2011年8月��,23名涉嫌倒賣(mài)公民個(gè)人信息人員在北京被判處最高三年有期徒刑�����,當(dāng)中作為泄密源頭的多名人員為移動(dòng)���、電信、聯(lián)通三大運(yùn)營(yíng)商員工;
2011年11月����,國(guó)內(nèi)最大的技術(shù)社區(qū)CSDN爆出600萬(wàn)注冊(cè)用戶(hù)信息泄露事件,包括明文存儲(chǔ)的密碼����,成為國(guó)內(nèi)互聯(lián)網(wǎng)領(lǐng)域爆發(fā)的最大規(guī)模的用戶(hù)信息泄露事件。隨后�����,包括天涯�����、YY語(yǔ)音�、京東商城等多家互聯(lián)網(wǎng)與電子商務(wù)企業(yè)爆出用戶(hù)信息泄露丑聞;
2012年3月,央視315晚會(huì)以“保護(hù)個(gè)人信息”為主題,曝光了招商銀行信用卡中心員工違規(guī)出售2318份客戶(hù)信息丑聞���,事件最終導(dǎo)致經(jīng)濟(jì)損失300多萬(wàn)���,同時(shí)多家銀行被曝涉事其中;
2012年4月,在有關(guān)部門(mén)統(tǒng)一部署的打擊非法販賣(mài)公民個(gè)人信息的行動(dòng)中����,河北保定一工商員工因非法出售公民信息被捕,累計(jì)非法獲利5萬(wàn)余元����,由此曝光了政府機(jī)構(gòu)與事業(yè)單位中廣泛存在的內(nèi)部人員販賣(mài)信息的行為。同時(shí)��,國(guó)內(nèi)首部“個(gè)人信息保護(hù)條例”正在征求意見(jiàn)中�����。一場(chǎng)到目前為止最為嚴(yán)格的個(gè)人信息保護(hù)風(fēng)暴正在展開(kāi)…
一個(gè)個(gè)觸目驚心的案例���,揭示了目前國(guó)內(nèi)公民個(gè)人信息保護(hù)形勢(shì)之嚴(yán)峻���,而且,形勢(shì)正因?yàn)榛ヂ?lián)網(wǎng)的迅速發(fā)展而變得更加復(fù)雜。個(gè)人信息被通過(guò)各種渠道收集�、販賣(mài)和非法應(yīng)用,更多普通人因此遭遇或大或小的經(jīng)濟(jì)損失�����,遭受更多的垃圾短信���、郵件和推銷(xiāo)電話(huà)的騷擾,遭遇詐騙甚至更嚴(yán)重的犯罪威脅�����。公民個(gè)人信息泄露已經(jīng)實(shí)實(shí)在在的與每個(gè)公民有關(guān)����。
另一方面,對(duì)于持有大量公民個(gè)人信息的組織來(lái)說(shuō)�����,信息泄露的代價(jià)也越來(lái)越無(wú)法承受�����。在個(gè)人信息保護(hù)機(jī)制健全的美國(guó)、歐盟���、日本等地����,有嚴(yán)格的成文法規(guī)對(duì)隱私保護(hù)做出詳細(xì)規(guī)定����,保護(hù)所持有的個(gè)人信息是企業(yè)必須承擔(dān)的責(zé)任。在這種前提下�����,一旦遭遇泄密事故�����,組織往往面臨監(jiān)管機(jī)構(gòu)的天價(jià)罰單和用戶(hù)的索賠訴訟�����,例如去年索尼PSN網(wǎng)絡(luò)泄密帶來(lái)的直接損失達(dá)1.7億美元����,后續(xù)間接損失更可能以數(shù)十億計(jì)���。此外,一旦遭遇大規(guī)模的泄密事故�,對(duì)于該組織的信譽(yù)打擊往往是毀滅性的,即使最高負(fù)責(zé)人以公開(kāi)道歉等高規(guī)格措施補(bǔ)救也于事無(wú)補(bǔ)��。
具體到我國(guó)���,作為大量公民個(gè)人信息的持有者,政府機(jī)構(gòu)�����、金融��、電信運(yùn)營(yíng)商�、社交網(wǎng)絡(luò)運(yùn)營(yíng)商等組織有義務(wù)去保護(hù)所持有的信息。隨著形勢(shì)的日趨嚴(yán)峻�����,監(jiān)管部門(mén)對(duì)于個(gè)人信息保護(hù)的力度也在加強(qiáng)��。媒體的不斷曝光���,促使相關(guān)部門(mén)在近期出臺(tái)了《個(gè)人信息保護(hù)指南》���,代表了監(jiān)管層面對(duì)于個(gè)人信息保護(hù)的態(tài)度轉(zhuǎn)變�����。那么�,個(gè)人信息保護(hù)現(xiàn)實(shí)不盡如人意的根源何在?前路又在何方?作為國(guó)內(nèi)知名的內(nèi)網(wǎng)安全與信息泄露防護(hù)廠(chǎng)商��,溢信科技(www.ip-guard.net )近期專(zhuān)門(mén)就這一課題進(jìn)行了研究���,希望能給為相關(guān)領(lǐng)域的安全人員提供一些有益的建議����。
還原信息泄密的典型鏈條
隨著2012年4月以來(lái)公安部統(tǒng)一部署的個(gè)人信息保護(hù)行動(dòng)的展開(kāi)���,眾多買(mǎi)賣(mài)公民個(gè)人信息事件浮出水面�,結(jié)合溢信科技多年來(lái)的信息泄露防護(hù)經(jīng)驗(yàn)���,我們可以總結(jié)出一條清晰的由內(nèi)部人員開(kāi)始的泄密鏈條�����。
1) 信息源��,也是最終的受害者
政府機(jī)構(gòu)和事業(yè)單位所持有的基礎(chǔ)數(shù)據(jù)����,如人口統(tǒng)計(jì)和工商登記數(shù)據(jù)等,金融���、電信運(yùn)營(yíng)商���、醫(yī)療、互聯(lián)網(wǎng)服務(wù)提供商等企業(yè)所擁有的海量數(shù)據(jù)��,都是重要的數(shù)據(jù)來(lái)源��??梢哉f(shuō)�����,每個(gè)個(gè)體所提交的任何真實(shí)數(shù)據(jù)信息����,最后可能都會(huì)以一條記錄的形式存在于某個(gè)數(shù)據(jù)庫(kù)中�。
2) 賣(mài)家����,泄密的開(kāi)始;
根據(jù)溢信科技的經(jīng)驗(yàn),數(shù)據(jù)泄密的源頭�����,大致可以分為三類(lèi):
內(nèi)部人員的主動(dòng)泄露�����,以典型的信息買(mǎi)賣(mài)為主����,以及人情請(qǐng)托等;
惡意的信息竊取,如黑客攻擊所導(dǎo)致的數(shù)據(jù)庫(kù)被盜;
意外的數(shù)據(jù)丟失����,如存儲(chǔ)有數(shù)據(jù)的筆記本、U盤(pán)�、移動(dòng)硬盤(pán)等設(shè)備的丟失;
根據(jù)公安部統(tǒng)一行動(dòng)以來(lái)的報(bào)道,第一類(lèi)類(lèi)情況更為普遍��。內(nèi)部人員因其天然擁有的合法權(quán)限而具有數(shù)據(jù)買(mǎi)賣(mài)的便利�,而國(guó)內(nèi)愈加猖獗的黑客盜取數(shù)據(jù)庫(kù)行為也讓人不可小視��,2011年所爆發(fā)的CSDN���、天涯用戶(hù)注冊(cè)信息泄露,便可見(jiàn)一斑�����。
3) 中間人����,數(shù)據(jù)掮客;
零散的信息買(mǎi)賣(mài)行為可能只能造成小范圍的影響,而數(shù)據(jù)中間商的存在��,則使信息買(mǎi)賣(mài)行為出現(xiàn)了“產(chǎn)業(yè)化”的趨向���。以此次重點(diǎn)打擊行動(dòng)為例,大量的數(shù)據(jù)買(mǎi)賣(mài)平臺(tái)�����、從業(yè)人員以及打著交流名頭的買(mǎi)賣(mài)群的存在�,都表明信息買(mǎi)賣(mài)行為已經(jīng)職業(yè)化。
4) 買(mǎi)家����,最終的受益者�。
現(xiàn)代營(yíng)銷(xiāo)學(xué)的基本觀(guān)點(diǎn)����,即是“發(fā)現(xiàn)和滿(mǎn)足用戶(hù)的需求”。反映在信息買(mǎi)賣(mài)犯罪上�����,也正因?yàn)橛懈鞣N各樣的需求的存在�,才催生了這個(gè)“產(chǎn)業(yè)”的亂象。買(mǎi)家出于多種“需求”購(gòu)買(mǎi)信息�,有“精準(zhǔn)廣告”、“調(diào)查取證”這樣的灰色地帶�,也有赤裸裸的詐騙等犯罪行為。需求的差異化和精細(xì)化�����,也決定了任何一個(gè)持有差異化的人口統(tǒng)計(jì)信息的組織����,都有可能有信息泄露的潛在風(fēng)險(xiǎn)。
從各種或合法或非法或游走在灰色地帶的需求出發(fā),數(shù)據(jù)掮客作為中間人牽線(xiàn)搭橋��,買(mǎi)進(jìn)賣(mài)出��,內(nèi)部人員疏于防范甚至監(jiān)守自盜���,黑客行為愈發(fā)猖狂��,凡此種種����,最終組成了一個(gè)完整的信息買(mǎi)賣(mài)犯罪鏈條�����,讓幾乎每一個(gè)人�����,都暴露在了光天化日之下�。
為什么是內(nèi)部人?
從已經(jīng)曝光的多起案件中,不難看出��,大量的信息泄露事故均牽涉到內(nèi)部人的主動(dòng)泄密�,這也與溢信科技多年來(lái)在內(nèi)網(wǎng)安全和數(shù)據(jù)保密領(lǐng)域的從業(yè)經(jīng)驗(yàn)相互印證。從溢信科技得到的數(shù)據(jù)看�,與國(guó)外不同,目前國(guó)內(nèi)70%的泄密事件都是源于內(nèi)部泄密����。那么,內(nèi)部泄密為什么有如此之高的比例?又為什么這么容易發(fā)生呢?我們不妨以一起近期典型的信息泄密事故為例進(jìn)行分析�����。
2012年4月20日�,河北保定工商行政管理局信息中心的一名工作人員,因?yàn)榈官u(mài)工商注冊(cè)信息被捕�����,據(jù)查�,該人員自2010年起,利用檔案保管和查詢(xún)的職務(wù)之便����,以5-20元每條的價(jià)格不等,先后在內(nèi)部系統(tǒng)中查詢(xún)后����,通過(guò)QQ、郵件等渠道,販賣(mài)工商注冊(cè)信息獲利達(dá)5萬(wàn)余元����。
從這起事件中,我們可以發(fā)現(xiàn)典型的內(nèi)部人員泄密事件的特點(diǎn)���。
1) 內(nèi)部人有更大的權(quán)限合法接觸信息
國(guó)家機(jī)關(guān)�、金融機(jī)構(gòu)����、社交網(wǎng)絡(luò)服務(wù)商等信息持有者,出于安全法規(guī)�、IT規(guī)章以及競(jìng)爭(zhēng)等需要,一般會(huì)對(duì)存儲(chǔ)的用戶(hù)信息輔以一定的保護(hù)手段�,類(lèi)似身份認(rèn)證、訪(fǎng)問(wèn)授權(quán)等技術(shù)已經(jīng)大大降低了外部人員惡意入侵帶來(lái)的安全風(fēng)險(xiǎn)�。但對(duì)于內(nèi)部工作人員,往往出于工作的便利���,或安全意識(shí)不足等原因而疏于管理��。
2) 對(duì)內(nèi)部人員的信息使用行為缺乏足夠的權(quán)限控制與審計(jì)
哪些用戶(hù)能夠使用哪些信息��,如何使用�,是否有違規(guī)的情況發(fā)生,這些問(wèn)題�,在缺乏信息安全意識(shí)的行業(yè)往往找不到答案��。涉案的工商人員���,擁有極大的信息使用權(quán)限����,卻對(duì)這種權(quán)限缺乏必要的制約和審計(jì)機(jī)制�,以至于能夠在長(zhǎng)達(dá)兩年的時(shí)間內(nèi)持續(xù)犯案。
3) 缺乏必要的技術(shù)手段防范眾多泄密渠道
由于信息的數(shù)字化�,信息所存在的載體,由以前的紙質(zhì)文件��,轉(zhuǎn)變?yōu)榱擞脖P(pán)����、光盤(pán)等存儲(chǔ)介質(zhì),一張光盤(pán)往往已經(jīng)能夠存儲(chǔ)以前幾間倉(cāng)庫(kù)才能存放的檔案信息��。容量更大�����,載體更小,給信息保密帶來(lái)了巨大的挑戰(zhàn)���。另一方面��,數(shù)字化的信息���,可以通過(guò)更多的渠道流通。案例中工作人員使用的QQ�����、郵件��,只是信息傳播渠道的一個(gè)縮影��,加上類(lèi)似的網(wǎng)絡(luò)共享�、隨處可見(jiàn)的U盤(pán),信息保密真正面臨著“漏洞百出”的窘境�。
亮劍個(gè)人信息保護(hù),還需完整信息泄露防護(hù)體系
溢信科技認(rèn)為��,目前個(gè)人信息保護(hù)的形勢(shì)雖然很?chē)?yán)峻����,但信息的持有方還是有一些技術(shù)和管理手段可以降低這些安全風(fēng)險(xiǎn)���。根據(jù)我們十余年來(lái)服務(wù)客戶(hù)的經(jīng)驗(yàn),結(jié)合我們所推出的IP-guard信息泄露防護(hù)三重保護(hù)解決方案��,有以下一些可行的建議���。
首先,持有信息的組織�����,有必要對(duì)自身IT系統(tǒng)中所持有的信息的實(shí)際情況作通盤(pán)的了解�。
信息安全管理者必須問(wèn)自己這樣一些問(wèn)題:
我的系統(tǒng)中都有哪些類(lèi)型的信息?重要程度如何?
這些信息存儲(chǔ)在哪里?
哪些人可以接觸到這些信息?目前有違規(guī)的使用行為么?
信息使用和傳遞的過(guò)程中有哪些可能的風(fēng)險(xiǎn)?
這些問(wèn)題是作為下一步?jīng)Q定采用哪些信息安全策略的基礎(chǔ),也是ISO27001等信息安全標(biāo)準(zhǔn)所規(guī)定的必要流程��。為了回答這些問(wèn)題����,IT管理者有必要在企業(yè)內(nèi)部署專(zhuān)用的審計(jì)工具,如IP-guard豐富的審計(jì)功能�,能夠?qū)崿F(xiàn)對(duì)于網(wǎng)絡(luò)、外設(shè)��、終端等多種渠道的信息使用行為的追蹤和審計(jì)���。無(wú)論是郵件�、Email,還是網(wǎng)絡(luò)共享���、U盤(pán)復(fù)制�����,都是IP-guard“知己知彼”的信息泄露防護(hù)思路的體現(xiàn)��。
其次����,IT管理者有必要對(duì)網(wǎng)絡(luò)�、終端、外設(shè)等主要的信息泄露風(fēng)險(xiǎn)點(diǎn)部署安全防護(hù)策略��。
如果把信息比喻成水��,那么傳遞信息的各種渠道���,就相當(dāng)于水管��,如果不加控制���,信息可以流向任何地方�����。因此�,有必要為各種“水管”加上“閥門(mén)”����。
針對(duì)信息系統(tǒng)中常見(jiàn)的即時(shí)通訊��、Email�����、移動(dòng)存儲(chǔ)��、網(wǎng)絡(luò)共享等常見(jiàn)應(yīng)用��,IP-guard都有對(duì)應(yīng)的權(quán)限控制機(jī)制��,預(yù)防或阻止機(jī)密信息經(jīng)由這些渠道隨意泄露�����。而對(duì)于時(shí)下正流行的智能手機(jī)、平板電腦燈移動(dòng)設(shè)備��,也必須有必要的防范措施����。
最后,對(duì)于非常重要的信息�,有必要部署更加嚴(yán)格的保護(hù)措施對(duì)信息本身進(jìn)行加固。
反映在目前較為流行的技術(shù)上�,即是透明加密。通過(guò)采用可靠的高強(qiáng)度密碼技術(shù)��,透明加密模塊可以將重要的文檔和信息進(jìn)行強(qiáng)制加密���,達(dá)到即使外流也無(wú)法使用的效果��。應(yīng)用此類(lèi)加密技術(shù)之后�����,對(duì)于網(wǎng)絡(luò)�����、終端����、外設(shè)等可能的泄密渠道安全防護(hù)力度也會(huì)大大加強(qiáng)。
此外���,針對(duì)部分以非文檔形式存在的信息���,以及PLM\CRM\數(shù)據(jù)庫(kù)等系統(tǒng),還可以采用加密安全網(wǎng)關(guān)���、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)等����,在涉密網(wǎng)絡(luò)節(jié)點(diǎn)之前進(jìn)行安全防護(hù)�。
通過(guò)全方位的審計(jì)發(fā)現(xiàn)泄密風(fēng)險(xiǎn)點(diǎn)所在���,再利用靈活的權(quán)限控制機(jī)制�,對(duì)網(wǎng)絡(luò)����、終端、外設(shè)等多個(gè)泄密風(fēng)險(xiǎn)點(diǎn)予以靈活的權(quán)限控制,必要時(shí)則利用透明加密等強(qiáng)度更高的技術(shù)����,提升整體的防護(hù)力度,這就是IP-guard倡導(dǎo)的信息泄露防護(hù)三重保護(hù)體系的主體思想����。同時(shí),“發(fā)現(xiàn)問(wèn)題-解決問(wèn)題-檢驗(yàn)改進(jìn)”這一閉環(huán)的流程���,也是ISO27001等信息安全管理體系的精華所在�����。
后記:
個(gè)人信息保護(hù)是一個(gè)復(fù)雜的難題��,解決這一問(wèn)題�����,需要國(guó)家層面的法律規(guī)章的支持����,讓買(mǎi)賣(mài)個(gè)人信息的犯罪行為有所忌憚;需要完善的信息泄露防護(hù)體系提供參考���,同時(shí)也需要可靠的技術(shù)手段將防泄密體系落地實(shí)施���。最重要的�,也需要IT管理者甚至是企業(yè)的管理者提高信息安全意識(shí)�����,“三分技術(shù)七分管理”的信息安全法則����,在個(gè)人信息保護(hù)領(lǐng)域也同樣適用!