网络安全之数据泄露

数据泄漏概述

企业数据所面临的最大网络安全威胁是什么？是黑客攻击吗？黑客攻击事件往往能够引起人们的高度关注，但实际上，从各种数据泄露事件的统计来看，高达95%的数据泄露是由于内部人员造成的。因此完善企业内部的信息安全管理制度，加强员工的安全培训是防止泄密的必要环节，同时随着信息化的日益深入，将信息技术与安全制度相结合，能够更有效的提高内部系统的安全性。下面就几种常见的内部泄密渠道来探讨相关的安全策略和技术手段。

内部窃取

内部人员窃取商业机密有两大诱因：一是直接换取金钱，如经媒体曝光的移动公司内部员工出售手机用户资料的情况。二是能够获得商业优势，这种情况见于员工跳槽时窃取公司机密作为抬高身价的筹码，关于这方面的争议近年来也是屡见不鲜。

建议：针对这种情况，可采取的措施有：

1.做好机密数据管理工作，使用访问控制机制，控制内部员工对于机密数据的访问权限，减少机密的扩散风险。

2.采用技术手段防止机密数据通过电子邮件传递、打印或复制到各种移动存储介质。

3.加强内部控制和审计，监测是否有人违规或非法访问了机密数据。当然还要确保所授权的机密数据使用者是确实值得信任的。

设备失窃

随着笔记本、移动存储介质的广泛使用，这些设备的失窃也造成了越来越多的泄密事件–根据Fox News的调查，全球平均每53秒就有一台笔记本丢失。2006年，全球知名咖啡连锁店星巴克公司有四台笔记本电脑下落不明，其中两台储存有约60000名现任及前任雇员的个人资料，包括姓名、地址及社会福利号码等数据记录，另外还有有关外包业务的数据。

建议：对于移动设备而言，防止其失窃泄密的有效手段是进行数据加密，实际上很多公司已经为笔记本用户部署了主动加密软件，但人们往往忽略这种做法，可以通过一定的技术保障来落实保密制度，比如动态透明加密技术，这种技术基于内核级驱动，在操作系统层自动在读写磁盘数据时进行加解密，使用者完全感觉不到加解密过程的存在，既可以保证数据安全，又丝毫不影响用户的操作习惯。

员工疏忽大意泄密

最新研究表明，粗心的员工（不是故意的）是数据安全的最大威胁，88%的数据泄露与员工的大意有关。而且这一类的泄密往往和网络传输相关联，如使用P2P软件或者无意中运行网络间谍程序等。

建议：加强教育培训，提高企业员工的安全意识，数据泄露的数量将会大幅下降。同时也需要配合相应的保密措施，实现机密信息与网络的隔离，最有效的办法就是让有保密内容的电脑和互联网物理隔绝，但物理隔离会极大影响工作效率，只有军工军队这种比较特殊的环境，才可能采用。而对于政府单位和企事业单位，完全采用物理隔离是不可能的。因此，必须采用相应的技术手段，结合管理手段来做到安全与效率之间的均衡。

合作伙伴泄密

统计数据显示，对企业来说，合作伙伴将数据泄露的损失往往比企业内部泄露的损失更大。据Ponemon的年度损失报告表明，外包、转包、咨询和商业合作伙伴造成的数据泄露在不断增长。

建议：

1.签订包含详细保密条款的服务合同，以确保合作伙伴遵守协议，一旦其违反了合同就能够相应条款对其进行处罚。

2.对外发合作伙伴的机密文件，一定要进行加密保护。

数据泄漏方式五花八门，对广大企业用户而言，最关键的是要选对专业有效的防泄密软件，对症下药，才能将企业泄密带来的损失减少到最低，强化公司的网络安全意识也是极其重要的事情。

【编辑推荐】