2018-2019年，全球各地深受資料洩露事件的困擾，已造成數以萬計損失。據《資料洩露損失研究》評估顯示，遭遇資料洩露事件的公司企業平均要損失386萬美元，同比去年增加了6。4%。面對如此嚴峻的資料安全形勢，如何有效地保障資料安全成為了眾多企業的當務之急。

從資料洩露的途徑分析，資料洩漏主要分為三種：

竊密、洩密和失密。

結合各種實際情況分析，資料洩露的主要途徑有以下幾種：

竊密

攻擊者主動竊密：惡意攻擊者或外部競爭對手，基於經濟利益或政治原因驅動，透過層出不窮的高超技術手段，竊取企業的各種重要資料。

洩密

離職人員洩密：由於許可權管理疏忽等，離職人員在離職時有意或無意違規帶走大量核心資料（專利著作及原始碼資料等）。

內部人員洩密：由於內部員工安全意識薄弱，資料安全分級不明確，操作失誤，部分涉密人員無意中洩露資料；部分員工因情緒化報復、利益收買等主動洩露資料。

失密

許可權失控失密：由於帳號生命週期管理不善，許可權劃分及認證鑑別方式失控，導致人員對資料的密級訪問許可權不對等，高密級資料流向低許可權帳號，涉密資料流向無許可權帳號等。

資料維護及處置失密：不安全的加密方式或明文儲存、公開的儲存位置、管理金鑰或儲存介質丟失、未完全擦除報廢，儲存資料發生洩露。

資訊釋出失密：合作渠道商管理不善資料互動洩露，釋出資訊稽核不當涉及密級資料洩露，資訊資料流入未授權、競爭關係的第三方。

綜合分析資料洩露的原因可能如下：

1）資料通訊安全

網路埠、資料傳輸等都會因各種原因造成電磁洩露，企業資料庫儲存未安置防護設施，資訊在通訊傳輸過程中未進行加密處置，竊聽、非法終端接入、利用非應用方式侵入資料庫、線路干擾等方式都可以得知通訊資訊資料。

2）資料庫管理系統脆弱性

資料及資料庫管理系統通常以分級管理，由此DBMS必然存在很多弱點。另外，為了方便訪問資料，DBMS會留下不少介面，但其與作業系統的配套必然存在不少不足之處，而且這種不足是先天的，無法完全克服。

3）病毒與非法入侵

由於病毒或者非法入侵而導致資料洩漏，病毒入侵感染後，破壞資料、勒索加密資料等導致資料不可用，甚至盜取拖庫，非法入侵指惡意攻擊者運用不道德的手段侵入資料庫或者資料儲存空間，盜取資料。

4）系統漏洞

系統內資料庫漏洞、作業系統漏洞，硬體上防火牆、儲存裝置等網路產品的漏洞，補丁更新不及時或不安全配置，導致惡意攻擊者主動發現了系統存在的漏洞，從而竊取資料。

5）訪問控制和許可權管理不善

人和資料的許可權分層、安全分級，帳號的生命週期管理，安全的訪問控制，以及因為人的脆弱性存在而導致的資料洩露屢見不鮮。

在資料安全防護措施上有哪些成熟的建議呢？

M1 預防性措施：

▪ 安全訪問控制

▪ 身份鑑別（強口令認證）

▪ 許可權分離

▪ 多因素認證MFA

▪ 安全策略配置

▪ 資料分級

▪ 資料脫敏

▪ 資料加密

▪ 安全意識培訓

對資料的訪問，進行帳號許可權的劃分，三權分立，知其所需，透過完善接入安全，固定接入的終端裝置、應用介面，將非法接入拒之門外，同時採用多因素認證（MFA）方式和強口令認證，週期性修改口令，防止弱口令和許可權洩露；資料相關的系統更改不安全的預設配置，進行加固操作；對資料根據重要程度和敏感級別進行分級，劃分訪問許可權；儲存和傳輸資料時，進行敏感資料脫敏和加密處理，同時對內部員工進行安全培訓，提供保障資料安全意識。

M2 檢測性措施：

▪ 准入控制

▪ 漏洞檢測/修復

▪ 安全行為審計

▪ IDS/IPS/FW

對系統內資料的訪問，透過管理許可權檢測、網路分層（網路層、應用層）控制檢測、物理控制做到准入安全；及時檢測系統存在的漏洞，進行補丁升級修復或風險規避；對資料訪問行為進行記錄，透過審計來不斷調整許可權和發現違規事件；透過入侵檢測發現惡意訪問事件，進行及時告警。

M3 威懾性措施：

▪ 防掃描

▪ WAF/資料庫防火牆

▪ 行為阻斷告警

透過WEB和資料庫防火牆功能，來保障資料安全訪問，及時阻斷已知的惡意攻擊，同時結合告警反饋和防掃描技術來達到對惡意攻擊者的威懾。

M4 恢復性措施：

▪ 資料備份

▪ 異地災備

透過資料備份、異地災備，可以在資料遭受勒索病毒加密、入侵破壞後，快速恢復業務應用。