近日，企业数据泄露事件频发，引发社会热议，此次全美一所公立虚拟大学近37万师生信息数据遭泄露事件爆发更是引发各企业对内部数据安全的重视，前事不忘后事之师，回顾2017年初，上海疾控中心20万条新生婴儿信息数据被非法泄露事件，再次回顾2016年某快递企业客户信息10多万条数据被泄露。一些拥有公共用户隐私数据的企业和机构（如金融、运营商、电商、P2P理财企业等），均存在由于安全问题引发用户信息泄露的风险，这不仅影响企业的业务安全、品牌和企业信誉，还面临承担相应的法律责任的惩罚。

今天的安全形势已经发生变化，内部威胁已成为影响企业正常生产、未来业务发展的一个重要威胁。事实证明，内部威胁犹如一颗定时炸弹，一旦引爆随必将给企业带来灾难性打击：轻则影响企业生产经营秩序，重则可能引发群体事件，成为社会不稳定性的因素之一。解决内部威胁已迫在眉睫。

防数据泄露，“人”是重要因素

面对新的安全形势，数据安全防护需要在顶层规划设计环节把握安全体系的平衡，在强调重点的同时做到内外兼修。各企业在数据安全体系构建的实践，除做到对外部威胁防护外，更要加强针对内部威胁的防范治理，做好内部安全，做好内控，防止堡垒从内部崩塌。

要从内部消除数据安全的威胁，首先要做的就是在安全体系设计中考虑人的因素，分析可能清楚哪些内部人员可能引发。在大多数大型企业和机构中，有可能接触数据、使用数据的内部人员大致可分为三类：业务部门员工、网络与系统运维人员、网络与系统安全保障人员。

这些人员都有可能会直接或者间接接触到企业数据，从安全的角度考虑，这些能够直接和间接接触到企业数据的人员，都应成为企业数据安保过程中的关键因素加以考虑。

在总结了大量企业数据安全事件之后发现，不管是有意识还是无意识，内部数据窃取事件的根源来自三方面问题：
一是企业对数据存储、访问、使用的安全制度不完善，或制度执行不到位导致的数据安全事件；
二是由于存储数据的系统、传输数据的系统、应用数据的系统自身存在漏洞在遭受到攻击后导致的数据安全事件；
三是由于对于存储数据的系统、传输数据的系统、应用数据的系统安全防护措施不到位导致的数据安全事件。

保护数据安全两手都得抓、两手都要硬
基于对企业数据保护的长期实践，企业要通过完善的措施来对企业数据的安全防护，完善管理制度、考核落实执行、构建纵深防御最为关键。
通过大量的安全事件分析，我们发现有一大部分内部威胁都是在授权范围内就可以完成。说明在管理制度上还有很多不完善，没有针对不同角色做到最小授权原则。因此，内部威胁首先是内部安全管理问题，解决好内部安全管理、制定相关的安全管理制度，在此基础上通过产品技术手段完善支撑管理制度，将管理制度切实落地。所以应对内部威胁，必须双管齐下，做好管理手段+技术手段，两手都得抓，必须都得硬。
数据安全防护体系构建是一个系统化、持续性的迭代演进过程，伴随着数据从创建到销毁的全生命周期，需要在管理、技术、工具等多个层面通盘考虑、系统规划、不断优化。围绕数据保护全生命周期，以六个步骤建立了一个立体防御体系。
第一步：盘清数据资产、合理分类分级；
第二步：清除系统漏洞、及时更新升级；
第三步：构建防护体系，拦截违规入侵；
第四步：加强持续监测、提前异常预警；
第五步：协同联动响应、及时风险处置；
第六步：追踪溯源取证、及时查漏补缺。
在上述六个步骤的基础上，通过管理和技术的系统化构建过程，完整的内网威胁防护解决方案和服务，可以帮助相关企业和机构真正做到安全有的放矢，效果事半功倍，保护数据安全。