信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“商務(wù)密郵”。

近日，Code42的一項(xiàng)數(shù)據(jù)暴露調(diào)查報(bào)告表明，大多數(shù)公司仍然難以阻止內(nèi)部人事件造成的數(shù)據(jù)泄露。

研究顯示，內(nèi)部人事件造成的數(shù)據(jù)損失平均同比增長(zhǎng)32%。內(nèi)部人事件包括源自企業(yè)現(xiàn)有內(nèi)部員工造成的數(shù)據(jù)暴露、丟失、泄露和盜竊。

報(bào)告顯示：超過(guò)八成的首席信息安全官（CISO）擔(dān)憂所屬企業(yè)因內(nèi)部人員風(fēng)險(xiǎn)及相關(guān)引發(fā)的數(shù)據(jù)安全問(wèn)題。數(shù)據(jù)顯示，內(nèi)部人風(fēng)險(xiǎn)占比27%是最難以檢測(cè)的一種威脅，檢測(cè)難度高于云數(shù)據(jù)暴露26%和惡意軟件、勒索軟件的22%。

Code42總裁兼首席執(zhí)行官表示：“內(nèi)部人事件逐年上升，考慮到我們已經(jīng)進(jìn)入了混合工作安排的時(shí)代，這一點(diǎn)毫不令人意外。如今，萬(wàn)物數(shù)字化，無(wú)論從事何種業(yè)務(wù)，有意無(wú)意地輕點(diǎn)幾下，就可以很輕松地傳遞數(shù)據(jù)。”

為什么內(nèi)部人員是數(shù)據(jù)泄露的主角？

第一、相比外部人員，內(nèi)部人員和數(shù)據(jù)資產(chǎn)的距離更近，有業(yè)務(wù)便利，容易得手；

第二、內(nèi)部人員往往是企業(yè)外部黑產(chǎn)的重點(diǎn)圍獵對(duì)象，被“拉下水”的幾率更高；

第三、個(gè)別企業(yè)設(shè)定的不合理業(yè)績(jī)要求，往往間接促使內(nèi)部人員為了滿足考核要求鋌而走險(xiǎn)。

內(nèi)部泄密是企業(yè)數(shù)據(jù)泄露的根源之一，內(nèi)部人員可能有意或無(wú)意的不當(dāng)行為，是造成數(shù)據(jù)泄露的關(guān)鍵原因。研究發(fā)現(xiàn)，78%的數(shù)據(jù)泄露事件和內(nèi)部員工（包括前雇員）有關(guān)。

同時(shí)，員工、合作伙伴和承包商都有著不同級(jí)別的訪問(wèn)權(quán)限，各具不同敏感性，但這些用戶的行為很難得到有效監(jiān)控。企業(yè)往往更多精力用于運(yùn)營(yíng)，忙于開(kāi)展業(yè)務(wù)，忽視了內(nèi)部管理和數(shù)據(jù)保護(hù)，才導(dǎo)致“內(nèi)鬼”的出現(xiàn)。

企業(yè)如何通過(guò)技術(shù)措施應(yīng)對(duì)數(shù)據(jù)安全問(wèn)題？

1、數(shù)據(jù)加密：對(duì)交換數(shù)據(jù)進(jìn)行加密，避免他人窺視。

當(dāng)下企業(yè)核心資料越來(lái)越成為競(jìng)爭(zhēng)主體的情況下，對(duì)企業(yè)核心數(shù)據(jù)進(jìn)行加密顯得尤為重要。

2、確保數(shù)據(jù)完整：保證數(shù)據(jù)交換的完整性。

數(shù)據(jù)加密傳輸，第三方無(wú)法通過(guò)技術(shù)等工具篡改已受保護(hù)的信息數(shù)據(jù)，確保數(shù)據(jù)準(zhǔn)確和完整，避免欺詐、釣魚(yú)等事件的發(fā)生。

3、權(quán)限管控：有效管控內(nèi)部數(shù)據(jù)，不外泄。

內(nèi)部泄密是企業(yè)數(shù)據(jù)泄露的根源之一，內(nèi)部員工可能有意或無(wú)意的不當(dāng)行為，是造成數(shù)據(jù)泄露的關(guān)鍵原因。數(shù)據(jù)使用權(quán)限的管控是數(shù)據(jù)安全的標(biāo)準(zhǔn)之一。

以電子郵件為例，企業(yè)郵件包含：客戶信息、財(cái)務(wù)數(shù)據(jù)、公民個(gè)人數(shù)據(jù)、商業(yè)核心機(jī)密、科研技術(shù)、甚至于國(guó)家機(jī)密，這些涉密數(shù)據(jù)很容易因系統(tǒng)漏洞、傳輸截獲或管理不當(dāng)而發(fā)生泄露。

商務(wù)密郵作為國(guó)內(nèi)郵件安全服務(wù)商，以數(shù)據(jù)加密為核心，實(shí)行各系統(tǒng)功能模塊化，無(wú)需用戶遷移數(shù)據(jù)，可快速升級(jí)電子郵件系統(tǒng)，提供從建立到收取全周期郵件安全解決方案，全面加強(qiáng)政企機(jī)構(gòu)對(duì)數(shù)據(jù)安全的保護(hù)能力。

數(shù)據(jù)加密可以阻斷黑客攻擊，卻不能防控內(nèi)部的人為擴(kuò)散，這也是企業(yè)在日常管理中，最容易被忽視的一環(huán)。商務(wù)密郵始終倡導(dǎo)“內(nèi)外兼防”的郵件防控策略，可幫助政企機(jī)構(gòu)管控郵件，如：郵件防泄漏系統(tǒng)、離職管控、郵件跟蹤、郵件水印、強(qiáng)制加密、郵件復(fù)鎖、郵件備份等，可全面保障企業(yè)郵件通信安全。