前不久，公安部召开的新闻发布披露称，3 年来公安部部署全国公安机关开展“净网”专项行动，严打侵犯公民个人信息违法犯罪活动，锚定行业内部泄露源头，重拳打击行业“内鬼”，共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300 余名。

这一数据，发人深思，公民个人信息频被泄露，问题竟主要出在“内鬼”身上！

北京高院近日发布的侵犯公民个人信息犯罪案件情况，验证了这一结论。正如北京高院党组成员、副院长孙玲玲所称：“放眼整个犯罪链条，内部人员泄露信息是侵犯公民个人信息犯罪的主要源头。”

01、企业数据安全建设薄弱

数据背后，揭示了企业数据安全建设仍然比较薄弱：

1、不完善的策略和政策：企业可能缺乏明确的数据安全策略和政策，导致内部控制措施的规范性和一致性不足。缺乏明确的指导原则和标准，使得内控措施不够全面和有效。

2、人员培训和意识不到位：员工对于数据安全的培训和教育可能不够充分，缺乏对风险的敏感性和正确处理敏感数据的能力，缺乏安全意识会增加内部员工泄密的风险。

3、不完善的访问控制：企业可能没有严格的权限管理和访问控制机制，导致员工可以访问超出其职责范围的数据。同时，可能缺乏审计和监控措施，无法及时发现和防止未授权的访问。

4、员工行为难以管控：信息安全领域最薄弱的环节是人，也指人为威胁。因此，保护数据安全最薄弱的环节，实际上是对员工的行为进行安全管控。员工异常行为可能隐藏得很深,不容易被发现，尤其是那些潜在的恶意行为。

5、缺乏应急响应计划和演练：企业可能没有建立完善的应急响应计划，并缺乏定期的演练和测试。这可能导致在发生数据安全事件时无法迅速、有效地做出应对和处置。

02、数据使用安全管控方案

在严打“内鬼”的同时，企业作为严重损失方，如何防止“内鬼”为非作歹？

极盾科技通过分析企业数据安全现状及国家政策要求，自研数据使用安全管控平台-极盾·觅踪，提出数据使用安全管控方案。

方案以管理制度为依据，以数据分类分级为基础，为重要业务场景构建覆盖全流程、全链路的数据安全防护体系，实现数据安全主动防御机制，并采用常态化数据安全运营，保障数据安全的持续优化与提升，从而满足企业的合规需求，规避各类数据安全风险。

1、前期系统调研和风险评估，梳理数据安全整体落地方案

通过现状调研、资产梳理（数据分类分级）、风险评估等工作，了解各重点应用系统的基本信息，分析系统数据安全风险，评估出高优先级的系统，并梳理数据安全整体落地方案。

2、聚焦重要业务场景，构建全链路的数据安全防护体系

结合多年的实践经验，极盾科技提出了数据使用安全方法论：以人为核心，围绕业务场景，以数据分类分级为基础，基于零信任框架和用户及实体行为分析为抓手，面向内部应用数据使用全流程构建数据使用的主动安全防控体系。

此防控体系可以围绕内部人员（包括正常员工，无意的违规者以及内鬼、报复人员等主观恶意的攻击者）在账号、权限、访问行为、数据操作等不同维度行为特征的挖掘，结合登陆、查询、上传、下载、配置、管理、权限操作等多种行为场景，识别异常的数据使用访问风险，实现精准定位判断。

这一切功能的实现依赖一套完善的数据使用安全管控平台的支撑。

数据使用安全管控平台通过事前的资产梳理、事中的实时监控以及事后的调查追溯，能够做到内部员工登录、查询、下载、批量导出、拉取以及权限修改等操作行为的全过程覆盖，起到主动安全防控的效果。

事前阶段：通过网关流量和应用行为埋点来实现以“人”为主体的多维度信息采集，同时通过接口、数据库读取、导入等多种方式接入组织架构中身份、岗位、权限信息。信息采集之后，事前进行重要操作标记（复制、下载、导出等)、敏感数据识别并分类分级、自定义水印、特权账号标记、黑白名单等。

事中阶段：事中通过账号监测（账号盗用、账号爆破等）、权限合规筛查、数据泄露监测实现全方位风险监测，并采用数据动态脱敏的防护手段，再结合告警、阻断的有效措施进行风险管控。

事后阶段：事后阶段主要进行日志审计、泄露溯源、权限梳理以及数据暴露面分析等。若数据发生泄漏，平台导入一批泄露的数据内容进行追踪溯源，即可进行快速定位到人、时间、场景、泄露方式等。

3、常态化数据安全运营，保障数据安全持续优化和提升

前期安全管控措施完善后，如何将安全管控日常化，如何发现隐藏在正常行为中的微小异常行为，如何在持续使用中完善并优化安全管控的措施和策略，是后续建设的重点。

极盾科技提供基于应用系统及场景风险的数据安全运营服务，从应用、账号、接口、权限、敏感数据暴露面等角度进行全面的数据分析，以发现数据安全风险、进行策略优化以及提出管控建议，并可以阶段性的生成数据安全评估报告，持续提升企业数据安全水位，响应并符合监管要求。

​

目前，数据使用安全管控解决方案已在金融、医疗、零售、民航、物流、互联网、汽车制造等多个行业成功落地实践，后续将持续为企业数据安全建设提供全方位的产品、服务和解决方案。