员工数据外泄管控建设指南.pdf
《员工数据外泄管控建设指南.pdf》由会员分享,可在线阅读,更多相关《员工数据外泄管控建设指南.pdf(27页珍藏版)》请在咨信网上搜索。
1、 5.2、方案特性与优势.19 6、员工数据防泄漏治理案例.21 6.1、某全球领先的科技公司.21 1 1 1、员工数据外泄事件数量和损失持续走高、员工数据外泄事件数量和损失持续走高 1.11.1、数据泄露损失和影响波及各个行业、数据泄露损失和影响波及各个行业 随着大数据时代的到来,数据的重要性日渐得到重视,2020 年发布的关于构建更加完善的要素市场化配置体制机制的意见,更是将数据正式纳入生产要素范围。数据作为数字经济时代下的基础性资源和战略性资源,是决定国家经济发展水平和竞争力的核心驱动力。数据价值的发挥和利用以数据安全为基础。当数据创造价值的同时,也面临着被窃取泄露、滥用、非法利用的风
2、险,进而对个人、组织甚至整个社会、国家的利益产生严重威胁和损害。近年来,数据泄露问题呈现越来越高发的趋势,在全球范围内,数据泄露造成的损失也在逐年增加。根据 IBM 发布的2022 年数据泄露成本报告,2022 年,数据泄露的平均成本达 435 万美元,创历史新高。这一数据相比去年增加了 2.6%,去年的数据泄露平均成本是 424 万美元。相比2020 年所报告的 386 万美元攀升了 12.7%。以行业为维度来看,数据泄露已发生在并影响了各个行业,全球范围内,各行业发生数据泄露的数量和损失都在增加。其中,医疗保健行业成为数据泄露平均成本最高的行业,在 2022 年达到 1010 万美元;按数
3、据泄露成本排列的前五个行业的排名与 2021 年报告中的排名顺序相同。紧随医疗保健行业之后的是金融、制药、技术和能源行业。2 1.21.2、员工数据外泄成为数据泄露的主要原因之一、员工数据外泄成为数据泄露的主要原因之一 数据泄露可能发生在数据生命周期的各个环节:数据采集、数据传输、数据存储、数据使用、数据交换和数据销毁等。数据泄露发生的因素与环境、技术、人员都密切相关。根据 IBM 发布的2022 年数据泄露成本报告,数据泄露被划分为 10 个初始攻击媒介,其中包括意外数据丢失、云配置错误、网络钓鱼、内部威胁以及被盗或被破解凭证等。商业电子邮件泄露成为排名第二的数据泄露平均成本初始攻击媒介,恶
4、意内部人员也成为数恶意内部人员也成为数据泄露的主要初始攻击媒介,平均泄露成本达到据泄露的主要初始攻击媒介,平均泄露成本达到 418418 万美元。万美元。3 根据美国威瑞森通信公司(Verizon)的数据泄露调研报告2023 Data Breach Investigations Report显示,55%55%的数据泄露事件涉及有组织犯罪,的数据泄露事件涉及有组织犯罪,30%30%的数据安全事件源的数据安全事件源自企业内部自企业内部。在数据泄露的众多因素中,83%的数据泄露是来自外部攻击。而 74%的数据泄露都涉及人为因素,人们通过错误、滥用特权、使用被盗凭证等方式窃取和外泄数据。闪捷发布的20
5、21 年度数据泄漏态势分析报告中显示,在数据泄露的主体中,内部人员导在数据泄露的主体中,内部人员导致的数据泄漏事件占比接近致的数据泄漏事件占比接近 60%60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中内部人员受利益驱动泄漏数据,或者被外部人员欺骗泄漏,或者对企业有不满情绪而泄漏。4 失误造成的泄密类型中,由于安全意识或者流程的问题,造成安全策略配置错误,例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。企业和单位面对复杂的网络环境和潜伏的网络攻击威胁,数据的攻击、窃取、泄露事件频繁发生,但近年来,企业内部人员外泄也成为了数据泄露的主要诱因。企业和单位不仅面对来自外部的数据
6、安全隐患,也急需解决内部的数据安全管理危机。1.31.3、员工数据外泄造成损失和负面影响在持续扩大、员工数据外泄造成损失和负面影响在持续扩大 根据美国威瑞森通信公司(Verizon)2023 Data Breach Investigations Report,由外部攻击导致的数据泄露事件中,95%的外部攻击是以金钱利益为驱使的。同样,闪捷发布的2021 年度数据泄漏态势分析报告中也显示,近 80%的数据泄露事件动机是为了获取利益。对于数据窃取方而言,窃取数据的主要目的是以数据获利,但对于数据泄露的当事方而言,数据泄露带来的损失却远不止经济损失。随着社会层面对数据安全性、个人隐私、数据规范的重视
7、程度提升,数据安全管理不仅保障的是经济利益,也与企业和单位的社会声誉、名誉息息相关。数据泄露事件的发生,不仅给企数据泄露事件的发生,不仅给企 5 业带去可估计的巨额经济损失,还会造成难以衡量的名誉和社会形象损害。业带去可估计的巨额经济损失,还会造成难以衡量的名誉和社会形象损害。进而对企业的核心竞争力和发展优势造成打击,形成更长远而严重的影响。金融行业 01 湛江银保监分局于 2021 年 1 月对建设银行湛江市分行开出罚单,涉事人王某在 2017 年至 2018 年期间,将共计 31465 条客户信息外泄出售至贷款公司,获利 3.6 万;上述信息则被相关贷款公司用于拨打电话并推销贷款业务信息,
8、从事不正当竞争。最终,王某被法院判处有期徒刑八个月。而王某所在的建行湛江分行也因信息安全管理不到位被罚 20 万。02 1 月 29 日,银保监会开出 2021 年第一张罚单,中国农业银行因涉及发生重要信息系统突发事件未报告、农行因发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,被罚 420 万人民币。汽车行业 2023 年 1 月,小米官方发布“小米汽车保险杠设计图外泄”事件的处理结果,小米二级供应商北京某模塑科技有限公司因对其下游供应商管理不善,泄露了汽车前后保险杠的早期设计稿。被泄小米汽车车型图片主要展示了车辆前脸和尾部等设计细节,
9、包括小米汽车保险杠、小米 MS11 的装饰件、以及小米与北汽模塑相关合作细节等。小米回应泄密的文件是非常早期的招标过程的设计稿,依照保密协议对该合作商处以 100 万元的经济赔偿,并责成其对下游供应商加强信息安全管理。互联网 2021 年 8 月,阿里云电销员工违反公司纪律透露阿里云用户注册信息给分销商员工,浙江省通信管理局对此事回应称已责令改正。阿里云的信息泄露事件引发用户对阿里集团信息安全问题的担忧。对此,有律师表示责任人该行为除了要负行政责任、民事责任外,还有可能涉嫌侵害公民个人信息罪的刑事责任。高科技 01 6 2023 年 3 月,韩国三星电子发生三起机密资料外泄事件,其中两起发生在
10、设备解决方案部门,使用 ChatGPT 寻找半导体设备相关问题的解决方案,以此导致三星公司的半导体设备测量资料、产品良率等机密内容录入到 ChatGPT 的学习资料库中。三星方面回应,已加强 ChatGPT 相关的安全措施,将进一步收紧内部监管和员工培训。02 2013 年,台湾宏达国际电子股份有限公司对其研发部 3 名领导层提出指控,称 3 人涉嫌窃取 HTC SENSE 6.0 之 UI 接口程序的商业机密,赴大陆展示,准备与四川官方合作开公司,累计盗走 1600多万元。被告简某除涉犯证交法背信等罪,另涉将机密外泄至大陆,依年初修订的营业秘密法,已对泄密等商业间谍行为加重刑责,最重判 10
11、 年。03 2011 年,前苹果员工全球采购经理 Paul Devine 泄露苹果公司的机密信息,包括新产品的预测、计划蓝图、价格和产品特征。作为回报,Devine 得到了经济利益,而苹果这些信息而亏损了240.9 万美元。2014 年 12 月,因受贿并泄露商业机密,其被美国加州法庭判处罚金和监禁。04 2003 年,华为向向黑龙江佳木斯警方报案,称华为有多达数万页产品研发数据书面和光盘资料被3 位前员工窃取,这 3 位前员工的侵权行为对华为造成了高达 1.8 亿元的经济损失。11 月佳木斯警方远赴杭州,将 3 人拘留。2003 年 3 人被批准逮捕,并于 2004 年以涉嫌侵犯商业秘密罪被
12、提起公诉。零售业 01 2015 年,青岛法院针对四名海尔前员工商业窃密案进行一案二审公开宣判,该四名前员工违反与公司的保密协议,通过邮件形式,向同行业某公司非法透露海尔洗衣机重要生产数据,并在当年 7月辞去海尔职务到该公司就职。而后通过邮件,又从张某某、王某、张某三人获取海尔洗衣机生产和采 购环节重要商业数据。经评估,齐某某、张某某给海尔集团分别造成直接经济损失372.44 万元和 2579.81 万元。02 7 2006 年,可口可乐公司前任秘书威廉斯,偷取公司的商业秘密文件和汽水样本,与另外两名同谋计划将之以 150 万美元出售予商业竞争对手百事可乐。案件在亚特兰大法院审结,该名秘书被判
13、监禁 8 年。2 2、员工数据外泄的常见通道和、员工数据外泄的常见通道和场景场景 2.12.1、员工数据外泄的常见工具、员工数据外泄的常见工具 企业和机构单位进行网络安全、数据安全的管理手段、重视程度各不相同,但不论企业采用怎样严密的手段进行管控,也无法杜绝员工主观上窃取和泄露数据的倾向、同时无法绝对规避员工数据外泄行为的发生。了解员工数据外泄的常见通道和路径就显得至关重要,它可以为企业和机构单位提供数据安全的管控思路,最小化数据泄露的隐患和风险。1 1)IMIM 通讯工具泄密通讯工具泄密 不少企业和单位内部仍使用 IM 通讯工具作为业务往来或日常沟通的渠道,如微信、QQ、企业微信、钉钉、飞书
14、等,这些通讯工具几乎无数据监控手段,无法掌握企业数据流向,员工可以轻易使用上述通讯工具将内部数据外发,而企业和单位对通讯工具泄密几乎难以察觉。2 2)邮件泄密)邮件泄密 邮件对每个企业和单位来说都不可或缺,但邮件的管控力度非常有限,通常需要结合其他数据安全产品或手段才能对数据流向做管控。常见的 Outlook 有限、Gmail 邮箱、企业邮箱、163邮箱、QQ 邮箱、139 邮箱等,都无法限制员工将数据进行外发。而即便发现员工数据外发,也很难继续再对外发数据流向进行追踪。3 3)网盘云盘泄密)网盘云盘泄密 企业和单位使用网盘云盘来解决数据存储和文档协作等业务需求,如百度网盘、阿里云盘、115
15、网盘、Dropbox 等。员工使用网盘和云盘时,企业拥有一定程度的数据管控能力,如分配 8 限制员工权限、对敏感数据不开放权限等。但员工仍可通过公共盘等空间获取内部文件数据,下载到本地进行文件外泄。4 4)U U 盘及设备泄密盘及设备泄密 企业如果没有对员工的 USB 端口做禁用处理,那么员工就可以使用 U 盘、硬盘等移动介质将数据拷贝带出;此外,打印机也是常被忽略的设备,员工将重要文件通过打印机打印后带出,也是常见的数据外泄方式。5 5)云笔记泄密)云笔记泄密 目前较多企业已开启共享文档办公,常用的在线共享文档办公平台如有道云笔记、石墨笔记、语雀文档、印象笔记等,员工将重要数据复制或上传至在
16、线云笔记,将重要数据外泄。6 6)代码托管工具泄密)代码托管工具泄密 在开发的过程中都会用到代码管理工具,如 Git、Github、Gitlab、SVN、Gitee 等平台。项目不仅在员工电脑上有一份,在代码管理服务器上也会同步一份。此时,员工可通过进入代码服务器的方式将代码外泄;即便企业将服务器部署在公司内部、禁止外面的电脑访问,员工也可以将笔记本带到公司连接代码服务器访问。9 7 7)远程桌面数据泄密)远程桌面数据泄密 基于办公需要,许多员工有远程桌面的使用权限,如 Todesk、向日葵、Anydesk、Teamviewer等;在这种情况下,员工只要登录远程桌面,即可获取自己本地的数据,将
17、企业内部的数据外泄。2.22.2、员工数据外泄的场景、员工数据外泄的场景 员工数据外泄可能发生在数据生命周期的各个环节,从地理空间来划分,它可能发生在企业和机构单位的任何部门、组织和团队中,在日常经营和业务开展的各个流程中,员工数据外泄都有可能出现。不同行业、不同管理模式,员工数据外泄的场景和路径也会有所区别,以下简单介绍了常见的员工数据外泄场景。1 1)员工主动外泄数据)员工主动外泄数据 员工主动外泄数据是指员工本人主观上可以清晰认识到数据的价值和重要性,通过系列手段将数据外泄,以达到获利、打击报复、破坏等目的。员工主动外泄数据是员工数据外泄最主要的因素,员工主动外泄数据的场景多种多样,常见
18、的如下:员工通过打印资料、手抄资料、或擅自复印资料等手段实现重要数据的物理空间转移,外泄出去 员工通过私自登录同事或领导账号的方式,窃取自己使用权限外的数据 对于不能下载保存的数据,使用截屏、录屏的方式窃取并外泄数据 对于数据安全管理机制严格的企业,员工无法将敏感文件直接外发出,通过修改文件名、层层压缩嵌套、将重要数据混合分散在常规文档中等方式,来达到将重要数据外泄的目的 2 2)员工被动外泄数据)员工被动外泄数据 员工因为自身数据安全意识薄弱、对企业内部数据敏感性认知不足、或缺乏对网络安全风险的了解而疏忽大意,导致在对数据的使用过程中发生敏感数据外泄,是常见的员工被动外泄数据场景。常见的员工
19、被动外泄数据的场景有:10 电脑设备中了钓鱼软件等恶意软件,本人未察觉,被黑客控制电脑后窃取数据 公司重要数据的使用账号、密码过于简单或未做妥善保护处理,被他人破解密码后窃取数据 在公共场所办公处理重要数据时,未养成良好的办公习惯,离开屏幕时未及时锁屏,被他人拍照录屏窃取数据 在多人聊天群聊天时,发布涉及公司的敏感信息却未做打码等脱敏处理,被他人散播 在外打印资料,或在外维修办公设备时,未对重要数据做加密或及时删除处理,导致数据外泄 员工被动外泄数据时,虽然不会紧随采取数据利用、贩卖等举动来获取利益,但仍然会给不法分子可乘之机,对公司造成损失和负面影响。3 3、造成员工数据外泄的管理漏洞和安全
20、隐患、造成员工数据外泄的管理漏洞和安全隐患 3.13.1、数据权限粗放管理、数据权限粗放管理 对内部数据未做数据分类分级,对员工数据使用权限粗放管理,是导致员工数据外泄的主要原因。数据权限包括多个维度:从数据的使用上,包括数据访问、浏览、下载、上传、传输、编辑等;从网络空间上,包括数据需在限定区域内使用,如内网、研发网中可使用;从物理设备上,包括 PC、移动笔记本、手机、平板、打印机等终端;从时间周期上,包括限定时间有效、永久权限等。企业和机构单位内部有多种数据,这些数据构成了庞大的体量,根据数据的机密性和重要性可以对数据划分不同的等级,而根据员工的岗位、工作内容、管理权限又可以对员工授予不同
21、的 11 权限。这样,就可以保证低级别或普通级别的员工无法访问敏感性和机密性高的数据,每位员工所拥有的的数据权限与其数据使用诉求匹配。而当企业数据权限管理粗放时,就会发生数据权限滥用的情况。高敏感性的核心数据未做到权限保护,当员工主观上有获取数据来获利的目的时,数据泄露就可能发生在组织的各个角落、任何人、任何时间及任何一种网络应用中。3.23.2、网络隔离形同虚设、网络隔离形同虚设 企业和单位基于网络安全和数据安全管理需求,使用防火墙、网闸等网络隔离技术将网络隔离为不同的网络区域,此时,不同隔离网间的通信通道被阻断或限制,就可以有效限制数据的流转,防止数据外泄。但很多企业即使做了网络隔离,但却
22、没有配合其他管理手段,导致网络隔离形同虚设。USB 端口未做禁用处理,员工可私自通过 USB 端口拷贝文件到外部 网络隔离后,使用网闸或双网卡 FTP 等进行隔离网间数据交换,但却缺乏有效的审批检查制度,导致数据管理粗放 员工通过打印、拍照等设备形式,依然可以获取同一隔离网域内的数据文件等 因此,网络隔离并不能完全杜绝数据外泄的发生,网络隔离是基础,数据外泄的管控需要结合其他管理制度、规范、技术、产品和手段,否则网络隔离就会出现事倍功半的效果。3.33.3、数据流转监管缺失、数据流转监管缺失 数据在内部是不断流动的,因此数据会经历生产、存储、传输、使用、交换、销毁等各个环节。当数据在企业和组织
23、内部流转时,不可避免会涉及敏感核心数据。不少企业和组织内部,在数据流转过程中,缺乏有效的监管机制,不设置或不完全设置审批审核环节。而数据的流转使用通常经由数据流转工具进行,如网盘、FTP、邮箱、IM 通讯工具等,数据的审批却一般在 OA 系统中进行,这就导致了第二个问题,那就是审批环节和数据流转过程是割裂的。即便存在审批审核,也可能出现审批的数据和实际流转的数据是不一致的情况,这也就创造了员工数据外泄的操作空间。12 2013 年,某军工企业员工未经部门领导审批同意,从内部涉密信息系统输出 1 份未标密信息,后被鉴定该文件属于秘密级国家秘密。因内部信息系统有操作记录,因此该企业可以快速定位到涉
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 员工 数据 外泄 建设 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。