企业信息泄露防范建议

中国网络黑色产业市场规模：千亿元  

非法售卖公民信息是网络黑产重要组成部分。

在暗网，各行各业的个人隐私信息被定制查询。

一、信息泄露途径

信息泄露的主要途径有三个方面：个人原因导致信息泄露、黑客手段导致信息泄露、企业内鬼售卖导致信息泄露，其中企业内鬼售卖客户信息是信息泄露的主要来源。

1.个人原因导致信息泄露

1.1扫不知名二维码。
1.2连接星巴克、饭店、酒店等公共区域wifi。
1.3买房买车或其他购物环节将自己的信息提交给对方。
1.4误入钓鱼网站输入信息。

2.黑客手段导致信息泄露

2.1某住5亿开房数据。

2.2某易邮箱过亿用户账号数据泄露。

3.企业内鬼导致信息泄露

3.1某证券公司员工当“内鬼”贩卖客户信息。
3.2某通1、某通2、某达等多家快递公司员工0.4元-1元出售快递单。
3.3某联员工私卖15万条简历。
3.4利用系统漏洞低价出售、某金融机构内部员工或卖客户资料。
3.5某丰快递11名员工因售卖客户信息获刑。
3.6外部人员勾结某银行内部人士贩卖22000余条产权信息
3.7某通公司一员工出卖近13万条公民信息。

二、企业信息泄露防御方案

作为个人信息的保管方和运营方，企业有义务保护公民的隐私。但实际情况是，很难保管，各家企业或多或少都有主动或被动的信息泄露发生。所以企业更应担负起责任，建立有效的信息防泄漏体系并不断完善。

1.机密数据分级分类

1.1对企业内所有数据进行梳理，明确机密数据和非机密数据，各类数据严格分类分级管理，不能越权查看不属于自己权限内的数据。
1.2定期开展数据分类分级管理有效性检查，避免因责任人变更或体系架构变更导致的分类分级混乱。

2.明确机密数据保存形态

2.1明确企业中哪些数据必须以电子形态存在，对不同类型的数据分设备存放，不同的设备由专人维护并定期备份。
2.2明确企业中哪些数据必须以纸质形态存在，重要文件的原件应当放在有锁的柜子或保险柜，由专人看管柜子的钥匙或者密码。

3.员工安全意识培养

3.1定期对员工进行安全培训，所有员工要能识别基础的恶意网络攻击。

3.2定期对员工进行普法教育，泄露公司机密数据要承担法律责任并被追责。

4.产品安全管理

4.1梳理并记录企业所有资产的架构和版本，定期对所涉及的开源组件进行版本更新维护。

4.2不定期对公司资产进行渗透测试或者组织安全演练。找到存在风险的漏洞并修复。

4.3内网网络安全也要投入精力，研发环境的产品漏洞及时修复，员工个人电脑定期漏洞检查。

5.数据安全管理有效闭环

5.1成立专门的数据安全管理部门，负责制定数据控制策略、安全防范制度、监督制度执行。
5.2成立专门数据泄露应急处置部门，能够在数据泄露事件发生后，迅速给出内部处置方案和外部公关方案，降低数据泄露对企业造成的影响。

三、总结

目前看到的情况是，无论大小企业，信息泄露情况都十分严重。有一些是泄露了企业自身的机密，有大部分泄露的是企业掌握的用户信息。企业要想做好信息泄露防范，任重道远。