我的个人信息是如何泄露的？| 企业防泄密课堂

2024-10-31

近年来，数据泄露引发全民关注。上至国家政府，下至公民、企业，都曾陷入数据泄露事件。从金融保险、教育、医疗、科技到政府，数据泄露涉及许多行业。受影响用户不断扩大，少则数千万，多达数亿乃至十几亿。

风险案例

去年12月4日，国外网络安全研究人员发现一个Elasticsearch数据库泄露，包括27亿个电子邮件地址，其中10亿个密码都是以简单的明文存储。据悉，大多数被盗邮件域名来自中国邮件提供商，涵盖腾讯、新浪、搜狐和网易等。另外，雅虎、Gmail以及一些俄罗斯的邮件域名也受到影响。如果这些信息被不法分子所利用，可以生出“无穷祸患”。目前，法律上有规定：泄露用户通信内容五百条即可入罪。无疑，法律法规的颁布施行有利于遏制数据泄露的频频发生。

那对企业和用户而言 可以采取哪些措施防止数据泄露？

就我行而言，目前我行采取不同的检查频率排查信息安全隐患，例如：对于用户端，除限制USB,DVD,CD-ROM刻盘，邮件互联网访问,信息下载及上传等权限外，后台系统每日进行扫描，对于可疑情况及时报送给相关负责人；配置IDS/IPS，每日检测网络环境、防火墙以确保客户信息安全。此外，我行高度重视客户信息保护和信息安全工作，开展以下工作：

1. 员工培训我行有完善的员工培训制度，信息安全的课程属于全员必修课。

2. 用户管理我行有严格的用户管理政策，员工只允许使用自己的账户进行相关操作，严禁共享账户。

3. 互联网及邮件管理我行对客户信息导出权限严格控制，对移动存储介质进行有效管控，USB使用权限受到了严格控制，所有用户默认都被禁用u盘存储功能，可以防止内部信息被非法拷贝到外部。

4. 打印机管理打印机的使用受到严格限制，必须经过授权才能完成。

5. 文件夹管理我行各部门建立各自专属工作文件夹，且浏览权限受限。

6. 信息分类政策与清桌政策1) 信息分类政策：我行的信息分为物理信息和电子信息，二者按照我行信息分类政策可分成四类，即公共信息、内部信息、受限信息及高度受限信息，按不同风险等级提供给不同查阅人，以保护我行信息的安全使用。

2) 清桌政策包括由分行安保主任及支行行长定期对各办公区域进行信息风险逐一检查。

7. 录音录像管理我行在所有重要办公区域、客户接待区域及会议室均安装有安保录音录像系统，以保障客户信息得到更好更有效的保护。

8. 网络管理在网络管理方面，我行自上而下强化网络安全意识，增强员工对网络安全风险的严重性的认识。我行默认禁止员工的邮件与外部通信，当有必须的业务需要的时候，员工可经过适当的申请流程经过审慎复核后授予其外部邮件权限。对于所有的员工外发邮件，我行建立了业界领先的技术侦测工具和响应流程，实时对员工的外发邮件内容进行检测，当发现可疑的涉及敏感内容的邮件时，会及时通知员工直属领导和业务风险经理进行排查。对于严重的违规事件，安全部门会介入进行进一步调查，并协调人力资源和法务进一步处理。

【推荐阅读：安企神软件系统是如何监控收发邮件内容？】

给金融消费者的几点建议

1. 妥善保管银行卡、身份证、电子银行认证介质等，拒绝出租、出借或买卖行为；

2. 不向他人随意透露银行卡号、账户密码、有效期、安全码、身份证号、短信验证码等重要信息；

3. 下载安装App或在第三方办理业务时，留意相关授权权限，仔细阅读相关协议和合同条款，审慎填写个人信息，避免重要信息被过度搜集或非法使用；

4. 不随意丢弃业务单据、ATM凭条、信用卡对账单和刷卡单据等交易凭证，提供身份证复印件时注明用途，以防被人挪作他用。【来源：汇丰中国】