6年前力拓案追溯，今朝商業(yè)機(jī)密安全保護(hù)思路

六年前的今天，牽涉中澳兩國鋼鐵產(chǎn)業(yè)的“力拓案”一審判決公布， 四名力拓公司高管及員工胡士泰、王勇、葛民強(qiáng)、劉才魁等因犯非國家工作人員受賄罪、侵犯商業(yè)秘密罪，分別判處有期徒刑十四年到七年不等。至此，這起轟動全球的商業(yè)間諜案就此告一段落。然而四名犯罪分子的落網(wǎng)卻并不能為中國經(jīng)濟(jì)利益及國家商譽(yù)的重大損失買單。商業(yè)機(jī)密的泄露迫使中國鋼企在近乎訛詐的進(jìn)口鐵礦石價格上多付出7000多億元人民幣的沉重代價。

亡羊補(bǔ)牢，事件爆發(fā)后，國務(wù)院國資委緊急出臺《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》，要求中央企業(yè)將商業(yè)秘密保護(hù)工作納入風(fēng)險管理，避免此類案件再度發(fā)生。2012年5月，國資委再次發(fā)布《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》(以下簡稱指引)，其中明確提出要保障數(shù)據(jù)存儲、使用、傳輸三個過程的安全，防止信息泄露成為央企商業(yè)秘密保護(hù)建設(shè)工作的關(guān)鍵和核心。

《指引》中對于數(shù)據(jù)保護(hù)總體要求“通過事前、事中、事后的整體策略對商業(yè)秘密采取全過程保護(hù)。事前預(yù)防應(yīng)做到避免安全事件的發(fā)生或降低安全事件發(fā)生的概率，事中監(jiān)控應(yīng)減少安全事件造成的影響，事后審計應(yīng)做到在安全事件發(fā)生后可追溯。”

為了使央企在商秘系統(tǒng)的安全建設(shè)中可以針對不同級別數(shù)據(jù)進(jìn)行安全強(qiáng)度的區(qū)分，《指引》中按照所處位置將商業(yè)秘密數(shù)據(jù)分為三大類型：

1)存儲中數(shù)據(jù)：存放在數(shù)據(jù)庫、文件服務(wù)器、存儲于備份設(shè)備上的數(shù)據(jù)等

2)傳輸中數(shù)據(jù)：通過網(wǎng)絡(luò)應(yīng)用程序傳輸?shù)臄?shù)據(jù)

3)使用中的數(shù)據(jù)：通過終端訪問的數(shù)據(jù)，包括保存在終端磁盤上的數(shù)據(jù)、終端內(nèi)存中的數(shù)據(jù)、屏幕顯示中的數(shù)據(jù)等

其中，存儲中的數(shù)據(jù)通常包括企業(yè)全部核心商秘信息，因此，《指引》中對于此類提出了更詳細(xì)的安全要求：

1)文件服務(wù)器、應(yīng)用系統(tǒng)和數(shù)據(jù)庫應(yīng)采取基于用戶角色的授權(quán)訪問控制，并且賦予用戶所需最小權(quán)限。

2)對處理核心商秘上產(chǎn)生的工作文檔和通過各種方式從數(shù)據(jù)庫或網(wǎng)絡(luò)應(yīng)用中獲取的核心商秘數(shù)據(jù)，應(yīng)采取技術(shù)措施防泄漏，核心商秘數(shù)據(jù)的外發(fā)，需經(jīng)過審批授權(quán)，并對數(shù)據(jù)做集中式留檔審計;

除了防護(hù)過程，《指引》中同時對數(shù)據(jù)安全審計、完整性、備份及恢復(fù)提出明確要求：

1)應(yīng)對商業(yè)秘密數(shù)據(jù)的存儲、傳輸、使用行為進(jìn)行審計，審計記錄集中保存;

2)審計內(nèi)容應(yīng)包括訪問主體、被訪問客體、訪問方式、訪問結(jié)果、日期及時間、訪問所在服務(wù)器或終端的主機(jī)名、IP地址、MAC地址、用戶等信息;

3)應(yīng)定期對核心商秘數(shù)據(jù)安全審計數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表;

4)普通商秘審計記錄至少保存六個月、核心商秘審計記錄至少保存十二個月。

基于以上要求，安華金和提出數(shù)據(jù)庫系統(tǒng)中商秘數(shù)據(jù)安全整體防護(hù)思路，從數(shù)據(jù)庫訪問周期中的三維角度“事前主動防御、事中底線防守、事后深度追查”出發(fā)，在符合政策要求的前提下，全面保護(hù)企業(yè)核心商秘數(shù)據(jù)：

事前主動防御：數(shù)據(jù)庫漏掃技術(shù)

防患于未然，定期進(jìn)行數(shù)據(jù)庫安全風(fēng)險評估，對生產(chǎn)網(wǎng)、開發(fā)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)DMZ中數(shù)據(jù)庫安全現(xiàn)狀進(jìn)行全面檢測，檢查項應(yīng)包括：弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補(bǔ)丁升級等，評估是否存在安全漏洞并提供修復(fù)建議，為提升商秘數(shù)據(jù)庫系統(tǒng)的安全基線提供有效參考。

事中底線防守：數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密技術(shù)

商業(yè)秘密的應(yīng)用系統(tǒng)運(yùn)維人員、合法人員訪問數(shù)據(jù)庫的操作行為，通過數(shù)據(jù)庫防火墻進(jìn)行過濾，從訪問源頭進(jìn)行監(jiān)測，阻止高危及未授權(quán)訪問、SQL 注入、權(quán)限或角色非法提升以及非法訪問敏感數(shù)據(jù)等行為，并通過虛擬補(bǔ)丁技術(shù)避免數(shù)據(jù)庫因為補(bǔ)丁升級不及時造成的惡意訪問。

通過基于透明加解密技術(shù)的數(shù)據(jù)庫安全加固系統(tǒng)，針對核心商秘信息進(jìn)行加密保護(hù)，基于主動防御機(jī)制，可防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護(hù)的外部黑客攻擊、來自于內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取、繞開合法應(yīng)用系統(tǒng)直接訪問數(shù)據(jù)庫等行為，實(shí)現(xiàn)對數(shù)據(jù)加密存儲、訪問控制增強(qiáng)、應(yīng)用訪問安全、安全審計以及三權(quán)分立等功能，從根本上解決數(shù)據(jù)庫中核心商秘秘密數(shù)據(jù)泄漏問題。

事后深度追查：數(shù)據(jù)庫審計技術(shù)

實(shí)時記錄數(shù)據(jù)庫操作行為，進(jìn)行細(xì)粒度審計，對數(shù)據(jù)庫遭受到的風(fēng)險行為進(jìn)行告警。通過對數(shù)據(jù)庫訪問行為的記錄、分析，幫助用戶事后生成合規(guī)報告、事故追根溯源，有效解決安全事件取證難的問題。

以上商秘數(shù)據(jù)庫安全體系的防護(hù)主體不僅針對于中央企業(yè)，事實(shí)上，在與其他行業(yè)客戶的交流中，安華金和安全團(tuán)隊的專家們發(fā)現(xiàn)，整個商業(yè)界都面臨巨大的商秘數(shù)據(jù)泄露風(fēng)險。由于運(yùn)營成本有限、安全意識薄弱等方面原因，相當(dāng)一部分企業(yè)對于數(shù)據(jù)庫系統(tǒng)并沒有采取全面、有效的保護(hù)措施，防護(hù)手段的升級遠(yuǎn)遠(yuǎn)落后于攻擊技術(shù)的演進(jìn)，僅僅局限于邊界安全網(wǎng)關(guān)、防病毒、防入侵、內(nèi)網(wǎng)防泄漏系統(tǒng)等傳統(tǒng)安全技術(shù)已不能滿足對于核心數(shù)據(jù)庫的安全防護(hù)。皮之不存，毛將焉附，商業(yè)機(jī)密是企業(yè)的無形資產(chǎn)，關(guān)乎企業(yè)穩(wěn)健經(jīng)營和經(jīng)濟(jì)效益，一旦落入敵手，企業(yè)在市場競爭中將直接喪失話語權(quán)。

回首央企商秘數(shù)據(jù)保護(hù)之路，力拓間諜門成了一座里程碑，而今此案告破六年之際，數(shù)據(jù)安全的警鐘依然長鳴。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。