某互联网企业的产品团队使用主流云端协作平台进行项目管理,产品需求文档、技术设计方案、竞品分析报告、运营活动计划全放在上面。为了让团队成员方便分享,许多文件夹权限被设为知道链接的人均可查看甚至可编辑。一名员工在与外部合作方沟通时发了文件链接,接收方点开后发现能查看大量项目文件夹——里面包含了即将发布的新产品原型图、定价策略文档和下季度营销计划。
在相当长一段时间里,企业完全没有意识到这些核心商业信息正在被未经授权的外部人员自由查看。直到一位合作方在无意中提及看了某个本应是内部机密的文档,企业才发现数据已对外敞开了很久。事后排查发现泄露的文档数量令人触目惊心,而且由于平台缺乏详细访问审计记录,无法确定泄露的具体扩散范围。
这起事件暴露了云端协作的三个致命误区。误区一,默认权限过于宽松。很多云端平台为了提高用户体验,默认分享设置是相对宽松的,企业用户如果不主动调整就等同于裸奔。误区二,为了方便牺牲安全。权限设置越宽松用起来越方便,但安全风险成倍增长。误区三,对云端安全模型缺乏了解。部分用户以为只有收到链接的人能看到文件,不了解链接本身可以随意转发,且部分平台不提供链接被谁访问过的完整审计记录。
云端协作的趋势不可逆转,企业应该做到几点。建立明确的权限管理策略,根据文件重要程度设置不同访问控制级别。核心机密文件原则上不上云端,确需上云的加密保护并设有效期限制。定期审计云端平台权限设置和文件分享记录,发现不安全设置立即修正。对员工进行云端办公安全培训,让每个人了解权限设置的正确方法和安全边界。配合网络层面的技术管控,对企业上传到云端的数据进行分类分级监控。
企业安全主管应当尽快建立云端协作平台的统一管理规范和审计机制。业务负责人应当评估当前云端共享文件中是否存在不应公开的敏感信息。一把手应当认识到,云端化的便利背后是更大的监管责任。
北京企密安信息安全技术有限公司为企业提供云端协作安全评估和防护方案,旗下保密网持续分享云端办公安全实战知识。你们公司云盘里的共享链接,有哪些是知道链接就能打开的?
