泄密事件发生后的第一时间处理 - 保密网

我从业十几年，处理过不下三十起泄密事件，总结出一个铁律：泄密发生后的头三十分钟，决定了整个事件的走向。处理得当，损失可控；处理失当，小事变大事，大事变灾难。今天就跟大家聊聊泄密事件发生后的第一时间到底该做什么。

第一条原则是不要慌，但要快。泄密被发现后，很多人第一反应是恐慌，然后做出各种不理性的行为。我见过有人第一时间拔电源的，有人删日志的，还有人跑去质问嫌疑人打草惊蛇的。这些事情都有一个共同特点——都在毁证据。你的慌乱会让调查工作变得异常困难。所以第一步不是做任何操作，而是深呼吸，然后掏出你的应急响应预案开始对照执行。

第二步是隔离，而不是关闭。有什么区别？隔离是把受影响的系统从网络上断开，保留现场供后续调查；关闭则是直接把服务器关机。千万不能关机，因为内存里的数据、网络连接状态、进程信息都是破案的关键证据，关机以后这些东西全没了。正确的做法是在网络层面做隔离，拔网线或者切断交换机端口都可以，保留操作系统的运行状态。

第三步是拍照和录屏。很多人觉得技术问题技术手段解决，忽略了这个最基础的取证动作。屏幕上的告警信息、系统日志的截屏、网络连接状态、当前运行的进程列表，这些信息一旦系统重启或者界面变了就再也看不到了。我有一个习惯——不管什么类型的泄密事件，进入系统的第一步就是用手机录像，把屏幕上的所有信息记录下来。这招在后来做调查复盘的时候特别有用。

第四步是确认泄密面。你需要尽快搞清楚几个核心问题：谁的数据泄露了？泄露了多少条？通过什么渠道出去的？是外部攻击还是内部泄漏？现在还在不在泄？这几个问题不需要百分百精确的答案，但需要有个大致判断。比如客户数据库被人通过SQL注入拖走了，那泄密面基本上就是整个库；如果是个别员工误发邮件，那范围就可以锁定。

第五步是成立临时响应组。虽然应急响应预案里已经写了固定的响应小组，但第一时间你来不及召集全部人。所以要先拉一个三人核心组：懂技术的负责人、懂法务的负责人、能做决策的领导。这个三人组负责在头一小时内做快速决策，比如要不要立即通知甲方客户，要不要报警，要不要启动备份恢复等。

第六步是控制信息扩散。泄密事件最怕的是什么？是内部一传十十传百，外部记者比你还早知道。所以第一时间就要做信息管控。通知范围控制在核心三人组，其他人按需告知。所有沟通尽量用专用渠道，不要在微信群或者公开邮件里讨论泄密细节。同时要安排人开始监测外部信息渠道，看看这个事有没有被挂到暗网或者公开论坛上。

第七步是保留所有日志。这一点怎么强调都不过分。系统日志、操作审计日志、网络流量日志、邮件日志、VPN登录日志，全部第一时间做快照和备份。我经历过一个案子，调查到一半日志自动轮转覆盖了，直接导致无法追溯攻击路径。从那以后我养成的习惯是接到泄密报告就先备份日志，不管需不需要，先保下来再说。

第八步也不要忽视——记录时间线。从接到报告那一刻开始，按分钟记录每一个动作的时间点和负责人。这个时间线在后续报告监管机构、应对审计、甚至法律诉讼的时候都是铁证。很多团队事后回忆的时候才发现时间已经乱掉了，谁几点几分做了什么完全对不上号。

说个真实案例。某次朋友公司被勒索软件攻击，他们第一时间做了我上面说的这些事情，特别是网络隔离和日志备份做得非常到位。最终不仅数据恢复成功，还通过完整的时间线和日志证据把攻击者锁定了，配合公安机关最终破了案。而另一家类似规模的企业，因为没有第一时间做好信息管控，泄密细节被内部员工发到了朋友圈，第二天就上了新闻热搜，损失扩大了不止十倍。

泄密事件的第一时间处理，考验的不是技术能力，而是冷静和流程执行力。预案可以慢慢完善，但头三十分钟的动作必须刻在骨子里。