在国家统计局公布上半年宏观经济数据前，有媒体率先报道出上半年GDP增长指数。有财经专家指出，如果外资机构以此数据在中国资本市场上套利，中国普通投资者将可能蒙受巨大损失，而外资机构通过提前做多或做空， 是既可以避险又可以谋取利润，会立于不败之地。这是继澳大利亚铁矿石企业力拓集团驻上海办事处的员工涉嫌窃取国家机密后又一数据外泄事件。

　　短时期内发生的这两起重大机密数据外泄事件，不禁让人担忧这些重要的机密数据怎么会如此轻易被泄露，到底是谁动了数据外泄之门?数据安全保障如此脆弱，IT部门和CIO有没有责任?再回顾近期时有所闻的全球数据外泄事件，这不仅严重妨碍企业正常的运营，也常常会造成企业在财务与商誉上的巨大损失。目前，防止企业机密数据外泄，已经成为电信、金融、医疗、政府、教育等众多IT数据集中度较高的企事业单位亟待解决的问题之一。

　　一 重要数据外泄的主因分析

　　信息数据是一个企业生存与发展的基本元素。对企业来说凡是通过大量人力、物力投入后所得到的数据资源，都可以列入机密信息的范畴。如：技术图纸、财务报表、账户信息、客户资料等，这些信息是散落在企业的各个角落里。

　　随着IT技术的发展，目前这些信息大部分都以电子数据的形式保存在各IT设备中。因此，有许多企业的高层会片面的认为确保这些IT数据安全是IT部门的责任。但他们却都忽略了一点，IT中的“I”指的是“信息”(Information)。从损益表，到销售数据，再到产品设计，可以说信息数据是公司的血液。因此，一旦其被未经授权的人员获得，蒙受损失的就不仅仅是IT部门了。

　　　(1)为什么内部人员外泄数据时间频频发生?

　　许多企业在考虑数据外泄时的第一个反应，就是如何防范来自外部的威胁和攻击。因此，许多企业在IT安全投入时会将焦点集中在反病毒和防范网络攻击，以及进行垃圾邮件过滤和Web内容过滤等防范外部威胁方面。例如，企业会部署许多软硬件防护措施，如VPN、防火墙、或使用网络监视器来提供稽核记录以防止外界不当存取内部的机密信息。但有了这些防御外部威胁和攻击的网络环境，并不意味着企业就可以高枕无忧了。因为这些作法都只是能够降低来自外界的风险，防止遭到窃听或黑客入侵，而并无法预防内部人员蓄意或意外泄漏资料。

　　因为正如俗话所说：“坚固的堡垒往往是在内部被攻破的”。让人感到遗憾的是，很少有企业能够意识到来自企业内部的威胁可能会更大。根据IDC一项数据安全调查显示，内部员工数据外泄风险已成为企业面临的重要风险之一，且等级提升到第三名，只低于木马病毒、黑客入侵。例如拥有数据访问权限的员工、合作伙伴、顾问以及凡是能够存取安全网络的人员，都可能会有机会通过多种管道取得重要的信息及数据，并且可能会传送至企业之外。报告表示这些数据外泄的主要途径，包括蓄意违反政策，或是意外遗失数据，例如遗失存有重要数据的移动存储设备。

　　因此，在预防数据外泄的威胁问题上，企业在内部人员上面临着更大的挑战。内部人员窃取商业机密有两大诱因：一是能够获得金钱;二是能够获得商业优势。后者多体现为一些准备跳槽的员工，而且这类情况大都在员工离开以后也没有被发现。可见，内部威胁是数据安全管理的难题之一，尤其是在那些有故意收集数据的员工和有特许权限的员工的管理上更是如此。因此，在IT数据安全管理上除了常规的防病毒的IT软硬件外，企业还需要在人员方面完善相关制度从而确保机密数据的安全。

　(2)分析数据在何处不设防?

　　让我们一起来思考一个问题：企业IT数据所面临的最大外泄威胁是什么?许多人的回答可能会是黑客攻击、木马病毒窃取和IT人员的违规行为，但这并不完全正确。的确，黑客的恶意攻击是要引起人们的高度重视，IT人员的恶意违规行为更是不能容忍。但事实上，最有可能泄露企业数据的却往往是那些看起来与IT部门无关的内部员工。

　　一般来说，数据泄露主要有两个途径：一是企业不健全的网络环境会导致数据外泄，例如企业网络遭到黑客、木马和病毒的袭击；二是企业的内部员工有意、无意造成的机密资料外泄。据最新的一份IT安全调查报告显示，内部员工的粗心大意是到目前为止企业数据外泄的最大威胁，由此造成的数据安全事故高达68%。这份报告指出，所有的数据外泄案件中，只有不到5%有采用加密保护和10%有密码保护。这意味着非常多的外泄数据完全没有加密或密码保护。至于数据外泄的途径，报告表示人为的疏失占35%，黑客恶意攻击及内部窃贼的比例约占45%，其中内部窃贼的比例高达20%。从这些统计数据可以明确的看到企业的数据外泄途径除了外部黑客攻击外，内部人员的人为疏忽和非法窃取更不容忽视。

　　从这份报告的统计可知，当前造成数据外泄事故的因素有多种多样。本文将主要从企业内部人员的人为疏失和故意窃取的角度来分析，然后提出防范内部人员造成数据外泄的建议和策略。其它泄漏问题，如黑客攻击、木马病毒、丢失USB或者笔记本等问题引起的数据泄漏，本文将不进行详细的讨论。