随着数字化转型浪潮的持续高涨,数字化发展的趋势越来越明显,数据已经成为企业不可或缺的重要资产。当下社会,数据对于企业的重要性与日俱增,相对应的数据安全风险问题也随之而来。近日,由IBM发布的《2022年数据泄露成本报告》显示,2022年全球数据泄露平均成本为435万美元,创下该年度报告发布以来的最高纪录,给企业和组织造成的经济损失和影响力达到了有史以来的最高点。
数据泄露不仅给企业带来了财产损失,也给企业带来了极大的声誉威胁。以下是日常生活中企业和个人可能存在的数据泄密方式以及应对的建议。
一、机房数据泄密
目前企业会将一部分服务器和网络设备放置于云端,也会建设本地机房,放置重要的服务器与设备。企业若未做好机房管理工作,对机房门禁、出入登记、环境设施等未做相应管理时,会造成人员随意进出机房,敏感数据被泄密的局面。若是机房未对电磁信号进行屏蔽、干扰,也有可能发生电子信号泄露的情况。
为有效防止机房信息泄露事件的发生,建议企业建立人员出入机房登记制度与管理规范。在机房设计中,严格管控机房内室温,对空调、服务器、路由器等设备定期检查,对涉及机密数据的数据中心机房设置电磁屏蔽室。
二、网络社交媒体泄密
QQ空间、微信朋友圈、微博等网络社交媒体已成为当下网民日常上网浏览资讯与分享生活的重要途径,而在个人社交媒体上分享的生活照、传递的讯息及发布的图片很有可能就成为了黑客手中的工具,对企业的敏感信息造成泄密威胁,在社交平台上意外泄露数据也逐渐成为信息泄露的一大风险,请务必小心“隔墙有耳”。
建议企业对员工做针对性的安全培训,加强员工信息安全意识教育。而员工也切勿因“一时手痒”在社交平台发布有关企业内部敏感信息的内容。
三、共享文档泄密
在日常办公过程中,共享文档逐渐成为我们统计数据、填写文本以及共享资料的便捷工具,然而共享文档的便捷,有时也会成为危害企业数据安全的利刃。无法保障文档的隐私安全,无法记录哪些人员对共享文档有过哪些修改,都很有可能致使公司机密文件泄露。
建议企业可以建立文件共享服务器,统一管理共享文件的访问控制权限。而共享文档的管理员可将文档设置成只读模式,设置查阅权限与密码,用户只需查看或复制共享文档即可。
四、文件权限失控导致数据泄密
依据国家保密的密级划分,可将涉密信息等级划分为:绝密、机密、秘密三级。通常情况下,根据员工的职位与部门,其所接触到的企业信息与文件档案也是不同,但目前大部分的企业,对于信息保密程度的划分不明确,权限的认定也存在界限不明的情况,这就有可能导致企业内部高度机密的信息被告知于无相应保密等级与权限的员工。
建议企业做好内部文档权限的划分,建立信息保密制度,做好信息保密级别划分工作,员工严格按照要求执行。
五、离职人员拷贝企业内部文件泄密
相关的调查结果显示,企业离职员工当中,有占比七成的人员会将原公司资料拷贝取走,带走公司内部数据。管理层带走公司业务机密文件,研发人员带走内部核心代码与研发成果,销售人员带走销售数据与客户信息,而财务人员带走公司核心的财务信息与报表数据等。
员工离职时,人力资源部应与之进行离职面谈,了解离职原因与其手头现有工作内容,审查其公司电脑及其他设备是否存有机密数据。而员工离职时,也应自觉删除手中现有的公司敏感资料。另外,企业需与入职员工签署保密协议,入职后,对员工进行相应培训。
六、USB设备接入泄密
除了通常为人们所知的USB存储设备之外,其他的USB设备接入我们日常办公用的电脑时,也会造成信息泄露的危害,比如USB小风扇。这些看似无害的设备却很有可能充当起攻击者的攻击后门,攻击者可通过此类USB设备潜入公司企业网络,造成威胁。
建议采用新一代安全防护技术,检测木马病毒的入侵以及非特权用户接入,防止未授权代码执行。建立端点检测与响应机制,监控扩展设备的执行流程,审计过程日志。
七、废弃文件与设备隐私数据泄露
丢弃的文档资料未经碎纸机处理,或是废旧设备例如旧打印机丢弃回收时,未清除其中所存的账号密码等隐私数据,很有可能会被有心人利用,从中提取有用的信息,甚至是设备密码,渗透到企业内部网络,以窃取更为机密的数据,届时企业将面临隐私数据泄露的风险。
建议企业应对各种数据进行加密处理,建立废弃文件、设备的安全丢弃规范。而员工的废弃文件必须使用碎纸机碎纸。针对设备,必须进行格式化处理,对可移动介质进行有效控制。
八、员工误遭钓鱼攻击
在一些招聘网站或是软件上,人们往往会暴露自己的工作履历,泄露工作地点、手机号码等重要的隐私数据。而这种数据恰好为攻击者大开方便之门,提供可趁之机,攻击者可借此发动网络钓鱼攻击,通过搜索目标,冒充HR或是公司高管的方式,利用社工行为搜集到更多有用的信息后,发送钓鱼信息或钓鱼邮件,引诱被害者上钩。或是冒充公司人员,在新员工入职的第一天进行搭讪和欺骗。
建议企业安全团队加强对新员工的网络安全意识教育,并介绍企业邮箱的形式与发送格式,避免员工上当,遭受钓鱼攻击。
公司如何针对局域网共享文件进行保护,通过配置访问权限保护共享文件安全方法:
大势至局域网共享文件管理系统 (下载地址:https://www.grabsun.com/soft.html)是一款专门用于监控服务器共享文件访问日志的服务器文件管理系统,可以详细记录局域网用户对服务器共享文件的各种操作,比如打开、复制、修改、删除、剪切、打印、重命名等,可以记录访问者的IP地址、MAC地址和主机名等信息,同时还可以对重要共享文件进行保护,禁止删除共享文件、禁止复制共享文件或将共享文件拖拽到访问者自己的电脑上,从而可以有效保护共享文件的安全,保护单位无形资产和商业机密。
大势至共享文件管理系统详细功能如下:
1、独家实现服务器共享文件操作权限设置
系统主要功能:禁止删除共享文件、禁止修改共享文件、禁止剪切共享文件、禁止重命名共享文件、禁止新建共享文件、禁止读取共享文件、禁止复制共享文件、禁止拖拽共享文件、禁止复制共享文件内容、禁止共享文件另存为本地磁盘、禁止打印共享文件等。根据需求,可以任意组合应用。还可以限制外来电脑或未经授权的电脑访问。
2、可以实现隐藏用户无权限访问的共享文件
局域网服务器上的全部或部分共享文件(文件夹),对于一些无权访问的用户,可以设置对其隐藏,完全看不到共享文件或文件夹的名称,用户只能看到自己有权查看的共享文件。
3、共享文件操作日志监控、共享文件访问日志记录
详细记录用户和管理员对服务器共享文件的操作日志,包括删除、修改、复制、剪切、重命名、新建等行为,也包括用户名、计算机名、文件名、路径、IP地址、MAC地址等。监控日志可设置自动删除和导出。
4、禁止用户本地保存文件,只让在共享服务器上新建、修改、保存共享文件
系统可以实现类似于无盘工作站的文件保存模式,禁止用户本地新建、编辑和保存文件,一切操作都只能在文件服务器上,防止因为文件存储在本地磁盘而引发的泄密风险。
5、共享文件访问许可程序管理、只让特定软件或工具访问共享文件
用户在访问服务器共享文件时,设置其允许使用的应用程序列表,不在列表中的程序则无法打开,以防共享文件外泄。例如可以禁用QQ传文件、禁用邮箱发文件、禁止通过特殊软件打开或编辑共享文件等等。
6、禁止用户本地登录/远程桌面后越权访问共享文件
用户本地登录或通过远程桌面访问服务器共享文件后,禁止其复制粘贴到自己电脑的共享文件夹里,也可以禁止用户在远程桌面时通过磁盘模式将共享文件拖到自己的电脑磁盘里。
7、自主添加控制用户访问共享文件动作的功能。
通过本系统可以实现用户在访问服务器共享文件时,禁止某些窗体打开或禁止执行某些动作,防止共享文件外泄和被编辑破坏。例如:禁止打开“输出”窗体、禁用某些软件的“列印”动作、禁用右键菜单的“添加”动作等。
8、用户和组访问权限设置功能
系统支持自动读取局域网工作组和域用户,既可以手动添加新用户,又可以自动添加新用户,支持批量导入导出组用户,也可以批量修改组用户权限和分类,管理方式非常灵活。
9、远程用户校验功能
为防止某些具有高级权限的用户访问共享文件时,中途离开电脑,其他人用此电脑操作共享文件,或删除、或拷贝等,系统设置了远程用户校验功能,即每次打开共享文件均需要输入账号和密码,加强保护共享文件安全。
10、共享文件访问绑定认证功能
通过进行IP、MAC、用户名、机器名四重绑定,修改其中任何一项都将无法访问共享文件。防止用户修改IP、MAC或用他人账号登录访问共享文件,同时还可以限制外来电脑或未经授权的电脑访问共享文件。
11、智能容灾备份
大势至共享文件管理系统可以设置删除前自动备份,根据需要有选择地恢复某个共享文件,防止用户有意或无意删除共享文件后,造成重要数据丢失和不可恢复。
12、共享文件黑、白名单管理
系统可以对某一特定格式(后缀名)的共享文件统一设置权限,例如设置读取权限、删除权限,修改权限、新建权限等,后缀名可以手动添加,也可以批量导入或导出。
13、防止网络途径泄密共享文件的行为
通过本系统可以阻止通过邮件附件、网盘文件上传、聊天软件发送文件、FTP文件上传或论坛发帖留言等方式泄密共享文件的行为,全面保护共享文件的安全。
总之,通过大势至共享文件管理系统可以在操作系统和Windows AD域控制器之外提供强大、全面、精细的共享文件访问权限设置和共享文件访问日志记录功能,可以实现操作系统和域控制器环境无法实现的共享文件访问动作控制功能,严防通过各种途径泄密共享文件的行为,全面保护共享文件的安全,保护公司无形资产和商业机密的安全。
同时,大势至公司研发团队凭借多年的技术积淀和深厚的实践经验,可以为用户提供实时的二次定制开发服务,从而可以满足用户个性化的网络管理需要,真正帮助用户实现共享文件管理、共享文件防泄密的目的。
