案例背景
去年下半年,南方某市政府政务服务平台的运维外包服务人员小陈,在例行系统维护时发现了一个有意思的事情——他在服务器上执行了一个数据查询脚本,居然能直接读取到平台后台数据库中储存的全部业务数据,包括企业注册信息、法人代表身份证号、联系方式以及审批文书的完整内容。按照合同约定,外包运维人员仅应拥有服务器层面的系统级操作权限,不应该能直接访问业务数据库。但这个政务平台在建设初期为了方便开发调试,给运维账号配置了过高的数据库权限,系统上线后也没有进行权限回收和梳理。小陈利用这个权限,断断续续地将数万条企业登记信息下载到了自己的笔记本电脑上。起初他只是出于好奇,想看看这些数据到底包含什么内容,后来在跟做企业咨询的朋友聚会时,对方提到如果能获取一些企业信息开展电话营销,愿意出钱购买。小陈于是分批次将手中的数据卖给了三家不同的商业公司,几个月内牟利十余万元。半年后,一家购买了数据的企业在电话营销时被接听者举报,市场监管部门顺着线索追查到了数据来源,最终锁定了小陈。由于被泄露的数据涉及大量企业核心登记信息,事件定性为重大数据安全事件,小陈被依法追究刑事责任,涉事的外包公司被取消了该市政府的服务商资格,政务服务平台的主管部门也因管理失职受到了行政处分。
风险分析
外包人员的权限管理是当前政府和企业信息化建设中的一块突出短板。在实际操作中,很多项目为了赶工期,往往在系统建设阶段为外包人员开通了过高的权限,上线后又缺乏系统性的权限复核和回收流程。外包人员流动性大、管理标准参差不齐,相比内部员工更难以进行持续的安全教育和行为监督。更关键的是,外包人员在项目结束后仍然可能保留对系统的访问能力,如果不在合同终止时及时回收所有凭证和权限,这种残留的访问路径就是一条随时可能被触发的泄密通道。从技术管理角度来看,这个案例暴露了三个方面的问题。一是数据库权限没有按照最小化原则配置,运维账号的业务数据访问权限明显超过了正常工做的需要。二是缺少操作审计措施,数万条数据被下载却没有触发任何告警,说明数据防泄漏系统根本没有覆盖这台服务器的数据流出路径。三是外包合同中的信息安全条款形同虚设,没有明确禁止外包人员将工作数据带离工作环境,也没有约定违反后的具体追责措施。
警示与建议
政府和企业单位在使用外包服务时,必须将数据安全管控贯穿于外包服务的全生命周期。在合同签署阶段,明确约定数据保密义务和违约责任,要求外包公司提供其内部数据安全管理制度并作为合同附件。在项目实施阶段,严格遵循最小权限原则配置外包人员的系统权限,任何超出日常运维需要的权限开通都必须经过业务主管和安全部门双重审批,并设有有效期。在上线运行阶段,定期审计外包人员的操作行为,对批量数据导出、非工作时段访问等异常行为进行监控和告警。在外包合同终止时,必须完成账号回收、权限清除、访问凭证吊销等一系列操作,并出具数据清理确认书。北京企密安在为多家政府和大型企业提供数据安全治理服务的过程中,专门设计了针对外包人员管理的安全管控模块。这个模块的核心思路是把外包人员视为与内部员工同等级别的安全管控对象,从合同管理、权限管理、行为审计到合同终止后的清理,每一个环节都有标准化流程和技术工具支撑。我们的实践表明,外包人员相关的数据泄露事件,百分之九十以上可以通过规范的管理流程和技术手段有效预防。
