近日，廣西北海公安網安部門發現，北海某公司網站存在嚴重數據泄露問題，約22萬個人信息數據已掛在暗網售賣。

經查，涉案公司主要提供網上咨詢服務，在日常工作中收集了個人和企業等大量公民信息，但公司存放數據的服務器安全防護措施不足，僅能對SQL注入、XSS、WebShell等簡單攻擊手段進行防御，存在被多個境外IP攻擊入侵的情況。

該公司未采取數據加密等有效的技術保護措施，不能確保其收集的個人信息安全，以及不能防止信息泄露、毀損、丟失，在發現公司發生個人信息泄露的情況下，未及時告知用戶和主動向公安機關報告。

對此，廣西北海公安機關根據《中華人民共和國網絡安全法》第四十二條的規定，對公司及直接負責人員分別作出罰款20萬元、3萬元的行政處罰。

在企業發展過程中，如何安全合規使用敏感數據，保護數據是每個企業必須關注的重點。如果是未加保護的重要數據，一旦泄露會對企業機構造成的影響以及損失是無法計算和挽回的。

那么，企業機構該如何保護數據安全？

1、對敏感且涉密數據進行加密授權保護

企業機構應加密傳輸和儲存敏感數據，對數據加密可有效防控數據泄露，密文數據對黑客來說不具有利用價值。此外，對數據應有授權訪問保護，無關人員無法打開瀏覽內容，更無法拷貝數據。

2、部署數據防泄漏系統（DLP）

政企等涉密機構，可部署數據防泄漏系統，可有效避免內部人員無意或惡意的數據外泄。數據防泄漏系統會對內容進行識別，通過識別可擴展到對數據泄露的防控，可定位敏感數據位置、監控敏感數據的使用情況以及采取阻斷和審批加密的策略，防護敏感數據外泄。

3、數據管控

數據管控策略可有效避免“內鬼”將機密外泄。常見的管控技術有：訪問權限管控、水印溯源管控、離職管控、加密管控、上傳管控等。

同時，針對業務、財務、技術、研發、運維人員定期進行安全意識培訓，以及培養良好的數據使用習慣，避免數據外泄。

企業級用戶應與專業的安全機構開展合作，制定符合企業需求的網絡安全措施和策略，才能有效避免系統漏洞、軟件漏洞和人員管理缺失等安全問題，導致的敏感數據泄露。