不久前，杭州市余杭区人民法院对一起“报复性”案件进行了裁定：被告人邱某因对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除，犯“破坏计算机信息系统罪”罪名成立，被判处有期徒刑二年六个月，缓刑三年，并依法赔偿被害单位经济损失。

这场“两败俱伤”的案件，不仅是一次对个人违反数据安全相关法律法规后果的真实展现，也对企业检视自身安全意识、安全管理与防护建设工作等方面的缺失和不足敲响了警钟。下面就让我们走近这起案件的细节，挖掘它背后蕴含的启示：
2018年4月，时任浙江XX网络科技有限公司技术总监的邱某被规劝离职。原本是一次看似寻常的人事变动，却在不满情绪高涨的邱某心中埋下了怨恨的种子并最终结成恶果。
2018年6月23日10时许，被告人邱某在位于杭州市余杭区的家中，利用其离职前已掌握的、前东家所使用的阿里云服务器及数据库账号密码，通过其本人的笔记本电脑进入该公司云数据库管理界面，对数据库索引和部分表进行了恶意删除，导致该公司为6万+用户提供服务的SaaS等计算机信息系统自当日10:21:59-13:47:13以及21:17:42-23:07:49期间无法正常运行，累计故障时间约5小时15分。
就是这短短的5个多小时，只为解自己心头的一时之气，让邱某面临着牢狱之灾的严厉惩罚；而作为被害的一方，邱某曾任职的这家网络科技公司，也并非毫无过错...
作为国内最大的云服务商，阿里云本身具备一定的基本安全策略，如果被害公司充分利用并正确配置了相关基本安全策略，想来邱某也不会如此轻易得逞。例如：数据库不应该直接暴露在互联网上，而应通过白名单功能，仅允许业务系统和指定的运维终端访问；在运维终端上，应该设有对应的权限控制，让员工通过私人电脑无法进行访问，更不要说是一个已经离职的前员工。可以看到，被害公司在数据安全方面存在几处明显问题：
1、缺乏必要的权限控制
邱某作为XX网络科技有限公司的技术总监，拥有云服务器和数据库的访问权限无可厚非；但根据最小化原则，邱某只需拥有对云资源的只读权限即可，且在离职前，其所掌握的这些公司账号和权限应被全部收回。而根据案件情况，以上几点安全工作显然没有得到XX公司的有效执行，在缺少对员工基本权限控制的情况下，风险便随之而来。
2、安全观念与法律意识淡薄
我们无法靠猜测确定，邱某在实施报复行动之前，是否预料到他的所作所为将会对公司和自己带来怎样的后果；但其最终选择跨越法律的红线，就足以说明一个问题——在一家企业中，如果连技术总监都这般缺乏安全观念与法律意识，遑论其他员工，而问题真的只出在个人么？
3、缺少必要的数据安全防护手段
根据案件情况可以发现，XX网络科技有限公司的SaaS服务是直接暴露在互联网上的。在这种情况下，即使没有邱某，也很可能会有公司内部其他的“内鬼”张某、赵某，或网络上的黑客李某、孙某等等，通过各种手段攻入公司数据库并实施破坏行为或窃取数据牟利。正所谓“凡事预则立，不预则废”，企业应早做准备以应对风险，未雨绸缪总好过亡羊补牢！
企业上云之后，IT环境和业务系统都发生了巨大变化，仅仅适应这些变化就要耗费很多精力，此时再面对各式各样的数据安全问题，单凭企业自身力量想要实现全面、高效、可靠的防护升级，在短时间内恐难理出头绪。为此，安华金和专门推出“云数据安全治理服务”，旨在帮忙企业快速提升数据安全防护水平。

安华金和云数据安全治理服务包括：数据安全评估、数据分类分级、数据安全方案设计三大部分，能够为企业逐步理清数据安全现状及数据资产情况，制定数据分类分级标准，并提供切实可行的数据安全解决方案：
1、数据安全评估
根据数据安全成熟度模型（DSMM）及数据安全治理理念，主要采用数据安全调查问卷、数据安全状况访谈、数据生命周期核心阶段风险评估等方式，对企业数据安全状况建立基本认知；同时，运用敏感数据识别、数据库漏洞整体检测等技术工具，对企业数据资产进行梳理；并通过政策法规对标、数据安全合规分析等方法，梳理企业在合规性上的现状。
综上，通过对数据使用的核心环节进行摸底，并对数据库进行抽样检查与资产梳理，帮助企业发现自身潜藏的问题，了解自身真实的数据安全状况，从而发现问题、改进问题。
2、数据分类分级
参考通用数据分类分级方法，结合国家及行业相关法律法规、政策指南和企业自身业务需求，与企业共同制定数据分类分级标准；根据分类分级标准，对企业数据进行分类分级操作；同时，验证分类分级标准的科学性和合理性，并在必要时对分类分级标准做进一步修正。通过对数据进行分类分级，帮助企业根据不同需求对数据资产（如一般数据、重要数据、敏感数据等）执行有针对性、有重点的防护措施。
3、数据安全方案设计
根据以上数据安全评估情况，参照数据分类分级标准及其结果，安华金和可有针对性的制定数据安全治理解决方案，推动企业的制度完善，并提供专业的技术支撑：
· 根据数据安全合规性评估结果及数据资产特征，制定切合企业实际的数据安全合规方案；
· 根据数据安全现状评估结果，结合客户的实际业务场景，制定切合客户实际的数据安全保护方案。
通过云数据安全治理服务，能够明显降低企业面临的数据安全风险，进一步提升企业数据安全防护与合规能力，从而减少由此造成的经济损失与品牌声誉影响，助力企业持续健康发展。