| 10月24日消息,上海市公安局經(jīng)偵總隊(duì)偵破兩起特大個(gè)人信息外泄案,抓獲犯罪嫌疑人50余名,查獲各類公民個(gè)人信息近2億條。其中,泄露數(shù)十萬(wàn)嬰兒信息的竟然是上海市衛(wèi)生局?jǐn)?shù)據(jù)庫(kù)的第三方維護(hù)人員。據(jù)介紹,犯罪嫌疑人張某是幫助衛(wèi)生局維護(hù)數(shù)據(jù)庫(kù)的某公司技術(shù)部經(jīng)理,他每個(gè)月都從家里訪問(wèn)衛(wèi)生局新生兒數(shù)據(jù)庫(kù),從中下載私密信息。
除了上海之外,全國(guó)各地的公安機(jī)關(guān)都在最近開展了打擊侵害個(gè)人隱私的專項(xiàng)行動(dòng),抓獲相關(guān)犯罪嫌疑人1700余人。據(jù)此項(xiàng)專案的副指揮長(zhǎng)、公安部刑偵局副局長(zhǎng)廖進(jìn)榮介紹,被買賣的公民個(gè)人信息包括金融、電信、工商等領(lǐng)域,這表明當(dāng)前侵犯公民個(gè)人隱私的犯罪非常嚴(yán)重。根據(jù)媒體報(bào)道,這些信息很大一部分跟前面提到的上海案例一樣,是由維護(hù)核心數(shù)據(jù)庫(kù)的第三方外包人員、臨時(shí)工等獲取并買賣的。
第三方運(yùn)維三大安全風(fēng)險(xiǎn)解析
瑞星安全專家指出,目前無(wú)紙化辦公、電子政務(wù)等技術(shù)逐步成熟,相關(guān)系統(tǒng)的用戶隱私數(shù)據(jù)越來(lái)越多地被應(yīng)用起來(lái),導(dǎo)致用戶隱私外泄的危險(xiǎn)性加大,各類企業(yè)、單位、組織的核心數(shù)據(jù)庫(kù)都處于危險(xiǎn)之中。而在傳統(tǒng)運(yùn)維模式下的第三方外包人員,在對(duì)數(shù)據(jù)庫(kù)進(jìn)行維護(hù)時(shí),企業(yè)面臨著以下風(fēng)險(xiǎn):
l 事前:身份不明確,授權(quán)不清晰
目前的IT事務(wù)基本采用是項(xiàng)目制,很少有單位有自己的IT運(yùn)維團(tuán)隊(duì)。從上海市衛(wèi)生局的案例可以看出,即使一線大城市的重要單位,其運(yùn)維也是外包給第三方公司完成。
作為第三方運(yùn)維公司,其人員的身份、授權(quán)往往會(huì)存在多種問(wèn)題,比如運(yùn)維人員可以使用什么等級(jí)的賬號(hào)、擁有什么權(quán)限、權(quán)限維系的時(shí)間多長(zhǎng),如果事先未曾明確規(guī)定,就將帶來(lái)運(yùn)維安全問(wèn)題。
l 事中:操作不透明、過(guò)程不可控
媒體報(bào)道,上海此次特大公民信息外泄事件中,第三方公司人員在一年多的時(shí)間內(nèi),每個(gè)月兩次非法登錄核心數(shù)據(jù)庫(kù),竊取公民隱私信息而未被發(fā)現(xiàn)。在如此長(zhǎng)的時(shí)間內(nèi),問(wèn)題沒(méi)有得到暴露,這本身就說(shuō)明第三方公司在進(jìn)行IT運(yùn)維操作的時(shí)候操作不透明、過(guò)程不可控。而類似的案例在業(yè)界其實(shí)并不鮮見。在此情況下,用戶隱私信息的安全,就只能依靠第三方運(yùn)維人員的操守與職業(yè)道德。很顯然,這種缺乏監(jiān)管的IT運(yùn)維操作,是帶有巨大風(fēng)險(xiǎn)的。
l 事后:結(jié)果無(wú)法審計(jì)、責(zé)任不明確
由于IT運(yùn)維是個(gè)缺乏客觀性標(biāo)準(zhǔn)的行業(yè),有很多彈性和偶然性因素存在,內(nèi)部系統(tǒng)及人員管理極其混亂,像以致上海衛(wèi)生局案件事發(fā)之后,相關(guān)部門不能及時(shí)有效地對(duì)失職人員追責(zé),事后還需投入大量的人力物力進(jìn)行調(diào)查。
企業(yè)IT安全運(yùn)維面臨四大挑戰(zhàn)
瑞星安全專家指出,企業(yè)IT運(yùn)維項(xiàng)目中通常存在四大安全風(fēng)險(xiǎn):
1、賬號(hào)管理混亂。在某些系統(tǒng)中,員工之間為方便公務(wù)操作會(huì)通用若干共用賬號(hào),而這些為了一時(shí)方便的賬號(hào)可能給整個(gè)系統(tǒng)的安全帶來(lái)困擾。當(dāng)系統(tǒng)出現(xiàn)問(wèn)題時(shí),由于賬號(hào)共用,可能導(dǎo)致無(wú)法確定責(zé)任人,即使可以確定責(zé)任人也需要較長(zhǎng)的時(shí)間進(jìn)行技術(shù)定位。
2、權(quán)限管理混亂。由于一些系統(tǒng)不支持細(xì)致的賬號(hào)分級(jí),導(dǎo)致員工對(duì)于系統(tǒng)的管理權(quán)限十分混亂,這就有可能造成局域網(wǎng)內(nèi)重大的安全隱患。一旦系統(tǒng)中毒,黑客便可以運(yùn)用系統(tǒng)管理的高級(jí)權(quán)限在局域網(wǎng)內(nèi)操作,造成更大的威脅。
3、設(shè)備日志管理混亂。由于系統(tǒng)內(nèi)軟硬件設(shè)備的品牌差異、功能參差不齊,導(dǎo)致各設(shè)備之間不能有效協(xié)作,引發(fā)設(shè)備日志管理混亂,不能為管理者提供有價(jià)值的信息。
4、傳統(tǒng)安全審計(jì)問(wèn)題。傳統(tǒng)安全審計(jì)對(duì)于加密協(xié)議的支持較少,無(wú)法審計(jì)網(wǎng)內(nèi)的加密內(nèi)容,也無(wú)法實(shí)現(xiàn)基于IP的安全審計(jì),這就給整個(gè)系統(tǒng)審計(jì)造成盲區(qū),無(wú)法發(fā)揮應(yīng)有的作用。
小結(jié)——安全運(yùn)維需“軟硬”兼?zhèn)?/STRONG>
近年來(lái),用戶隱私泄露已成為嚴(yán)重困擾互聯(lián)網(wǎng)企業(yè)及網(wǎng)上政務(wù)運(yùn)維機(jī)構(gòu)的問(wèn)題。瑞星安全專家指出,從“軟件”上來(lái)說(shuō),企業(yè)想要將信息安全方面的風(fēng)險(xiǎn)降至最低,就需要一套分工明確,責(zé)任清晰的信息安全管理制度;而從“硬件”上來(lái)說(shuō),企業(yè)不但需要能夠?qū)\(yùn)維工作進(jìn)行監(jiān)管的信息安全產(chǎn)品,同時(shí)也需要能夠進(jìn)行細(xì)顆粒度授權(quán),對(duì)運(yùn)維人員操作權(quán)限進(jìn)行明確分工、限制的設(shè)施。
目前,針對(duì)這兩種需求,瑞星研發(fā)的內(nèi)網(wǎng)審計(jì)系統(tǒng)及上網(wǎng)行為管理系統(tǒng)能夠全面的監(jiān)控全網(wǎng)用戶狀態(tài),而針對(duì)在企業(yè)網(wǎng)絡(luò)擁有較高操作權(quán)限的運(yùn)維人員,瑞星研發(fā)的運(yùn)維管理審計(jì)系統(tǒng)可進(jìn)行細(xì)顆粒度的訪問(wèn)授權(quán)、操作記錄控制、審計(jì)和回放,實(shí)現(xiàn)運(yùn)維過(guò)程的事前預(yù)防、事中控制和事后審計(jì),提升企業(yè)網(wǎng)絡(luò)運(yùn)維安全和管理水平。 |
.png){kind=small}
浙公網(wǎng)安備 33038102330897號(hào)