党建
2022年4月12日,一则华为员工利用系统Bug越权访问机密信息并倒卖第三方,导致采购信息外泄并最终获刑的消息冲上了热搜。
据中国裁判文书网《刑事裁定书》显示,涉案人员易某于2006年12月至2018年3月期间在华为技术有限公司(以下简称“华为公司”)任职。因工作需要,易某拥有登录华为公司ERP系统的权限,可以查看工作范围内相关数据信息。
2010年12月,易某从华为公司线缆物控部调任后,未按华为公司的要求将ERP账户线缆类编码物料价格的查询权限清理,至2017年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。此后,易某又发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,其中包括线缆物料的价格信息。
易某取得相关信息后,将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知供应商深圳市金信诺高新技术股份有限公司(以下简称“金信诺公司”),从而帮助金信诺公司在华为公司的招标项目中提高中标率。
经查,易某在2016年12月27日至2018年2月28日期间,多次通过邮箱“yihxxx@huawei.com”将华为公司多个供应商共1183个(剔除重复部分共918个)线缆类编码物料的采购价格发送给金信诺公司。
本案中,易某仅收受了金信诺公司价值共计人民币一万六千余元,同时也取得了华为公司出具的谅解书,但由于违法所得超过人民币5000元,属于情节严重,已经构成非法获取计算机信息系统数据罪,最终易某被判处有期徒刑一年,并处罚金人民币二万元。
素材来源:中国裁决文书网
员工岗位发生调整后,账号功能权限未及时进行相应调整,超出实际需求,增加了信息泄露的可行性;
公司未设置严格的登陆访问控制,使员工能通过借用他人账号登陆的方式获取敏感信息;
对第三方程序管控不到位,未能有效限制小程序对ERP系统数据库的访问及查阅权限;
敏感信息外发控制不足,缺少加密及预警分析功能,造成在1年多的时间内未能发现信息外泄。
针对上述问题,公司应当完善其信息系统一般控制措施,建议从以下几方面提升:
1合理配置访问权限,做好岗位调动交接工作
第一,自主访问控制(DAC)。用户有权对自身所创建的文件、数据表等访问对象进行访问,并可将其访问权授予其他用户或收回其访问权限。这种基本属于较为宽松的控制策略,适用于非敏感性资料。
第二,强制访问控制(MAC)。每个用户及文件都被赋予一定的安全级别,只有系统管理员才可确定用户和组的访问权限,用户不能改变自身或任何文件、数据的安全级别。强制访问的特点就是用户和文件都会被标注安全标签(如绝密、机密、秘密、普通),并设置用户与文件的关系,如当一个用户创建或者删除文件时,他的安全级一定不能高于文件父目录的安全级,否则可能造成无可挽回的损失。
比如,去年网传字节跳动公司由于系统强制访问控制(MAC)配置不当,导致实习生不慎删除了几乎所有GB大小以下的机器学习模型,且无法被恢复。
第三,基于角色访问控制(RBAC)。就是用户通过角色与权限进行关联,所有的授权直接给予角色而不是直接给用户或用户组。同时也依据使用最小特权的安全原则,即仅授予每个用户执行任务所需的特权,信息安全性也较高。依据案例提供信息,华为公司ERP系统的账号管理应该就是基于角色访问的控制。
但是,在员工岗位内部调整时,人事部门应及时将相关信息传递至信息管理部门,相关系统管理员依据员工调岗情况及时调整账户系统权限,撤销其原岗位权限,并重新赋予其新岗位权限,确保其岗位权限的恰当,防止敏感信息不必要的传播。
2设置必要的登陆控制手段,强化安全意识的培训
第一,对于采购岗、资金岗等敏感岗位应通过绑定终端设备的IP地址、限制登陆时间(如非工作日不得登陆)、限制VPN访问渠道来控制不当登陆。
第二,公司对于存在异常登陆的情况还应在后台设置预警,当某账户频繁在不同IP地址、MAC地址登陆且操作行为存在异常(审核时间过短、快速登陆导出数据)时,系统可自动识别提出预警,系统管理员根据预警信息反馈至内审部门进行调查。
第三,强化内部培训机制任然是防范此类风险的最佳手段,建立明确的责任追究机制,强调严禁共享账号的使用,以及向员工宣贯出借自身账号可能导致的严重后果。
3开展数据安全能力审查,严格把控第三方程序接入
第一,按照《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)开展数据全生命周期评估,包括但不限于数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等。开发人员应当开展必要的渗透测试,提前发现数据泄露、窃取、篡改等安全风险。
第二,企业还可建立源代码审计工作,通过分析审核小程序的开发文档和源代码,对程序中存在的不合理业务逻辑和安全漏洞进行检测,并对发现的安全漏洞进行人工验证,给出有效的整改建议,充分挖掘当前代码中存在的安全缺陷,同时减少因开发人员不规范的工作习惯导致的安全问题,有效的提高小程序代码层面的安全性。
4采用数据加密手段,规范文件外发控制
第一,对敏感信息加密处理,使“窃密者”即使得到信息也无法轻易获取数据。
第二,公司在系统后台设置防导出、防截屏功能,如果有员工在未经授权的情况下对数据进行导出或截屏,后台将直接冻结员工账号权限。
第三,做好文件外发的控制,包括文件外发途径限制(如不可通过聊天软件、网页等方式外发)、文件外发地址限制(如部分岗位不可联系供应商、客户等)、文件透明加密控制(加密的文件只能在该局域网下正常使用,员工私自打开文件后为乱码)、邮件敏感性内容预警(设置邮件主题或内容包含某些敏感关键字时,限制邮件发送,如银行账号和密码、财务报表、技术资料等)等手段。
启 示
在数字化浪潮席卷各大企业的当下,数字安全也逐渐成为了一个热门话题。企业管理者应当对信息系统风险所造成的严重后果高度重视。如果对信息系统内控漏洞缺乏必要的管控手段,很可能会导致偶发风险事件发展为系统性风险事件,对企业造成高额的损失。
因此,做好信息系统的开发控制,合理配置各岗位的访问操作权限,增加必要的数据防泄密手段,及时评估企业系统的数据安全水平并不断改进,才能更好的为企业数据安全保驾护航。
作者:韩易桥
97046009
