员工数据外泄管控建设指南

目录（CONTENTS） 1、员工数据外泄事件数量和损失持续走高1 1.1、数据泄露损失和影响波及各个行业1 1.2、员工数据外泄成为数据泄露的主要原因之一2 1.3、员工数据外泄造成损失和负面影响在持续扩大4 2、员工数据外泄的常见通道和场景7 2.1、员工数据外泄的常见工具7 2.2、员工数据外泄的场景9 3、造成员工数据外泄的管理漏洞和安全隐患10 3.1、数据权限粗放管理10 3.2、网络隔离形同虚设11 3.3、数据流转监管缺失11 3.4、员工行为制度漏洞12 3.5、数据安全产品体系不完善12 4、员工数据外泄有效管控建设指南12 4.1、网络安全风险防御12 4.2、数据使用制度规范13 4.3、员工数据权限管控13 4.4、员工使用设备管控14 4.5、数据流转通道管控14 4.6、数据安全技术应用15 4.7、数据安全风险识别15 4.8、数据外泄链路追踪15 5、员工数据外泄有效管控最佳实践16 5.1、飞驰云联文件安全交换系统16 5.2、方案特性与优势19 6、员工数据防泄漏治理案例21 6.1、某全球领先的科技公司21 1、员工数据外泄事件数量和损失持续走高 1.1、数据泄露损失和影响波及各个行业 随着大数据时代的到来，数据的重要性日渐得到重视，2020年发布的《关于构建更加完善的要素市场化配置体制机制的意见》，更是将数据正式纳入生产要素范围。数据作为数字经济时代下的基础性资源和战略性资源，是决定国家经济发展水平和竞争力的核心驱动力。 数据价值的发挥和利用以数据安全为基础。当数据创造价值的同时，也面临着被窃取泄露、滥用、非法利用的风险，进而对个人、组织甚至整个社会、国家的利益产生严重威胁和损害。近年来，数据泄露问题呈现越来越高发的趋势，在全球范围内，数据泄露造成的损失也在逐年增加。 根据IBM发布的《2022年数据泄露成本报告》，2022年，数据泄露的平均成本达435万美元，创历史新高。这一数据相比去年增加了2.6%，去年的数据泄露平均成本是424万美元。相比2020年所报告的386万美元攀升了12.7%。 以行业为维度来看，数据泄露已发生在并影响了各个行业，全球范围内，各行业发生数据泄露的数量和损失都在增加。其中，医疗保健行业成为数据泄露平均成本最高的行业，在2022年 达到1010万美元；按数据泄露成本排列的前五个行业的排名与2021年报告中的排名顺序相同。紧随医疗保健行业之后的是金融、制药、技术和能源行业。 1.2、员工数据外泄成为数据泄露的主要原因之一 数据泄露可能发生在数据生命周期的各个环节：数据采集、数据传输、数据存储、数据使用、数据交换和数据销毁等。数据泄露发生的因素与环境、技术、人员都密切相关。根据IBM发布的《2022年数据泄露成本报告》，数据泄露被划分为10个初始攻击媒介，其中包括意外数据丢失、云配置错误、网络钓鱼、内部威胁以及被盗或被破解凭证等。 商业电子邮件泄露成为排名第二的数据泄露平均成本初始攻击媒介，恶意内部人员也成为数据泄露的主要初始攻击媒介，平均泄露成本达到418万美元。 根据美国威瑞森通信公司（Verizon）的数据泄露调研报告《2023DataBreachInvestigationsReport》显示，55%的数据泄露事件涉及有组织犯罪，30%的数据安全事件源 自企业内部。在数据泄露的众多因素中，83%的数据泄露是来自外部攻击。而74%的数据泄露 都涉及人为因素，人们通过错误、滥用特权、使用被盗凭证等方式窃取和外泄数据。 闪捷发布的《2021年度数据泄漏态势分析报告》中显示，在数据泄露的主体中，内部人员导致的数据泄漏事件占比接近60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类 型中内部人员受利益驱动泄漏数据，或者被外部人员欺骗泄漏，或者对企业有不满情绪而泄漏。 失误造成的泄密类型中，由于安全意识或者流程的问题，造成安全策略配置错误，例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。 企业和单位面对复杂的网络环境和潜伏的网络攻击威胁，数据的攻击、窃取、泄露事件频繁发生，但近年来，企业内部人员外泄也成为了数据泄露的主要诱因。企业和单位不仅面对来自外部的数据安全隐患，也急需解决内部的数据安全管理危机。 1.3、员工数据外泄造成损失和负面影响在持续扩大 根据美国威瑞森通信公司（Verizon）《2023DataBreachInvestigationsReport》，由外部攻击导致的数据泄露事件中，95%的外部攻击是以金钱利益为驱使的。同样，闪捷发布的 《2021年度数据泄漏态势分析报告》中也显示，近80%的数据泄露事件动机是为了获取利益。 对于数据窃取方而言，窃取数据的主要目的是以数据获利，但对于数据泄露的当事方而言，数据泄露带来的损失却远不止经济损失。 随着社会层面对数据安全性、个人隐私、数据规范的重视程度提升，数据安全管理不仅保障的是经济利益，也与企业和单位的社会声誉、名誉息息相关。数据泄露事件的发生，不仅给企 业带去可估计的巨额经济损失，还会造成难以衡量的名誉和社会形象损害。进而对企业的核心竞争力和发展优势造成打击，形成更长远而严重的影响。 金融行业 01 湛江银保监分局于2021年1月对建设银行湛江市分行开出罚单，涉事人王某在2017年至2018年 期间，将共计31465条客户信息外泄出售至贷款公司，获利3.6万；上述信息则被相关贷款公司用于拨打电话并推销贷款业务信息，从事不正当竞争。最终，王某被法院判处有期徒刑八个月。而王某所在的建行湛江分行也因信息安全管理不到位被罚20万。 02 1月29日，银保监会开出2021年第一张罚单，中国农业银行因涉及发生重要信息系统突发事件未报告、农行因发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚420万人民币。 汽车行业 2023年1月，小米官方发布“小米汽车保险杠设计图外泄”事件的处理结果，小米二级供应商北京某模塑科技有限公司因对其下游供应商管理不善，泄露了汽车前后保险杠的早期设计稿。被泄小米汽车车型图片主要展示了车辆前脸和尾部等设计细节，包括小米汽车保险杠、小米MS11的装饰件、以及小米与北汽模塑相关合作细节等。 小米回应泄密的文件是非常早期的招标过程的设计稿，依照《保密协议》对该合作商处以100万元的经济赔偿，并责成其对下游供应商加强信息安全管理。 互联网 2021年8月，阿里云电销员工违反公司纪律透露阿里云用户注册信息给分销商员工，浙江省通信管理局对此事回应称已责令改正。阿里云的信息泄露事件引发用户对阿里集团信息安全问题的担忧。对此，有律师表示责任人该行为除了要负行政责任、民事责任外，还有可能涉嫌侵害公民个人信息罪的刑事责任。 高科技 01 2023年3月，韩国三星电子发生三起机密资料外泄事件，其中两起发生在设备解决方案部门，使用ChatGPT寻找半导体设备相关问题的解决方案，以此导致三星公司的半导体设备测量资料、产品良率等机密内容录入到ChatGPT的学习资料库中。三星方面回应，已加强ChatGPT相关的安全措施，将进一步收紧内部监管和员工培训。 02 2013年，台湾宏达国际电子股份有限公司对其研发部3名领导层提出指控，称3人涉嫌窃取HTCSENSE6.0之UI接口程序的商业机密，赴大陆展示，准备与四川官方合作开公司，累计盗走1600多万元。 被告简某除涉犯《证交法》背信等罪，另涉将机密外泄至大陆，依年初修订的《营业秘密法》，已对泄密等商业间谍行为加重刑责，最重判10年。 03 2011年，前苹果员工全球采购经理PaulDevine泄露苹果公司的机密信息，包括新产品的预测、计划蓝图、价格和产品特征。作为回报，Devine得到了经济利益，而苹果这些信息而亏损了 240.9万美元。2014年12月，因受贿并泄露商业机密，其被美国加州法庭判处罚金和监禁。 04 2003年，华为向向黑龙江佳木斯警方报案，称华为有多达数万页产品研发数据书面和光盘资料被 3位前员工窃取，这3位前员工的侵权行为对华为造成了高达1.8亿元的经济损失。11月佳木斯 警方远赴杭州，将3人拘留。2003年3人被批准逮捕，并于2004年以涉嫌侵犯商业秘密罪被提起公诉。 零售业 01 2015年，青岛法院针对四名海尔前员工商业窃密案进行一案二审公开宣判，该四名前员工违反与 公司的保密协议，通过邮件形式，向同行业某公司非法透露海尔洗衣机重要生产数据，并在当年7月辞去海尔职务到该公司就职。而后通过邮件，又从张某某、王某、张某三人获取海尔洗衣机生产和采购环节重要商业数据。经评估，齐某某、张某某给海尔集团分别造成直接经济损失 372.44万元和2579.81万元。 02 2006年，可口可乐公司前任秘书威廉斯，偷取公司的商业秘密文件和汽水样本，与另外两名同谋 计划将之以150万美元出售予商业竞争对手百事可乐。案件在亚特兰大法院审结，该名秘书被判 监禁8年。 2、员工数据外泄的常见通道和场景 2.1、员工数据外泄的常见工具 企业和机构单位进行网络安全、数据安全的管理手段、重视程度各不相同，但不论企业采用怎样严密的手段进行管控，也无法杜绝员工主观上窃取和泄露数据的倾向、同时无法绝对规避员工数据外泄行为的发生。 了解员工数据外泄的常见通道和路径就显得至关重要，它可以为企业和机构单位提供数据安全的管控思路，最小化数据泄露的隐患和风险。 1）IM通讯工具泄密 不少企业和单位内部仍使用IM通讯工具作为业务往来或日常沟通的渠道，如微信、QQ、企业微信、钉钉、飞书等，这些通讯工具几乎无数据监控手段，无法掌握企业数据流向，员工可以轻易使用上述通讯工具将内部数据外发，而企业和单位对通讯工具泄密几乎难以察觉。 2）邮件泄密 邮件对每个企业和单位来说都不可或缺，但邮件的管控力度非常有限，通常需要结合其他数据安全产品或手段才能对数据流向做管控。常见的Outlook有限、Gmail邮箱、企业邮箱、163邮箱、QQ邮箱、139邮箱等，都无法限制员工将数据进行外发。而即便发现员工数据外发，也很难继续再对外发数据流向进行追踪。 3）网盘云盘泄密 企业和单位使用网盘云盘来解决数据存储和文档协作等业务需求，如百度网盘、阿里云盘、115网盘、Dropbox等。员工使用网盘和云盘时，企业拥有一定程度的数据管控能力，如分配 限制员工权限、对敏感数据不开放权限等。但员工仍可通过公共盘等空间获取内部文件数据，下载到本地进行文件外泄。 4）U盘及设备泄密 企业如果没有对员工的USB端口做禁用处理，那么员工就可以使用U盘、硬盘等移动介质将数据拷贝带出；此外，打印机也是常被忽略的设备，员工将重要文件通过打印机打印后带出，也是常见的数据外泄方式。 5）云笔记泄密 目前较多企业已开启共享文档办公，常用的在线共享文档办公平台如有道云笔记、石墨笔记、语雀文档、印象笔记等，员工将重要数据复制或上传至在线云笔记，将重要数据外泄。 6）代码托管工具泄密 在开发的过程中都会用到代码管理工具，如Git、Github、Gitlab、SVN、Gitee等平台。项目不仅在员工电脑上有一份，在代码管理服务器上也会同步一份。此时，员工可通过进入代码服务器的方式将代码外泄；即便企业将服务器部署在公司内部、禁止外面的电脑访问，员工也可以将笔记本带到公司连接代码服务器访问。 7）远程桌面数据泄密 基于办公需要，许多员工有远程桌面的使用权限，如Todesk、向日葵、Anydesk、Teamviewer等；在这种情况下，员工只要登录远程桌面，即可获取自己本地的数据，将企业内部的数据外泄。 2.2、员工数据外泄的场景 员工数据外泄可能发生在数据生命周期的各个环节，从地理空间来划分，它可能发生在企业和机构单位的任何部门、组织和团队中，在日常经营和业务开展的各个流程中，员工数据外泄都有可能出现。不同行业、不同管理模式，员工数据外泄的