六年前的今天，牽涉中澳兩國鋼鐵產(chǎn)業(yè)的“力拓案”一審判決公布， 四名力拓公司高管及員工胡士泰、王勇、葛民強、劉才魁等因犯非國家工作人員受賄罪、侵犯商業(yè)秘密罪，分別判處有期徒刑十四年到七年不等。至此，這起轟動全球的商業(yè)間諜案就此告一段落。然而四名犯罪分子的落網(wǎng)卻并不能為中國經(jīng)濟利益及國家商譽的重大損失買單。商業(yè)機密的泄露迫使中國鋼企在近乎訛詐的進口鐵礦石價格上多付出7000多億元人民幣的沉重代價。

[[164676]]

亡羊補牢，事件爆發(fā)后，國務(wù)院國資委緊急出臺《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》，要求中央企業(yè)將商業(yè)秘密保護工作納入風險管理，避免此類案件再度發(fā)生。2012年5月，國資委再次發(fā)布《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》(以下簡稱指引)，其中明確提出要保障數(shù)據(jù)存儲、使用、傳輸三個過程的安全，防止信息泄露成為央企商業(yè)秘密保護建設(shè)工作的關(guān)鍵和核心。

《指引》中對于數(shù)據(jù)保護總體要求“通過事前、事中、事后的整體策略對商業(yè)秘密采取全過程保護。事前預(yù)防應(yīng)做到避免安全事件的發(fā)生或降低安全事件發(fā)生的概率，事中監(jiān)控應(yīng)減少安全事件造成的影響，事后審計應(yīng)做到在安全事件發(fā)生后可追溯。”

為了使央企在商秘系統(tǒng)的安全建設(shè)中可以針對不同級別數(shù)據(jù)進行安全強度的區(qū)分，《指引》中按照所處位置將商業(yè)秘密數(shù)據(jù)分為三大類型：

1)存儲中數(shù)據(jù)：存放在數(shù)據(jù)庫、文件服務(wù)器、存儲于備份設(shè)備上的數(shù)據(jù)等

2)傳輸中數(shù)據(jù)：通過網(wǎng)絡(luò)應(yīng)用程序傳輸?shù)臄?shù)據(jù)

3)使用中的數(shù)據(jù)：通過終端訪問的數(shù)據(jù)，包括保存在終端磁盤上的數(shù)據(jù)、終端內(nèi)存中的數(shù)據(jù)、屏幕顯示中的數(shù)據(jù)等

其中，存儲中的數(shù)據(jù)通常包括企業(yè)全部核心商秘信息，因此，《指引》中對于此類提出了更詳細的安全要求：

1)文件服務(wù)器、應(yīng)用系統(tǒng)和數(shù)據(jù)庫應(yīng)采取基于用戶角色的授權(quán)訪問控制，并且賦予用戶所需最小權(quán)限。

2)對處理核心商秘上產(chǎn)生的工作文檔和通過各種方式從數(shù)據(jù)庫或網(wǎng)絡(luò)應(yīng)用中獲取的核心商秘數(shù)據(jù)，應(yīng)采取技術(shù)措施防泄漏，核心商秘數(shù)據(jù)的外發(fā)，需經(jīng)過審批授權(quán)，并對數(shù)據(jù)做集中式留檔審計;

除了防護過程，《指引》中同時對數(shù)據(jù)安全審計、完整性、備份及恢復(fù)提出明確要求：

1)應(yīng)對商業(yè)秘密數(shù)據(jù)的存儲、傳輸、使用行為進行審計，審計記錄集中保存;

2)審計內(nèi)容應(yīng)包括訪問主體、被訪問客體、訪問方式、訪問結(jié)果、日期及時間、訪問所在服務(wù)器或終端的主機名、IP地址、MAC地址、用戶等信息;

3)應(yīng)定期對核心商秘數(shù)據(jù)安全審計數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表;

4)普通商秘審計記錄至少保存六個月、核心商秘審計記錄至少保存十二個月。

基于以上要求，安華金和提出數(shù)據(jù)庫系統(tǒng)中商秘數(shù)據(jù)安全整體防護思路，從數(shù)據(jù)庫訪問周期中的三維角度“事前主動防御、事中底線防守、事后深度追查”出發(fā)，在符合政策要求的前提下，全面保護企業(yè)核心商秘數(shù)據(jù)：

事前主動防御：數(shù)據(jù)庫漏掃技術(shù)

防患于未然，定期進行數(shù)據(jù)庫安全風險評估，對生產(chǎn)網(wǎng)、開發(fā)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)DMZ中數(shù)據(jù)庫安全現(xiàn)狀進行全面檢測，檢查項應(yīng)包括：弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補丁升級等，評估是否存在安全漏洞并提供修復(fù)建議，為提升商秘數(shù)據(jù)庫系統(tǒng)的安全基線提供有效參考。

事中底線防守：數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密技術(shù)

商業(yè)秘密的應(yīng)用系統(tǒng)運維人員、合法人員訪問數(shù)據(jù)庫的操作行為，通過數(shù)據(jù)庫防火墻進行過濾，從訪問源頭進行監(jiān)測，阻止高危及未授權(quán)訪問、SQL 注入、權(quán)限或角色非法提升以及非法訪問敏感數(shù)據(jù)等行為，并通過虛擬補丁技術(shù)避免數(shù)據(jù)庫因為補丁升級不及時造成的惡意訪問。

通過基于透明加解密技術(shù)的數(shù)據(jù)庫安全加固系統(tǒng)，針對核心商秘信息進行加密保護，基于主動防御機制，可防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護的外部黑客攻擊、來自于內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取、繞開合法應(yīng)用系統(tǒng)直接訪問數(shù)據(jù)庫等行為，實現(xiàn)對數(shù)據(jù)加密存儲、訪問控制增強、應(yīng)用訪問安全、安全審計以及三權(quán)分立等功能，從根本上解決數(shù)據(jù)庫中核心商秘秘密數(shù)據(jù)泄漏問題。

事后深度追查：數(shù)據(jù)庫審計技術(shù)

實時記錄數(shù)據(jù)庫操作行為，進行細粒度審計，對數(shù)據(jù)庫遭受到的風險行為進行告警。通過對數(shù)據(jù)庫訪問行為的記錄、分析，幫助用戶事后生成合規(guī)報告、事故追根溯源，有效解決安全事件取證難的問題。

以上商秘數(shù)據(jù)庫安全體系的防護主體不僅針對于中央企業(yè)，事實上，在與其他行業(yè)客戶的交流中，安華金和安全團隊的專家們發(fā)現(xiàn)，整個商業(yè)界都面臨巨大的商秘數(shù)據(jù)泄露風險。由于運營成本有限、安全意識薄弱等方面原因，相當一部分企業(yè)對于數(shù)據(jù)庫系統(tǒng)并沒有采取全面、有效的保護措施，防護手段的升級遠遠落后于攻擊技術(shù)的演進，僅僅局限于邊界安全網(wǎng)關(guān)、防病毒、防入侵、內(nèi)網(wǎng)防泄漏系統(tǒng)等傳統(tǒng)安全技術(shù)已不能滿足對于核心數(shù)據(jù)庫的安全防護。皮之不存，毛將焉附，商業(yè)機密是企業(yè)的無形資產(chǎn)，關(guān)乎企業(yè)穩(wěn)健經(jīng)營和經(jīng)濟效益，一旦落入敵手，企業(yè)在市場競爭中將直接喪失話語權(quán)。

回首央企商秘數(shù)據(jù)保護之路，力拓間諜門成了一座里程碑，而今此案告破六年之際，數(shù)據(jù)安全的警鐘依然長鳴。