6年前力拓案追溯,今朝商业机密安全保护思路

简介:

六年前的今天,牵涉中澳两国钢铁产业的“力拓案”一审判决公布, 四名力拓公司高管及员工胡士泰、王勇、葛民强、刘才魁等因犯非国家工作人员受贿罪、侵犯商业秘密罪,分别判处有期徒刑十四年到七年不等。至此,这起轰动全球的商业间谍案就此告一段落。然而四名犯罪分子的落网却并不能为中国经济利益及国家商誉的重大损失买单。商业机密的泄露迫使中国钢企在近乎讹诈的进口铁矿石价格上多付出7000多亿元人民币的沉重代价。

6年前力拓案追溯,今朝商业机密安全保护思路

亡羊补牢,事件爆发后,国务院国资委紧急出台《中央企业商业秘密保护暂行规定》,要求中央企业将商业秘密保护工作纳入风险管理,避免此类案件再度发生。2012年5月,国资委再次发布《中央企业商业秘密信息系统安全技术指引》(以下简称指引),其中明确提出要保障数据存储、使用、传输三个过程的安全,防止信息泄露成为央企商业秘密保护建设工作的关键和核心。

《指引》中对于数据保护总体要求“通过事前、事中、事后的整体策略对商业秘密采取全过程保护。事前预防应做到避免安全事件的发生或降低安全事件发生的概率,事中监控应减少安全事件造成的影响,事后审计应做到在安全事件发生后可追溯。

为了使央企在商秘系统的安全建设中可以针对不同级别数据进行安全强度的区分,《指引》中按照所处位置将商业秘密数据分为三大类型:

1)存储中数据:存放在数据库、文件服务器、存储于备份设备上的数据等

2)传输中数据:通过网络应用程序传输的数据

3)使用中的数据:通过终端访问的数据,包括保存在终端磁盘上的数据、终端内存中的数据、屏幕显示中的数据等

其中,存储中的数据通常包括企业全部核心商秘信息,因此,《指引》中对于此类提出了更详细的安全要求:

1)文件服务器、应用系统和数据库应采取基于用户角色的授权访问控制,并且赋予用户所需最小权限。

2)对处理核心商秘上产生的工作文档和通过各种方式从数据库或网络应用中获取的核心商秘数据,应采取技术措施防泄漏,核心商秘数据的外发,需经过审批授权,并对数据做集中式留档审计;

除了防护过程,《指引》中同时对数据安全审计、完整性、备份及恢复提出明确要求:

1)应对商业秘密数据的存储、传输、使用行为进行审计,审计记录集中保存;

2)审计内容应包括访问主体、被访问客体、访问方式、访问结果、日期及时间、访问所在服务器或终端的主机名、IP地址、MAC地址、用户等信息;

3)应定期对核心商秘数据安全审计数据进行统计、查询、分析及生成审计报表;

4)普通商秘审计记录至少保存六个月、核心商秘审计记录至少保存十二个月。

基于以上要求,安华金和提出数据库系统中商秘数据安全整体防护思路,从数据库访问周期中的三维角度“事前主动防御、事中底线防守、事后深度追查”出发,在符合政策要求的前提下,全面保护企业核心商秘数据:

事前主动防御:数据库漏扫技术

防患于未然,定期进行数据库安全风险评估,对生产网、开发网、办公网、互联网DMZ中数据库安全现状进行全面检测,检查项应包括:弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等,评估是否存在安全漏洞并提供修复建议,为提升商秘数据库系统的安全基线提供有效参考。

事中底线防守:数据库防火墙、数据库加密技术

商业秘密的应用系统运维人员、合法人员访问数据库的操作行为,通过数据库防火墙进行过滤,从访问源头进行监测,阻止高危及未授权访问、SQL 注入、权限或角色非法提升以及非法访问敏感数据等行为,并通过虚拟补丁技术避免数据库因为补丁升级不及时造成的恶意访问。

通过基于透明加解密技术的数据库安全加固系统,针对核心商秘信息进行加密保护,基于主动防御机制,可防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、绕开合法应用系统直接访问数据库等行为,实现对数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能,从根本上解决数据库中核心商秘秘密数据泄漏问题。

事后深度追查:数据库审计技术

实时记录数据库操作行为,进行细粒度审计,对数据库遭受到的风险行为进行告警。通过对数据库访问行为的记录、分析,帮助用户事后生成合规报告、事故追根溯源,有效解决安全事件取证难的问题。

以上商秘数据库安全体系的防护主体不仅针对于中央企业,事实上,在与其他行业客户的交流中,安华金和安全团队的专家们发现,整个商业界都面临巨大的商秘数据泄露风险。由于运营成本有限、安全意识薄弱等方面原因,相当一部分企业对于数据库系统并没有采取全面、有效的保护措施,防护手段的升级远远落后于攻击技术的演进,仅仅局限于边界安全网关、防病毒、防入侵、内网防泄漏系统等传统安全技术已不能满足对于核心数据库的安全防护。皮之不存,毛将焉附,商业机密是企业的无形资产,关乎企业稳健经营和经济效益,一旦落入敌手,企业在市场竞争中将直接丧失话语权。

回首央企商秘数据保护之路,力拓间谍门成了一座里程碑,而今此案告破六年之际,数据安全的警钟依然长鸣。


作者:安华金和 宣淦淼

来源:51CTO

相关文章
|
4月前
|
人工智能 自然语言处理 API
OpenClaw定时任务全攻略:阿里云/本地部署、API配置+Cron实战与多场景自动化
2026年,OpenClaw(曾用名Clawdbot)的定时任务功能已成为实现自动化办公、信息同步的核心能力之一。通过内置的Cron调度引擎、Heartbeat心跳机制,结合灵活的多端推送通道,用户可轻松实现每日财经新闻推送、定期报告生成、系统巡检等自动化场景,无需手动触发,让AI智能体真正成为“全天候高效助手”。本文结合2026年最新技术实践,完整拆解阿里云及本地MacOS/Linux/Windows11部署OpenClaw的详细流程,详解阿里云千问与免费大模型API配置方法,深度解析定时任务核心机制与实战案例,并附上全场景常见问题解答,所有代码命令可直接复制执行,助力用户快速搭建个性化定时
2604 2
|
7月前
|
缓存 Java Nacos
Java微服务架构实践:从搭建到优化的全流程指南
本文介绍Java微服务架构的搭建与优化,涵盖服务拆分、Spring Cloud生态、注册发现、配置中心、容错机制及性能提升策略,助力构建高效、稳定、可扩展的分布式系统。
|
数据采集 Web App开发 JavaScript
基于Selenium的Python爬虫抓取动态App图片
基于Selenium的Python爬虫抓取动态App图片
1098 68
|
5月前
|
存储 弹性计算 固态存储
阿里云香港服务器收费真相:轻量固定套餐,ECS按需计费更灵活
2026年阿里云香港服务器价格揭晓:轻量应用服务器低至25元/月(国际型,2核0.5G),ECS按需计费灵活——经济型e实例仅0.1382元/小时起;带宽、系统盘单独计费,支持CN2优化线路。新老用户同享爆款优惠,如99元/年ECS、199元/年u1实例等,实测省钱有门道。(239字)
|
9月前
|
机器学习/深度学习 人工智能 自然语言处理
如何准确检测AI生成内容?这三大技术是关键
如何准确检测AI生成内容?这三大技术是关键
1201 116
|
人工智能 前端开发 数据可视化
开发者为什么要选择低代码平台?附低代码工具选型与实施指南
本文为开发者详解低代码平台的选择与实施,涵盖选型要点、主流工具推荐及策略指导。首先分析为何选择低代码平台,适合需求多变、时间紧张或预算有限的项目。接着从业务、技术、用户三大需求维度,结合功能灵活性、可扩展性等5大评估点,提供科学选型方法。盘点了织信Informat、OutSystems等十大热门平台,满足不同场景需求。实施阶段强调培训、渐进部署与数据治理,同时提醒避免过度依赖供应商、忽视体验等常见陷阱。助开发者高效低成本达成目标。
|
Windows
Windows系统云服务器配置多用户登录
本教程介绍了在Windows云服务器上配置远程桌面服务的详细步骤,包括安装桌面会话主机和远程桌面授权、允许多用户远程连接以及配置新用户并加入远程桌面用户组。通过添加角色和功能、设置组策略以及管理用户权限,实现多用户同时登录和远程访问。按照指引操作,可顺利完成服务器的远程访问配置,提升管理和使用效率。
2009 0
|
SQL 存储 关系型数据库
计算效率提升 30 倍、存储资源节省 90%,雨润集团基于 Apache Doris 的统一实时数据仓库建设实践
数字化转型的浪潮中,高效准确的数据分析能够帮助雨润集团快速洞察市场动态、优化供应链管理、提高生产效率。雨润集团引入了 Apache Doris 构建了统一实时数据仓库,实现了计算效率提升 30 倍、存储资源节省 90%、成本降低超 100 万、人员效率提升 3 倍,为智能化、高效化转型指明了方向。
599 1
计算效率提升 30 倍、存储资源节省 90%,雨润集团基于 Apache Doris 的统一实时数据仓库建设实践
|
NoSQL 数据处理 MongoDB
MongoDB查询操作深度剖析
【4月更文挑战第30天】本文深入探讨了MongoDB查询操作,包括查询语法、优化及高级技巧。使用`find()`方法进行查询,如`db.users.find({ age: { $gt: 25 } })`找年龄大于25的用户。优化查询性能涉及创建索引、使用复合索引和避免全表扫描。高级查询涵盖聚合管道、文本搜索和地理空间查询,提供复杂数据处理和地理位置查询能力。理解并应用这些知识能提升MongoDB的使用效率和应用性能。
|
算法 Ubuntu Java
数据包完整性校验总结
为了保证分发的数据包的一致性,常常需要增加数据包校验码,这样可以减少因为传递过程中造成的数据包不能使用问题,比如jar包的__invalid distance code__问题。在开始讨论数据包校验码生成方法前,先了解一下基本概念。 # 核心技术 ## 哈希 哈希是一种不可逆的映射,可以将数据经过哈希算法计算得到一个哈希值,而无法再将该哈希值反映射得到原始的数据。一般来说,不同的数据得到的哈
3488 0