一、概述

昨天，各大網(wǎng)絡(luò)安全群最火的聊天內(nèi)容是某某科技公司數(shù)據(jù)泄露事件，處罰通知中提到“公司始終恪守保護(hù)數(shù)據(jù)安全的職業(yè)準(zhǔn)則”，從處罰通知中可以略知一二，可能存在泄露客戶數(shù)據(jù)的問題，才會(huì)處罰如此之重。

數(shù)據(jù)安全是企業(yè)的生命線，也是安全廠商不可觸碰的紅線，作為安全廠商，不單單要致力于研發(fā)相關(guān)產(chǎn)品保護(hù)客戶的數(shù)據(jù)安全，更要遵守如何在服務(wù)客戶的同時(shí)如何防止員工過度參與客戶的生產(chǎn)環(huán)境數(shù)據(jù)，更要注重這方面的數(shù)據(jù)保護(hù)，不單單是教育培訓(xùn)員工。

通過這次事件，需要深刻反思，安全廠商員工在服務(wù)客戶的同時(shí)為什么會(huì)泄露客戶數(shù)據(jù)，作為安全廠商人員能不能接觸客戶數(shù)據(jù)，接觸的范圍是多少，能不能使用外包員工，外包員工的職業(yè)素養(yǎng)和保密意識(shí)由誰來培訓(xùn)。這種情況在中國整個(gè)網(wǎng)絡(luò)安全行業(yè)是普遍存在的，作為網(wǎng)絡(luò)安全廠商和從業(yè)人員更要遵守職業(yè)準(zhǔn)則，網(wǎng)絡(luò)安全廠商研發(fā)的產(chǎn)品和提供的服務(wù)更要滿足安全和保密要求。在如火如荼的數(shù)據(jù)安全建設(shè)背景下，數(shù)據(jù)到底存在哪些安全問題，值得我們深思，下面列舉一些本人思考的問題。

二、主要問題

1.安全產(chǎn)品本身存在數(shù)據(jù)安全問題

作為數(shù)據(jù)安全廠商，在研發(fā)產(chǎn)品過程中，注重自身數(shù)據(jù)安全至關(guān)重要，數(shù)據(jù)安全廠商在研發(fā)數(shù)據(jù)安全產(chǎn)品過程中，首先要對(duì)安全產(chǎn)品應(yīng)用場(chǎng)景進(jìn)行威脅建模，評(píng)估產(chǎn)品本身是否存在數(shù)據(jù)安全問題。數(shù)據(jù)安全產(chǎn)品本身也可能成為攻擊目標(biāo)， 隨著網(wǎng)絡(luò)安全威脅的日益復(fù)雜，攻擊者也開始將目標(biāo)瞄準(zhǔn)數(shù)據(jù)安全產(chǎn)品本身。例如，攻擊者可以通過竊取產(chǎn)品源代碼、植入后門等方式，對(duì)數(shù)據(jù)安全產(chǎn)品進(jìn)行攻擊，從而獲取或破壞用戶數(shù)據(jù)。數(shù)據(jù)安全產(chǎn)品存在數(shù)據(jù)安全隱患，可能會(huì)導(dǎo)致用戶數(shù)據(jù)泄露， 數(shù)據(jù)安全產(chǎn)品通常會(huì)收集和處理大量用戶數(shù)據(jù)，因此一旦產(chǎn)品本身存在安全漏洞，就可能導(dǎo)致用戶數(shù)據(jù)泄露。例如，如果數(shù)據(jù)安全產(chǎn)品的數(shù)據(jù)庫存在漏洞，攻擊者就可以竊取數(shù)據(jù)庫中的用戶數(shù)據(jù)。

2.廠商人員接觸客戶生產(chǎn)數(shù)據(jù)的范圍

安全廠商人員在服務(wù)客戶的同時(shí)，特別是現(xiàn)在數(shù)據(jù)安全項(xiàng)目建設(shè)過程中，廠商人員會(huì)接觸到大量客戶的真實(shí)數(shù)據(jù)，這個(gè)知悉范圍如何控制，由安全廠商的什么人員參與都很重要，不是隨便哪個(gè)安全廠商人員都可以參與到項(xiàng)目中，更不可能隨便讓外包廠商人員參與其中。肯定現(xiàn)在有很多甲方和安全廠商之間都會(huì)存在這種不規(guī)范的行為，有的人員出于好奇，或者出于某種利益等方面，獲取客戶內(nèi)部數(shù)據(jù)。數(shù)據(jù)安全建設(shè)不同于以往的網(wǎng)絡(luò)安全建設(shè)，作為安全廠商和甲方更應(yīng)當(dāng)做好平衡。每個(gè)行業(yè)的客戶都有重要數(shù)據(jù)不管是甲方還是安全廠商，都應(yīng)當(dāng)避免項(xiàng)目建設(shè)過程和運(yùn)維過程中生產(chǎn)數(shù)據(jù)的無限放大化，特別是一些重點(diǎn)領(lǐng)域，比如運(yùn)營商、金融、公安、稅務(wù)等部門。同時(shí)作為甲方，更應(yīng)當(dāng)在項(xiàng)目建設(shè)時(shí)進(jìn)行論證考慮，因?yàn)閿?shù)據(jù)泄露時(shí)刻存在，安全廠商也不一定是安全的。

3.安全廠商員工的管理問題

數(shù)據(jù)安全項(xiàng)目中，員工的安全保密意識(shí)和職業(yè)操守是至關(guān)重要的防線。 據(jù)統(tǒng)計(jì)，近 70% 的數(shù)據(jù)泄露事件是由參與項(xiàng)目的內(nèi)部人員造成的。因此，必須加強(qiáng)員工管理，筑牢數(shù)據(jù)安全防線。

安全廠商自身員工都可能存在不遵守職業(yè)操守的問題，更何況外包公司的員工，既然要參加數(shù)據(jù)安全項(xiàng)目，就要不斷培訓(xùn)員工相關(guān)安全保密意識(shí)和職業(yè)操守，紅線不能碰。因此，在重要數(shù)據(jù)安全項(xiàng)目中，一定要做好員工管理工作，防止堅(jiān)守自盜。

三、總結(jié)

網(wǎng)絡(luò)安全已成為當(dāng)今社會(huì)不可忽視的重大挑戰(zhàn)，數(shù)據(jù)安全更是重中之重。作為網(wǎng)絡(luò)安全廠商，肩負(fù)著維護(hù)網(wǎng)絡(luò)安全、保護(hù)用戶信息的重任。首先，網(wǎng)絡(luò)安全廠商必須高度重視產(chǎn)品自身的數(shù)據(jù)安全問題，確保產(chǎn)品安全可控，定期對(duì)產(chǎn)品進(jìn)行安全審計(jì)，發(fā)現(xiàn)并解決潛在的安全風(fēng)險(xiǎn)。其次，網(wǎng)絡(luò)安全廠商要重視客戶數(shù)據(jù)的接觸紅線， 數(shù)據(jù)安全紅線是不可觸碰的底線，必須嚴(yán)格遵守。最后，網(wǎng)絡(luò)安全廠商要加強(qiáng)員工安全意識(shí)和職業(yè)道德培訓(xùn)，提升員工的信息安全素養(yǎng)。