安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34681 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 41 讲
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
时长 09:32
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
时长 14:24
02 | 安全原则:我们应该如何上手解决安全问题?
时长 17:30
03 | 密码学基础:如何让你的密码变得“不可见”?
时长 17:52
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
时长 16:26
05 | 访问控制:如何选取一个合适的数据保护方案?
时长 16:22
Web安全 (7讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
时长 20:31
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
时长 15:14
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
时长 18:27
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
时长 16:35
10 | 信息泄露:为什么黑客会知道你的代码逻辑?
时长 11:14
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
时长 13:24
12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?
时长 14:49
Linux系统和应用安全 (5讲)
13 | Linux系统安全:多人共用服务器,如何防止别人干“坏事”?
时长 13:13
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
时长 14:20
15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
时长 15:58
16 | 数据库安全:数据库中的数据是如何被黑客拖取的?
时长 13:02
17 | 分布式安全:上百个分布式节点,不会出现“内奸”吗?
时长 13:06
安全防御工具 (7讲)
18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?
时长 12:21
19 | 防火墙:如何和黑客“划清界限”?
时长 13:35
20 | WAF:如何为漏洞百出的Web应用保驾护航?
时长 12:59
21 | IDS:当黑客绕过了防火墙,你该如何发现?
时长 16:44
22 | RASP:写规则写得烦了?尝试一下更底层的IDS
时长 13:00
23 | SIEM:一个人管理好几个安全工具,如何高效运营?
时长 14:10
24 | SDL:怎样才能写出更“安全”的代码?
时长 13:55
业务安全 (6讲)
25 | 业务安全体系:对比基础安全,业务安全有哪些不同?
时长 13:41
26 | 产品安全方案:如何降低业务对黑灰产的诱惑?
时长 12:48
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
时长 14:41
28 | 机器学习:如何教会机器识别黑灰产?
时长 13:05
29 | 设备指纹:面对各种虚拟设备,如何进行对抗?
时长 15:27
30 | 安全运营:“黑灰产”打了又来,如何正确处置?
时长 13:08
知识串讲 (3讲)
模块串讲(一)| Web安全:如何评估用户数据和资产数据面临的威胁?
时长 12:08
模块串讲(二)| Linux系统和应用安全:如何大范围提高平台安全性?
时长 09:38
模块串讲(三)| 安全防御工具:如何选择和规划公司的安全防御体系?
时长 10:35
特别加餐 (5讲)
加餐1 | 数据安全:如何防止内部员工泄露商业机密?
时长 08:50
加餐2 | 前端安全:如何打造一个可信的前端环境?
时长 14:53
加餐3 | 职业发展:应聘安全工程师,我需要注意什么?
时长 11:46
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
时长 10:20
加餐5 | 安全新技术:IoT、IPv6、区块链中的安全新问题
时长 09:52
结束语 (2讲)
结束语 | 在与黑客的战役中,我们都是盟友!
时长 05:03
结课测试|这些安全知识,你都掌握了吗?
时长 00:37
安全攻防技能 30 讲
15
15
1.0x
00:00/00:00
登录|注册

加餐1 | 数据安全:如何防止内部员工泄露商业机密?

何为舟
删库跑路
辞职
裁员
贪污
欺诈
倒卖公司数据
公司的防泄密措施
泄密行为的影响
规章制度
异常检测
DLP(数据泄露防护系统)
背调
炫耀心理
商业间谍
跳槽
对公司不满而实施的报复行为
赚钱
思考题
如何防止内部员工泄露机密?
为什么员工会主动泄露公司机密?
如何防止内部员工泄露商业机密?

该思维导图由 AI 生成,仅供参考

你好,我是何为舟。前面讲了这么多期正文,今天,我们通过加餐,来聊一个比较轻松的话题,数据安全。
我们先来看一个新闻。2017 年,公安破获了一起涉及 50 亿条个人信息泄露的重大案件。经调查发现,犯罪嫌疑人竟然是京东的一名试用期员工郑某鹏。还有非官方的消息说,这个郑某鹏,先后在亚马逊、新浪微博等知名互联网公司,利用试用期的员工身份,下载用户的隐私信息进行倒卖。
如果你稍微关注过这方面的新闻,就会发现,这种事情真的不少。Code42 在 2019 年发布的数据泄露报告称,有 69% 的公司承认员工曾泄露过公司数据。其实,这些数据泄露的行为就是我们要关注的数据安全。
从广义上来说,数据安全其实是围绕着数据的 CIA 三元组来展开的。我们之前讲过,应用的本质就是数据,因此,我认为任何与安全相关的内容,其实都可以涵盖到数据安全中去。那从狭义上来说,数据安全就是如何防止员工泄露公司的敏感数据。国内公司主要关注的还是狭义上的数据安全,因此,我们今天所要讨论的也是狭义上的数据安全。

为什么员工会主动泄露公司机密?

那作为员工,为什么会主动泄露公司数据呢?我曾听过这样一句话,觉得非常有道理:“生活中有两个悲剧。一个是你的欲望得不到满足,另一个则是你的欲望得到了满足。”人的欲望总是无穷无尽的,而且一旦萌生,就极难克制。对于大多数人来说,泄露公司机密,无非有以下几个常见的出发点。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

内部员工泄露商业机密是企业面临的严重挑战之一。本文从员工泄露机密的动机出发,分析了员工可能的行为出发点,包括赚钱、报复、跳槽、商业间谍和炫耀心理。针对这些情况,文章提出了防止内部员工泄露机密的方法。首先是背调,通过对员工过往行为和资历的调查来评判其信任度。其次是DLP技术,监控公司内部数据流动,对员工行为进行异常检测。最后,公司可以制定规章制度,对违规员工进行处罚和公示,产生威慑作用。文章强调了企业应该重视数据安全,同时也提醒读者坚守道德底线,不做违法的事情。通过这些方法,企业可以有效防止内部员工泄露机密,保障数据安全。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
登录 后留言

全部留言(15)

  • 最新
  • 精选
  • qinsi
    阿里巴巴公司根据截图查到泄露信息的具体员工的技术是什么? https://daily.zhihu.com/story/8812028

    作者回复: 可以了解一下图片水印的技术,可以将内部邮件、wiki、钉钉等软件内的图片甚至页面本身,加上水印,水印跟当前登录的用户作关联,就可以查出来了。不过据我了解的,目前图片的水印技术,除非是明显的加在图片背景中,否则各类隐藏式的水印,基本拍张照片,就都没了。

    2020-01-10
    4
    7
  • 蝶离飞
    请问怎么防止员工上传代码到github呢,这一块的防护请问微博是咋做的

    作者回复: 主要还是依靠扫描,有很多类似的Github巡检工具,比如hawkeye,可以根据关键词扫描公司相关的代码,还是比较有用的。其余的就是制度性的管理工作了。

    2020-03-03
    4
  • Cy23
    大公司还好点,职责分开,小公司就不好办了,来个新员工,没多久就把公司所有代码都拷贝走了

    作者回复: 其实职责分离也挺难做到的,比如应用有个逻辑需要用户的手机号,那是不是开发就能够看到所有用户的手机号呢?

    2020-01-10
    2
  • 陈优雅
    具体实施呢?装监控终端?

    作者回复: 安装DLP,然后进行数据分析,这是比较普遍的手段

    2020-01-10
    1
  • JianXu
    老师有什么DLP 的产品推荐吗

    作者回复: 联系厂商们测测就好了,其实大同小异,主要还是关注报价和服务质量。

    2020-08-28
  • 悟^_^凡
    另外法律结合的部分是不是也可以追责?但我们之前遇到过法律程序很难走通的情况,存在知识边界差

    作者回复: 法律相对比较复杂,根据具体案例不同,会有很多差异。不过原则上肯定是可以追责的。

    2020-06-28
  • 树洞先生
    学生信息也会泄露,大学生接到许多的诈骗电话!

    作者回复: 个人信息还是太容易泄漏了,生活中随便填个表都需要写手机号,你永远不知道这个手机号会被谁看到。

    2020-02-16
  • InHero
    我们公司防止员工泄密的方法就是把员工都裁掉
    2021-07-14
    5
  • iHTC
    我之前还因为关于科技公司关于代码安全的问题,问过一些公司,他们说都没有做!一般公司会签保密协议。如果是公司资产的,都是安装摄像头;对于文本说的数据,有访问或请求的还是可以做一个日志记录,但是对于代码来说,还是比较难,不一定 copy,靠记忆复写的算不算盗? 正因为难,所以才有进步,希望未来有更好的方案,DLP 确实对于大公司还是能接受,小公司成本高,另外于对安全来说,隐私又排在什么位置?这个要从国家法律,公司文化,还有大家更多的注重宣传也是很重要吧~
    2020-01-14
    1
    1
  • 怀揣梦想的学渣
    我第一次碎硬盘,是从华为离职,电脑没法格式化,IT清理数据获取不到格式化的识别码,最后只能物理碎掉硬盘,还要全程监控拍摄。心疼死我了,nvme的固态
    2023-06-14归属地:山东
收起评论
显示
设置
留言
15
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部