一、概述

昨天，各大网络安全群最火的聊天内容是某某科技公司数据泄露事件，处罚通知中提到“公司始终恪守保护数据安全的职业准则”，从处罚通知中可以略知一二，可能存在泄露客户数据的问题，才会处罚如此之重。

数据安全是企业的生命线，也是安全厂商不可触碰的红线，作为安全厂商，不单单要致力于研发相关产品保护客户的数据安全，更要遵守如何在服务客户的同时如何防止员工过度参与客户的生产环境数据，更要注重这方面的数据保护，不单单是教育培训员工。

通过这次事件，需要深刻反思，安全厂商员工在服务客户的同时为什么会泄露客户数据，作为安全厂商人员能不能接触客户数据，接触的范围是多少，能不能使用外包员工，外包员工的职业素养和保密意识由谁来培训。这种情况在中国整个网络安全行业是普遍存在的，作为网络安全厂商和从业人员更要遵守职业准则，网络安全厂商研发的产品和提供的服务更要满足安全和保密要求。在如火如荼的数据安全建设背景下，数据到底存在哪些安全问题，值得我们深思，下面列举一些本人思考的问题。

二、主要问题

1.安全产品本身存在数据安全问题

作为数据安全厂商，在研发产品过程中，注重自身数据安全至关重要，数据安全厂商在研发数据安全产品过程中，首先要对安全产品应用场景进行威胁建模，评估产品本身是否存在数据安全问题。数据安全产品本身也可能成为攻击目标， 随着网络安全威胁的日益复杂，攻击者也开始将目标瞄准数据安全产品本身。例如，攻击者可以通过窃取产品源代码、植入后门等方式，对数据安全产品进行攻击，从而获取或破坏用户数据。数据安全产品存在数据安全隐患，可能会导致用户数据泄露， 数据安全产品通常会收集和处理大量用户数据，因此一旦产品本身存在安全漏洞，就可能导致用户数据泄露。例如，如果数据安全产品的数据库存在漏洞，攻击者就可以窃取数据库中的用户数据。

2.厂商人员接触客户生产数据的范围

安全厂商人员在服务客户的同时，特别是现在数据安全项目建设过程中，厂商人员会接触到大量客户的真实数据，这个知悉范围如何控制，由安全厂商的什么人员参与都很重要，不是随便哪个安全厂商人员都可以参与到项目中，更不可能随便让外包厂商人员参与其中。肯定现在有很多甲方和安全厂商之间都会存在这种不规范的行为，有的人员出于好奇，或者出于某种利益等方面，获取客户内部数据。数据安全建设不同于以往的网络安全建设，作为安全厂商和甲方更应当做好平衡。每个行业的客户都有重要数据不管是甲方还是安全厂商，都应当避免项目建设过程和运维过程中生产数据的无限放大化，特别是一些重点领域，比如运营商、金融、公安、税务等部门。同时作为甲方，更应当在项目建设时进行论证考虑，因为数据泄露时刻存在，安全厂商也不一定是安全的。

3.安全厂商员工的管理问题

数据安全项目中，员工的安全保密意识和职业操守是至关重要的防线。 据统计，近 70% 的数据泄露事件是由参与项目的内部人员造成的。因此，必须加强员工管理，筑牢数据安全防线。

安全厂商自身员工都可能存在不遵守职业操守的问题，更何况外包公司的员工，既然要参加数据安全项目，就要不断培训员工相关安全保密意识和职业操守，红线不能碰。因此，在重要数据安全项目中，一定要做好员工管理工作，防止坚守自盗。

三、总结

网络安全已成为当今社会不可忽视的重大挑战，数据安全更是重中之重。作为网络安全厂商，肩负着维护网络安全、保护用户信息的重任。首先，网络安全厂商必须高度重视产品自身的数据安全问题，确保产品安全可控，定期对产品进行安全审计，发现并解决潜在的安全风险。其次，网络安全厂商要重视客户数据的接触红线， 数据安全红线是不可触碰的底线，必须严格遵守。最后，网络安全厂商要加强员工安全意识和职业道德培训，提升员工的信息安全素养。