● 自身供應(yīng)鏈泄露：自身供應(yīng)鏈?zhǔn)侵钙髽I(yè)自身產(chǎn)品生產(chǎn)和流通過(guò)程中的采購(gòu)部門(mén)、生產(chǎn)部門(mén)、倉(cāng)儲(chǔ)部門(mén)、銷(xiāo)售部門(mén)門(mén)等組成的供需網(wǎng)絡(luò)。如電商體系中的物流系統(tǒng)、倉(cāng)儲(chǔ)管理系統(tǒng)、支付系統(tǒng)等，往往包含企業(yè)大量敏感信息，該類(lèi)系統(tǒng)被惡意攻擊者入侵，可造成數(shù)據(jù)泄露。

● 第三方供應(yīng)商泄露：企業(yè)由于業(yè)務(wù)需要，使用或者購(gòu)買(mǎi)了第三方服務(wù)，如供應(yīng)商代碼倉(cāng)庫(kù)、供應(yīng)商外包人員服務(wù)、供應(yīng)商提供的SaaS服務(wù)等。惡意攻擊者通過(guò)入侵相關(guān)系統(tǒng)，造成數(shù)據(jù)泄露，或是第三方供應(yīng)商為了牟取利益泄露數(shù)據(jù)。

供應(yīng)商管理風(fēng)險(xiǎn)：供應(yīng)鏈中的供應(yīng)商眾多，且往往分布在不同的國(guó)家和地區(qū)，這給企業(yè)的供應(yīng)商管理帶來(lái)了巨大挑戰(zhàn)。一旦供應(yīng)商的數(shù)據(jù)安全措施不到位，就可能導(dǎo)致整個(gè)供應(yīng)鏈的數(shù)據(jù)泄露。

數(shù)據(jù)傳輸風(fēng)險(xiǎn)：在供應(yīng)鏈中，企業(yè)之間需要頻繁地傳輸和共享數(shù)據(jù)，如庫(kù)存信息、訂單信息、客戶(hù)信息等。這些數(shù)據(jù)在傳輸過(guò)程中可能經(jīng)過(guò)多個(gè)網(wǎng)絡(luò)設(shè)備，增加了被截獲和泄露的風(fēng)險(xiǎn)。

內(nèi)部人員風(fēng)險(xiǎn)：供應(yīng)鏈中的內(nèi)部人員，如員工、合作伙伴或承包商，可能因疏忽、利益誘惑或惡意行為導(dǎo)致數(shù)據(jù)泄露。這種內(nèi)部威脅往往難以防范，且一旦發(fā)生，后果嚴(yán)重。

此前，有汽車(chē)博主發(fā)布了關(guān)于小米汽車(chē)首款車(chē)型小米MS11車(chē)型的設(shè)計(jì)圖片，展示了小米汽車(chē)保險(xiǎn)杠、小米MS11的裝飾件，以及小米與北汽模塑相關(guān)合作細(xì)節(jié)等，引發(fā)網(wǎng)絡(luò)關(guān)注。

后來(lái)根據(jù)通報(bào)顯示，事件的起因是合作方北京某模塑科技有限公司因對(duì)其下游供應(yīng)商管理不善，泄露了小米汽車(chē)前后保險(xiǎn)杠某個(gè)版本的過(guò)程稿。小米集團(tuán)公關(guān)部總經(jīng)理王化隨即回應(yīng)稱(chēng)，的確是二級(jí)供應(yīng)商保密的設(shè)計(jì)文件泄密。

現(xiàn)如今，大部分企業(yè)與第三方供應(yīng)商合作時(shí)會(huì)簽署相關(guān)保密協(xié)議并制定賠償條例，但是在巨大利益下，還是會(huì)有部分人員鋌而走險(xiǎn)，使用合作方的技術(shù)機(jī)密獲利。

保密協(xié)議等“君子之約”并不能在復(fù)雜的商業(yè)環(huán)境里保護(hù)企業(yè)核心數(shù)據(jù)安全，采取必要的數(shù)據(jù)防護(hù)手段仍然是企業(yè)的首要選擇。在與供應(yīng)鏈上下游第三方企業(yè)對(duì)接時(shí)，對(duì)重要文件數(shù)據(jù)進(jìn)行加密保護(hù)，實(shí)時(shí)管控?cái)?shù)據(jù)全生命周期流轉(zhuǎn)動(dòng)向，確保數(shù)據(jù)在企業(yè)的外部環(huán)境下還能得到防護(hù)與監(jiān)管。

?數(shù)據(jù)加密、防止外泄

對(duì)每一份技術(shù)資料、圖紙、合同都進(jìn)行加密保護(hù)，合作方只有在安裝了加密客戶(hù)端的終端才可以打開(kāi)相關(guān)加密文檔，確保數(shù)據(jù)在外部也可控安全。

?外發(fā)審批、多層多級(jí)

對(duì)外發(fā)數(shù)據(jù)進(jìn)行嚴(yán)格管控，經(jīng)過(guò)相關(guān)領(lǐng)導(dǎo)審批后內(nèi)部文件才能擺脫密文狀態(tài)，進(jìn)行查看和編輯。防止內(nèi)部員工進(jìn)行有意或無(wú)意的機(jī)密文件發(fā)送，避免數(shù)據(jù)外泄。

?水印標(biāo)簽、震懾追溯

文件及屏幕水印可有效震懾拍照或截屏泄密行為，對(duì)外提供的文件打上水印，記錄操作人員信息，在安全事故發(fā)生后第一時(shí)間鎖定泄密源頭，啟動(dòng)應(yīng)急措施。

?權(quán)限控制、下載加密

合作過(guò)程中，若是需要給合作方開(kāi)放服務(wù)器數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限，安全網(wǎng)關(guān)可以幫助規(guī)范項(xiàng)目人員訪(fǎng)問(wèn)系統(tǒng)服務(wù)器的權(quán)限。如擔(dān)心數(shù)據(jù)文檔被下載泄密，落地加密功能可以對(duì)從服務(wù)器中下載到本地的文檔進(jìn)行自動(dòng)加密，使得系統(tǒng)中被下載的數(shù)據(jù)始終處于加密狀態(tài)。