“刪庫跑路”、機密信息遭泄……遠程辦公趨勢下把控公司“數據命脈”，這一招你學會了嗎？

每經記者｜朱成祥    每經編輯｜梁梟 孫志成    

“生活不如意”，程序員“刪庫跑路”；幾行代碼，上市公司二十多億市值蒸發。這不是小說，而是遠程辦公環境下，IT運維人員給公司帶來真真切切的損失。

疫情之后，“遠程辦公”在全球爆發式增長，許許多多的傳統企業也開始了數字化轉型。同時，“遠程辦公”也給企業管理帶來了新的挑戰，即如何把數字安全握在自己手中。在企業數字化轉型大背景下，數據庫、數據資產的重要性愈發明顯。因此，就重要性來說，如今IT運維人員已堪比掌握公司資金流的財務人員。

對于握住“數據命脈”的IT運維人員，公司又應該怎樣有效約束呢？堡壘機便是方法之一。

“數據命脈”的重要性：員工惡意“刪庫”致2260萬損失

對于任何一個企業而言，數據安全的重要性不言而喻。然而當真正遭遇程序員“刪庫跑路”這種惡性事件時，有些企業的應對仍然是手忙腳亂。

2020年2月23日，港股上市公司微盟集團（2013，HK）一位IT運維員工賀某因“生活不如意、無力償還網貸”等原因，在其個人住所通過電腦連接公司虛擬專用網絡、登陸公司服務器后執行刪除任務，4分鐘便將微盟服務器內數據全部刪除。

“刪庫”的后果是，300余萬用戶無法正常使用微盟SaaS產品，故障時間長達8天14個小時。截至2020年4月30日，造成微盟支付恢復數據服務費、商戶賠付費及員工加班報酬等經濟損失共計2260余萬元。

賀某是惡意“刪庫”，給公司帶來巨額損失。但IT運維人員為了方便工作的無心之舉，也可能嚴重干擾公司正常經營。2018年12月，Z醫院發現門診繳費和叫號都出了問題，進入數據庫后發現“一條命令”不屬于正常語句，該命令導致醫院HIS系統內掛號信息表被鎖定。

該醫院HIS系統由北京某公司運營維護，該命令來自這家公司員工夏某某。事后查清，夏某某并非有意為之，而是為了方便工作，私自記錄了HIS系統賬號密碼。其后，又在未經授權或許可的情況下，私自編寫了“數據庫性能觀測程序”和鎖表語句，并利用賬號密碼將該程序私自連接到Z醫院HIS數據庫，從而導致上述情況。

該事件暴露了兩個問題，一是授權問題，北京某公司在網絡層面、權限層面都沒有做限制，導致夏某某可以隨意地連接客戶的數據庫。其次數據庫密碼沒有進行針對性保管、并且沒有定期改密機制，夏某某可以輕松得到密碼，從而拿到打開數據庫的“鑰匙”。

保護數據資產可配備堡壘機

不管是微盟事件，還是Z醫院事件，運維人員均可以輕松訪問重要資源所在的資產。而如果配備安全性能較完善的堡壘機，則可以從源頭上解決這一問題。

手機廠商A公司“優購碼”被運維人員盜取就相當具有代表性。A公司運維人員聶某在未經公司授權批準的情況下，從數據庫中提取以加密文本數據形式的“優購碼”，并使用在工作中從研發部門一同事處獲得的解密軟件解密成“優購碼”明文后，利用“優購碼”的優惠信息低價購買A公司手機產品，然后通過閑魚、微信等軟件將全新未拆封手機加價轉賣獲利。

可以看出，在此過程中聶某沒有遇到授權問題，密碼問題也被從同事處獲得解密軟件而破解。而使用了堡壘機，聶某壓根就沒有權限去訪問服務器、數據庫，即控制他訪問。此外，即使聶某取得了權限，也限制他進行上傳下載。即堡壘機就像一道檢測門，危險的物品帶不進來，公司的核心數據資產、機密信息也帶不出去。

堡壘機另一大功能在于托管密碼。上述三個惡性事件，密碼都被違法人員通過各種手段取得，從而取得進入資產的鑰匙。堡壘機托管密碼后，密碼既不需要人來記，也不用人來管，想要使用密碼就必須經過堡壘機的認證授權。經過認證授權后，才給運維人員提供一個小按鈕，通過堡壘機連接對應資產。

此外，堡壘機本身還會定期改密，即使運維人員得到之前的密碼，可能下一周密碼就換掉了，得到了密碼也沒用。

對于“刪庫”、資產被無限制的訪問以及數字資產被盜取，企業已經如何預防呢？這就必須得提到身份驗證。

身份驗證是雙因子認證的，既需要密碼，也需要出具動態認證方式，比如短信驗證碼之類。這么做的目的，就是為了嚴格保證運維人員的身份，防止賬號被盜用。

身份驗證之后，便可以有效進行權限管理。確定運維人員的種類，從而分配不同的權限。比如普通的運維人員有哪些權限，高級管理人員擁有哪些權限。對于“刪庫”這類平時運維過程中完全不會使用的命令，堡壘機根本就不會給運維人員這種權限。

假如運維人員需要更高的權限以維護數據庫，那需要走工單提交領導審批，工單中說明該權限使用時長。比如時長為一個小時，那么，一個小時后權限就會收回。如果運維人員需要獲取資產密碼進行相關操作，也可通過工單進行獲取，工單到期后，密碼被收回并自動觸發改密操作。并且，在運維人員維護操作期間，堡壘機也會全程錄像，以便進行事后的追蹤溯源。

事實上，現實中也存在相關盜取、修改數據庫數據給公司造成損失，但是找不到責任人的情況。通過身份驗證、權限控制、工單審批以及全程錄像，可以完整地做到權責明晰。

行業數據概覽

9月和10月境內計算機惡意程序傳播次數每周呈下降趨勢，9月總計27384.6萬；10月總計21739.2萬，整體較9月減少20.6%。

?

在境內感染計算機惡意程序主機數量上，10月有535.2萬，比9月454.1萬上漲17.9%。

?

境內被篡改網站總數上，10月有10107個，比9月的10604個略有減少；但是其中政府網站數量上，10月有49個，較9月增多13個，政府網站面對的攻擊略有增長；

?

10月境內被植入后門網站總數每周呈下降趨勢，累計4592個，較9月略有上漲；針對境內網站的仿冒網頁數量，10月有849個，9月657個，上漲29.2%。

?

10月的信息安全漏洞數量有1295個，較9月的1924個下降32.7%；其中高危漏洞數量上，10月較9月也降幅明顯，下降38.6%。每月都有漏洞利用的事件頻發，針對安全漏洞問題，一定要在正規途徑下載應用，并及時更新，不可大意。

安全漏洞對A股上市公司影響分析：

上市公司受到應用漏洞的影響仍舊嚴峻

本次安恒信息對4115家A股上市公司進行了CVE安全漏洞影響分析，其中153家A股上市公司受到共137個CVE安全漏洞影響，面臨著網絡安全風險，占比3.72%。

?

截至2021年10月的統計結果顯示，A股上市公司累計受到CVE安全漏洞影響的行業分布中，占比最高的5個行業分別是工業（25.49%）、信息技術（24.18%）、可選消費（16.34%）、材料（11.76%）、醫療保健（8.50%）。

據2021年10月統計，如下20個CVE安全漏洞對企業影響最大：

其中15個漏洞為2016年到2020年提交的，并且較多為2017年提交的漏洞，表明相關上市公司安全意識與對漏洞的重視有待提高。

?

據2021年10月統計，受CVE影響的153家上市公司，分布集中在華東、華北、華南及大部分省域中心城市，可見CVE的分布與我國的信息化發展水平聯系較為緊密。其中CVE影響數量最多的5個省份（自治區、直轄市）為浙江、江蘇、廣東、上海、北京，這也是數字化轉型較為典型的地區。

在受影響的CVE漏洞中，以應用漏洞居多，占比達到75%以上。其中大部分漏洞來自于Apache和Ngnix。

?

通過分析，我國上市公司中，應用安全仍然是漏洞重災區，且存在大量2017年提交的漏洞。隨著我國《網絡安全法》的出臺及等保2.0的施行，相信應用安全的漏洞影響將會持續降低。

在此背景下，每日經濟新聞聯合網絡信息安全領域上市公司安恒信息（688023，SH），采用國家互聯網應急中心權威數據，結合最新的安全形勢，收集剖析國內外網絡安全信息數據，每月發布網絡信息安全月報。這是業內第一份涵蓋所有A股上市公司的網絡信息安全報告，旨在借助專業解析，讓企業、民眾進一步認識網絡攻擊行為，更好地保護自身隱私和數據資產。

此份網絡信息安全月報主要包括行業重點資訊、行業安全數據概覽以及上市公司安全動態。重點關注應用漏洞等對企業、個人的安全威脅，并提供應對之法。

掃描二維碼或點擊「閱讀原文」開啟安全IT運維之路：

記者| 朱成祥

?編輯|梁梟?孫志成?王嘉琦

視頻編輯|鄭得銳

校對| 段煉

｜每日經濟新聞 ?nbdnews??原創文章｜

未經許可禁止轉載、摘編、復制及鏡像等使用

如需轉載請向本公眾號后臺申請并獲得授權

“每經AI品房”小程序正式上線，

全國297個地級城市100萬個樓盤小區，

樓市資訊與樓盤分析智能獲取！

德爾塔毒株全球大流行，點擊下方圖片或掃描下方二維碼，查看最新疫情數據↓