6年前力拓案追溯，今朝商業(yè)機密安全保護思路

六年前的今天，牽涉中澳兩國鋼鐵產(chǎn)業(yè)的“力拓案”一審判決公布， 四名力拓公司高管及員工胡士泰、王勇、葛民強、劉才魁等因犯非國家工作人員受賄罪、侵犯商業(yè)秘密罪，分別判處有期徒刑十四年到七年不等。至此，這起轟動全球的商業(yè)間諜案就此告一段落。然而四名犯罪分子的落網(wǎng)卻并不能為中國經(jīng)濟利益及國家商譽的重大損失買單。商業(yè)機密的泄露迫使中國鋼企在近乎訛詐的進口鐵礦石價格上多付出7000多億元人民幣的沉重代價。

亡羊補牢，事件爆發(fā)后，國務院國資委緊急出臺《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》，要求中央企業(yè)將商業(yè)秘密保護工作納入風險管理，避免此類案件再度發(fā)生。2012年5月，國資委再次發(fā)布《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術指引》(以下簡稱指引)，其中明確提出要保障數(shù)據(jù)存儲、使用、傳輸三個過程的安全，防止信息泄露成為央企商業(yè)秘密保護建設工作的關鍵和核心。

《指引》中對于數(shù)據(jù)保護總體要求“通過事前、事中、事后的整體策略對商業(yè)秘密采取全過程保護。事前預防應做到避免安全事件的發(fā)生或降低安全事件發(fā)生的概率，事中監(jiān)控應減少安全事件造成的影響，事后審計應做到在安全事件發(fā)生后可追溯。”

為了使央企在商秘系統(tǒng)的安全建設中可以針對不同級別數(shù)據(jù)進行安全強度的區(qū)分，《指引》中按照所處位置將商業(yè)秘密數(shù)據(jù)分為三大類型：

1)存儲中數(shù)據(jù)：存放在數(shù)據(jù)庫、文件服務器、存儲于備份設備上的數(shù)據(jù)等

2)傳輸中數(shù)據(jù)：通過網(wǎng)絡應用程序傳輸?shù)臄?shù)據(jù)

3)使用中的數(shù)據(jù)：通過終端訪問的數(shù)據(jù)，包括保存在終端磁盤上的數(shù)據(jù)、終端內(nèi)存中的數(shù)據(jù)、屏幕顯示中的數(shù)據(jù)等

其中，存儲中的數(shù)據(jù)通常包括企業(yè)全部核心商秘信息，因此，《指引》中對于此類提出了更詳細的安全要求：

1)文件服務器、應用系統(tǒng)和數(shù)據(jù)庫應采取基于用戶角色的授權訪問控制，并且賦予用戶所需最小權限。

2)對處理核心商秘上產(chǎn)生的工作文檔和通過各種方式從數(shù)據(jù)庫或網(wǎng)絡應用中獲取的核心商秘數(shù)據(jù)，應采取技術措施防泄漏，核心商秘數(shù)據(jù)的外發(fā)，需經(jīng)過審批授權，并對數(shù)據(jù)做集中式留檔審計;

除了防護過程，《指引》中同時對數(shù)據(jù)安全審計、完整性、備份及恢復提出明確要求：

1)應對商業(yè)秘密數(shù)據(jù)的存儲、傳輸、使用行為進行審計，審計記錄集中保存;

2)審計內(nèi)容應包括訪問主體、被訪問客體、訪問方式、訪問結(jié)果、日期及時間、訪問所在服務器或終端的主機名、IP地址、MAC地址、用戶等信息;

3)應定期對核心商秘數(shù)據(jù)安全審計數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表;

4)普通商秘審計記錄至少保存六個月、核心商秘審計記錄至少保存十二個月。

基于以上要求，安華金和提出數(shù)據(jù)庫系統(tǒng)中商秘數(shù)據(jù)安全整體防護思路，從數(shù)據(jù)庫訪問周期中的三維角度“事前主動防御、事中底線防守、事后深度追查”出發(fā)，在符合政策要求的前提下，全面保護企業(yè)核心商秘數(shù)據(jù)：

事前主動防御：數(shù)據(jù)庫漏掃技術

防患于未然，定期進行數(shù)據(jù)庫安全風險評估，對生產(chǎn)網(wǎng)、開發(fā)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)DMZ中數(shù)據(jù)庫安全現(xiàn)狀進行全面檢測，檢查項應包括：弱口令、缺省口令、弱安全策略、權限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權限提升漏洞、補丁升級等，評估是否存在安全漏洞并提供修復建議，為提升商秘數(shù)據(jù)庫系統(tǒng)的安全基線提供有效參考。

事中底線防守：數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密技術

商業(yè)秘密的應用系統(tǒng)運維人員、合法人員訪問數(shù)據(jù)庫的操作行為，通過數(shù)據(jù)庫防火墻進行過濾，從訪問源頭進行監(jiān)測，阻止高危及未授權訪問、SQL 注入、權限或角色非法提升以及非法訪問敏感數(shù)據(jù)等行為，并通過虛擬補丁技術避免數(shù)據(jù)庫因為補丁升級不及時造成的惡意訪問。

通過基于透明加解密技術的數(shù)據(jù)庫安全加固系統(tǒng)，針對核心商秘信息進行加密保護，基于主動防御機制，可防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護的外部黑客攻擊、來自于內(nèi)部高權限用戶的數(shù)據(jù)竊取、繞開合法應用系統(tǒng)直接訪問數(shù)據(jù)庫等行為，實現(xiàn)對數(shù)據(jù)加密存儲、訪問控制增強、應用訪問安全、安全審計以及三權分立等功能，從根本上解決數(shù)據(jù)庫中核心商秘秘密數(shù)據(jù)泄漏問題。

事后深度追查：數(shù)據(jù)庫審計技術

實時記錄數(shù)據(jù)庫操作行為，進行細粒度審計，對數(shù)據(jù)庫遭受到的風險行為進行告警。通過對數(shù)據(jù)庫訪問行為的記錄、分析，幫助用戶事后生成合規(guī)報告、事故追根溯源，有效解決安全事件取證難的問題。

以上商秘數(shù)據(jù)庫安全體系的防護主體不僅針對于中央企業(yè)，事實上，在與其他行業(yè)客戶的交流中，安華金和安全團隊的專家們發(fā)現(xiàn)，整個商業(yè)界都面臨巨大的商秘數(shù)據(jù)泄露風險。由于運營成本有限、安全意識薄弱等方面原因，相當一部分企業(yè)對于數(shù)據(jù)庫系統(tǒng)并沒有采取全面、有效的保護措施，防護手段的升級遠遠落后于攻擊技術的演進，僅僅局限于邊界安全網(wǎng)關、防病毒、防入侵、內(nèi)網(wǎng)防泄漏系統(tǒng)等傳統(tǒng)安全技術已不能滿足對于核心數(shù)據(jù)庫的安全防護。皮之不存，毛將焉附，商業(yè)機密是企業(yè)的無形資產(chǎn)，關乎企業(yè)穩(wěn)健經(jīng)營和經(jīng)濟效益，一旦落入敵手，企業(yè)在市場競爭中將直接喪失話語權。

回首央企商秘數(shù)據(jù)保護之路，力拓間諜門成了一座里程碑，而今此案告破六年之際，數(shù)據(jù)安全的警鐘依然長鳴。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。