面對(duì)頻發(fā)的數(shù)據(jù)泄露事件，企業(yè)如何加強(qiáng)防護(hù)？

今年以來(lái)，數(shù)據(jù)泄露事件頻發(fā)！雅詩(shī)蘭黛被爆泄露4.4億用戶敏感信息；微盟員工“刪庫(kù)”宕機(jī)36小時(shí)，面臨客戶流失、巨額賠償風(fēng)險(xiǎn)；螞蟻金服P6員工錄屏從釘釘獲取8萬(wàn)條個(gè)人信...今年以來(lái)，數(shù)據(jù)泄露事件頻發(fā)！雅詩(shī)蘭黛被爆泄露4.4億用戶敏感信息；微盟員工“刪庫(kù)”宕機(jī)36小時(shí)，面臨客戶流失、巨額賠償風(fēng)險(xiǎn)；螞蟻金服P6員工錄屏從釘釘獲取8萬(wàn)條個(gè)人信息被開(kāi)除；迪卡儂數(shù)據(jù)庫(kù)1.23億個(gè)人信息泄露；微博5億用戶手機(jī)號(hào)疑在暗網(wǎng)出售....隨著信息技術(shù)的快速發(fā)展，個(gè)人和企業(yè)的數(shù)據(jù)價(jià)值日益凸顯，各行各業(yè)逐漸暴露在數(shù)據(jù)安全風(fēng)險(xiǎn)當(dāng)中。特別是醫(yī)療、金融、服務(wù)等擁有海量個(gè)人數(shù)據(jù)的企業(yè)成為了黑客的主要目標(biāo)。數(shù)據(jù)泄露成本逐年升高，及時(shí)識(shí)別數(shù)據(jù)危機(jī)成為企業(yè)痛點(diǎn)。數(shù)據(jù)泄露不僅使企業(yè)形象大打折扣，也讓企業(yè)面臨著巨額經(jīng)濟(jì)損失。2018年的數(shù)據(jù)泄露事件導(dǎo)致該酒店面臨125億美元索賠，同時(shí)因違反歐盟GDPR（通用數(shù)據(jù)保護(hù)條例）被罰款1.24億美元。據(jù)IBM 《2019 年全球數(shù)據(jù)泄露成本報(bào)告》顯示，數(shù)據(jù)泄露事件全球平均成本為392萬(wàn)美元，每條記錄的成本為150美元，對(duì)比2014年上漲12%。巨大的經(jīng)濟(jì)損失讓企業(yè)難以招架，及時(shí)識(shí)別數(shù)據(jù)安全危機(jī)成為企業(yè)痛點(diǎn)。IBM 調(diào)研顯示，數(shù)據(jù)泄露的平均生命周期為 279 天，即在事件發(fā)生后企業(yè)平均需要 206 天才能發(fā)現(xiàn)，另需 73 天才能控制住事件發(fā)展態(tài)勢(shì)。企業(yè)加強(qiáng)防護(hù)，阻止數(shù)據(jù)泄密，急需解決?。1. 完善數(shù)據(jù)安全防護(hù)手段當(dāng)前，企業(yè)對(duì)數(shù)據(jù)安全主要采取防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入的網(wǎng)絡(luò)邊界防護(hù)和終端管控手段，缺少對(duì)內(nèi)容的深度識(shí)別或感知技術(shù)，并且缺少對(duì)敏感數(shù)據(jù)的全方位治理和安全管理手段。敏感數(shù)據(jù)是什么、存放在什么位置、流轉(zhuǎn)經(jīng)過(guò)哪些節(jié)點(diǎn)、數(shù)據(jù)泄露后如何溯源追責(zé)，企業(yè)都應(yīng)該采取相應(yīng)的數(shù)據(jù)安全產(chǎn)品和技術(shù)手段來(lái)解決這些問(wèn)題。2. 建立可落地的行業(yè)性數(shù)據(jù)安全規(guī)范和企業(yè)數(shù)據(jù)安全管理制度最近幾年，數(shù)據(jù)安全已經(jīng)被逐步納入國(guó)家法規(guī)和行業(yè)規(guī)范中，包括《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 2.0》、《個(gè)人信息安全規(guī)范》、歐盟《GDPR》等。數(shù)據(jù)安全已經(jīng)成為新一代信息安全標(biāo)準(zhǔn)的基本內(nèi)容。雖然這些已頒布的法律法規(guī)對(duì)數(shù)據(jù)安全和個(gè)人信息保護(hù)進(jìn)行了明確立法規(guī)定，對(duì)各類組織承擔(dān)的數(shù)據(jù)安全保障義務(wù)與責(zé)任進(jìn)行明確要求，并保障個(gè)人對(duì)其個(gè)人信息的安全可控。3. 提高安全意識(shí)，增加對(duì)內(nèi)部數(shù)據(jù)泄露風(fēng)險(xiǎn)的防護(hù)目前，企業(yè)對(duì)數(shù)據(jù)安全的投入，主要是針對(duì)外部攻擊的防護(hù)，如防火墻、IDS、防病毒軟件等，而這些技術(shù)手段很難對(duì)內(nèi)部人員有意或無(wú)意的泄露行為進(jìn)行識(shí)別和防護(hù)。調(diào)查結(jié)果表明，絕大部分的泄露風(fēng)險(xiǎn)來(lái)自企業(yè)內(nèi)部，其中郵件外發(fā)和互聯(lián)網(wǎng)上傳是兩個(gè)最方便的數(shù)據(jù)外傳手段，也是泄露事件發(fā)生概率最高的兩個(gè)渠道。因此，企業(yè)應(yīng)加強(qiáng)對(duì)內(nèi)部員工或運(yùn)維人員的安全意識(shí)管理，增加對(duì)數(shù)據(jù)防泄漏產(chǎn)品的投入，實(shí)行對(duì)內(nèi)部人員泄露行為的檢測(cè)和管控，降低內(nèi)部人員有意無(wú)意的拷貝、外發(fā)和上傳等操作帶來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn)。?