不久前，杭州市余杭區(qū)人民法院對一起“報(bào)復(fù)性”案件進(jìn)行了裁定：被告人邱某因?qū)τ?jì)算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除，犯“破壞計(jì)算機(jī)信息系統(tǒng)罪”罪名成立，被判處有期徒刑二年六個(gè)月，緩刑三年，并依法賠償被害單位經(jīng)濟(jì)損失。

這場“兩敗俱傷”的案件，不僅是一次對個(gè)人違反數(shù)據(jù)安全相關(guān)法律法規(guī)后果的真實(shí)展現(xiàn)，也對企業(yè)檢視自身安全意識、安全管理與防護(hù)建設(shè)工作等方面的缺失和不足敲響了警鐘。下面就讓我們走近這起案件的細(xì)節(jié)，挖掘它背后蘊(yùn)含的啟示：
2018年4月，時(shí)任浙江XX網(wǎng)絡(luò)科技有限公司技術(shù)總監(jiān)的邱某被規(guī)勸離職。原本是一次看似尋常的人事變動，卻在不滿情緒高漲的邱某心中埋下了怨恨的種子并最終結(jié)成惡果。
2018年6月23日10時(shí)許，被告人邱某在位于杭州市余杭區(qū)的家中，利用其離職前已掌握的、前東家所使用的阿里云服務(wù)器及數(shù)據(jù)庫賬號密碼，通過其本人的筆記本電腦進(jìn)入該公司云數(shù)據(jù)庫管理界面，對數(shù)據(jù)庫索引和部分表進(jìn)行了惡意刪除，導(dǎo)致該公司為6萬+用戶提供服務(wù)的SaaS等計(jì)算機(jī)信息系統(tǒng)自當(dāng)日10:21:59-13:47:13以及21:17:42-23:07:49期間無法正常運(yùn)行，累計(jì)故障時(shí)間約5小時(shí)15分。
就是這短短的5個(gè)多小時(shí)，只為解自己心頭的一時(shí)之氣，讓邱某面臨著牢獄之災(zāi)的嚴(yán)厲懲罰；而作為被害的一方，邱某曾任職的這家網(wǎng)絡(luò)科技公司，也并非毫無過錯(cuò)...
作為國內(nèi)最大的云服務(wù)商，阿里云本身具備一定的基本安全策略，如果被害公司充分利用并正確配置了相關(guān)基本安全策略，想來邱某也不會如此輕易得逞。例如：數(shù)據(jù)庫不應(yīng)該直接暴露在互聯(lián)網(wǎng)上，而應(yīng)通過白名單功能，僅允許業(yè)務(wù)系統(tǒng)和指定的運(yùn)維終端訪問；在運(yùn)維終端上，應(yīng)該設(shè)有對應(yīng)的權(quán)限控制，讓員工通過私人電腦無法進(jìn)行訪問，更不要說是一個(gè)已經(jīng)離職的前員工。可以看到，被害公司在數(shù)據(jù)安全方面存在幾處明顯問題：
1、缺乏必要的權(quán)限控制
邱某作為XX網(wǎng)絡(luò)科技有限公司的技術(shù)總監(jiān)，擁有云服務(wù)器和數(shù)據(jù)庫的訪問權(quán)限無可厚非；但根據(jù)最小化原則，邱某只需擁有對云資源的只讀權(quán)限即可，且在離職前，其所掌握的這些公司賬號和權(quán)限應(yīng)被全部收回。而根據(jù)案件情況，以上幾點(diǎn)安全工作顯然沒有得到XX公司的有效執(zhí)行，在缺少對員工基本權(quán)限控制的情況下，風(fēng)險(xiǎn)便隨之而來。
2、安全觀念與法律意識淡薄
我們無法靠猜測確定，邱某在實(shí)施報(bào)復(fù)行動之前，是否預(yù)料到他的所作所為將會對公司和自己帶來怎樣的后果；但其最終選擇跨越法律的紅線，就足以說明一個(gè)問題——在一家企業(yè)中，如果連技術(shù)總監(jiān)都這般缺乏安全觀念與法律意識，遑論其他員工，而問題真的只出在個(gè)人么？
3、缺少必要的數(shù)據(jù)安全防護(hù)手段
根據(jù)案件情況可以發(fā)現(xiàn)，XX網(wǎng)絡(luò)科技有限公司的SaaS服務(wù)是直接暴露在互聯(lián)網(wǎng)上的。在這種情況下，即使沒有邱某，也很可能會有公司內(nèi)部其他的“內(nèi)鬼”張某、趙某，或網(wǎng)絡(luò)上的黑客李某、孫某等等，通過各種手段攻入公司數(shù)據(jù)庫并實(shí)施破壞行為或竊取數(shù)據(jù)牟利。正所謂“凡事預(yù)則立，不預(yù)則廢”，企業(yè)應(yīng)早做準(zhǔn)備以應(yīng)對風(fēng)險(xiǎn)，未雨綢繆總好過亡羊補(bǔ)牢！
企業(yè)上云之后，IT環(huán)境和業(yè)務(wù)系統(tǒng)都發(fā)生了巨大變化，僅僅適應(yīng)這些變化就要耗費(fèi)很多精力，此時(shí)再面對各式各樣的數(shù)據(jù)安全問題，單憑企業(yè)自身力量想要實(shí)現(xiàn)全面、高效、可靠的防護(hù)升級，在短時(shí)間內(nèi)恐難理出頭緒。為此，安華金和專門推出“云數(shù)據(jù)安全治理服務(wù)”，旨在幫忙企業(yè)快速提升數(shù)據(jù)安全防護(hù)水平。

安華金和云數(shù)據(jù)安全治理服務(wù)包括：數(shù)據(jù)安全評估、數(shù)據(jù)分類分級、數(shù)據(jù)安全方案設(shè)計(jì)三大部分，能夠?yàn)槠髽I(yè)逐步理清數(shù)據(jù)安全現(xiàn)狀及數(shù)據(jù)資產(chǎn)情況，制定數(shù)據(jù)分類分級標(biāo)準(zhǔn)，并提供切實(shí)可行的數(shù)據(jù)安全解決方案：
1、數(shù)據(jù)安全評估
根據(jù)數(shù)據(jù)安全成熟度模型（DSMM）及數(shù)據(jù)安全治理理念，主要采用數(shù)據(jù)安全調(diào)查問卷、數(shù)據(jù)安全狀況訪談、數(shù)據(jù)生命周期核心階段風(fēng)險(xiǎn)評估等方式，對企業(yè)數(shù)據(jù)安全狀況建立基本認(rèn)知；同時(shí)，運(yùn)用敏感數(shù)據(jù)識別、數(shù)據(jù)庫漏洞整體檢測等技術(shù)工具，對企業(yè)數(shù)據(jù)資產(chǎn)進(jìn)行梳理；并通過政策法規(guī)對標(biāo)、數(shù)據(jù)安全合規(guī)分析等方法，梳理企業(yè)在合規(guī)性上的現(xiàn)狀。
綜上，通過對數(shù)據(jù)使用的核心環(huán)節(jié)進(jìn)行摸底，并對數(shù)據(jù)庫進(jìn)行抽樣檢查與資產(chǎn)梳理，幫助企業(yè)發(fā)現(xiàn)自身潛藏的問題，了解自身真實(shí)的數(shù)據(jù)安全狀況，從而發(fā)現(xiàn)問題、改進(jìn)問題。
2、數(shù)據(jù)分類分級
參考通用數(shù)據(jù)分類分級方法，結(jié)合國家及行業(yè)相關(guān)法律法規(guī)、政策指南和企業(yè)自身業(yè)務(wù)需求，與企業(yè)共同制定數(shù)據(jù)分類分級標(biāo)準(zhǔn)；根據(jù)分類分級標(biāo)準(zhǔn)，對企業(yè)數(shù)據(jù)進(jìn)行分類分級操作；同時(shí)，驗(yàn)證分類分級標(biāo)準(zhǔn)的科學(xué)性和合理性，并在必要時(shí)對分類分級標(biāo)準(zhǔn)做進(jìn)一步修正。通過對數(shù)據(jù)進(jìn)行分類分級，幫助企業(yè)根據(jù)不同需求對數(shù)據(jù)資產(chǎn)（如一般數(shù)據(jù)、重要數(shù)據(jù)、敏感數(shù)據(jù)等）執(zhí)行有針對性、有重點(diǎn)的防護(hù)措施。
3、數(shù)據(jù)安全方案設(shè)計(jì)
根據(jù)以上數(shù)據(jù)安全評估情況，參照數(shù)據(jù)分類分級標(biāo)準(zhǔn)及其結(jié)果，安華金和可有針對性的制定數(shù)據(jù)安全治理解決方案，推動企業(yè)的制度完善，并提供專業(yè)的技術(shù)支撐：
· 根據(jù)數(shù)據(jù)安全合規(guī)性評估結(jié)果及數(shù)據(jù)資產(chǎn)特征，制定切合企業(yè)實(shí)際的數(shù)據(jù)安全合規(guī)方案；
· 根據(jù)數(shù)據(jù)安全現(xiàn)狀評估結(jié)果，結(jié)合客戶的實(shí)際業(yè)務(wù)場景，制定切合客戶實(shí)際的數(shù)據(jù)安全保護(hù)方案。
通過云數(shù)據(jù)安全治理服務(wù)，能夠明顯降低企業(yè)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)，進(jìn)一步提升企業(yè)數(shù)據(jù)安全防護(hù)與合規(guī)能力，從而減少由此造成的經(jīng)濟(jì)損失與品牌聲譽(yù)影響，助力企業(yè)持續(xù)健康發(fā)展。