【数据安全治理】之企业内部数据泄密渠道分析与应对

 近年，全球各地深受数据泄露事件的困扰，已造成数以万计损失。据《数据泄露损失研究》评估显示，遭遇数据泄露事件的公司企业平均要损失386万美元，同比去年增加了6.4%。面对如此严峻的数据安全形势以及2021年9月1日施行的《数据安全法》，如何有效地保障数据安全成为了众多企业的当务之急。

    从数据泄露的途径分析，数据泄漏主要分为三种：窃密、泄密和失密。结合各种实际情况分析，数据泄露的主要途径有以下几种：

【窃密】

攻击者主动窃密：恶意攻击者或外部竞争对手，基于经济利益或政治原因驱动，通过层出不穷的高超技术手段，窃取企业的各种重要数据。

【泄密】

离职人员泄密：由于权限管理疏忽等，离职人员在离职时有意或无意违规带走大量核心数据（专利著作及源码数据等）。

内部人员泄密：由于内部员工安全意识薄弱，数据安全分级不明确，操作失误，部分涉密人员无意中泄露数据；部分员工因情绪化报复、利益收买等主动泄露数据。

【失密】

权限失控失密：由于帐号生命周期管理不善，权限划分及认证鉴别方式失控，导致人员对数据的密级访问权限不对等，高密级数据流向低权限帐号，涉密数据流向无权限帐号等。

数据维护及处置失密：不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废，存储数据发生泄露。

信息发布失密：合作渠道商管理不善数据交互泄露，发布信息审核不当涉及密级数据泄露，信息数据流入未授权、竞争关系的第三方。

    基于以上三种数据泄露类型，那泄密的渠道那就太多了，具体举例如下：

• 将企业内部文档私自拷贝外带及复用泄密(USB/网络/即时通讯/刻录);

• 越权访问非授权数据泄密;

• 盗用他人账号及设备非法访问数据泄密;

• 伙同他人实现敏感数据跨安全域转移泄密;

• 通过打印机、传真机等将敏感数据进行介质转换泄密 ;

• 私自携带笔记本设备接入内部网络非法下载数据泄密;

• 对敏感数据的恶意传播及扩散泄密;

• 对核心应用系统的非安全接入及访问泄密;

• 不遵守管理制度的其他导致数据泄密的行为等。

• 移动笔记本、USB存储设备遗失或失窃导致数据泄密;

• 邮件或网络误操作、误发送等，数据的误用引起的泄密;

• 保密意识淡薄对敏感数据保管不当引起的泄密，如随意共享等;

• 感染病毒、木马后引发的敏感数据泄密;

• 将存放重要数据的机器、存储介质随意交与他人使用引发的泄密;

• 移动笔记本、USB存储设备和硬盘等维修、废弃时引发的泄密。

    以上列举的只是主动泄密和不经意的泄密，当然还有外发泄密、第三方泄密、外部攻击导致的泄密等等情况，太多太多了。

    如标题所示，我们就以企业数据内部泄密为主来谈一下。防止内部泄密的一般方式有：

• 教育员工，保护敏感信息不应该是安全和管理团队的责任，而是全体员工人人有责

    不要低估员工教育的力量。CoSoSys的研究显示，60%的员工不知道哪些公司的数据是机密的。因此，他们可能会意外泄漏或使用不当。让“保护数据安全”成为企业文化的一部分，保护敏感信息不应该是安全和管理团队的责任，而是全体员工人人有责，要给他们灌输数据保护的重要性和意义，把数据泄漏预防流程纳入总的工作流当中。同时也要对员工进行政策方面的教育。让他们懂得如何合理地保护公司的宝贵数据资产。如果违反了政策，DLP解决方案应当会阻止行为，并且告知员工的上司，以便采取合适的措施。

• 签署法律文件，可以一定程度上的防止员工主动泄密

    很多企业尤其是大型企业，在员工入职的时候，都会签署保密协议， 尤其是开发人员这样的涉密人员，通过这种方式，可以一定程度上的防止员工主动泄密，值得注意的是，协议中要明确商业秘密的范围、分类并划分等级，防止这“一纸约定”成为空谈。

• 文件透明加密，在外部电脑上使用是乱码或无法打开

    文件透明加密是一种比较常见的数据安全保护手段。不影响员工日常的操作，加密的文件只能在单位内部电脑上正常使用，一旦脱离单位内部的网络环境，在外部电脑上使用是乱码或无法打开。这样可以有效防止内部员工的主动泄密。这种方式尤其适合图纸、代码等科技研发型企业或者高新制造业。

• 第三方身份验证，能减少账号泄密的风险

    现在有许多基于标准且高度安全的身份验证产品可供选择，企业不需要为 用户名/密码构建自己的系统！这样的话，你的员工/客户等等就不需要一个个记住账号密码了，这样就能减少账号泄密的风险了。

• 禁用USB接口，这种方式可以有效防止恶意的数据拷贝

    企业可以通过禁用USB接口，这种方式可以有效防止恶意的数据拷贝，如果需要对外发送的话，需要经过审核后由专人拷贝出来再外发。但是这种方法不能算一个完美的方案，比如员工真想拷贝的话，可以直接开机把硬盘拿出来拷贝数据。其实说白了就是终端安全防护这块，禁用USB接口只是终端安全防护的一种，还有禁止打印、禁用光驱等等。

• 控制访问权限，业务系统白名单，只允许访问工作需要的业务应用，其他一律禁止掉

    业务系统白名单，这个算是比较严格的限制方式了。采用应用过滤，禁止掉所有的文件传输、网盘、邮件等。这个方案相对有效，但是不能排除通过未知的应用协议来传文件，而且会给日常工作带来一些不便。还是需要慎用的。

• 使用虚拟桌面，成本比较低，使用灵活，实现代码等数据不落地，减少泄密渠道

    虚拟桌面也是一种很流行的方式，很多研发型企业都在使用，它的成本比较低，使用灵活，可以快速响应企业和开发需求，比如企业规模扩大时，可快速实现资源配置和扩展。最重要的是，数据都集中在服务器上，开发人员的终端不再保存数据和存储，实现代码等数据不落地，对于企业来说，不仅仅是便于管理了，而且更能保障信息安全。

• 实施网络隔离，这个算是目前最流行的方式了，可以有效防止内部核心代码数据泄露

    这个算是目前最流行的方式了。绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离，将内部数据“困在”内网，同时也能够有效屏蔽外部网络攻击的风险。较大规模的企业还可能对内部网络实施进一步的隔离，比如划分为办公网、研发网、生产网、测试网等，主要用来屏蔽不同部门、不同业 务之间的违规数据交换。通过网络隔离的方式，可以有效防止内部核心代码数据泄露。

• 特殊部门不允许进行文件外发，如果需要发送的话，需要经过审批后，由专人进行发送

    比如研发部门或者财务部门这种，核心和敏感数据较多，不允许他们直接的对外发送文件，如果需要发送的话，需要经过审批后，由专人进行发送。这种方式比较麻烦，而且前提是对这些敏感部门的权限做好管控，比如不能连接互联网、不能拷贝等等。

 

• 监控电脑的文件外发动作，一旦产生外发动作，就会给管理员发出警报

    这个就需要有带有监控功能的软件了，可以监控到每个人的电脑操作行为，一旦产生外发动作，就会给管理员发出警报。但是这种方式，会给员工带来一定的心理压力。而且员工在工作中难免会需要外发文件的，如果是合规的外发的话，不停的警报也会给管理员带来一定的困扰。

• 加水印，防止通过拍照、截屏、打印的方式泄露信息

    给文件加水印是常见的一种宣示版权的方式。像Office、WPS都自带加水印功能，能够给文档加上“保密”、“严禁复制”这样的水印。还有一 种就是防泄密的水印了。以桌面水印的形式在终端计算机桌面上显示，可通过文本、点阵、二维码等不同形式将使用终端相关信息投射到终端计算机桌面上，防止 通过拍照、截屏、打印的方式泄露信息。

• 透明加密，对文件的透明加密同样适用于外发的场景

    采用文件加密后，文件只能在安装了加密软件的电脑上打开。可以对外发的文档进行管控，比如外发出去后控制下载次数、不能打印等等，可以有效的对数据安全进行保护，防止二次泄密。

    除了以上这些常见的方式外，构建一整套数据安全治理解决方案，还需有更多针对人员，流程，技术的整合，借鉴一些方法论，可以更快速有效的推进企业数据安全治理，如Gartner 的数据安全治理框架  ID : G00351128给出了部分指引：

• 数据安全治理 (DSG) 是企业提高自身对数据风险和脆弱性的认识并加以控制的过程。

• Gartner 指出:“...数据安全治理是信息治理的一个子集，专门用于通过定义的数据策略和流程来保护企业数据(以结构化数据库及非结构化文件式形式)，并通过源自如DCAP、CASB及数据泄漏防护等产品的技术予以实施。”

• 企业在进行数据保护规划中，往往将DSG作为数据保护的前提。 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！