Part.1 供應(yīng)鏈數(shù)據(jù)泄露 ● 自身供應(yīng)鏈泄露:自身供應(yīng)鏈?zhǔn)侵钙髽I(yè)自身產(chǎn)品生產(chǎn)和流通過(guò)程中的采購(gòu)部門(mén)、生產(chǎn)部門(mén)、倉(cāng)儲(chǔ)部門(mén)、銷售部門(mén)門(mén)等組成的供需網(wǎng)絡(luò)。如電商體系中的物流系統(tǒng)、倉(cāng)儲(chǔ)管理系統(tǒng)、支付系統(tǒng)等,往往包含企業(yè)大量敏感信息,該類系統(tǒng)被惡意攻擊者入侵,可造成數(shù)據(jù)泄露。 ● 第三方供應(yīng)商泄露:企業(yè)由于業(yè)務(wù)需要,使用或者購(gòu)買(mǎi)了第三方服務(wù),如供應(yīng)商代碼倉(cāng)庫(kù)、供應(yīng)商外包人員服務(wù)、供應(yīng)商提供的SaaS服務(wù)等。惡意攻擊者通過(guò)入侵相關(guān)系統(tǒng),造成數(shù)據(jù)泄露,或是第三方供應(yīng)商為了牟取利益泄露數(shù)據(jù)。 Part.2 供應(yīng)鏈上的泄密風(fēng)險(xiǎn) 供應(yīng)商管理風(fēng)險(xiǎn):供應(yīng)鏈中的供應(yīng)商眾多,且往往分布在不同的國(guó)家和地區(qū),這給企業(yè)的供應(yīng)商管理帶來(lái)了巨大挑戰(zhàn)。一旦供應(yīng)商的數(shù)據(jù)安全措施不到位,就可能導(dǎo)致整個(gè)供應(yīng)鏈的數(shù)據(jù)泄露。 數(shù)據(jù)傳輸風(fēng)險(xiǎn):在供應(yīng)鏈中,企業(yè)之間需要頻繁地傳輸和共享數(shù)據(jù),如庫(kù)存信息、訂單信息、客戶信息等。這些數(shù)據(jù)在傳輸過(guò)程中可能經(jīng)過(guò)多個(gè)網(wǎng)絡(luò)設(shè)備,增加了被截獲和泄露的風(fēng)險(xiǎn)。 內(nèi)部人員風(fēng)險(xiǎn):供應(yīng)鏈中的內(nèi)部人員,如員工、合作伙伴或承包商,可能因疏忽、利益誘惑或惡意行為導(dǎo)致數(shù)據(jù)泄露。這種內(nèi)部威脅往往難以防范,且一旦發(fā)生,后果嚴(yán)重。 Part.3 供應(yīng)鏈泄密相關(guān)案例 此前,有汽車博主發(fā)布了關(guān)于小米汽車首款車型小米MS11車型的設(shè)計(jì)圖片,展示了小米汽車保險(xiǎn)杠、小米MS11的裝飾件,以及小米與北汽模塑相關(guān)合作細(xì)節(jié)等,引發(fā)網(wǎng)絡(luò)關(guān)注。 后來(lái)根據(jù)通報(bào)顯示,事件的起因是合作方北京某模塑科技有限公司因對(duì)其下游供應(yīng)商管理不善,泄露了小米汽車前后保險(xiǎn)杠某個(gè)版本的過(guò)程稿。小米集團(tuán)公關(guān)部總經(jīng)理王化隨即回應(yīng)稱,的確是二級(jí)供應(yīng)商保密的設(shè)計(jì)文件泄密。 現(xiàn)如今,大部分企業(yè)與第三方供應(yīng)商合作時(shí)會(huì)簽署相關(guān)保密協(xié)議并制定賠償條例,但是在巨大利益下,還是會(huì)有部分人員鋌而走險(xiǎn),使用合作方的技術(shù)機(jī)密獲利。 Part.4 企業(yè)如何防范供應(yīng)鏈泄密 保密協(xié)議等“君子之約”并不能在復(fù)雜的商業(yè)環(huán)境里保護(hù)企業(yè)核心數(shù)據(jù)安全,采取必要的數(shù)據(jù)防護(hù)手段仍然是企業(yè)的首要選擇。在與供應(yīng)鏈上下游第三方企業(yè)對(duì)接時(shí),對(duì)重要文件數(shù)據(jù)進(jìn)行加密保護(hù),實(shí)時(shí)管控?cái)?shù)據(jù)全生命周期流轉(zhuǎn)動(dòng)向,確保數(shù)據(jù)在企業(yè)的外部環(huán)境下還能得到防護(hù)與監(jiān)管。 ?數(shù)據(jù)加密、防止外泄 對(duì)每一份技術(shù)資料、圖紙、合同都進(jìn)行加密保護(hù),合作方只有在安裝了加密客戶端的終端才可以打開(kāi)相關(guān)加密文檔,確保數(shù)據(jù)在外部也可控安全。 ?外發(fā)審批、多層多級(jí) 對(duì)外發(fā)數(shù)據(jù)進(jìn)行嚴(yán)格管控,經(jīng)過(guò)相關(guān)領(lǐng)導(dǎo)審批后內(nèi)部文件才能擺脫密文狀態(tài),進(jìn)行查看和編輯。防止內(nèi)部員工進(jìn)行有意或無(wú)意的機(jī)密文件發(fā)送,避免數(shù)據(jù)外泄。 ?水印標(biāo)簽、震懾追溯 文件及屏幕水印可有效震懾拍照或截屏泄密行為,對(duì)外提供的文件打上水印,記錄操作人員信息,在安全事故發(fā)生后第一時(shí)間鎖定泄密源頭,啟動(dòng)應(yīng)急措施。 ?權(quán)限控制、下載加密 合作過(guò)程中,若是需要給合作方開(kāi)放服務(wù)器數(shù)據(jù)訪問(wèn)權(quán)限,安全網(wǎng)關(guān)可以幫助規(guī)范項(xiàng)目人員訪問(wèn)系統(tǒng)服務(wù)器的權(quán)限。如擔(dān)心數(shù)據(jù)文檔被下載泄密,落地加密功能可以對(duì)從服務(wù)器中下載到本地的文檔進(jìn)行自動(dòng)加密,使得系統(tǒng)中被下載的數(shù)據(jù)始終處于加密狀態(tài)。