央视新闻 7小时前
外包运维人员下载核心数据提供给间谍被抓 国安部门披露
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_font3.html

 

记者从国家安全部了解到,随着数字政务、智慧办公的深入推进,为提升工作质效,越来越多的单位选择第三方外包服务开展系统运维、数据归集、信息整理、平台保障等工作。在实际运行中,个别单位和个人存在监管弱化、思想松懈等问题,简单将业务、数据、权限一并交给服务承包商,当起了 " 甩手掌柜 "。殊不知,这种缺乏有效监管的粗放模式,可能引发系统性安全风险。

权限放任,事故多发

近年来,国家安全机关与有关部门先后通报多起 " 数据外包 " 失泄密的典型案件,暴露出部分单位重业务推进、轻安全管控,重服务效率、轻风险防范的问题,应引起高度重视。

案例一:国家安全机关工作发现,某科研单位将实验数据库运维外包给第三方企业,但未建立驻场人员背景审查、数据调取留痕等安全防范机制。一外包运维人员受境外间谍情报机关利诱拉拢,利用远程运维权限下载海量核心科研数据,跨境提供给境外间谍情报机关,后被国家安全机关抓获。该科研单位相关责任人员也被依法追责问责。

案例二:最高人民法院公开案例显示,某公司在为某医院提供 " 数据外包 " 服务过程中,暗中从后台收集该医院挂号用户相关个人信息,并导入公司自建数据库,数据去重后合计 28 万余条。涉事公司已构成侵犯公民个人信息罪,被依法惩处。

案例三:公开案例显示,某机构将门户网站外包给第三方公司建设维护,却未建立安全管理制度,仅 " 一托了之 "。该公司未落实基本网络安全防护措施,未修复已知漏洞,未履行风险告知义务,将存在安全隐患的系统交付上线后,遭网络攻击并被植入违法内容,造成不良影响。涉事双方均被依法责令限期改正。

" 数据外包 " 风险高发点  

综合相关案例来看,各类 " 数据外包 " 失泄密风险点高度趋同,主要集中在准入把关、权限管控、闭环管理三个方面。——准入把关不严。对服务商资质、股权背景、安全信用、从业人员背景审查流于形式,将服务外包给问题企业、问题人员,放大了失泄密风险。

——权限管控松软。未实行 " 最小授权 ",过度下放数据查询、下载、导出、远程运维等权限;未严格落实操作日志、访问审计、离岗注销等要求。

——闭环管理缺失。缺少专项保密协议、数据安全条款,项目结束后未严格核验销毁数据、回收权限、清退人员,导致数据长期被第三方留存。

筑牢 " 数据外包 " 的安全防线

《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规明确规定,数据服务委托第三方处理,必须通过合同明确处理目的、期限、方式、数据范围、保护措施及双方责任义务。委托外包不免除发包单位数据安全主体责任,发包单位应严格落实外包管理各项合规要求,坚决守住数据安全底线。

——关口前移。委托涉密数据处理应坚持 " 安全为先、合规准入 " 原则,建立严格的外包服务商准入审查机制,不仅要审查合作企业保密资质、安全能力,更要对从业人员进行背景核查。对涉密 " 数据外包 " 项目开展专项安全评估,从源头上隔绝 " 带病上岗 "。

——严管权限。严格执行 " 最小权限 " 原则,按需授权、分级赋权,关闭批量导出、全量下载等高风险功能。所有数据访问、运维操作全程留痕、定期审计。严禁外包人员使用私人设备、外网终端处理内部数据。

——压实责任。委托数据处理应当建立全流程数据安全管理制度,明确外包数据边界、操作权限、流转范围,严禁越权访问。合同中需细化保密责任、追责条款,压实甲乙双方安全主体责任。

——闭环管理。服务到期或项目结束后,必须监督第三方彻底销毁全部缓存、备份、中间数据,回收全部账号权限,出具数据销毁证明,形成闭环台账存档备查。

数据安全无小事," 数据外包 " 应尽责。如在 " 数据外包 " 过程中发现危害国家安全的可疑线索,请及时通过 12339 国家安全机关举报受理电话、网络举报受理平台(www.12339.gov.cn)、国家安全部微信公众号举报等受理渠道或者直接向当地国家安全机关进行举报。

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

一起剪

一起剪

ZAKER旗下免费视频剪辑工具

相关标签

网络攻击 国家安全 个人信息 数据库 最高人民法院
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论