家企业中,如果连技术总监都这般缺乏安全观念与法律意识,遑论其他员工,而问题真的只出在个人么?
3、缺少必要的数据安全防护手段
根据案件情况可以发现,XX网络科技有限公司的SaaS服务是直接暴露在互联网上的。在这种情况下,即使没有邱某,也很可能会有公司内部其他的“内鬼”张某、赵某,或网络上的黑客李某、孙某等等,通过各种手段攻入公司数据库并实施破坏行为或窃取数据牟利。正所谓“凡事预则立,不预则废”,企业应早做准备以应对风险,未雨绸缪总好过亡羊补牢!
企业上云之后,IT环境和业务系统都发生了巨大变化,仅仅适应这些变化就要耗费很多精力,此时再面对各式各样的数据安全问题,单凭企业自身力量想要实现全面、高效、可靠的防护升级,在短时间内恐难理出头绪。为此,安华金和专门推出“云数据安全治理服务”,旨在帮忙企业快速提升数据安全防护水平。

微信图片_20200224112722.jpg

安华金和云数据安全治理服务包括:数据安全评估、数据分类分级、数据安全方案设计三大部分,能够为企业逐步理清数据安全现状及数据资产情况,制定数据分类分级标准,并提供切实可行的数据安全解决方案:
1、数据安全评估
根据数据安全成熟度模型(DSMM)及数据安全治理理念,主要采用数据安全调查问卷、数据安全状况访谈、数据生命周期核心阶段风险评估等方式,对企业数据安全状况建立基本认知;同时,运用敏感数据识别、数据库漏洞整体检测等技术工具,对企业数据资产进行梳理;并通过政策法规对标、数据安全合规分析等方法,梳理企业在合规性上的现状。
综上,通过对数据使用的核心环节进行摸底,并对数据库进行抽样检查与资产梳理,帮助企业发现自身潜藏的问题,了解自身真实的数据安全状况,从而发现问题、改进问题。
2、数据分类分级
参考通用数据分类分级方法,结合国家及行业相关法律法规、政策指南和企业自身业务需求,与企业共同制定数据分类分级标准;根据分类分级标准,对企业数据进行分类分级操作;同时,验证分类分级标准的科学性和合理性,并在必要时对分类分级标准做进一步修正。通过对数据进行分类分级,帮助企业根据不同需求对数据资产(如一般数据、重要数据、敏感数据等)执行有针对性、有重点的防护措施。
3、数据安全方案设计
根据以上数据安全评估情况,参照数据分类分级标准及其结果,安华金和可有针对性的制定数据安全治理解决方案,推动企业的制度完善,并提供专业的技术支撑:
· 根据数据安全合规性评估结果及数据资产特征,制定切合企业实际的数据安全合规方案;
· 根据数据安全现状评估结果,结合客户的实际业务场景,制定切合客户实际的数据安全保护方案。
通过云数据安全治理服务,能够明显降低企业面临的数据安全风险,进一步提升企业数据安全防护与合规能力,从而减少由此造成的经济损失与品牌声誉影响,助力企业持续健康发展。
了解更多“云数据安全治理服务”详情
请拨打咨询电话:15522228284  郑先生

联系站长租广告位!

中国首席信息安全官
关闭
关闭