不久前，澳大利亚铁矿石企业力拓集团驻上海办事处的员工，因涉嫌窃取国家机密在上海被拘捕。一波未平一波又起。当力拓间谍案还没有淡出人们视线时，在国家统计局公布上半年宏观经济数据前，就又有媒体率先报道出上半年GDP增长指数。有财经专家指出，如果外资机构以此数据在中国资本市场上套利，中国普通投资者将可能蒙受巨大损失，而外资机构通过提前做多或做空, 是既可以避险又可以谋取利润，会立于不败之地。

　　短时期内发生的这两起重大机密数据外泄事件，不禁让人担忧这些重要的机密数据怎么会如此轻易被泄露，到底是谁动了数据外泄之门?数据安全保障如此脆弱，IT部门和CIO有没有责任?再回顾近期时有所闻的全球数据外泄事件，这不仅严重妨碍企业正常的运营，也常常会造成企业在财务与商誉上的巨大损失。目前，防止企业机密数据外泄，已经成为电信、金融、医疗、政府、教育等众多IT数据集中度较高的企事业单位亟待解决的问题之一。

　　一.重要数据外泄的主因分析

　　信息数据是一个企业生存与发展的基本元素。对企业来说凡是通过大量人力、物力投入后所得到的数据资源，都可以列入机密信息的范畴。如：技术图纸、财务报表、账户信息、客户资料等，这些信息是散落在企业的各个角落里。

　　随着IT技术的发展，目前这些信息大部分都以电子数据的形式保存在各IT设备中。因此，有许多企业的高层会片面的认为确保这些IT数据安全是IT部门的责任。但他们却都忽略了一点，IT中的“I”指的是“信息”(Information)。从损益表，到销售数据，再到产品设计，可以说信息数据是公司的血液。因此，一旦其被未经授权的人员获得，蒙受损失的就不仅仅是IT部门了。

　　(1)分析数据在何处不设防?

　　让我们一起来思考一个问题：企业IT数据所面临的最大外泄威胁是什么?许多人的回答可能会是黑客攻击、木马病毒窃取和IT人员的违规行为，但这并不完全正确。的确，黑客的恶意攻击是要引起人们的高度重视，IT人员的恶意违规行为更是不能容忍。但事实上，最有可能泄露企业数据的却往往是那些看起来与IT部门无关的内部员工。

　　一般来说，数据泄露主要有两个途径：一是企业不健全的网络环境会导致数据外泄，例如企业网络遭到黑客、木马和病毒的袭击;二是企业的内部员工有意、无意造成的机密资料外泄。据最新的一份IT安全调查报告显示，内部员工的粗心大意是到目前为止企业数据外泄的最大威胁，由此造成的数据安全事故高达68%。这份报告指出，所有的数据外泄案件中，只有不到5%有采用加密保护和10%有密码保护。这意味着非常多的外泄数据完全没有加密或密码保护。至于数据外泄的途径，报告表示人为的疏失占35%，黑客恶意攻击及内部窃贼的比例约占45%，其中内部窃贼的比例高达20%。从这些统计数据可以明确的看到企业的数据外泄途径除了外部黑客攻击外，内部人员的人为疏忽和非法窃取更不容忽视。

　　从这份报告的统计可知，当前造成数据外泄事故的因素有多种多样。本文将主要从企业内部人员的人为疏失和故意窃取的角度来分析，然后提出防范内部人员造成数据外泄的建议和策略。其它泄漏问题，如黑客攻击、木马病毒、丢失USB或者笔记本等问题引起的数据泄漏，本文将不进行详细的讨论。

　　(2)为什么内部人员造成的外泄会如此严重?

　　许多企业在考虑数据外泄时的第一个反应，就是如何防范来自外部的威胁和攻击。因此，许多企业在IT安全投入时会将焦点集中在反病毒和防范网络攻击，以及进行垃圾邮件过滤和Web内容过滤等防范外部威胁方面。例如，企业会部署许多软硬件防护措施，如CRM、防火墙、或使用网络监视器来提供稽核记录以防止外界不当存取内部的机密信息。但有了这些防御外部威胁和攻击的网络环境，并不意味着企业就可以高枕无忧了。因为这些作法都只是能够降低来自外界的风险，防止遭到窃听或黑客入侵，而并无法预防内部人员蓄意或意外泄漏资料。

　　因为正如俗话所说：“坚固的堡垒往往是在内部被攻破的”。让人感到遗憾的是，很少有企业能够意识到来自企业内部的威胁可能会更大。根据IDC一项数据安全调查显示，内部员工数据外泄风险已成为企业面临的重要风险之一，且等级提升到第三名，只低于木马病毒、黑客入侵。例如拥有数据访问权限的员工、合作伙伴、顾问以及凡是能够存取安全网络的人员，都可能会有机会通过多种管道取得重要的信息及数据，并且可能会传送至企业之外。报告表示这些数据外泄的主要途径，包括蓄意违反政策，或是意外遗失数据，例如遗失存有重要数据的移动存储设备。

　　因此，在预防数据外泄的威胁问题上，企业在内部人员上面临着更大的挑战。内部人员窃取商业机密有两大诱因：一是能够获得金钱;二是能够获得商业优势。后者多体现为一些准备跳槽的员工，而且这类情况大都在员工离开以后也没有被发现。可见，内部威胁是数据安全管理的难题之一，尤其是在那些有故意收集数据的员工和有特许权限的员工的管理上更是如此。因此，在IT数据安全管理上除了常规的防病毒的IT软硬件外，企业还需要在人员方面完善相关制度从而确保机密数据的安全。

二. CIO如何部署数据外泄防范系统?

　　现在数据安全可以说是关系到企业命运的大事，如果企业的数据安全系统脆弱不堪，CIO的责任将难辞其咎。那么，CIO应该制定什么措施来防范数据外泄事件的发生呢?一个企业成功部署数据外泄防范系统(Data Loss Prevention)，可从身份认证、权限管理、数据分级管理、数据加密、员工教育和建立管理制度等五个步骤着手：

　　(1)加强身份认证和权限管理

　　建立防范企业数据外泄的第一道防线，就是要加强对员工以及外来人员的身份辨识管理，例如建立针对以身份为生命周期的管理机制。具体做法是指对企业内每个员工的身份加以认证辨识，比如对不同职位、不同职级的身份认证做重新审核，还要防范企业离职员工透过原有的权限盗取数据。

　　身份认证是指通过区分出哪些用户是经过授权的，进而加强对终端登录的安全管理和控制。企业中的用户只有通过合法身份认证，才能进入企业内部网络访问企业的内部文件和核心数据信息，以此实现企业级文件的安全性。此外，严格部署数据安全访问原则也很重要(如职责分工和最小特权等)，要让员工各尽其职，不要越权。

　　其次，数据的访问权限也是很关键的一步。数据访问权限是指一个权限区分和细分的过程。因为IT科技日新月异，企业不时会面临新型态的窃取数据方式，企业内拥有权限的人员做出不合法的数据窃取行为更可能会是防不胜防。所以，除了透过身份认证的方式防止数据外泄外，往往还要透过权限来防范数据外泄。例如，透过存取数据权限的设定，确保数据合法阅读和使用而不会被非法窃取，以及可以知道每份数据和资料被哪些人阅读过。在很多数据外泄的事件中，我们经常看到的就是企业对数据访问的权限管理不当。例如，许多员工和外部顾问经常能够在没有太多限制的情况下访问到敏感信息和数据。

　　(2)对数据进行分级管理

　　一般来说，希望保护企业中所有数据的安全，从现实来说是不太现实的。而且，就算真的要去实现，也是相当昂贵的。绝大多数企业根本没有这么多的预算和技术力量来完成这个不可能完成的任务。因此，根据重要程度的不同，对数据进行分级保护是防范机密数据随处可见和被无意之中非法外泄的核心一步。这不但会保证机密数据的安全性，而且能让机密数据的管理更具规范化。数据分级管理制度能保证只有经过授权的公司员工，才能有限度的使用相关文件。

　　因为从安全的观点来看，企业中所有的数据并不会具有同样的重要程度和机密等级。因此要防范企业中的机密数据丢失，首先要做的就是了解企业中哪些数据是最重要的。通过确定企业机密数据的等级，就可以在建立数据保护策略时按照数据的重要程度规定不同的防范等级。例如，一般可分成三个主要的类别：最高限制级如企业的财务报表、新产品研发资料等;敏感级如企业的销售计划等;以及普通敏感级如各供应商分布位置和产品运费等。

　　(3)对数据加密，避免外泄时扩大损失

　　一般来说，保护数据安全需要双管齐下：一是要尽量避免被无意泄露和非法窃取;二是在被外泄后也要避免被有心人能正确阅读。对于后者来说，就是要对数据进行加密处理。它包括两个方面：一是在常规保存时对数据进行加密处理;二是对传输的途径进行加密处理，例如电子邮件传输、U盘传输或其它移动存储设备。

　　因此，数据加密是进一步确保数据安全性的重要一环。因为具有高安全性能的企业服务器数据库中保存的机密数据充其量也只是整个企业机密数据中的一小部分，还有大量的机密数据有可能保存在笔记本电脑、员工PC台式机和U盘等设备中，以及还可能保存在访问这些数据的应用程序、文件服务器和协同办公服务器之中，如保存在电子邮件服务器和Web服务器等位置中。

　　(4)加强员工教育，并建立规范化安全制度

　　安全教育是无止境的。因为无论多先进的IT技术和IT防范机制，在内部员工无意或故意窃取的行为面前都是无能为力的。所以，企业必须要时时进行员工IT数据安全教育，从细节上规范数据的安全存取行为。当出现可能会危害数据安全性的情况时，必须要对涉嫌违规的员工进行警示。员工必须提出正当性理由，才能执行一些与机密数据相关的动作。

　　除此之外，许多实践经验也告诉我们：数据安全是要超越技术层面的。也就是说除了技术措施外，还需要通过严格的规章制度来加以保障。因为数据安全管理的根本立足点，不只是对IT设备的保护，也不只是对数据的看守，而是要规范企业员工的安全行为，这是上升到对人的管理层面上。所以，建立数据安全制度以及不断深化全员数据安全意识才是关键所在，因为光依靠IT设备和技术是不能完全解决机密数据外泄问题的.