2018年8月28日上午，XX酒店集团发生用户隐私数据泄露，涉及大量公民个人信息，包括姓名、身份证号、邮箱、手机以及卡号等，据称有5亿条公民信息，并在网上非法售卖，为公民及企业造成巨大隐私危害及严重负面社会影响。

　　某论坛非法发布的隐私数据泄露：

网络上数据泄密

非法网络流传的样本数据

　　事件起因疑似系统开发者误将数据库账户密码上传至github，被黑客利用才导致本次数据泄露的事件发生，更多的细节目前还不是很明朗。

　　回顾过往隐私数据泄露，开发者将系统账户密码、配置以及敏感信息上传到github等平台引起的事故已经不是第一次了，这种失误操作有时候比应用的漏洞更加严重，本次数据的泄露就是一个典型的例子。

　　企业内网面临着愈来愈复杂的安全隐患和风险，需要具备的安全防护能力从传统的网络信息安全到上网用户的行为感知和综合风险分析。涉及到用户上网行为感知、网络威胁态势感知、未知网络威胁防护、网络病毒检测、网络攻击溯源、综合安全分析、网络设备日志分析、异常流量分析等等多种多门类的网络安全防护技术。

　　此次数据泄露事件，充分说明企业内网安全是一个十分重要且普遍的场景。在整个产品开发过程中，研发团队违规操作和行为应该被感知到和审计到，通过合适的网络安全防护和行为感知，让企业的核心商业数据和开发活动在可感知、可控、可审计的环境中规范的运作，以避免严重商业泄密事件再次发生。

　　为了避免防范此类事件的发生，可以参考以下建议：

　　（1）采用标准的安全开发生命周期（SDL）；

　　（2）开发人员、运维以及测试人员需要提高安全意识，养成良好的操作习惯；

　　（3）安排专人审查内部以及外部的代码仓库中是否存在敏感文件泄露的风险；

　　（4）测试以及真实环境避免使用弱口令；

　　（5）企业要重视数据安全的问题，尤其重要数据；

　　（6）构建企业内网的上网行为感知和网络安全防护措施。

　　任子行SURF-SA-BA上网行为感知和网络集中安全审计及风险管理平台，结合SURF-SA系列上网行为管理和上网认证设备，为企业提供完备的内网用户上网行为感知和风险管控能力。

　　全局感知用户上网行为，通过数据分析工具辅助相关部门做好内网管理工作。内网用户上网情况，全方位解析，做到事前可预警、事后可追溯。

　　包括github在内的所有研发工作相关活动和操作，全网全用户全程记录和审计。

　　作为国内信息安全领域的创新企业，任子行高度重视信息安全建设，针对个人信息安全、信息系统整体安全以及数据中心运营安全等多层次多领域信息防护难题，构筑覆盖终端、云端以及边界安全、内网安全、数据安全和云安全的全方位网络安全防护体系，在确保对信息数据安全防护工作的同时，实现对整个网络威胁的联合感知和联合防御。

　　展望未来，任子行将积极实施面向云时代的网络安全业务前瞻性布局与发展战略规划，并与广大合作伙伴、行业客户共同构建网络安全产业生态圈，提供网络安全的软实力，捍卫国家网络安全战略。