近日，一则“华为员工利用公司系统Bug越权访问机密数据被判刑”的消息在网络上热议。

华为员工易某调离岗位后未清理ERP登陆信息，利用bug越权访问，将所获得数据透露给华为供应商、上市公司金信诺获利，最终被判犯非法获取计算机信息系统数据罪，判处有期徒刑一年，并处罚金人民币二万元，并将非法所得2万余元予以没收，上缴国库。

案件详细情况

2010年12月，易某从华为公司线缆物控部调任后，未按公司的要求将ERP账户线缆类编码物料价格的查询权限清理，至2017年底，易某违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。

2017年以后，易某发现ERP系统中的POL采购小程序存在bug漏洞，能通过特定操作绕过权限控制查看系统数据，便以此方式多次获取线缆物料的价格信息，并将非法获取的数据以短信、电话、发电子邮件的方式泄露给深圳金信诺。

经调查，2016年12月至2018年2月28日期间，易某多次通过公司邮箱将华为多个供应商共1183个线缆类编码物料的采购价格发送给金信诺公司，从而帮助金信诺公司在华为公司的招标项目中提高中标率。

大型企业采购一般要走正规招标流程，投标价对于参与投标企业来说是极为重要的商业机密，如果被竞争对手获取，则可能处于非常被动的不利位置。

在大数据时代下，企业中越权访问机密数据并牟利的行为时有发生，一些员工利用工作之便将掌握的客户信息或商业秘密泄露给他人，或出售内部访问权限给他人非法使用。

类似的内部人员作案，近几年国内已出现多次。据《财经》杂志报道显示，有80%的数据泄露是企业内鬼所为，黑客和其他方式仅占20%。我们研究发现，在诸多信息买卖案件中经常能看见“内鬼”参与的身影，很多高管为此感到惊讶，技术上的投入防住了黑客却防不住“人心”。

那么，内部泄密的渠道都有哪些？

电子邮箱

利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB接口，却没有办法避免员工通过电子邮件的窃取信息。

离职员工

一般情况下，一个为企业服务半年以上的员工，离职后会和公司现有员工保持频繁的联系，并且对公司的资料和状况表现出极度的热情，或者从之前在职时期过往的资料中，找寻下载相关可用数据。

员工失误

由于员工疏忽大意将重要资料发送错误的对象，或操作失误，造成的数据泄露，这些带来的损失可能更甚于网络攻击。

如何有效防止商业秘密泄露？

1、通过制度、法律条款进行商业机密的保护。

通过与员工签订严格的企业商业机密保护合同，在企业内部建立商业机密文件使用的各种管理举措，可以对员工试图窃取商业机密的行为进行有效的威慑，可以在一定程度上有效防止商业机密的泄露；同时一旦商业机密泄露，也使得企业可以通过法律条款挽回损失，从而更进一步实现了商业机密的保护。

2、通过技术手段，对企业员工可能泄露的商业机密行为进行有效的控制，从而可以完全实现商业机密的全方位保护。这主要是通过对上述的企业泄密渠道，进行针对性地杜绝和防御。