6年前力拓案追溯,今朝商業機密安全保護思路
六年前的今天,牽涉中澳兩國鋼鐵產業的“力拓案”一審判決公布, 四名力拓公司高管及員工胡士泰、王勇、葛民強、劉才魁等因犯非國家工作人員受賄罪、侵犯商業秘密罪,分別判處有期徒刑十四年到七年不等。至此,這起轟動全球的商業間諜案就此告一段落。然而四名犯罪分子的落網卻并不能為中國經濟利益及國家商譽的重大損失買單。商業機密的泄露迫使中國鋼企在近乎訛詐的進口鐵礦石價格上多付出7000多億元人民幣的沉重代價。
亡羊補牢,事件爆發后,國務院國資委緊急出臺《中央企業商業秘密保護暫行規定》,要求中央企業將商業秘密保護工作納入風險管理,避免此類案件再度發生。2012年5月,國資委再次發布《中央企業商業秘密信息系統安全技術指引》(以下簡稱指引),其中明確提出要保障數據存儲、使用、傳輸三個過程的安全,防止信息泄露成為央企商業秘密保護建設工作的關鍵和核心。
《指引》中對于數據保護總體要求“通過事前、事中、事后的整體策略對商業秘密采取全過程保護。事前預防應做到避免安全事件的發生或降低安全事件發生的概率,事中監控應減少安全事件造成的影響,事后審計應做到在安全事件發生后可追溯。”
為了使央企在商秘系統的安全建設中可以針對不同級別數據進行安全強度的區分,《指引》中按照所處位置將商業秘密數據分為三大類型:
1)存儲中數據:存放在數據庫、文件服務器、存儲于備份設備上的數據等
2)傳輸中數據:通過網絡應用程序傳輸的數據
3)使用中的數據:通過終端訪問的數據,包括保存在終端磁盤上的數據、終端內存中的數據、屏幕顯示中的數據等
其中,存儲中的數據通常包括企業全部核心商秘信息,因此,《指引》中對于此類提出了更詳細的安全要求:
1)文件服務器、應用系統和數據庫應采取基于用戶角色的授權訪問控制,并且賦予用戶所需最小權限。
2)對處理核心商秘上產生的工作文檔和通過各種方式從數據庫或網絡應用中獲取的核心商秘數據,應采取技術措施防泄漏,核心商秘數據的外發,需經過審批授權,并對數據做集中式留檔審計;
除了防護過程,《指引》中同時對數據安全審計、完整性、備份及恢復提出明確要求:
1)應對商業秘密數據的存儲、傳輸、使用行為進行審計,審計記錄集中保存;
2)審計內容應包括訪問主體、被訪問客體、訪問方式、訪問結果、日期及時間、訪問所在服務器或終端的主機名、IP地址、MAC地址、用戶等信息;
3)應定期對核心商秘數據安全審計數據進行統計、查詢、分析及生成審計報表;
4)普通商秘審計記錄至少保存六個月、核心商秘審計記錄至少保存十二個月。
基于以上要求,安華金和提出數據庫系統中商秘數據安全整體防護思路,從數據庫訪問周期中的三維角度“事前主動防御、事中底線防守、事后深度追查”出發,在符合政策要求的前提下,全面保護企業核心商秘數據:
事前主動防御:數據庫漏掃技術
防患于未然,定期進行數據庫安全風險評估,對生產網、開發網、辦公網、互聯網DMZ中數據庫安全現狀進行全面檢測,檢查項應包括:弱口令、缺省口令、弱安全策略、權限寬泛、敏感數據發現、權限提升漏洞、補丁升級等,評估是否存在安全漏洞并提供修復建議,為提升商秘數據庫系統的安全基線提供有效參考。
事中底線防守:數據庫防火墻、數據庫加密技術
商業秘密的應用系統運維人員、合法人員訪問數據庫的操作行為,通過數據庫防火墻進行過濾,從訪問源頭進行監測,阻止高危及未授權訪問、SQL 注入、權限或角色非法提升以及非法訪問敏感數據等行為,并通過虛擬補丁技術避免數據庫因為補丁升級不及時造成的惡意訪問。
通過基于透明加解密技術的數據庫安全加固系統,針對核心商秘信息進行加密保護,基于主動防御機制,可防止明文存儲引起的數據泄密、突破邊界防護的外部黑客攻擊、來自于內部高權限用戶的數據竊取、繞開合法應用系統直接訪問數據庫等行為,實現對數據加密存儲、訪問控制增強、應用訪問安全、安全審計以及三權分立等功能,從根本上解決數據庫中核心商秘秘密數據泄漏問題。
事后深度追查:數據庫審計技術
實時記錄數據庫操作行為,進行細粒度審計,對數據庫遭受到的風險行為進行告警。通過對數據庫訪問行為的記錄、分析,幫助用戶事后生成合規報告、事故追根溯源,有效解決安全事件取證難的問題。
以上商秘數據庫安全體系的防護主體不僅針對于中央企業,事實上,在與其他行業客戶的交流中,安華金和安全團隊的專家們發現,整個商業界都面臨巨大的商秘數據泄露風險。由于運營成本有限、安全意識薄弱等方面原因,相當一部分企業對于數據庫系統并沒有采取全面、有效的保護措施,防護手段的升級遠遠落后于攻擊技術的演進,僅僅局限于邊界安全網關、防病毒、防入侵、內網防泄漏系統等傳統安全技術已不能滿足對于核心數據庫的安全防護。皮之不存,毛將焉附,商業機密是企業的無形資產,關乎企業穩健經營和經濟效益,一旦落入敵手,企業在市場競爭中將直接喪失話語權。
回首央企商秘數據保護之路,力拓間諜門成了一座里程碑,而今此案告破六年之際,數據安全的警鐘依然長鳴。
