企业动态

    8月5日，据多家媒体报道称，作为目前全球最顶尖的半导体技术，台积电的2nm工艺出现了重大泄密。台积电已对被认定负有责任的员工采取行动。

台积电标志 图源：媒体

    多位知情人士透露，台积电多名前员工在任职期间涉嫌试图获取2纳米芯片研发与生产的核心专有信息，经清查有9人涉案，其中3人为2纳米试产人员，利用手机拍摄大量资料，流向东京电子(TEL)员工，证据确凿，直接开除，另6人为研发中心人员，因提供2纳米相关资料，调职原单位。

    奇安信数据安全专家认为，当前企业内部员工（俗称“内鬼”）已经成为数据窃密的重要源头。因为内部员工通常对组织内部情况了如指掌，并具备足够的、甚至超过自己所需的权限来访问组织内部敏感信息，所以他们通常可以轻松且合法地绕过组织的安全措施而不会引发风险预警，因为组织认为他们是“受信任的用户”。一旦重要商业和技术机密泄密，可能对企业造成毁灭性打击。

    专家呼吁，企业需要部署零信任架构、特权账号管理、数据管控平台等综合的数据安全措施，将内部员工的泄密威胁降至最低。

    2纳米技术泄密并非个例 内鬼泄密成企业头号威胁

    台积电2纳米技术泄密事件并非个例，在如今这个数字化时代，网络安全形势愈发严峻，由企业“内鬼”导致的各类数据泄露、网络攻击事件频频发生。

    江苏法院的最新统计数据显示，在商业秘密案件中超过80%系由企业内部员工泄密所致，其中侵害技术秘密占比达到了50.7%。

    这与之前行业机构Fortscale的调查结果几乎一致：85%以上的企业数据泄密都来源于企业内部员工（含前雇员）。就在今年4月，马斯克旗下X平台被曝出，因“内鬼”导致28亿用户数据泄露。事实证明，掌握权限的各层级员工都有可能成为数据泄露源头。

    更重要的是，恶意内部人员的攻击行为最难以被察觉，恶意内部人员的动机有很多潜在因素（情绪愤怒、财务困境、社会因素等），因此，要查明谁是潜在的恶意内部人员，或者他们的特定动机是什么，并不总是那么容易。

    层出不穷的数据安全事件，让我们深刻认识到传统的网络安全防护模式正面临着巨大的挑战。在过去，很多企业和组织采用基于边界的安全模型，认为只要守住网络边界，内部网络就是安全的。但随着云计算、大数据、物联网等新技术的广泛应用，企业的网络边界变得越来越模糊，内部员工可能通过各种移动设备在不同的网络环境下访问企业资源，合作伙伴也需要接入企业网络进行业务协作，这些人一旦失控，就可以在内部网络畅通无阻，肆意窃取数据、破坏系统。

    多管齐下 奇安信构筑完整数据防泄密体系

    为了应对来自企业内部员工、合作伙伴的威胁，奇安信提供了多种数据防泄密手段，帮助企业构建起对外防攻击，对内防“内鬼”的完整数据安全体系。

    首先，通过零信任+安全空间打造数据访问管控闭环。

    奇安信推出的零信任网络访问系统（ZTNA），可以和天擎形成深度融合，进一步增强内网终端各组件的管控、访问能力，能够在登录阶段、访问阶段获取到终端安全评分（木马病毒、漏洞检测等），避免不安全终端接入零信任系统，防止对业务应用访问，缓解恶意终端访问和数据泄露等安全风险。

    为了对员工访问企业内部重要数据进行更加精细化的管控，奇安信创新提出了安全空间的设计理念。安全空间对企业内部系统进行环境隔离，为企业内部终端提供内存、磁盘数据加密、数据隔离、流转合规等数据安全保护，能够在人员不可信、终端不可信的前提下，允许核心数据被可信查看、加工和处理，但不能向外流转和传输，从而有效避免数据被窃取风险。

    通过零信任架构+安全空间的组合使用，奇安信可以为客户提供端、网、业务、文件、数据全周期访问控制闭环，避免内部员工级合作伙伴有意或无意的对外泄密，有效保障企业的数据安全。

    其次，通过安全水印等技术对数据泄密者形成震慑。

    据多位知情人士透露，多名台积电前员工涉嫌在任职期间试图获取与2nm芯片开发和生产相关的关键专有信息。此次事件由台积电内部调查发现，经清查有9人涉案。其中3人为2纳米试产人员，利用手机拍摄大量资料。可见，企业需要对手机拍照泄密的行为未雨绸缪，提前采取相应措施。

    奇安信推出的天擎终端安全管理系统，可通过资产管控和安全水印等措施，实现数据防泄漏及泄露追踪。其中终端数据安全水印等技术，可直接、间接识别出泄露身份信息，实现泄露溯源，对数据泄密者起到震慑作用。

    最后，加强特权账号管理，守好企业数据大门。

    特权账号是通往企业数据大门的“钥匙”，在业务流程中对重要数据进行访问或操作的都是特权账号。企业在防内鬼方面，建议部署特权账号管理系统（简称PAM），对特权账号的开设、使用、注销进行全生命周期的统一管理；治理“一号多用”现象，一经发现立刻降权；解决“账号弱口令”问题，用密码保险箱实现“一次一密”，防范密码泄露和身份仿冒风险。同时，通过堡垒机，实现所有账号对数据访问的安全管控；通过数据库审计，确保一切数据操作行为可追踪、可溯源。

    结束语

    台积电2纳米技术泄密事件以及众多数据安全事件，都为我们敲响了警钟：在享受信息技术带来便利的同时，企业必须时刻警惕潜在的安全隐患。除了加强对外部攻击的防御外，还需要更加重视内部安全管理，确保每一位员工都能成为数据保护的参与者而非破坏者。尤其在这个数字化转型加速、数据价值愈发凸显的时代，企业面临的数据安全风险与日俱增，而单一产品和防护手段难以面对日益复杂的数据泄露风险，企业需要综合考虑部署零信任架构、特权账号管理、堡垒机等多种数据安全措施，构筑安全、可靠的网络空间，迎接数字化时代的新挑战与新机遇。