一、概述

昨天，各大網絡安全群最火的聊天內容是某某科技公司數據泄露事件，處罰通知中提到“公司始終恪守保護數據安全的職業準則”，從處罰通知中可以略知一二，可能存在泄露客戶數據的問題，才會處罰如此之重。

數據安全是企業的生命線，也是安全廠商不可觸碰的紅線，作為安全廠商，不單單要致力于研發相關產品保護客戶的數據安全，更要遵守如何在服務客戶的同時如何防止員工過度參與客戶的生產環境數據，更要注重這方面的數據保護，不單單是教育培訓員工。

通過這次事件，需要深刻反思，安全廠商員工在服務客戶的同時為什么會泄露客戶數據，作為安全廠商人員能不能接觸客戶數據，接觸的范圍是多少，能不能使用外包員工，外包員工的職業素養和保密意識由誰來培訓。這種情況在中國整個網絡安全行業是普遍存在的，作為網絡安全廠商和從業人員更要遵守職業準則，網絡安全廠商研發的產品和提供的服務更要滿足安全和保密要求。在如火如荼的數據安全建設背景下，數據到底存在哪些安全問題，值得我們深思，下面列舉一些本人思考的問題。

二、主要問題

1.安全產品本身存在數據安全問題

作為數據安全廠商，在研發產品過程中，注重自身數據安全至關重要，數據安全廠商在研發數據安全產品過程中，首先要對安全產品應用場景進行威脅建模，評估產品本身是否存在數據安全問題。數據安全產品本身也可能成為攻擊目標， 隨著網絡安全威脅的日益復雜，攻擊者也開始將目標瞄準數據安全產品本身。例如，攻擊者可以通過竊取產品源代碼、植入后門等方式，對數據安全產品進行攻擊，從而獲取或破壞用戶數據。數據安全產品存在數據安全隱患，可能會導致用戶數據泄露， 數據安全產品通常會收集和處理大量用戶數據，因此一旦產品本身存在安全漏洞，就可能導致用戶數據泄露。例如，如果數據安全產品的數據庫存在漏洞，攻擊者就可以竊取數據庫中的用戶數據。

2.廠商人員接觸客戶生產數據的范圍

安全廠商人員在服務客戶的同時，特別是現在數據安全項目建設過程中，廠商人員會接觸到大量客戶的真實數據，這個知悉范圍如何控制，由安全廠商的什么人員參與都很重要，不是隨便哪個安全廠商人員都可以參與到項目中，更不可能隨便讓外包廠商人員參與其中?？隙ìF在有很多甲方和安全廠商之間都會存在這種不規范的行為，有的人員出于好奇，或者出于某種利益等方面，獲取客戶內部數據。數據安全建設不同于以往的網絡安全建設，作為安全廠商和甲方更應當做好平衡。每個行業的客戶都有重要數據不管是甲方還是安全廠商，都應當避免項目建設過程和運維過程中生產數據的無限放大化，特別是一些重點領域，比如運營商、金融、公安、稅務等部門。同時作為甲方，更應當在項目建設時進行論證考慮，因為數據泄露時刻存在，安全廠商也不一定是安全的。

3.安全廠商員工的管理問題

數據安全項目中，員工的安全保密意識和職業操守是至關重要的防線。 據統計，近 70% 的數據泄露事件是由參與項目的內部人員造成的。因此，必須加強員工管理，筑牢數據安全防線。

安全廠商自身員工都可能存在不遵守職業操守的問題，更何況外包公司的員工，既然要參加數據安全項目，就要不斷培訓員工相關安全保密意識和職業操守，紅線不能碰。因此，在重要數據安全項目中，一定要做好員工管理工作，防止堅守自盜。

三、總結

網絡安全已成為當今社會不可忽視的重大挑戰，數據安全更是重中之重。作為網絡安全廠商，肩負著維護網絡安全、保護用戶信息的重任。首先，網絡安全廠商必須高度重視產品自身的數據安全問題，確保產品安全可控，定期對產品進行安全審計，發現并解決潛在的安全風險。其次，網絡安全廠商要重視客戶數據的接觸紅線， 數據安全紅線是不可觸碰的底線，必須嚴格遵守。最后，網絡安全廠商要加強員工安全意識和職業道德培訓，提升員工的信息安全素養。