一、引言

隨著中國經濟的崛起，中國互聯網行業迎來了最好的發展機遇，遠程辦公、視頻會議、遠程開戶、互動式系統、門戶型系統等極大地提高了工作效率。數字化建設的迅速發展和大規模應用徹底改變了社會生產及生活方式，推動了社會進步和經濟的發展。業務依托于安全，安全服務于業務，信息安全建設的本質還是風險管理，資產、威脅、脆弱性是風險管理的三大要素，其中資產既是數字化業務的基礎載體，又是風險管理的基礎，其安全性無疑是信息化建設過程中的重要環節。

然而，隨著互聯網、云計算、大數據、移動端業務平臺、遠程辦公等技術的快速應用，企業和個人的數據安全也面臨越來越大的安全挑戰。在敏感信息泄露方面，2020年仍是敏感信息泄露的“重災年”。據騰訊網公布消息，2020年國內出現了多起重大信息泄露事件，造成了重大影響。

• 7000多名武漢返鄉人員信息遭泄露
• 微博5.38億用戶數據在暗網出售
• 青島市某醫院6000余人信息遭泄露
• 銀行頻出客戶隱私泄露丑聞，涉及個人信息5萬多條
• 多地高校數萬學生隱私遭泄露，包括姓名、身份證、專業等信息

二、敏感信息泄露的原因

造成敏感信息泄露的原因很多，其中最常見的原因包括以下方式：

（1）  企業自身安全管理疏漏

企業員工為了工作便利，將敏感數據文件放到互聯網上任何人均可訪問的公共文檔服務器上（例如在線網盤、Github等），造成敏感數據的泄露。企業自身安全管理不嚴、員工安全意識參差不齊、外包等臨時工培訓不到位以及遠程辦公廣泛使用使得此類信息泄露普遍存在各類企業中。

（2）  未加密數據庫暴露公網

企業存放敏感數據的數據庫暴露在互聯網上。數據庫未進行安全加密或者使用弱口令加密導致的數據外泄。

（3）  黑客針對性攻擊

黑客團伙采用網絡入侵方式攻入企業系統，獲取系統權限后，竊取系統中的敏感數據。

（4）  內部人員有意泄露

企業內部員工出于商業利益，有意將數據拷貝并泄露給外部。例如重要崗位員工離職時帶走之前拷貝的數據或者內部員工私下對外轉賣內部數據等。

三、敏感信息泄露的內容

根據類型不同，敏感信息泄露的內容可以分為：客戶敏感信息和業務敏感信息兩大類。以下介紹這兩類的特點：

（1）  客戶敏感信息

客戶敏感信息主要指企業為自己客戶提供服務時保存的客戶個人信息。例如醫院的患者數據、銀行的銀行卡用戶數據、學校的學生信息數據等。客戶敏感信息丟失可能會造成客戶流失、客戶遭受網絡詐騙、客戶遭受廣告騷擾等問題。

例如，2020年2月美高梅酒店1060萬名客人個人信息泄露，超過1060萬名曾入住美高梅度假酒店的旅客的個人信息被發布至黑客論壇。泄露的身份信息包括姓名、家庭地址、電話號碼和郵件地址。除了普通旅客、明星、記者和美國FBI特工也在泄露名單之列。

（2）  業務敏感信息

業務敏感信息主要指企業自身網絡環境、系統、重要資產數據等信息。例如企業網絡拓撲、重要業務系統的賬號密碼、員工賬號密碼、內部機密文件、項目源代碼、工資表等信息。企業自身業務敏感信息丟失可能會造成核心員工被競爭對手挖角、重要項目競標失敗、黑客針對網絡脆弱點入侵、利用員工郵箱進行網絡釣魚等風險。

四、敏感信息泄露的主要渠道

根據信息泄露時使用網絡媒介的不同，泄露的渠道包括：互聯網公開資源站點、黑客資源站點、暗網站點等三種。

（1）  互聯網公開資源站點

云網盤、在線文庫、源代碼托管平臺、企業公示信息等互聯網公開資源站點上通常存在安全意識較差員工上傳的企業敏感文檔、項目源代碼等敏感數據。例如百度網盤、github及其他資源共享平臺都屬于此類。

（2）  黑客資源站點

黑客在獲取敏感數據后，出于黑產牟利的需要會在黑客站點或黑客圈中進行數據的銷售。通過對常見黑客交易資源站點、黑客數據交易群的跟蹤，可獲悉被黑客獲取并在進行銷售的數據情況。

（3）  暗網資源站點

互聯網由表層網和深網構成。表層網包含一切互聯網可搜索到的信息，但除此之外，還有一張比表層網還要龐大數百倍的暗網，人們可以通過匿名訪問的技術進入暗網，但表層網中不會留下它的痕跡。

暗網存在大量以敏感信息數據交易為目的資源交易網站。暗網資源站點通常以售賣企業客戶的敏感數據為主，例如銀行泄露的客戶銀行卡信息、電商企業泄露的客戶個人信息、國家網站泄露公職人員信息等。在暗網資源網站上，不僅可以觀察企業已經泄露和正在交易的敏感信息數據，還可以發現正在求購的交易信息，可以幫助評估當前企業面臨的安全風險。

五、基于威脅情報的敏感信息泄露實時監測

面對泄露渠道的復雜多樣，對企業敏感信息泄露進行全面的核查發現，也需要多樣化的檢測和發現手段。綠盟威脅情報中心采用多樣化的實時監測技術，對互聯網公開網站、在線文庫、源代碼托管平臺、黑客交易論壇、暗網資源監控、公網暴露數據庫等6大安全風險進行實時監測，幫助客戶全面梳理可能的數據泄露風險。

六、結束語

近年敏感信息泄露事件頻發，數據安全也越來越受到國家和社會的關注。《網絡安全法》、《網絡安全等級保護基本要求2.0》、《數據安全法》、《個人信息保護法（草案）》等多個法律法規相繼出臺，數據安全已經成為新一代信息安全標準的基本內容。基于新的安全形勢下，如何保障數字資產安全，避免因敏感信息泄露帶來的聲譽受損、競爭力下降等問題成為網絡安全建設的重要一環。

本文作者：綠盟科技威脅情報中心 趙陽