数据泄露应急响应指南
1.初步研判
发生数据泄露事件后,首先需要及时了解数据泄露事件发生的时间、泄露的内容、数据存储的位置、泄露数据的表现形式等
2.判断泄露途径
通过目前已确定泄露的数据,逐一排查和确认可能的数据流转路径,判断数据是由外部人员非法入侵或未授权访问窃取的,还是由内部人员恶意披露或违规操作导致的。可通过数据的存储位置、可访问数据的人员属性和内部网络安全态势情况进行初步确认
- 若泄露数据存储于互联网可访问的服务器,业务系统未经过专业的上线安全评估,则数据很可能是通过外部人员非法入侵泄露的
- 若泄露数据存储于内部网络,且仅有少部分管理人员才能访问,内部网络安全良好,则数据很可能是由内部人员恶意披露或是通过未授权访问窃取的
3.确定排查范围和目标
将可能涉及被泄露数据的终端、服务器、应用系统、网站等均纳入排查范围,对于数据量大、访问频率高的还应纳入重点排查范围