阿里核心业务发布前遭泄露 员工拍照泄密行为如何终结？

 

该帖发出后在知乎话题上引起了网友们的讨论，曾一度登上知乎热搜。不少网友纷纷表示：阿里的墙四面透风，这样的核心商业机密也能够被员工拍照泄密，说明其企业员工缺乏基本的保密风险意识，阿里的信息保护措施也存在一定的缺失。

 

该帖发出一日后，4月1日晚，阿里巴巴集团合伙人戴珊果不其然在公司内网发布了全员公开信——《MMC，吹响集结号！》，称MMC将继续专注小店数字化升级，让小店拥有更强的数字化能力去服务周边的消费者，让邻里之间更有温度。这与该名员工提前泄露出来的战略定位几乎毫不相差。

 

 

对企业而言，内部敏感和商业数据保护十分关键，一旦公司的机密信息遭到内鬼泄露，很可能给企业形象和业务带来极大的损失，甚至极有可能被竞争对手提前获悉抢占先机。

 

事实上，据安全419（anquan419.com）了解，很多企业为了防止敏商业信息泄露，采取了很多的措施来防止数据泄露，比如禁止移动存储的使用、监控员工电脑行为、管控文档外发，甚至是文档加密等等措施来实现对员工行为的管控，以避免员工有意或者无意的情况下泄露公司敏感数据。

 

但似乎防止拍照泄密正在成为越来越多企业忽略掉的一个重要途径，甚至就连阿里这样一家技术顶尖的互联网公司，也出现了员工拍照泄密事件这样的管理纰漏。近日，安全419分别找到了数安行与指掌易的安全专家聊了聊，看看业内专家们对于企业隐私信息保护，以及防拍照泄密有什么思路和建议。

 

在数安行CTO苑海彬看来，阿里员工拍照泄露总裁PPT的这个案例，无论是从数据安全的角度还是知识产权保护的角度上看，事实上还是属于企业安全团队对于敏感信息和数据保护缺失的问题。

 

他谈到，阿里员工拍照泄露总裁PPT的这个案例中，实际上存在一些技术层面上的追溯难点。首先，这个案例发生在一个会议室的场景中，拍照泄密的员工其实是拍摄的投影布上面的内容，然后在某个社交平台上发布了出去。这里面第一个问题是拍照的人与将敏感内容投映出去的人并非是同一人，再有，如果大家用手机拍电视的画面是会发现，照片上面会出现条状的摩尔纹，针对截图泄露企业敏感数据的问题，数据安全领域常见的解决方案是在员工的办公设备中加入隐式的屏幕水印，但是拍照的话的话事实上肉眼是看不到的，很难起到追溯的作用。

 

 

“阿里的这个案例也给到我们一些启发，在企业内部一些特定的需要保密的场景下，或者是需要保密的人员管理上，对敏感数据的管理应该更灵活，比如用显性的水印来实现更易追溯的目的。”苑海彬建议，在需要保密的场景下一些企业的高层核心成员，为了防止其他参会人员拍照泄露数据的风险，建议考虑采用姓名、时间戳、二维码混合显示的显性水印，一方面，这样做的警示作用会更强，降低了对外扩散的风险。另一方面，如果发生敏感数据泄露的情况，可以很快根据时间戳、投屏人姓名来核实，并找到泄密者。

 

“本质上屏幕水印只是数据安全中的一个辅助手段，更多层面上还是要解决数据安全意识建设、技术建设的问题。此外，对数据本体的保护也只是其中的一环，其他比如在拍照设备的管控，在会议室内部的监控摄像覆盖等方面都应该同步做一些优化和提升。”苑海彬表示。

 

 

 

苑海彬最后也谈到，拍照泄密只是企业数据安全保护工作中一个很小的场景，对于企业而言，以文件形式的数据泄露会更为常见。因此，在日常工作中企业还应该对一些非常重要的文件、数据需要进行分级分类的安全管理，对敏感数据进行有效识别，之后再来通过不同的手段对敏感信息进行加密处理了，这样才能够有效的防止敏感数据泄露。

 

比如针对不需要流动的敏感业务数据，可以将其加密后放在数据安全沙箱里面，这部分数据只允许在线上浏览查询，禁止本地下载，这样来避免不必要的扩散。

 

而对于需要在协作过程中流转的数据，也可以通过数字水印、数据DNA等技术手段监控好数据流转的整个变化过程，一旦发生数据泄露事件，就可以对其进行反向的追溯，来确定具体是从哪个环节泄露出去的。举例来说，如果某家企业的员工将一个核心敏感数据文件上传至了第三方云盘上面，通过数字水印技术就可以对这份文件进行监控，在文件泄露的第一时间主动做一些信息的回联，以便去追溯这个文件最后的编辑人是谁、上传位置是哪里，现在在哪个位置打开，通过这样的方式去及时对数据泄露事件进行高对抗性的反制。