员工数据外泄管控建设指南

TOC\o"1-2"\h\z\u5.2方案性与势 196、工数据泄漏案例 216.1某全领先科公司 211、员工数据外泄事件数量和损失持续走高、数据泄露损失和影响波及各个行业2020数据价值的发挥和利用以数据安全为基础。当数据创造价值的同时，也面临着被窃取泄露、滥用、非法利用的风险，进而对个人、组织甚至整个社会、国家的利益产生严重威胁和损害。近年来，数据泄露问题呈现越来越高发的趋势，在全球范围内，数据泄露造成的损失也在逐年增加。IBM202220224352.6%，42438612.7%。以行业为维度来看，数据泄露已发生在并影响了各个行业，全球范围内，各行业发生数据泄露的数量和损失都在增加。其中，医疗保健行业成为数据泄露平均成本最高的行业，在2022年10102021、员工数据外泄成为数据泄露的主要原因之一IBM的《202210商业电子邮件泄露成为排名第二的数据泄露平均成本初始攻击媒介，恶意内部人员也成为数据泄露的主要初始攻击媒介，平均泄露成本达到418万美元。（Verizon）2023DataBreachInvestigationsReport》显示，55%的数据泄露事件涉及有组织犯罪，30%自企业内部83%74%都涉及人为因素，人们通过错误、滥用特权、使用被盗凭证等方式窃取和外泄数据。闪捷发布的《2021年度数据泄漏态势分析报告》中显示，在数据泄露的主体中，内部人员导致的数据泄漏事件占比接近60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中内部人员受利益驱动泄漏数据，或者被外部人员欺骗泄漏，或者对企业有不满情绪而泄漏。失误造成的泄密类型中，由于安全意识或者流程的问题，造成安全策略配置错误，例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。企业和单位面对复杂的网络环境和潜伏的网络攻击威胁，数据的攻击、窃取、泄露事件频繁发生，但近年来，企业内部人员外泄也成为了数据泄露的主要诱因。企业和单位不仅面对来自外部的数据安全隐患，也急需解决内部的数据安全管理危机。、员工数据外泄造成损失和负面影响在持续扩大根据美国威瑞森通信公司（Verizon）《2023DataBreachInvestigationsReport》，由外部攻击导致的数据泄露事件中，95%的外部攻击是以金钱利益为驱使的。同样，闪捷发布的《2021年度数据泄漏态势分析报告》中也显示，近80%的数据泄露事件动机是为了获取利益。对于数据窃取方而言，窃取数据的主要目的是以数据获利，但对于数据泄露的当事方而言，数据泄露带来的损失却远不止经济损失。随着社会层面对数据安全性、个人隐私、数据规范的重视程度提升，数据安全管理不仅保障的是经济利益，也与企业和单位的社会声誉、名誉息息相关。数据泄露事件的发生，不仅给企业带去可估计的巨额经济损失，还会造成难以衡量的名誉和社会形象损害。进而对企业的核心竞争力和发展优势造成打击，形成更长远而严重的影响。金融行业01湛江银保监分局于2021年1月对建设银行湛江市分行开出罚单，涉事人王某在2017年至2018年314653.620021292021420汽车行业20231“MS11100互联网20218高科技0120233ChatGPTChatGPTChatGPT02201333HTCSENSE6.0UI1600被告简某除涉犯《证交法》背信等罪，另涉将机密外泄至大陆，依年初修订的《营业秘密法》，已对泄密等商业间谍行为加重刑责，最重判10年。032011PaulDevineDevine240.9万美元。2014年12月，因受贿并泄露商业机密，其被美国加州法庭判处罚金和监禁。042003年，华为向向黑龙江佳木斯警方报案，称华为有多达数万页产品研发数据书面和光盘资料被3位前员工窃取，这3位前员工的侵权行为对华为造成了高达1.8亿元的经济损失。11月佳木斯3200332004零售业012015年，青岛法院针对四名海尔前员工商业窃密案进行一案二审公开宣判，该四名前员工违反与7372.44万元和2579.81万元。022006年，可口可乐公司前任秘书威廉斯，偷取公司的商业秘密文件和汽水样本，与另外两名同谋计划将之以150万美元出售予商业竞争对手百事可乐。案件在亚特兰大法院审结，该名秘书被判监禁8年。2、员工数据外泄的常见通道和场景、员工数据外泄的常见工具企业和机构单位进行网络安全、数据安全的管理手段、重视程度各不相同，但不论企业采用怎样严密的手段进行管控，也无法杜绝员工主观上窃取和泄露数据的倾向、同时无法绝对规避员工数据外泄行为的发生。了解员工数据外泄的常见通道和路径就显得至关重要，它可以为企业和机构单位提供数据安全的管控思路，最小化数据泄露的隐患和风险。IMIMQQ邮件泄密OutlookGmail163邮箱、QQ139网盘云盘泄密Dropbox限制员工权限、对敏感数据不开放权限等。但员工仍可通过公共盘等空间获取内部文件数据，下载到本地进行文件外泄。4）U盘及设备泄密企业如果没有对员工的USBU云笔记泄密目前较多企业已开启共享文档办公，常用的在线共享文档办公平台如有道云笔记、石墨笔记、语雀文档、印象笔记等，员工将重要数据复制或上传至在线云笔记，将重要数据外泄。代码托管工具泄密Git、Github、Gitlab、SVNGitee远程桌面数据泄密基于办公需要，许多员工有远程桌面的使用权限，如Todesk、向日葵、Anydesk、Teamviewer等；在这种情况下，员工只要登录远程桌面，即可获取自己本地的数据，将企业内部的数据外泄。、员工数据外泄的场景员工数据外泄可能发生在数据生命周期的各个环节，从地理空间来划分，它可能发生在企业和机构单位的任何部门、组织和团队中，在日常经营和业务开展的各个流程中，员工数据外泄都有可能出现。不同行业、不同管理模式，员工数据外泄的场景和路径也会有所区别，以下简单介绍了常见的员工数据外泄场景。员工主动外泄数据员工主动外泄数据是指员工本人主观上可以清晰认识到数据的价值和重要性，通过系列手段将数据外泄，以达到获利、打击报复、破坏等目的。员工主动外泄数据是员工数据外泄最主要的因素，员工主动外泄数据的场景多种多样，常见的如下：员工被动外泄数据员工因为自身数据安全意识薄弱、对企业内部数据敏感性认知不足、或缺乏对网络安全风险的了解而疏忽大意，导致在对数据的使用过程中发生敏感数据外泄，是常见的员工被动外泄数据场景。常见的员工被动外泄数据的场景有：员工被动外泄数据时，虽然不会紧随采取数据利用、贩卖等举动来获取利益，但仍然会给不法分子可乘之机，对公司造成损失和负面影响。3、造成员工数据外泄的管理漏洞和安全隐患、数据权限粗放管理对内部数据未做数据分类分级，对员工数据使用权限粗放管理，是导致员工数据外泄的主要原因。数据权限包括多个维度：PC企业和机构单位内部有多种数据，这些数据构成了庞大的体量，根据数据的机密性和重要性可以对数据划分不同的等级，而根据员工的岗位、工作内容、管理权限又可以对员工授予不同的权限。这样，就可以保证低级别或普通级别的员工无法访问敏感性和机密性高的数据，每位员工所拥有的的数据权限与其数据使用诉求匹配。而当企业数据权限管理粗放时，就会发生数据权限滥用的情况。高敏感性的核心数据未做到权限保护，当员工主观上有获取数据来获利的目的时，数据泄露就可能发生在组织的各个角落、任何人、任何时间及任何一种网络应用中。、网络隔离形同虚设企业和单位基于网络安全和数据安全管理需求，使用防火墙、网闸等网络隔离技术将网络隔离为不同的网络区域，此时，不同隔离网间的通信通道被阻断或限制，就可以有效限制数据的流转，防止数据外泄。但很多企业即使做了网络隔离，但却没有配合其他管理手段，导致网络隔离形同虚设。USBUSBFTP因此，网络隔离并不能完全杜绝数据外泄的发生，网络隔离是基础，数据外泄的管控需要结合其他管理制度、规范、技术、产品和手段，否则网络隔离就会出现事倍功半的效果。、数据流转监管缺失数据在内部是不断流动的，因此数据会经历生产、存储、传输、使用、交换、销毁等各个环节。当数据在企业和组织内部流转时，不可避免会涉及敏感核心数据。FTPIM通讯工具等，OA程是割裂的。即便存在审批审核，也可能出现审批的数据和实际流转的数据是不一致的情况，这也就创造了员工数据外泄的操作空间。20131、员工行为制度漏洞许多企业和组织虽然重视数据的重要性，但在内部并未建立健全的员工行为准则、员工数据使用规范等规章制度，以及响应的奖惩机制，这就导致员工无参考标准，同时也没有较强的行为约束力，因此，员工会无意外泄数据，或受利益趋势，窃取企业数据。不少企业虽建立了数据使用行为规范等制度，但未有后续的培训、跟踪、报告等机制，导致员工数据安全意识薄弱、对制度疏忽、对管理抱存侥幸心理，心中未建立安全警戒线，进而将企业重要数据外泄。、数据安全产品体系不完善此外，不少企业也未建立完善的数据安全技术架构，一些常见的员工数据外泄的方式，是可以通过技术手段来规避的。如员工将文件名篡改、将文件打包嵌套压缩、将敏感文件隐藏在常规文件中混淆发送等，上述常见文件外泄方式，都可以通过文件安全检测技术来识别。企业积极应用数据安全技术，可以有效降低数据泄露事件的发生。4、员工数据外泄有效管控建设指南、网络安全风险防御企业和单位要构建完善的网络安全防御体系，尽可能降低网络攻击而造成的员工被动数据泄露事件。网络安全风险防御包括传统静态防御、动态的主动防御，以及智能化防御。静态防御是指利用静态码分析技术进行安全防御，常见静态防御手段包括防火墙、入侵检测系统、入侵防护系统、防病毒网关、VPN、漏洞扫描和审计取证系统等。动态防御是指在实际运行过程中及时地监控、检测并阻止与安全策略相冲突的行为；动态防御技术主要包括软件动态防御技术、网络动态防御技术、平台动态防御技术以及数据动态防御技术。智能化防御技术是最近几年出现的一种防御技术，它可以模拟人类的思维方式，自动分析并预测网络攻击，对于可疑事件进行分析和比对，快速准确的发现网络攻击行为。、数据使用制度规范企业和单位要建立健全员工数据使用规范，包括相应的制度、准则和奖惩措施等。规范应体系化、制度化、日常化，覆盖企业数据全生命周期和员工作业行为的全方面维度，并细分落实到各个组织、部门、小组和人员。、员工数据权限管控对员工数据权限的管控，是防止员工数据外泄的基础。企业和单位要避免对员工数据使用权限的粗放管理，确保员工仅具有员工完成其工作所需的最小数据访问权限。、员工使用设备管控UAirdrop对于设备的管控包括两个层面：制度层面和技术层面。USBUSB、数据流转通道管控数据发生泄露大多发生在数据流转环节，因此作为数据流转的载体-数据流转通道的管控就极为重要。数据流转通道被严密管控时，数据外泄的可能性就能大大降低。IMFTPIMFTP、数据安全技术应用除了加强自身对员工和数据的安全管理外，企业还可以引入外部的数据安全技术应用，来加固企业数据防泄漏防线。/IM//、数据安全风险识别100%数据安全风险识别包括数据异常访问行为识别、数据敏感内容识别、病毒识别、数据外发行为监控等。通过对数据的安全性和数据使用行为合规性进行分析，识别风险，可以将数据外泄控制在可控范围内。、数据外泄链路追踪在管控员工数据外泄风险的同时，还需针对已发生的数据外泄事故做好应对，当数据外泄时，需要能对外泄的链路进行追踪，对外泄的数据可进行追溯，进而对已经发生的损失尽可能降到最小。对敏感数据进行全链路、全行为的追踪，从上传、编辑到外发、下载；同时，有效预防员工采用压缩、重命名、加密、剪贴板等绕过行为。对于流转的数据，有完整的日志记录，发生数据泄露时，可以根据日志记录追溯传输主体和文件。对于已完成流转的文件，可以采用加密、水印等技术，降低外泄数据的可用性，增强信息标识，快速定位外泄源头，减少外泄损失。5、员工数据外泄有效管控最佳实践、飞驰云联文件安全交换系统飞驰云联基于『飞驰云联文件安全交换系统』为企业和单位提供员工数据外泄治理解决方案，帮助企业对员工行为和数据流转实现有效管控，防止敏感数据外泄。飞驰云联文件安全交换系统，是一款针对性解决企业级数据交换的产品，拥有多业务场景数据交换、病毒查杀、文件内容检测、审核审批、权限管控、日志审计等文件交换全周期功能，集合企业文件管控、编辑、传输、安全管理为一体，实现安全、高效、可靠、便捷的企业级文件安全交换，具有针对员工数据外泄、保护企业核心资产的价值。飞驰云联文件安全交换系统具有以下核心功能以支撑企业数据流转场景下，对员工数据使用行为进行管控，规避数据外泄风险。统一的企业数据流转通道飞驰云联文件安全交换系统，可以满足企业多场景下的文件交换需求，帮助企业终结多工具、多系统并行使用的局面，减少因文件交换行为分散带来的数据管理不集中、难以管控的问题，帮助企业内部构建统一、安全的企业数据流转通道。飞驰云联文件安全交换系统，可以有效针对解决企业以下文件传输场景需求：跨网文件交换企业基于防御网络安全风险，使用防火墙、网闸等方式进行隔离网络建设，网络隔离后仍存在隔离网间的数据交换需求。飞驰云联文件安全交换系统，有效针对企业跨网文件交换场景，帮助企业和组织在隔离网络之间（例如研发网-办公网、生产网-测试网、内网-外网，等等），快速建立“统一、安全、高效的数传通道”，有效防止敏感信息泄露。敏感文件外发企业与外部的数据收发是基础的业务开展场景，也是企业和组织员工数据外泄的“高发地”，对于敏感文件外发行为进行规范治理，是防止员工数据外泄的重要措施。飞驰云联文件安全交换系统，能有效帮助企业和组织与外部合作伙伴、供应链等进行安全、可控地进行数据文件的外发，为企业提供安全可靠、高效便捷的文件外发解决方案，实施有效的数据保护策略。精细化的用户权限管控AD/LDAP通过系统，可以对用户权限进行管控，体现在用户的功能权限和数据权限上。功能权限包括是否开启用户对联系人、个人文件夹、共享文件夹、通知、文件邮、中转站等功能的使用权限；数据权限则包括管理/编辑/下载/发送/游览/上传/浏览/禁止访问等细分的数据使用权限。灵活全面的数据安全策略理机制：检测通过-文件放行发送；检测不通过-文件发送阻断；检测不通过-文件转人工审核。ICAPDLP严密的审批审核机制完整的日志记录飞驰云联文件安全交换系统完整记录平台所有用户操作日志和文件交换日志，包括对触发审核的相关发送行为进行完整的日志记录、对全局下的使用行为和传输行为进行完整记录。所有交换行为均保留原始文件，不受用户删除等行为影响，便于企业进行追溯。36、方案特性与优势数据安全防护机制文件交换系统采用创新的文件包概念，将用户待处理交换的一个批次的业务文件和文件夹封装进一个文件包，并且生成一个包含包裹内容信息和投递信息的元数据。传输的文件包是一个固化封装的元数据，通过文件交换系统组织单元内的用户可以根据权限进行访问。任何人，包括数据的发起者都不能再对该文件包进行重新拆分或修改处理。支持文件传输内容加密，可以选择数据加密方案，在数据收发两端之间形成加密隧道，以保证在传输过程中，业务数据不会被窃取或泄露。系统提供数据存储加密配置，确保数据安全性，支持定期更换密钥。数据流向清晰可控数据文件在企业和组织内部、内外部流转时，数据的发起人和接收方均是明确的。数据的流转均有迹可循且清晰可控。数据流转过程有内置的审批机制，审批人对流转数据的合规性可以进行审核，不符合要求的数据无法进行流转。针对数据接收方可以进行文件提取时间、提取次数、提取码等进一步权限设置，对有时间限制的分享数据提供到期无法访问策略配置，最小化数据授权；同时，接收