企业防止数据泄露，“内部员工监守自盗”是重点

随着数字经济的快速崛起，万物互联、企业个人数据等趋势的不断推进，数据已经成为最有价值的资产之一。然而，数字经济迎来新发展机遇的同时，数据泄露事件也在持续高频发生。

对于企业表示来说，目前的市场竞争很大一部分与数据所有权的竞争有关。数据收集规模大的公司通常拥有大量覆盖各个领域的移动应用。例如，腾讯开发了516个移动应用程序，使其能够在安全、社交、新闻、音乐和游戏等许多领域的数据收集中发挥优势。是的，表示，数据保护关系到整个公司的生存。

但是，企业数据泄露事件通常是由组织内的员工或领导引起的。如何应对这种“内鬼”数据泄露已经成为企业网络安全的难题。

如何防止企业内部数据泄露？

事实上，个人信息和数据的安全问题早已司空见惯。数据安全是数字经济发展的重要基础。各类线上服务，包括电商、出租车出行、人脸支付等。都与用户的个人信息紧密相连。一旦数据墙被攻破，公民信息将失去保护，各种违规行为随之而来。

近年来，国家相继出台了一系列保护公民信息安全的法律法规。行业内公司不断完善用户数据安全的“墙防护”，相关部门和个人对相关违法违规行为的监管和举报也在不断加强。但这仍然没有阻止堡垒从内部被攻破。

近年来，内部人窃取数据和非法销售的事件屡有发生。比如，特斯拉，前成员工马丁特里普窃取“数十张关于特斯拉"制造系统的机密照片和视频。张晓浪， 苹果公司前员工，在参与无人驾驶汽车项目时，凭借职务之便，通过“广泛的内部安全和机密数据库访问权限”非法获取大量机密数据信息；台积电担任技术副总裁10年，非法窃取保存机密研发16纳米、10纳米等机密文件。

内部人员监守自盗并非罕事。从希拉里克林顿， 斯诺登，“鬼门关”到SWIFT、泰国自动取款机，大部分都是“自己人”在捣乱。根据波洛蒙研究院的调查，内部员工的无意行为是最常见的内部威胁形式，占数据泄露事件的64%，而外部攻击仅占数据泄露事件的23%。

“内鬼”造成的数据泄露几乎已经跨越了所有生产生活行业。在教育培训行业，很多家长被教育培训机构的销售电话骚扰。这些教育培训公司为了拓展业务，铤而走险，在接收学生后非法获取家长个人信息。在家装、房产中介、房地产开发行业、酒店行业，无锡倒卖公民信息的案例令人印象深刻：2020年3月19日，某装修公司营销人员李某，在网上聊天群买卖无锡多个小区业主个人信息，转卖公民信息500多万条，涉及建筑物名称、业主姓名、身份证号码、电话号码、楼号、房产面积等敏感私人信息。

但最严重的问题是银行业、保险业等金融业。银行是人们最依赖的机构之一，但也是各种“内鬼”的滋生地。“暗网”泄露的个人信息中，超过60%来自金融行业。

日前，《经济参考报》记者从某证券机构获得了一张资本超过50万元的优质股东信息页面截图。页面显示有25969条数据，定价168美元，包含姓名、开户证明号、性别、年龄、产地、手机号、浮动盈亏等9个数据维度。

根据国家计算机信息安全评估中心的数据，重要信息被黑客窃取和内部员工不当泄露的比例为1: 99。消费者黄金协会咨询了几位询问流水的黑产品从业者。有人说“数据来源于银行后台，可以打印出来。”

一位曾经在商业银行担任一线柜员的员工也表示，自己银行的柜员可以在一段时间内随意查看客户的交易流程，无需授权，只需进入后台系统即可。河南理工大学对郑州商业银行300名客户经理进行了问卷调查，结果显示：

60%以上的客户经理所在银行没有建立客户信息保密制度，不知道客户信息的范围；70%的客户经理认为银行的客户信息保密制度过于原则性，没有覆盖客户信息收集、整理、推广和使用的各个环节；90%的客户经理认为客户信息主要掌握在客户经理手中，所在银行没有统一的保护措施，工作调动可以随意带走客户信息，没有任何限制措施。

是的，表示，在任何行业，信息安全管控不严，都为“内鬼”泄露个人信息提供了天然的土壤。如何应对这种“内鬼”数据泄露成为摆在企业网络安全面前的难题。

拒绝“内部人员窃取数据”

据不完全统计，我国个人信息泄露约有55.3亿条。平均每个人都有4条相关个人信息泄露，车辆、房产、地址、职业、年龄、电话、身份证信息等频繁在黑市流动。

国内知名信息安全团队“雨攻集团”在去年10月份发布报告称，一年半时间，多达8.6亿条个人信息数据明码标价出售，个人数据基本裸奔。大量数据被窃取，给用户的个人信息安全带来极大的风险和隐患。近年来，国家相继出台了一系列保护公民信息安全的法律法规。行业内公司不断完善用户数据安全的“墙防护”，相关部门和个人对相关违法违规行为的监管和举报也在不断加强。

即便如此，个人信息泄露事件仍时有发生。由此可见，保护个人信息数据安全，不仅需要法律法规的保护和技术力量的支持，还需要相关企业安全意识和责任意识的提高，行业从业人员基本的职业素养和职业道德，舆论监督视角的拓展。

一方面，需要确认企业对客户数据泄露事件的责任。也就是说，公司的“内鬼”、黑客的外部攻击等造成数据泄露的情况后。企业应该承担责任，因为它对数据负有安全责任。虽然从目前的实践来看，数据泄露事件发生后可能很难找到相应的责任人，作为数据管理者的企业很容易找到，用户可以要求数据管理者承担责任。

《国家网络安全法》明确规定，网络经营者应当按照网络安全等级保护制度的要求履行安全保护义务，保护网络不受干扰、破坏或者未经授权的访问，防止网络数据被泄露或者被窃取、篡改。也就是表示，虽然企业也可能是数据泄露的受害者，但如果不履行企业网络安全保护义务，仍然要承担包括行政处罚责任在内的法律责任。

法律责任的确认将有助于企业更加重视内部数据安全控制，防止数据从内部被窃取。惩罚机制的存在让企业感受到危机，然后才会真正重视数据泄露，彻底清除“内鬼”。比如在国外，企业在泄露用户信息后将面临天价罚款。2019年，脸书因用户信息泄露被罚款50亿美元。

另一方面，在大数据时代，要从根本上解决信息泄露问题，还需要依靠先进的技术建立可信的身份认证系统、安全态势感知、先进的威胁终端监测和应对等。

从可信身份认证体系来看，身份认证与业务场景密切相关，不同场景对身份认证的力度有不同的要求，包括身份管理、访问管理、高级认证、身份威胁分析、特权账户管理、堡垒垒球机、互联网访问认证、网站统一认证等方面。

防范“内鬼”最常用的方法是“4A”，通过对it系统的账户、认证、授权、审计进行统一集中管理，解决“何时”、“何地”、“何事”、“何人”、“如何”等问题。安全态势感知可以利用人像、上下文感知、威胁情报、专业操作等技术和服务，实现内部威胁发现的高命中率。并智能地与安全保护设备协作进行实时控制。人的自学习安全基线驱动灵活授权，实现事后、事中、事前的自动智能控制。

高级威胁终端监控和响应就像是终端行为记录的高清摄像头，可以将内核状态和用户状态的详细记录汇总到服务器进行关联分析和高级查询。

此外，在个人隐私和信息泄露的可能环节中，信息要通过技术匿名化，只能通过系统识别，不能通过行为人识别。例如，安企神软件系统数据加密系统(DEM)是一种主动预防数据泄密技术，旨在通过对企业内部数据加密保护，限定加密数据运行在指定网络环境内，非法拷贝或外发公司文件，将无法打开使用；同时保持用户执行业务流程的能力，从而防止用户滥用盗取敏感数据。

最后，对于员工来说，利用职务之便侵犯用户权益，不仅会伤害到自己赖以生存的行业和企业，也会伤害到自己。无论是为了企业的长远发展还是个人的进步和成长，员工都要始终坚持用户信息安全优先。

显然，数字经济的长治久安，不仅有赖于不断完善的法律法规、不断提升的科学技术、严格彻底的市场监管，更有赖于每个企业和组织根据自身条件设计合适的培训方案、安全应急处置方案和法医分析方案，而不是因为潜在的安全问题而拒绝“内鬼”在这个温床上肆无忌惮地行动。[来源：网易号:陈根]