一个真实案件的启示与云数据安全治理服务

一个真实案件的启示与云数据安全治理服务辣妈团 作者：安华金和发布时间：2020-02-24 不久前，杭州市余杭区人民法院对一起“报复性”案件进行了裁定：被告人邱某因对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除，犯“破坏

作者：安华金和发布时间：2020-02-24

不久前，杭州市余杭区人民法院对一起“报复性”案件进行了裁定：被告人邱某因对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除，犯“破坏计算机信息系统罪”罪名成立，被判处有期徒刑二年六个月，缓刑三年，并依法赔偿被害单位经济损失。

这场“两败俱伤”的案件，不仅是一次对个人违反数据安全相关法律法规后果的真实展现，也对企业检视自身安全意识、安全管理与防护建设工作等方面的缺失和不足敲响了警钟。 下面就让我们走近这起案件的细节，挖掘它背后蕴含的启示：

2018年4月，时任浙江XX网络科技有限公司技术总监的邱某被规劝离职。原本是一次看似寻常的人事变动，却在不满情绪高涨的邱某心中埋下了怨恨的种子并最终结成恶果。

2018年6月23日10时许，被告人邱某在位于杭州市余杭区的家中，利用其离职前已掌握的、前东家所使用的阿里云服务器及数据库账号密码，通过其本人的笔记本电脑进入该公司云数据库管理界面，对数据库索引和部分表进行了恶意删除，导致该公司为6万+用户提供服务的SaaS等计算机信息系统自当日10:21:59-13:47:13以及21:17:42-23:07:49期间无法正常运行，累计故障时间约5小时15分。

就是这短短的5个多小时，只为解自己心头的一时之气，让邱某面临着牢狱之灾的严厉惩罚；而作为被害的一方，邱某曾任职的这家网络科技公司，也并非毫无过错...

作为国内最大的云服务商，阿里云本身具备一定的基本安全策略，如果被害公司充分利用并正确配置了相关基本安全策略，想来邱某也不会如此轻易得逞。例如：数据库不应该直接暴露在互联网上，而应通过白名单功能，仅允许业务系统和指定的运维终端访问；在运维终端上，应该设有对应的权限控制，让员工通过私人电脑无法进行访问，更不要说是一个已经离职的前员工。 可以看到，被害公司在数据安全方面存在几处明显问题：

1、缺乏必要的权限控制

邱某作为XX网络科技有限公司的技术总监，拥有云服务器和数据库的访问权限无可厚非；但根据最小化原则，邱某只需拥有对云资源的只读权限即可，且在离职前，其所掌握的这些公司账号和权限应被全部收回。而根据案件情况，以上几点安全工作显然没有得到XX公司的有效执行，在缺少对员工基本权限控制的情况下，风险便随之而来。

2、安全观念与法律意识淡薄

我们无法靠猜测确定，邱某在实施报复行动之前，是否预料到他的所作所为将会对公司和自己带来怎样的后果；但其最终选择跨越法律的红线，就足以说明一个问题——在一家企业中，如果连技术总监都这般缺乏安全观念与法律意识，遑论其他员工，而问题真的只出在个人么？

3、缺少必要的数据安全防护手段

根据案件情况可以发现，XX网络科技有限公司的SaaS服务是直接暴露在互联网上的。在这种情况下，即使没有邱某，也很可能会有公司内部其他的“内鬼”张某、赵某，或网络上的黑客李某、孙某等等，通过各种手段攻入公司数据库并实施破坏行为或窃取数据牟利。正所谓“凡事预则立，不预则废”，企业应早做准备以应对风险，未雨绸缪总好过亡羊补牢！

企业上云之后，IT环境和业务系统都发生了巨大变化，仅仅适应这些变化就要耗费很多精力，此时再面对各式各样的数据安全问题，单凭企业自身力量想要实现全面、高效、可靠的防护升级，在短时间内恐难理出头绪。为此，安华金和专门推出“云数据安全治理服务”，旨在帮忙企业快速提升数据安全防护水平。