企业安全 ( 如何防止企业重要信息泄密？安企神探寻数据安防之道)

宜家（IKEA）加拿大公司日前披露了一起数据泄露事件，该公司内部一名员工违规访问了宜家客户数据库，导致近10万名客户的个人信息被泄露，可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。

类似由于企业内部人员造成的数据泄露事件数不胜数，几乎跨越了所有的生产生活行业：今年4月中国裁判文书网就披露了一起华为前员工越权访问公司机密数据并致使数据外泄的刑事案件；此前圆通速递公司也因内部员工与不法分子勾结，致使40万条客户个人信息被泄露。

数据是数字经济时代核心、较具价值的发展要素，据安全研究机构波洛蒙研究所的调查结果显示，企业“内鬼”造成的数据外泄威胁占数据泄露事件的近70%，如何应对“内鬼式”数据泄露已成为企业数字化转型与发展的关键难题。

1 企业内部为何成为数据泄露的重灾区

眼下，各行各业正在积极抢占数字化经济新赛道，多数企业通过数字化转型不断提高自身市场竞争力与运营效率。随着数字化业务的持续开展，企业内部数据流通量增大，数据存储量得到迅速扩充，部分企业出于商业利益甚至会与合作商共享数据，致使数据交换更加频繁。

在这过程中，企业往往会因为内部数据权限管理不明确、数据安全意识不高、数据防护手段不足等漏洞，让“内鬼”有机可乘，在利益收买或情绪化报复等原因驱使下，利用职务之便非法窃取企业机密数据；也存在少部分员工因自身工作操作失误，无意间泄露了敏感数据。以上行为均对企业权益造成了严重的侵害，致使企业陷入信任危机，危害企业经营发展。

2数据泄露事件频发，企业如何做好数据安全防护

数据是企业数字化业务开展过程中较具战略性的资产，要想保障核心数据的安全，必须建立契合企业多元业务场景、覆盖数据全生命周期的战略防护体系。对标《网络安全法》《个人信息保护法》《数据安全法》以及等保2.0等法律法规要求，可以从以下几方面开展企业数据安全防护：

• 明确权限范围完成企业数据梳理，制订分类分级规则，明确不同数据项对应的数据权限与操作权限。
• 动态监测预警针对企业内部数据流转情况进行实时监测，及时发现数据泄露、违规传输等异常行为并进行上报预警。
• 安全教育培训除了在业务管理层面落实防护方案外，提升员工的数据安全意识也尤为重要。让员工充分了解自身权限范围，并对数据泄露可能造成的严重后果有清晰的认知。
• 选择专业产品目前国内信息安全市场已有较多研发技术成熟的数据泄露防护服务厂商，企业可以根据实际业务需求进行合作配置，从终端、网络、存储等多个维度来保障企业数据安全。

3安企神助力企业破解数据安全难题  筑牢防护屏障

建立全面完善的企业数据安全管理机制是解决“内鬼式”数据泄露事件频发问题的关键。安企神针对企业内部数据管理权限不明确、敏感数据流向不清晰、风险行为管控不及时等痛点，推出“安企神数据泄漏防护系统”，在不影响非敏感数据的正常流转下，帮助企业自动识别发现信息系统中的敏感数据，监测敏感数据的外发行为与网络流转情况，做到全面动态感知，同时可以根据数据安全管控策略对高危外发、传输敏感数据的行为及时实施预警与阻断，构建全面、贴合业务的数据安全治理体系。

应对之道

• 存储端：数据库、OA、邮件、文件存储系统等个人信息和重要数据分布发现
• 网络端：监测通过WEB、MAIL、FTP、SMB等各类传输协议的数据传输行为
• 终  端：监控数据的外联设备拷贝、网络应用、打印刻录及即时通信外发等行为

该产品是面向各行业用户、全方位业务场景打造的数据泄露防护方案，以数据生命周期为主线，对企业内外复杂的敏感数据交换与传输环境进行严密监护，帮助企业建立全局视角，达到广泛而精准的数据安全防护效果，实现等级保护需求满足、企业防护能力提升、公众安全权益保障相统一。

特色功能

行为监测

• 监测网络数据流批量流转，异常时间、异常地点操作等行为；
• 监控终端操作系统的用户切换、多操作系统安装等异常行为。

泄露监测

• 监测网络数据流，结合数据敏感度和网络传输五元组信息分析，判断数据泄露风险；
• 监测终端外发，通过比对数据敏感度及其外发途径，判断数据泄露风险。

泄露防护

• 支持网络、终端层数据泄露风险的发现与管控，包括但不限于网络应用传输阻断、外设拷贝阻断、数据水印管控等方式。

审计溯源

• 记录个人信息和重要数据发现、异常行为、数据外泄等事件详情，通过综合分析个人信息和重要数据的源头、泄露途径、泄露方式、泄露事件等信息还原数据泄露过程，实现数据泄露事件审计与溯源。

统一管理

• 通过管理平台统一制作并分发敏感信息识别规则及数据泄露管控策略，实现各组件上报安全事件的统一分析和可视化展现。

数据安全是数字经济发展的重要基石。随着金融、医疗、教育等各行业数字化改革的推进，云计算、大数据、物联网和移动终端等应用场景的普及，数据安全威胁也在持续延伸、升级，企业传统的安全防御策略已无法有效应对。针对日趋严峻的数据安全形势，安企神聚焦数据安全合规管控与防护，为各行业用户提供创新性的安全防护理念和问题解决思路，构建更具实战和联动能力的数据安全治理体系，在帮助各行业用户全面提升数据安全与价值保护能力的同时，助推数据安全产业生态体系的构建。

近来网络犯罪呈上升趋势，攻击变得越来越迅速、越来越复杂。网络攻击引起的数据泄露数量在2021年猛增27%，丝毫没有放缓的迹象。一些被忽视的安全陋习（比如多次使用同一个密码）可能看起来无害，但确会使组织蒙受巨额损失。

本文介绍了目前企业中六种最常见的安全陋习以及修正方法，安全团队需要尽快排查自己的企业是否存在这些陋习。大多数安全威胁和风险都是可以预防的，可以借助常识性方法、持续合规测试、评估、审计和衡量来加以解决。

01、密码管理工作被忽视

60%以上的数据泄露事件涉及登录信息被盗或安全性很差。使用相同密码、共享密码、在便条纸上记下密码，这些糟糕的密码做法屡见不鲜。别让攻击者轻松得逞！

方法：在整个组织制定一项密码政策，使用密码管理器，并启用多因素身份验证，以降低未授权帐户访问的风险。密码政策应明确如何创建强密码、密码多久更新一次，以及如何在员工之间安全地共享密码。

02、流于表面的安全流程

安全流程包含了从入职核对清单到隐私政策等多个方面，这些文档应体现企业组织的安全团队如何有效完成工作，并具体落实在日常工作中，而不是拟定后扔在某个文件夹中。必须定期考虑这些政策，根据发现的挑战和风险加以改进。

方法：要求安全团队定期审查和验收安全政策。主动征求反馈意见，以确保政策和流程体现了团队切实在做好工作，并得到整个组织上下的支持。

03、不安全的终端应用系统

远程办公模式已经越来越普遍，这让企业团队合作的地点、时间和方式在近两年发生了巨变。尽管在家工作好处多多，但这股潮流也带来了重大的安全挑战。

如今更多的人使用不安全的Wi-Fi、混用办公设备和个人设备、忽视定期的数据备份和软件更新等。谁都不希望自己成为最终导致组织陷入困境的最薄弱一环。

方法：使用设备管理解决方案确保自动更新和修补软件，制定移动设备政策，并鼓励员工仅使用公司设备和安全网络通道来访问敏感数据。

04、忽视内部安全审计

即使组织已制定了适当的安全政策和程序，也不能将它们视为一成不变。要了解组织的安全计划在如何趋于完善（或未趋于完善），并随时了解层出不穷的新威胁，持续测试和定期内部审计至关重要。

方法：制定内部审计计划，至少每年审查一次组织的安全状况，并找出机会加以改进。这也将确保贵组织随时了解威胁领域出现的需要应对的任何变化。

05、不重视员工安全意识培养

网络钓鱼和恶意软件是导致安全事件（包括勒索软件事件）的最常见诱因，定期对员工开展安全最佳实践方面的培训，确保所有人都知道安全是整个组织的优先事项。

方法：企业每年应该至少进行一次安全意识培训，并对员工或用户进行不定期的随机测试，以确保他们真正了解并遵循公司的安全管理要求。

06、对网络威胁后果缺少认知

太多的组织以为数据泄露或安全事件不会发生在自己身上。确保安全和合规不仅仅是IT部门关心的问题。从管理团队和董事会到新员工，整个组织的所有人都应该了解组织所面临的威胁，以及各自在保护客户和组织数据安全方面的角色和责任。

方法：努力营造注重安全并了解其重要性的组织文化。确保所有员工都了解各自在保护客户和业务信息安全方面的角色和责任，并清楚地传达遵循既定政策和程序带来的好处。

很多时候，未经授权的用户在访问企业的敏感数据库和网络时，并不会被企业所重视，只有在发生安全事故后，企业才会意识到这种被忽略的“日常行为”存在多大的隐患。因此，企业应该对未授权访问行为进行严格管控，建立一套可靠的管理流程，以检测、限制和防止未授权访问事件的发生。

简而言之，当攻击者擅自访问企业组织的网络时，就会发生未授权访问，其访问对象包括数据库、设备端点或应用程序环境等。

未授权访问不仅只针对企业系统，也可能针对个人用户。比如，他人未经许可使用用户的私人手机就是未授权访问，这种对个人用户进行擅自访问的手法有多种，会造成各种严重后果，如数据泄露、财务损失、服务不可用（DDoS攻击）或者对整个网络失去控制（勒索软件攻击）等。

攻击者只需发现其访问目标敏感位置的薄弱环节如安全漏洞、未受保护的端点或密码撞库等，就可以通过多种方式实施未授权访问攻击。

攻击者一旦访问了企业系统中的一个敏感区域，就有可能不受限制地继续访问其他位置。例如，如果他们找到了企业敏感系统的密码，那利用这个账户密码就可以将攻击范围扩大到整个企业网络。类似地，上传恶意文档或运行恶意软件也是攻击者利用访问权限趁虚而入的惯用手段。

为了帮助企业组织进一步避免未授权网络访问行为，规避潜在的安全风险，本文汇总了针对未授权网络访问管理的十大安全措施，以下为具体内容：

1 加强设备的物理安全

如果攻击者获得了企业内部敏感系统的物理访问权，那企业组织的技术安全措施将形同虚设。因此企业要尽量保证内部计算机或其他设备处于密码锁定的状态，而且企业组织不应该在办公室或上述相关系统旁公示登录密码。此外，对于敏感文件要定制高级访问权限，因为对所有设备严加看管是防止未授权访问的关键。

2 设置强密码

密码破解工具愈发智能化，密码泄露也愈发常见，因此设置独特的强密码很重要。重复使用密码、使用已知密码或很容易被猜到的单词、短语来作为密码存在很多风险。例如，“admin/admin”是许多组织最常用的用户名和密码组合，这种常见的密码存在很大风险。

理想情况下，密码应该是具有独特性的长密码（至少11个字符），最好选择数字和特殊字符混合的方式。密码越复杂，攻击者获得未授权访问所需的时间就越长。

3 采用多因素身份验证

除了强密码外，确保企业系统账户安全的另一个有效策略是通过采用多因素身份验证来加强登录环节的安全。无论是通过一次性口令（OTP）、生物特征识别扫描，还是身份验证器应用程序，即使在密码泄露的情况下，多因素身份验证措施都能进一步确保授权登录账号的安全性。

4 配置强大的防火墙

对于不断增加的网络威胁，企业可以选择配置功能强大的防火墙来解决安全问题并防止恶意攻击，这些防火墙需要具备保护企业网络、Web应用程序及其他核心组件的功能。企业组织可以通过聘请专业的托管服务提供商（MSP），来配置符合自身网络安全需求的防火墙。

5 限制用户对敏感系统的访问

防止攻击者未授权访问企业系统或设备的另一个有效策略是，系统设立之初就限制授权访问，要求只有最值得信赖的员工才有权利访问，这种做法对于保护敏感的数据库和设备十分有效。

6 采用单点登录（SSO）

单点登录（SSO）有助于更有效地管理用户和IT人员的账户。一方面，用户只需记住一个密码即可登录；另一方面，IT人员可以在必要时迅速终止异常行为活动，进而轻松管理账户。例如，如果攻击者冒用员工账户被检测到后，安全团队就可以立即停止该账户对其他所有系统的访问行为。

7 运用IP白名单

IP白名单与Web应用防火墙（WAF）可以让企业组织中的合法用户访问更加便利，在远程工作环境下特别有用，但是对于使用动态IP、访问代理或VPN的用户来说行不通。因此，远程用户最好是寻求固定的IP地址，无论这些IP地址是来自其自身的ISP，还是来自VPN/代理服务提供商。

8 监控登录活动

企业组织应该能够通过监控来发现异常的登录活动。例如，组织在部署了监控系统之后，就可以及时发现企业系统或设备中存在的可疑账户登录或异常登录活动，并采取相应的补救策略，如撤销账户访问权限以避免攻击。

9 定期运行漏洞扫描

由于攻击者总是在不停地伺机寻找未修补的漏洞，进而对目标网络实施未授权访问。因此，企业组织应定期进行漏洞扫描或选择聘请第三方专业人员，协助IT员工管理IT安全。

10 及时更新应用软件版本

未及时对存在漏洞的系统进行修补是对业务安全构成最大威胁的原因之一，同时也是最容易被企业组织忽视的一个问题。Red Cross公司最近遭到网络攻击就是由于未及时修补的漏洞造成的。因此，企业组织必须采取有效、强大的补丁管理策略。

解密：企业邮箱被黑客攻击了怎么办。企业邮箱的安全问题一直是各大企业关注的，问题，而当我们在日常工作中又该如何做好安全防护?遇到问题时又该如何处理解决?以下我们邀请到Coremail论客专业的邮件安全系统技术人员通过分析各大网友反馈的信息案例进行答疑解惑，希望这些回答能对你有所帮助。

科普小课堂：

企业邮箱的安全重要性：企业邮箱是企业对内外交流与商务活动的重要途径，在商务活动及日常工作中，通过邮件能更快捷方便地将信息进行传递解决。企业在邮件使用中通常会附上公司或客户的信息，一旦这些信息被盗取、泄露，将导致企业在公众的威信和信任度下降，严重者将直接造成经济财产损失。

如何判断是否遭到黑客攻击?

我收到客户发来的汇款信息，通过电话核对，发现信息并非客户所发，此时如何判断是我的邮箱被黑客攻击了还是客户的邮箱被攻击了?

专业解答：

针对这种情况，一般的解决方法是：1)用户自身检查有没有被设置过自动转发 、来信分类中的转发功能和代收功能。2)在“自助查询“中查看是否有异常登录过的IP或地域。

建议用户在需要传输重要信息时对信息使用加密的功能，以防止信息在传输的过程中被窃听。Coremail论客SSL加密通道在这一问题上则能很好的帮您进行解决。

SSL技术在邮件系统中的应用比较广泛，尤其是在企业和电子政务等需要较高保密性的场合。使用SSL技术不但能够有效的对用户的密码进行加密，而且能够对邮件的内容本身进行加密，防止邮件在网络传输的过程中被窃听。

目前在Coremail电子邮件系统中，SSL技术结合主要应用在POP3，SMTP，IMAP和HTTPS服务上。通过使用SSL技术极大地增强了邮件系统的安全性，而整个加密解密的过程对用户来说几乎是透明，用户只需访问特定的端口或者在邮件客户端进行简单的设置即可。Coremail SSL已经成功应用到各大运营商，大型企业商务交流，政府政务和市民信箱中，是客户邮箱信息安全的重要保障。

电子邮件怎么传播病毒?

电子邮件传播病毒都是通过附件的吗?点开陌生人发来的邮件,只有文字,没有图片 没有连接，没有附件，会得病毒吗?

专业解答：

是的，一般通过附件，陌生人发来的邮件，只有文字，一般不会中病毒。但是尽量不要去点开已经被判断为病毒邮件的邮件。

常见的病毒邮件案例都是通过图片和脚本文件(.js、.reg、.bat、.exe) 进行传播，而传染的平台多数为windows。如果接触到有这样邮件不建议打开。

外企：如何避免成为垃圾邮件?

我在外贸公司工作，需要经常给国外的客户发邮件，为什么我的邮件会被对方邮箱默认为垃圾邮件?

专业解答：

被判断为垃圾邮件的原因常见如下：

1)、IP信誉度低

1.1) 出现 信誉度低 的情况可能是有站内用户在发送垃圾邮件，导致IP被 反垃圾联盟组织加入了RBL中。邮件管理员需要定期将这些用户找出并限制。

1.2) 用户如果网络环境出口IP是与其他业务系统共用的情况下，会容易被反垃圾联盟组织列入RBL中。建议是只给邮件系统单独一个出口IP

1.3) 通过增加 SPF 和 PTR 记录可以有效提供IP的信誉度，SPF需要联系域名供应商进行添加，PTR记录需要联系网络供应商添加。

2)、对方邮件服务器规则设定(常见 gmail，hotmail)出现该情况需要通过其他方式联系收件方，可以对发件人域名或地址增添白名单策略进行放宽规则。

除此以上管理员需要操作之外，Coremail论客 海外转发 功能在国外架设了多台海外中转服务器，并不断优化国际访问路径，从根本上解决了海外邮件不畅通的问题。

Coremail论客建议您在设置邮箱密码时不要选择过于简单的密码组合，如下图的密码设置将加大邮箱被黑客攻击的成功率。而身份证后6位及出生日期也是黑客最容易破解的密码形式。

关闭端口999:

此端口是特洛伊木马后门的默认服务端口。木马的清除方法如下:

1.使用流程管理工具结束notpa.exe流程；

2.删除c:\Windows\目录下的notpa.exe程序；

3.编辑注册表并删除HKEY _本地_机器\软件\微软\ windows \当前版本\运行中包含c:\Windowsotpa.exe /o=yes的键值。

关闭端口201:

此端口是木马黑洞2001的默认服务端口。特洛伊木马的删除方法如下:

1.第一，用流程管理软件杀死流程Windows.exe；

2.删除目录c:\Winnt\system32中的Windows.exe和S_Server.exe文件；

3.编辑注册表，删除HKEY _ local _ machine \ software \ Microsoft \ Windows \ current version \ run services \中名为Windows的键值；

4.删除HKEY _类_根和HKEY _本地_机器\软件\类中的Winvxd条目；

5.将HKEY _ classes _ root \ txt file \ shell \ open \ command中的C:\ win nt \ system32 \ s _ server . exe % 1更改为C:\ win nt \ notepad . exe % 1；

6.修改HKEY _ local _ machine \ software \ classes \ txt file \ shell \ open \ command中C:\ win nt \ system32 \ s _ server . exe % 1的键值，将其更改为C: \ winnt \ notepad.exe% 1。

关闭端口223:

该端口是Ripper的默认服务端口，木马清除方法如下:

1.使用流程管理工具结束sysrunt.exe流程；

2.删除c:\Windows目录下的sysrunt.exe程序文件；

3.编辑system.ini文件，将shell = explorer . exe sysrunt.exe改为shell=explorer.exe并保存；

4.重启系统。

关闭端口283:

该端口是Wincrash v2的默认服务端口，木马清除方法如下:

1.编辑注册表，删除HKEY _本地_机器\软件\微软\ windows \当前版本\运行\中win manager = " c:\ windows \ server . exe "的键值；

2.编辑Win.ini文件，将run=c:\Windows\server.exe改为run=，然后保存并退出；

3.重启系统后，删除C:\ Windows \ System \ SERVER.EXE。

关闭端口389:

首先，3389端口是Windows远程管理终端打开的端口，并不是木马程序。请先确认服务是否自己开通。如果没有必要，请关闭该服务。

Win2000关机方法:

1、Win2000server

在开始->程序->管理工具->服务中可以找到终端服务服务项目。选择属性选项将启动类型更改为手动并停止服务。

2、Win2000pro

在开始->设置->控制面板->管理工具->服务中找到终端服务服务项目，选择属性选项将启动类型更改为手动并停止服务。

关闭Winxp的方法:

右键单击“我的电脑”上的“属性”->“远程”,然后取消选中“远程协助”和“远程桌面”两个选项框。