疑似 45 亿条递信息泄露，“三类主体”如何应对？

 “有消息称，2 月 12 日晚间，Telegram 某机器人泄露国内 45 亿条快递信息，数据包大小达 435GB！数据涉及姓名、手机号码、收货地址等敏感信息，泄露来源直指国内多家知名电商平台。”

对于如此大规模的泄密，广大用户需要提高警惕，因为信息被不法分子利用的网络诈骗可能迎来高峰时刻。

GoUpSec 深入统计分析了 2022 年全球各地数据泄露事件，其中政府部门、国际组织、门户网站、国防机构、航空公司、银行、汽车制造商、学校、酒店、医疗等行业已成为数据泄露重灾区，数亿人的隐私和安全受到威胁。

拒绝数据泄露还需多方共治，公安部表示，截至 2022 年 12 月底，共侦办案件 8.3 万起，其中侵犯公民个人信息案件 1.6 万余起、严重侵犯人民群众隐私案件 340 余起；与此同时，整个数据泄露的事情离不开“三类主体”，即公众、平台、国家，也需从各自的角度加强防范。

公众需谨慎

首先，要树立个人信息安全意识，要注重个人隐私的保护。在个人信息安全中，从随意丢弃的快递凭证到网络平台的数据泄露，快递信息一直是产生泄露的高发缺口，在日常的网购或收寄件活动中，对个人信息的保护显得至关重要。为此，建议用户使用昵称或假名，地址不要精确到门牌号，可填写至附近的快递驿站。

其次，公民个人信息泄露成为电信网络诈骗犯罪的源头行为。个人重要信息需谨慎，能不提供个人信息就不要提供个人信息，包括正规的平台，因为有些信息是平台里的“内鬼”泄露的。检察机关办案发现，有不少行业“内鬼”泄露个人信息。2021 年，检察机关起诉泄露公民个人信息的“内鬼”500 余人，涉及通信、银行、保险、房产、酒店、物业、物流等多个行业。

最后，信息被他人利用后，保留电子证据材料，第一时间向公安机关举报。面对需要添加新的联系方式（如：微信、手机等）或转账到非本人的支付账号时，第一时间应与对方电话或视频取得联系，确定真伪。

平台全面布控

物流、电商行业数据体量巨大，数据流转频繁。各系统之间、各部门之间、内部与外部之间的数据流通使用带来了巨大价值的同时，也带来了极大的安全风险：越权访问、账号滥用、访问敏感数据、数据过量访问与下载、跨境储存与传输等。这些安全隐患无一不给数据安全防护工作带来巨大的挑战。

如何基于“数据流通使用”场景全面布控？

增强员工的数据安全保护意识：CoSoSys 的研究显示，60%的员工不知道哪些公司的数据是机密的。因此，他们可能会意外泄漏或使用不当。可以举办安全和隐私保护培训课程，加强员工的安全意识以及对于个人信息保护政策和相关规程的认识。

设置专业信息安全团队：近日，中国证券业协会下发的《网络和信息安全三年提升计划(2023—2025)》明确指出网络和信息安全专业人员，不低于信息科技专业人员的 3%且不应少于 4 人。

控制数据访问权限：对数据的访问登录采取多因子身份验证，按照“零信任”策略进行持续认证，动态访问控制，防止非法访问登录；

敏感数据发现和分类分级：数据分类分级是数据管理的第一步，如果企业不对数据进行分类分级，就谈不上数据治理和数据保护，甚至都不会清楚企业到底有哪些数据，更别说要了解哪些是敏感数据，以及他们都存储在什么位置了。

数据脱敏：数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、地址等个人信息都需要进行数据脱敏。

行为管控：基于用户实体行为分析（UEBA）高效识别数据使用的行为风险，并进行实时响应告警，在必要时联动相关业务系统对风险行为进行有效阻断和拦截.

水印保护：给文件加水印是常见的一种宣示版权的方式。以桌面水印的形式在终端计算机桌面上显示，可通过文本、点阵、二维码等不同形式将使用终端相关信息投射到终端计算机桌面上，防止通过拍照、截屏、打印的方式泄露信息。

构建有效的数据安全防护体系：数据安全防护要“以数据为中心”、“以技术为支撑”、“以管理为手段”，聚焦数据体系和生态环境，明确数据来源、组织形态、路径管理、应用场景等，围绕大数据采集、传输、存储、应用、共享、销毁等全过程，构建由组织管理、制度规程、技术手段组成的安全防护体系，实现大数据安全防护的闭环管理。

基于以上布控要点，极盾科技从创立伊始，就深入业务场景构建数据使用安全管控平台——极盾·觅踪。其产品特性主要有以下三点：

1、建立统一管控闸口，免改造应用实现数据安全管控

设置统一网关链路闸口，实现敏感数据识别、数据安全风险监测、 动态脱敏、访问控制、水印保护等“硬管控“，满足数据使用阶段合规监管要求，同时不需要应用系统改造，最大程度降低安全管控成本。

2、建立基于属性的访问控制 （ABAC） 机制

结合访问主体的属性信息（部门、岗位、职责、角色等）、访问数据的属性信息（数据类型、安全等级、量级等）和访问环境信息（业务场景、行为状态、所处环境等）等因素动态管控敏感数据，遵循监管要求的权限最小化、数据最小够用原则，灵活适应多种复杂场景下的数据使用安全管控。

3、采集数据使用全链路审计信息，构建 “数据驱动安全〞的主动防护体系

全面采集用户使用数据的行为、数据自身属性、人员信息、权限分配等链路监控信息，构建数据安全态势感知能力，结合机器学习、大数据分析等能力，实现事中风险的动态监控预警及事后的泄漏跟踪溯源。

国家加强监管

2021 年《数据安全法》、《个人信息保护法》的陆续施行，进一步强化数据保护已经变得有法可依、有章可循。

2023 年 2 月，在国家邮政局召开局长办公会上，强调审议并原则通过了“国家邮政局 2023 年重点工作和 2023 年邮政快递业更贴近民生七件实事（送审稿）”、《寄递服务用户个人信息安全管理规定（送审稿）》等。会议强调，要会同有关部门依法严厉打击泄露、买卖寄递服务用户个人信息等行为，落实好邮政管理部门监管责任，督促寄递企业加强网络安全数据安全和个人信息保护工作。

国家层面应进一步强化行业数据安全监管，提升安全治理效能。一是要进一步明确主管部门、监管机构职能分工，形成更加清晰、更加规范的数据安全监管工作流程和机制。二是要增强底线思维，增强风险意识，大力创新数据安全监管科技和工具，综合运用技术、信用等多种监管手段，把安全和监管嵌入数据全生命周期活动过程。三是要鼓励行业自律和社会监督，打造政府、企业、行业和社会多方参与的数据安全治理和风险防控体系，切实筑牢行业和国家数据安全屏障。

极盾科技深耕于数据安全领域，将会始终坚持在第一线，守护数据价值，力争为广大企业客户提供更多更好的数据安全产品和解决方案。