2021-10-11 信息安全調(diào)查員008
PWC“2018全球信息安全狀況調(diào)查”顯示�����,客戶數(shù)據(jù)泄露成為中國(guó)企業(yè)信息安全的最大挑戰(zhàn)��,46%的中國(guó)企業(yè)稱其客戶記錄被盜用過。是中國(guó)企業(yè)面臨的網(wǎng)絡(luò)安全事件中����,發(fā)生比例最大的一類���。
這份調(diào)研報(bào)告雖然出自2018年�,但研究數(shù)據(jù)本身對(duì)網(wǎng)絡(luò)安全防護(hù)方面具有極高的參考意義。
本次報(bào)告調(diào)研對(duì)象涵蓋122個(gè)國(guó)家的9500位受訪者��,中國(guó)受訪者超過460位�,46%的受訪企業(yè)年收益超過5億美元。調(diào)查研究認(rèn)為�,企業(yè)可能遭遇的網(wǎng)絡(luò)安全事件中��,客戶數(shù)據(jù)泄露是企業(yè)面臨的最大挑戰(zhàn)���,同時(shí)網(wǎng)絡(luò)勒索將會(huì)越發(fā)頻繁,引發(fā)的財(cái)務(wù)損失可能會(huì)繼續(xù)攀升����。
據(jù)統(tǒng)計(jì),中國(guó)公司中�����,有46%的受訪者表示企業(yè)客戶記錄被盜用過���,高于全球平均值35%����。此外���,遭到財(cái)物損失的企業(yè)占比38%�,遭到商業(yè)郵件入侵的占比36%����,這也是中國(guó)企業(yè)遭遇的網(wǎng)絡(luò)安全事件中���,排名最高的前三類。
前雇員比友商和黑客更可怕
調(diào)查報(bào)告稱��,42%的中國(guó)企業(yè)認(rèn)為,與合作商和黑客相比前雇員是導(dǎo)致安全事件發(fā)生的重要來源�����,這一比例遠(yuǎn)高于全球其他國(guó)家和地區(qū)?����!敦?cái)經(jīng)》雜志報(bào)道顯示����,有80%的數(shù)據(jù)泄露是企業(yè)“內(nèi)鬼”所為,黑客和其他方式僅占20%�����。
安全專家張俊賢表示��,企業(yè)人員流動(dòng)的過程中,會(huì)有一部分前雇員攜帶前公司的信息去新公司�����,而國(guó)外的前員工在這方面的保密意識(shí)會(huì)更強(qiáng)��。
中國(guó)一些企業(yè)機(jī)構(gòu)仍然沿用傳統(tǒng)數(shù)據(jù)防護(hù)方式,依靠保密協(xié)議約束員工行為��,對(duì)離職員工更是無(wú)法監(jiān)控���,缺乏內(nèi)部數(shù)據(jù)的技術(shù)管控策略���。那么�����,要想堵住內(nèi)部數(shù)據(jù)外泄��,首選要明白有哪些泄密渠道�����。
內(nèi)部泄密的渠道都有:
郵箱郵件
利用電子郵件轉(zhuǎn)移竊取的公司資料占所有信息竊取的八成以上��。很多企業(yè)不裝軟驅(qū)����、光驅(qū)���、USB接口��,卻沒有辦法避免員工通過電子郵件的竊取信息��。
離職員工
一般情況下,一個(gè)為企業(yè)服務(wù)半年以上的員工�����,離職后會(huì)和公司現(xiàn)有員工保持頻繁的聯(lián)系��,并且對(duì)公司的資料和狀況表現(xiàn)出極度的熱情,或者從之前在職時(shí)期過往資料中�����,找尋獲取相關(guān)機(jī)密數(shù)據(jù)的方式�����。
人員失誤
由于員工疏忽大意,將儲(chǔ)存機(jī)密的設(shè)備丟失或?qū)⒅匾Y料發(fā)送錯(cuò)誤的對(duì)象造成數(shù)據(jù)泄露�,這些帶來的損失可能更甚于網(wǎng)絡(luò)攻擊��。
所以��,保護(hù)內(nèi)部數(shù)據(jù)不能僅依靠制度約束作為唯一管理手段��,應(yīng)該通過“制度+技術(shù)”的管理策略來提升內(nèi)部數(shù)據(jù)的安全性。
如何通過技術(shù)措施對(duì)數(shù)據(jù)進(jìn)行保護(hù)���?
1.數(shù)據(jù)加密:對(duì)交換數(shù)據(jù)進(jìn)行加密�����,避免他人窺視����。
當(dāng)下企業(yè)核心資料越來越成為競(jìng)爭(zhēng)主體的情況下,對(duì)企業(yè)核心數(shù)據(jù)進(jìn)行加密顯得尤為重要���。
2.確保數(shù)據(jù)完整:保證數(shù)據(jù)交換的完整性�����。
數(shù)據(jù)加密傳輸���,第三方無(wú)法通過技術(shù)等工具篡改已受保護(hù)的信息數(shù)據(jù)���,確保數(shù)據(jù)準(zhǔn)確和完整�,避免欺詐���、釣魚等事件的發(fā)生�。
3.權(quán)限管控:有效管控內(nèi)部數(shù)據(jù)���,不外泄。
內(nèi)部泄密是機(jī)構(gòu)數(shù)據(jù)泄露的根源之一�,內(nèi)部員工可能有意或無(wú)意的不當(dāng)行為����,是造成數(shù)據(jù)泄露的關(guān)鍵原因��。研究顯示��,74%的數(shù)據(jù)泄露和內(nèi)部員工有關(guān)����。
政企制定嚴(yán)謹(jǐn)詳細(xì)的管理制度并嚴(yán)格執(zhí)行的基礎(chǔ)上�����,也要應(yīng)用安全技術(shù)進(jìn)行數(shù)據(jù)管理��,如數(shù)據(jù)加密����、數(shù)據(jù)防泄漏����、數(shù)據(jù)溯源�、數(shù)據(jù)分類分級(jí)����、訪問權(quán)限管控等策略,這樣才能有效降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)�。
