张工是深圳一家芯片设计公司的资深工程师,在公司干了七年,负责核心IP模块的开发。离职前两周,他表现得一切如常——正常打卡、正常开会、正常提交代码。但在离职前倒数第三天,公司的内部审计系统发出了一条异常告警:张工的账号在凌晨两点登录了内网,从代码服务器下载了四百多个文件,总数据量超过八吉字节,然后全部拷贝到了一个USB存储设备上。
公司安全部门第二天早上看到告警后立即冻结了张工的所有权限,但USB设备上的数据已经无法追回。后续调查发现,张工已经接受了竞争对手的Offer,月薪涨了百分之六十。虽然公司在入职时签了保密协议和竞业限制协议,但在仲裁和诉讼过程中,由于拿不出张工将数据用于新公司的直接证据,最终只追回了竞业限制补偿金,核心技术数据的流失已成定局。
这个案例揭示了终端行为审计的核心价值:不是在泄密发生后才去追查,而是在泄密发生的首要时间发现并阻断。根据多家安全厂商的统计数据,超过六成的内部数据泄露发生在员工离职前的两周内。离职员工在最后工作日之前的行为模式通常包括:大量下载未完成的工作文件、将邮件通讯录导出、清理浏览器历史记录和即时通讯聊天记录、拷贝项目文档到个人设备上。
终端行为审计系统通过监控用户在终端设备上的操作行为来发现异常。它记录的不只是文件的访问和拷贝,还包括应用程序的使用、外接设备的插拔、网络流量的去向、邮件的发送和打印作业的执行。一旦某位员工的行为模式偏离了正常基线——比如在非工作时间大量下载文件、频繁插入USB设备、向外部邮箱发送大附件——系统就会触发告警。
然而,更多企业的终端行为审计停留在事后追查的层面。真正有效的做法是把审计和阻断联动起来。当系统检测到离职员工在非工作时间下载超过一定数量的敏感文件时,立即冻结该员工的下载权限并要求部门主管确认。当USB设备被插入时,要求输入审批工单编号才能写入数据。当邮件包含敏感关键词时,自动将邮件放入审批队列,由部门主管确认后才能发出。把审计从事后翻账变成事前拦截,才能从根本上降低泄密风险。
常规误区在于企业只关注离职员工的行为,而忽略了在职员工中的潜在风险。内部泄密者并不都是准备离职的人。有些泄密行为是长期、小额、有计划的,比如每隔几天通过邮件附件向个人邮箱发送一小部分数据。这类行为如果不做长期的基线分析和趋势跟踪,很难被发现。因此,终端行为审计需要建立员工行为的长期基线模型,识别任何偏离正常模式的操作。
问:终端行为审计会不会侵犯员工隐私?
答:审计的范围仅限于企业配发的工作设备和办公网络,员工使用个人设备处理私人事务不受监控。企业在部署审计系统时应当明确告知员工监控范围和目的,签署知情同意书,确保审计在合法合规的边界内运行。
问:中小企业需要部署终端审计系统吗?
答:如果企业有核心技术和商业秘密,终端审计的必要性和企业规模无关。对于预算有限的小企业,可以从核心岗位的关键设备开始部署,逐步覆盖。
问:审计日志应该保存多久?
答:结合商业秘密诉讼的时效要求,建议至少保存两年。对于涉密岗位人员的操作日志,应当保存至脱密期结束以后。
北京企密安信息安全技术有限公司为企业提供从终端安全评估到审计系统部署的一体化方案。与其在泄密发生后四处找证据,不如在泄密发生前把门关好。咨询
