六年前的今天,牽涉中澳兩國(guó)鋼鐵產(chǎn)業(yè)的“力拓案”一審判決公布, 四名力拓公司高管及員工胡士泰、王勇、葛民強(qiáng)、劉才魁等因犯非國(guó)家工作人員受賄罪、侵犯商業(yè)秘密罪,分別判處有期徒刑十四年到七年不等。至此,這起轟動(dòng)全球的商業(yè)間諜案就此告一段落。然而四名犯罪分子的落網(wǎng)卻并不能為中國(guó)經(jīng)濟(jì)利益及國(guó)家商譽(yù)的重大損失買(mǎi)單。商業(yè)機(jī)密的泄露迫使中國(guó)鋼企在近乎訛詐的進(jìn)口鐵礦石價(jià)格上多付出7000多億元人民幣的沉重代價(jià)。
亡羊補(bǔ)牢,事件爆發(fā)后,國(guó)務(wù)院國(guó)資委緊急出臺(tái)《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》,要求中央企業(yè)將商業(yè)秘密保護(hù)工作納入風(fēng)險(xiǎn)管理,避免此類(lèi)案件再度發(fā)生。2012年5月,國(guó)資委再次發(fā)布《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》(以下簡(jiǎn)稱(chēng)指引),其中明確提出要保障數(shù)據(jù)存儲(chǔ)、使用、傳輸三個(gè)過(guò)程的安全,防止信息泄露成為央企商業(yè)秘密保護(hù)建設(shè)工作的關(guān)鍵和核心。
《指引》中對(duì)于數(shù)據(jù)保護(hù)總體要求“通過(guò)事前、事中、事后的整體策略對(duì)商業(yè)秘密采取全過(guò)程保護(hù)。事前預(yù)防應(yīng)做到避免安全事件的發(fā)生或降低安全事件發(fā)生的概率,事中監(jiān)控應(yīng)減少安全事件造成的影響,事后審計(jì)應(yīng)做到在安全事件發(fā)生后可追溯。”
為了使央企在商秘系統(tǒng)的安全建設(shè)中可以針對(duì)不同級(jí)別數(shù)據(jù)進(jìn)行安全強(qiáng)度的區(qū)分,《指引》中按照所處位置將商業(yè)秘密數(shù)據(jù)分為三大類(lèi)型:
1)存儲(chǔ)中數(shù)據(jù):存放在數(shù)據(jù)庫(kù)、文件服務(wù)器、存儲(chǔ)于備份設(shè)備上的數(shù)據(jù)等
2)傳輸中數(shù)據(jù):通過(guò)網(wǎng)絡(luò)應(yīng)用程序傳輸?shù)臄?shù)據(jù)
3)使用中的數(shù)據(jù):通過(guò)終端訪(fǎng)問(wèn)的數(shù)據(jù),包括保存在終端磁盤(pán)上的數(shù)據(jù)、終端內(nèi)存中的數(shù)據(jù)、屏幕顯示中的數(shù)據(jù)等
其中,存儲(chǔ)中的數(shù)據(jù)通常包括企業(yè)全部核心商秘信息,因此,《指引》中對(duì)于此類(lèi)提出了更詳細(xì)的安全要求:
1)文件服務(wù)器、應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)應(yīng)采取基于用戶(hù)角色的授權(quán)訪(fǎng)問(wèn)控制,并且賦予用戶(hù)所需最小權(quán)限。
2)對(duì)處理核心商秘上產(chǎn)生的工作文檔和通過(guò)各種方式從數(shù)據(jù)庫(kù)或網(wǎng)絡(luò)應(yīng)用中獲取的核心商秘?cái)?shù)據(jù),應(yīng)采取技術(shù)措施防泄漏,核心商秘?cái)?shù)據(jù)的外發(fā),需經(jīng)過(guò)審批授權(quán),并對(duì)數(shù)據(jù)做集中式留檔審計(jì);
除了防護(hù)過(guò)程,《指引》中同時(shí)對(duì)數(shù)據(jù)安全審計(jì)、完整性、備份及恢復(fù)提出明確要求:
1)應(yīng)對(duì)商業(yè)秘密數(shù)據(jù)的存儲(chǔ)、傳輸、使用行為進(jìn)行審計(jì),審計(jì)記錄集中保存;
2)審計(jì)內(nèi)容應(yīng)包括訪(fǎng)問(wèn)主體、被訪(fǎng)問(wèn)客體、訪(fǎng)問(wèn)方式、訪(fǎng)問(wèn)結(jié)果、日期及時(shí)間、訪(fǎng)問(wèn)所在服務(wù)器或終端的主機(jī)名、IP地址、MAC地址、用戶(hù)等信息;
3)應(yīng)定期對(duì)核心商秘?cái)?shù)據(jù)安全審計(jì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢(xún)、分析及生成審計(jì)報(bào)表;
4)普通商秘審計(jì)記錄至少保存六個(gè)月、核心商秘審計(jì)記錄至少保存十二個(gè)月。
基于以上要求,安華金和提出數(shù)據(jù)庫(kù)系統(tǒng)中商秘?cái)?shù)據(jù)安全整體防護(hù)思路,從數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)周期中的三維角度“事前主動(dòng)防御、事中底線(xiàn)防守、事后深度追查”出發(fā),在符合政策要求的前提下,全面保護(hù)企業(yè)核心商秘?cái)?shù)據(jù):
事前主動(dòng)防御:數(shù)據(jù)庫(kù)漏掃技術(shù)
防患于未然,定期進(jìn)行數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)評(píng)估,對(duì)生產(chǎn)網(wǎng)、開(kāi)發(fā)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)DMZ中數(shù)據(jù)庫(kù)安全現(xiàn)狀進(jìn)行全面檢測(cè),檢查項(xiàng)應(yīng)包括:弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補(bǔ)丁升級(jí)等,評(píng)估是否存在安全漏洞并提供修復(fù)建議,為提升商秘?cái)?shù)據(jù)庫(kù)系統(tǒng)的安全基線(xiàn)提供有效參考。
事中底線(xiàn)防守:數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)加密技術(shù)
商業(yè)秘密的應(yīng)用系統(tǒng)運(yùn)維人員、合法人員訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的操作行為,通過(guò)數(shù)據(jù)庫(kù)防火墻進(jìn)行過(guò)濾,從訪(fǎng)問(wèn)源頭進(jìn)行監(jiān)測(cè),阻止高危及未授權(quán)訪(fǎng)問(wèn)、SQL 注入、權(quán)限或角色非法提升以及非法訪(fǎng)問(wèn)敏感數(shù)據(jù)等行為,并通過(guò)虛擬補(bǔ)丁技術(shù)避免數(shù)據(jù)庫(kù)因?yàn)檠a(bǔ)丁升級(jí)不及時(shí)造成的惡意訪(fǎng)問(wèn)。
通過(guò)基于透明加解密技術(shù)的數(shù)據(jù)庫(kù)安全加固系統(tǒng),針對(duì)核心商秘信息進(jìn)行加密保護(hù),基于主動(dòng)防御機(jī)制,可防止明文存儲(chǔ)引起的數(shù)據(jù)泄密、突破邊界防護(hù)的外部黑客攻擊、來(lái)自于內(nèi)部高權(quán)限用戶(hù)的數(shù)據(jù)竊取、繞開(kāi)合法應(yīng)用系統(tǒng)直接訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)等行為,實(shí)現(xiàn)對(duì)數(shù)據(jù)加密存儲(chǔ)、訪(fǎng)問(wèn)控制增強(qiáng)、應(yīng)用訪(fǎng)問(wèn)安全、安全審計(jì)以及三權(quán)分立等功能,從根本上解決數(shù)據(jù)庫(kù)中核心商秘秘密數(shù)據(jù)泄漏問(wèn)題。
事后深度追查:數(shù)據(jù)庫(kù)審計(jì)技術(shù)
實(shí)時(shí)記錄數(shù)據(jù)庫(kù)操作行為,進(jìn)行細(xì)粒度審計(jì),對(duì)數(shù)據(jù)庫(kù)遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警。通過(guò)對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為的記錄、分析,幫助用戶(hù)事后生成合規(guī)報(bào)告、事故追根溯源,有效解決安全事件取證難的問(wèn)題。
以上商秘?cái)?shù)據(jù)庫(kù)安全體系的防護(hù)主體不僅針對(duì)于中央企業(yè),事實(shí)上,在與其他行業(yè)客戶(hù)的交流中,安華金和安全團(tuán)隊(duì)的專(zhuān)家們發(fā)現(xiàn),整個(gè)商業(yè)界都面臨巨大的商秘?cái)?shù)據(jù)泄露風(fēng)險(xiǎn)。由于運(yùn)營(yíng)成本有限、安全意識(shí)薄弱等方面原因,相當(dāng)一部分企業(yè)對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)并沒(méi)有采取全面、有效的保護(hù)措施,防護(hù)手段的升級(jí)遠(yuǎn)遠(yuǎn)落后于攻擊技術(shù)的演進(jìn),僅僅局限于邊界安全網(wǎng)關(guān)、防病毒、防入侵、內(nèi)網(wǎng)防泄漏系統(tǒng)等傳統(tǒng)安全技術(shù)已不能滿(mǎn)足對(duì)于核心數(shù)據(jù)庫(kù)的安全防護(hù)。皮之不存,毛將焉附,商業(yè)機(jī)密是企業(yè)的無(wú)形資產(chǎn),關(guān)乎企業(yè)穩(wěn)健經(jīng)營(yíng)和經(jīng)濟(jì)效益,一旦落入敵手,企業(yè)在市場(chǎng)競(jìng)爭(zhēng)中將直接喪失話(huà)語(yǔ)權(quán)。
回首央企商秘?cái)?shù)據(jù)保護(hù)之路,力拓間諜門(mén)成了一座里程碑,而今此案告破六年之際,數(shù)據(jù)安全的警鐘依然長(zhǎng)鳴。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋(píng)果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢(qián)通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱(chēng)塔塔集團(tuán)將收購(gòu)和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營(yíng)
- 蘋(píng)果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過(guò)熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無(wú)人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開(kāi)展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車(chē)整車(chē)股盤(pán)初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。