员工数据外泄管控建设指南

目录（CONTENTS） 1、员工数据外泄事件数量和损失持续走高...............................................................................11.1、数据泄露损失和影响波及各个行业............................................................................11.2、员工数据外泄成为数据泄露的主要原因之一............................................................21.3、员工数据外泄造成损失和负面影响在持续扩大........................................................42、员工数据外泄的常见通道和场景...........................................................................................72.1、员工数据外泄的常见工具............................................................................................72.2、员工数据外泄的场景....................................................................................................93、造成员工数据外泄的管理漏洞和安全隐患.........................................................................103.1、数据权限粗放管理......................................................................................................103.2、网络隔离形同虚设......................................................................................................113.3、数据流转监管缺失......................................................................................................113.4、员工行为制度漏洞......................................................................................................123.5、数据安全产品体系不完善..........................................................................................124、员工数据外泄有效管控建设指南.........................................................................................124.1、网络安全风险防御......................................................................................................124.2、数据使用制度规范......................................................................................................134.3、员工数据权限管控......................................................................................................134.4、员工使用设备管控......................................................................................................144.5、数据流转通道管控......................................................................................................144.6、数据安全技术应用......................................................................................................154.7、数据安全风险识别......................................................................................................154.8、数据外泄链路追踪......................................................................................................155、员工数据外泄有效管控最佳实践.........................................................................................165.1、飞驰云联文件安全交换系统......................................................................................16 5.2、方案特性与优势..........................................................................................................196、员工数据防泄漏治理案例.....................................................................................................216.1、某全球领先的科技公司..............................................................................................21 1、员工数据外泄事件数量和损失持续走高 1.1、数据泄露损失和影响波及各个行业 随着大数据时代的到来，数据的重要性日渐得到重视，2020年发布的《关于构建更加完善的要素市场化配置体制机制的意见》，更是将数据正式纳入生产要素范围。数据作为数字经济时代下的基础性资源和战略性资源，是决定国家经济发展水平和竞争力的核心驱动力。 数据价值的发挥和利用以数据安全为基础。当数据创造价值的同时，也面临着被窃取泄露、滥用、非法利用的风险，进而对个人、组织甚至整个社会、国家的利益产生严重威胁和损害。近年来，数据泄露问题呈现越来越高发的趋势，在全球范围内，数据泄露造成的损失也在逐年增加。 根据IBM发布的《2022年数据泄露成本报告》，2022年，数据泄露的平均成本达435万美元，创历史新高。这一数据相比去年增加了2.6%，去年的数据泄露平均成本是424万美元。相比2020年所报告的386万美元攀升了12.7%。 以行业为维度来看，数据泄露已发生在并影响了各个行业，全球范围内，各行业发生数据泄露的数量和损失都在增加。其中，医疗保健行业成为数据泄露平均成本最高的行业，在2022年达到1010万美元；按数据泄露成本排列的前五个行业的排名与2021年报告中的排名顺序相同。紧随医疗保健行业之后的是金融、制药、技术和能源行业。 1.2、员工数据外泄成为数据泄露的主要原因之一 数据泄露可能发生在数据生命周期的各个环节：数据采集、数据传输、数据存储、数据使用、数据交换和数据销毁等。数据泄露发生的因素与环境、技术、人员都密切相关。根据IBM发布的《2022年数据泄露成本报告》，数据泄露被划分为10个初始攻击媒介，其中包括意外数据丢失、云配置错误、网络钓鱼、内部威胁以及被盗或被破解凭证等。 商业电子邮件泄露成为排名第二的数据泄露平均成本初始攻击媒介，恶意内部人员也成为数据泄露的主要初始攻击媒介，平均泄露成本达到418万美元。 根据美国威瑞森通信公司（Verizon）的数据泄露调研报告《2023 Data Breach Investigations Report》显示，55%的数据泄露事件涉及有组织犯罪，30%的数据安全事件源自企业内部。在数据泄露的众多因素中，83%的数据泄露是来自外部攻击。而74%的数据泄露都涉及人为因素，人们通过错误、滥用特权、使用被盗凭证等方式窃取和外泄数据。 闪捷发布的《2021年度数据泄漏态势分析报告》中显示，在数据泄露的主体中，内部人员导致的数据泄漏事件占比接近60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中内部人员受利益驱动泄漏数据，或者被外部人员欺骗泄漏，或者对企业有不满情绪而泄漏。 失误造成的泄密类型中，由于安全意识或者流程的问题，造成安全策略配置错误，例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。 企业和单位面对复杂的网络环境和潜伏的网络攻击威胁，数据的攻击、窃取、泄露事件频繁发生，但近年来，企业内部人员外泄也成为了数据泄露的主要诱因。企业和单位不仅面对来自外部的数据安全隐患，也急需解决内部的数据安全管理危机。 1.3、员工数据外泄造成损失和负面影响在持续扩大 根据美国威瑞森通信公司（Verizon）《2023 Data Breach Investigations Report》，由外部攻击导致的数据泄露事件中，95%的外部攻击是以金钱利益为驱使的。同样，闪捷发布的《2021年度数据泄漏态势分析报告》中也显示，近80%的数据泄露事件动机是为了获取利益。 对于数据窃取方而言，窃取数据的主要目的是以数据获利，但对于数据泄露的当事方而言，数据泄露带来的损失却远不止经济损失。 随着社会层面对数据安全性、个人隐私、数据规范的重视程度提升，数据安全管理不仅保障的是经济利益，也与企业和单位的社会声誉、名誉息息相关。数据泄露事件的发生，不仅给企 业带去可估计的巨额经济损失，还会造成难以衡量的名誉和社会形象损害。进而对企业的核心竞争力和发展优势造成打击，形成更长远而严重的影响。 金融行业 01 湛江银保监分局于2021年1月对建设银行湛江市分行开出罚单，涉事人王某在2017年至2018年期间，将共计31465条客户信息外泄出售至贷款公司，获利3.6万；上述信息则被相关贷款公司用于拨打电话并推销贷款业务信息，从事不正当竞争。最终，王某被法院判处有期徒刑八个月。而王某所在的建行湛江分行也因信息安全管理不到位被罚20万。 02 1月29日，银保监会开出2021年第一张罚单，中国农业银行因涉及发生重要信息系统突发事件未报告、农行因发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚420万人民币。 汽车行业 2023年1月，小米官方发布“小米汽车保险杠设计图外泄”事件的处理结果，小米二级供应商北京