六年前的今天,牵涉中澳两国钢铁产业的“力拓案”一审判决公布, 四名力拓公司高管及员工胡士泰、王勇、葛民强、刘才魁等因犯非国家工作人员受贿罪、侵犯商业秘密罪,分别判处有期徒刑十四年到七年不等。至此,这起轰动全球的商业间谍案就此告一段落。然而四名犯罪分子的落网却并不能为中国经济利益及国家商誉的重大损失买单。商业机密的泄露迫使中国钢企在近乎讹诈的进口铁矿石价格上多付出7000多亿元人民币的沉重代价。
亡羊补牢,事件爆发后,国务院国资委紧急出台《中央企业商业秘密保护暂行规定》,要求中央企业将商业秘密保护工作纳入风险管理,避免此类案件再度发生。2012年5月,国资委再次发布《中央企业商业秘密信息系统安全技术指引》(以下简称指引),其中明确提出要保障数据存储、使用、传输三个过程的安全,防止信息泄露成为央企商业秘密保护建设工作的关键和核心。
《指引》中对于数据保护总体要求“通过事前、事中、事后的整体策略对商业秘密采取全过程保护。事前预防应做到避免安全事件的发生或降低安全事件发生的概率,事中监控应减少安全事件造成的影响,事后审计应做到在安全事件发生后可追溯。”
为了使央企在商秘系统的安全建设中可以针对不同级别数据进行安全强度的区分,《指引》中按照所处位置将商业秘密数据分为三大类型:
1)存储中数据:存放在数据库、文件服务器、存储于备份设备上的数据等
2)传输中数据:通过网络应用程序传输的数据
3)使用中的数据:通过终端访问的数据,包括保存在终端磁盘上的数据、终端内存中的数据、屏幕显示中的数据等
其中,存储中的数据通常包括企业全部核心商秘信息,因此,《指引》中对于此类提出了更详细的安全要求:
1)文件服务器、应用系统和数据库应采取基于用户角色的授权访问控制,并且赋予用户所需最小权限。
2)对处理核心商秘上产生的工作文档和通过各种方式从数据库或网络应用中获取的核心商秘数据,应采取技术措施防泄漏,核心商秘数据的外发,需经过审批授权,并对数据做集中式留档审计;
除了防护过程,《指引》中同时对数据安全审计、完整性、备份及恢复提出明确要求:
1)应对商业秘密数据的存储、传输、使用行为进行审计,审计记录集中保存;
2)审计内容应包括访问主体、被访问客体、访问方式、访问结果、日期及时间、访问所在服务器或终端的主机名、IP地址、MAC地址、用户等信息;
3)应定期对核心商秘数据安全审计数据进行统计、查询、分析及生成审计报表;
4)普通商秘审计记录至少保存六个月、核心商秘审计记录至少保存十二个月。
基于以上要求,安华金和提出数据库系统中商秘数据安全整体防护思路,从数据库访问周期中的三维角度“事前主动防御、事中底线防守、事后深度追查”出发,在符合政策要求的前提下,全面保护企业核心商秘数据:
事前主动防御:数据库漏扫技术
防患于未然,定期进行数据库安全风险评估,对生产网、开发网、办公网、互联网DMZ中数据库安全现状进行全面检测,检查项应包括:弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等,评估是否存在安全漏洞并提供修复建议,为提升商秘数据库系统的安全基线提供有效参考。
事中底线防守:数据库防火墙、数据库加密技术
商业秘密的应用系统运维人员、合法人员访问数据库的操作行为,通过数据库防火墙进行过滤,从访问源头进行监测,阻止高危及未授权访问、SQL 注入、权限或角色非法提升以及非法访问敏感数据等行为,并通过虚拟补丁技术避免数据库因为补丁升级不及时造成的恶意访问。
通过基于透明加解密技术的数据库安全加固系统,针对核心商秘信息进行加密保护,基于主动防御机制,可防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、绕开合法应用系统直接访问数据库等行为,实现对数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能,从根本上解决数据库中核心商秘秘密数据泄漏问题。
事后深度追查:数据库审计技术
实时记录数据库操作行为,进行细粒度审计,对数据库遭受到的风险行为进行告警。通过对数据库访问行为的记录、分析,帮助用户事后生成合规报告、事故追根溯源,有效解决安全事件取证难的问题。
以上商秘数据库安全体系的防护主体不仅针对于中央企业,事实上,在与其他行业客户的交流中,安华金和安全团队的专家们发现,整个商业界都面临巨大的商秘数据泄露风险。由于运营成本有限、安全意识薄弱等方面原因,相当一部分企业对于数据库系统并没有采取全面、有效的保护措施,防护手段的升级远远落后于攻击技术的演进,仅仅局限于边界安全网关、防病毒、防入侵、内网防泄漏系统等传统安全技术已不能满足对于核心数据库的安全防护。皮之不存,毛将焉附,商业机密是企业的无形资产,关乎企业稳健经营和经济效益,一旦落入敌手,企业在市场竞争中将直接丧失话语权。
回首央企商秘数据保护之路,力拓间谍门成了一座里程碑,而今此案告破六年之际,数据安全的警钟依然长鸣。
