首頁-關于我們

一個真實案件的啟示與云數據安全治理服務

一兩天前,武漢市余杭區中國人民司法局對一同“還擊性”刑事案件實現了民事判決:被告方邱某因對來電腦訊息裝置中數據企業信息庫、辦理或是傳遞的數據企業信息和應用領域系統軟件程序實現去除,犯“受到破壞來電腦訊息裝置罪”罪行創立,被判為處徒刑二年6個月左右,緩刑2年,并依法依規陪嘗受害機關單位經濟性損毀。

這場“兩敗俱傷”的案件,不僅是一次對個人違反數據安全相關法律法規后果的真實展現,也對企業檢視自身安全意識、安全管理與防護建設工作等方面的缺失和不足敲響了警鐘。下面就讓我們走近這起案件的細節,挖掘它背后蘊含的啟示:
2018年4月,時任浙江XX網絡科技有限公司技術總監的邱某被規勸離職。原本是一次看似尋常的人事變動,卻在不滿情緒高漲的邱某心中埋下了怨恨的種子并最終結成惡果。
2018年6月23日10時許,被告人邱某在位于杭州市余杭區的家中,利用其離職前已掌握的、前東家所使用的阿里云服務器及數據庫賬號密碼,通過其本人的筆記本電腦進入該公司云數據庫管理界面,對數據庫索引和部分表進行了惡意刪除,導致該公司為6萬+用戶提供服務的SaaS等計算機信息系統自當日10:21:59-13:47:13以及21:17:42-23:07:49期間無法正常運行,累計故障時間約5小時15分。
就是這短短的5個多小時,只為解自己心頭的一時之氣,讓邱某面臨著牢獄之災的嚴厲懲罰;而作為被害的一方,邱某曾任職的這家網絡科技公司,也并非毫無過錯...
作為國內最大的云服務商,阿里云本身具備一定的基本安全策略,如果被害公司充分利用并正確配置了相關基本安全策略,想來邱某也不會如此輕易得逞。例如:數據庫不應該直接暴露在互聯網上,而應通過白名單功能,僅允許業務系統和指定的運維終端訪問;在運維終端上,應該設有對應的權限控制,讓員工通過私人電腦無法進行訪問,更不要說是一個已經離職的前員工。可以看到,被害公司在數據安全方面存在幾處明顯問題:
1、缺乏必要的權限控制
邱某作為XX網絡科技有限公司的技術總監,擁有云服務器和數據庫的訪問權限無可厚非;但根據最小化原則,邱某只需擁有對云資源的只讀權限即可,且在離職前,其所掌握的這些公司賬號和權限應被全部收回。而根據案件情況,以上幾點安全工作顯然沒有得到XX公司的有效執行,在缺少對員工基本權限控制的情況下,風險便隨之而來。
2、安全觀念與法律意識淡薄
我們無法靠猜測確定,邱某在實施報復行動之前,是否預料到他的所作所為將會對公司和自己帶來怎樣的后果;但其最終選擇跨越法律的紅線,就足以說明一個問題——在一家企業中,如果連技術總監都這般缺乏安全觀念與法律意識,遑論其他員工,而問題真的只出在個人么?
3、缺少必要的數據安全防護手段
根據案件情況可以發現,XX網絡科技有限公司的SaaS服務是直接暴露在互聯網上的。在這種情況下,即使沒有邱某,也很可能會有公司內部其他的“內鬼”張某、趙某,或網絡上的黑客李某、孫某等等,通過各種手段攻入公司數據庫并實施破壞行為或竊取數據牟利。正所謂“凡事預則立,不預則廢”,企業應早做準備以應對風險,未雨綢繆總好過亡羊補牢!
企業上云之后,IT環境和業務(wu)系統都發生(sheng)了巨大變化,僅僅適應這些變化就(jiu)要(yao)耗費很多(duo)精(jing)力,此時再面(mian)對各(ge)(ge)式各(ge)(ge)樣的(de)數據安(an)全(quan)問題(ti),單憑企業自身力量(liang)想要(yao)實現全(quan)面(mian)、高效、可靠的(de)防(fang)護升級(ji),在短時間(jian)內恐難理出頭緒。為此,安(an)華金和專門推出“云數據安(an)全(quan)治理服務(wu)”,旨在幫(bang)忙(mang)企業快速提升數據安(an)全(quan)防(fang)護水平。

安華金和云數據安全治理服務包括:數據安全評估、數據分類分級、數據安全方案設計三大部分,能夠為企業逐步理清數據安全現狀及數據資產情況,制定數據分類分級標準,并提供切實可行的數據安全解決方案:
1、數據安全評估
根據數據安全成熟度模型(DSMM)及數據安全治理理念,主要采用數據安全調查問卷、數據安全狀況訪談、數據生命周期核心階段風險評估等方式,對企業數據安全狀況建立基本認知;同時,運用敏感數據識別、數據庫漏洞整體檢測等技術工具,對企業數據資產進行梳理;并通過政策法規對標、數據安全合規分析等方法,梳理企業在合規性上的現狀。
綜上,通過對數據使用的核心環節進行摸底,并對數據庫進行抽樣檢查與資產梳理,幫助企業發現自身潛藏的問題,了解自身真實的數據安全狀況,從而發現問題、改進問題。
2、數據分類分級
參考通用數據分類分級方法,結合國家及行業相關法律法規、政策指南和企業自身業務需求,與企業共同制定數據分類分級標準;根據分類分級標準,對企業數據進行分類分級操作;同時,驗證分類分級標準的科學性和合理性,并在必要時對分類分級標準做進一步修正。通過對數據進行分類分級,幫助企業根據不同需求對數據資產(如一般數據、重要數據、敏感數據等)執行有針對性、有重點的防護措施。
3、數據安全方案設計
根據以上數據安全評估情況,參照數據分類分級標準及其結果,安華金和可有針對性的制定數據安全治理解決方案,推動企業的制度完善,并提供專業的技術支撐:
· 根據數據安全合規性評估結果及數據資產特征,制定切合企業實際的數據安全合規方案;
· 根據數據安全現狀評估結果,結合客戶的實際業務場景,制定切合客戶實際的數據安全保護方案。
通過云數(shu)據(ju)安(an)全治理服務,能夠明顯(xian)降低企業(ye)面(mian)臨(lin)的(de)數(shu)據(ju)安(an)全風險,進(jin)一步提(ti)升(sheng)企業(ye)數(shu)據(ju)安(an)全防(fang)護與(yu)合規能力(li)(li),從而減少由此造成的(de)經濟(ji)損失與(yu)品牌(pai)聲譽影響,助力(li)(li)企業(ye)持續健(jian)康發展。

產品中心

   

 

 

 

 

解決方案

   

 

關于華文

   




 

鏈接大(da)家

 

 

門店地址:成都市市黃(huang)埔區學科街(jie)道(dao)50號904

郵箱號:hws@cbmxx.com

公眾號二維碼

微信掃碼而光,的關注我門媒體號

国产精品视频专区,日本日韩欧美,日韩一区二区三区免费视频,久久曰视频 国产精品视频专区,日本日韩欧美,日韩一区二区三区免费视频,黄色免费网站观看 国产精品视频专区,日本日韩欧美,日韩一区二区三区免费视频,亚洲第一成人影院

732--------m.starsfi.com

598--------m.audiovideobargains.com

47--------m.qugepo.com

123--------m.ly2100.com

358--------m.6544am.com