2011年8月,23名涉嫌倒賣公民個人信息人員在北京被判處最高三年有期徒刑,當中作為泄密源頭的多名人員為移動、電信、聯通三大運營商員工;
2011年11月,國內最大的技術社區CSDN爆出600萬注冊用戶信息泄露事件,包括明文存儲的密碼,成為國內互聯網領域爆發的最大規模的用戶信息泄露事件。隨后,包括天涯、YY語音、京東商城等多家互聯網與電子商務企業爆出用戶信息泄露丑聞;
2012年3月,央視315晚會以“保護個人信息”為主題,曝光了招商銀行信用卡中心員工違規出售2318份客戶信息丑聞,事件最終導致經濟損失300多萬,同時多家銀行被曝涉事其中;
2012年4月,在有關部門統一部署的打擊非法販賣公民個人信息的行動中,河北保定一工商員工因非法出售公民信息被捕,累計非法獲利5萬余元,由此曝光了政府機構與事業單位中廣泛存在的內部人員販賣信息的行為。同時,國內首部“個人信息保護條例”正在征求意見中。一場到目前為止最為嚴格的個人信息保護風暴正在展開…
一個個觸目驚心的案例,揭示了目前國內公民個人信息保護形勢之嚴峻,而且,形勢正因為互聯網的迅速發展而變得更加復雜。個人信息被通過各種渠道收集、販賣和非法應用,更多普通人因此遭遇或大或小的經濟損失,遭受更多的垃圾短信、郵件和推銷電話的騷擾,遭遇詐騙甚至更嚴重的犯罪威脅。公民個人信息泄露已經實實在在的與每個公民有關。
另一方面,對于持有大量公民個人信息的組織來說,信息泄露的代價也越來越無法承受。在個人信息保護機制健全的美國、歐盟、日本等地,有嚴格的成文法規對隱私保護做出詳細規定,保護所持有的個人信息是企業必須承擔的責任。在這種前提下,一旦遭遇泄密事故,組織往往面臨監管機構的天價罰單和用戶的索賠訴訟,例如去年索尼PSN網絡泄密帶來的直接損失達1.7億美元,后續間接損失更可能以數十億計。此外,一旦遭遇大規模的泄密事故,對于該組織的信譽打擊往往是毀滅性的,即使最高負責人以公開道歉等高規格措施補救也于事無補。
具體到我國,作為大量公民個人信息的持有者,政府機構、金融、電信運營商、社交網絡運營商等組織有義務去保護所持有的信息。隨著形勢的日趨嚴峻,監管部門對于個人信息保護的力度也在加強。媒體的不斷曝光,促使相關部門在近期出臺了《個人信息保護指南》,代表了監管層面對于個人信息保護的態度轉變。那么,個人信息保護現實不盡如人意的根源何在?前路又在何方?作為國內知名的內網安全與信息泄露防護廠商,溢信科技(www.ip-guard.net )近期專門就這一課題進行了研究,希望能給為相關領域的安全人員提供一些有益的建議。
還原信息泄密的典型鏈條
隨著2012年4月以來公安部統一部署的個人信息保護行動的展開,眾多買賣公民個人信息事件浮出水面,結合溢信科技多年來的信息泄露防護經驗,我們可以總結出一條清晰的由內部人員開始的泄密鏈條。
1) 信息源,也是最終的受害者
政府機構和事業單位所持有的基礎數據,如人口統計和工商登記數據等,金融、電信運營商、醫療、互聯網服務提供商等企業所擁有的海量數據,都是重要的數據來源。可以說,每個個體所提交的任何真實數據信息,最后可能都會以一條記錄的形式存在于某個數據庫中。
2) 賣家,泄密的開始;
根據溢信科技的經驗,數據泄密的源頭,大致可以分為三類:
內部人員的主動泄露,以典型的信息買賣為主,以及人情請托等;
惡意的信息竊取,如黑客攻擊所導致的數據庫被盜;
意外的數據丟失,如存儲有數據的筆記本、U盤、移動硬盤等設備的丟失;
根據公安部統一行動以來的報道,第一類類情況更為普遍。內部人員因其天然擁有的合法權限而具有數據買賣的便利,而國內愈加猖獗的黑客盜取數據庫行為也讓人不可小視,2011年所爆發的CSDN、天涯用戶注冊信息泄露,便可見一斑。
3) 中間人,數據掮客;
零散的信息買賣行為可能只能造成小范圍的影響,而數據中間商的存在,則使信息買賣行為出現了“產業化”的趨向。以此次重點打擊行動為例,大量的數據買賣平臺、從業人員以及打著交流名頭的買賣群的存在,都表明信息買賣行為已經職業化。
4) 買家,最終的受益者。
現代營銷學的基本觀點,即是“發現和滿足用戶的需求”。反映在信息買賣犯罪上,也正因為有各種各樣的需求的存在,才催生了這個“產業”的亂象。買家出于多種“需求”購買信息,有“精準廣告”、“調查取證”這樣的灰色地帶,也有赤裸裸的詐騙等犯罪行為。需求的差異化和精細化,也決定了任何一個持有差異化的人口統計信息的組織,都有可能有信息泄露的潛在風險。
從各種或合法或非法或游走在灰色地帶的需求出發,數據掮客作為中間人牽線搭橋,買進賣出,內部人員疏于防范甚至監守自盜,黑客行為愈發猖狂,凡此種種,最終組成了一個完整的信息買賣犯罪鏈條,讓幾乎每一個人,都暴露在了光天化日之下。
為什么是內部人?
從已經曝光的多起案件中,不難看出,大量的信息泄露事故均牽涉到內部人的主動泄密,這也與溢信科技多年來在內網安全和數據保密領域的從業經驗相互印證。從溢信科技得到的數據看,與國外不同,目前國內70%的泄密事件都是源于內部泄密。那么,內部泄密為什么有如此之高的比例?又為什么這么容易發生呢?我們不妨以一起近期典型的信息泄密事故為例進行分析。
2012年4月20日,河北保定工商行政管理局信息中心的一名工作人員,因為倒賣工商注冊信息被捕,據查,該人員自2010年起,利用檔案保管和查詢的職務之便,以5-20元每條的價格不等,先后在內部系統中查詢后,通過QQ、郵件等渠道,販賣工商注冊信息獲利達5萬余元。
從這起事件中,我們可以發現典型的內部人員泄密事件的特點。
1) 內部人有更大的權限合法接觸信息
國家機關、金融機構、社交網絡服務商等信息持有者,出于安全法規、IT規章以及競爭等需要,一般會對存儲的用戶信息輔以一定的保護手段,類似身份認證、訪問授權等技術已經大大降低了外部人員惡意入侵帶來的安全風險。但對于內部工作人員,往往出于工作的便利,或安全意識不足等原因而疏于管理。
2) 對內部人員的信息使用行為缺乏足夠的權限控制與審計
哪些用戶能夠使用哪些信息,如何使用,是否有違規的情況發生,這些問題,在缺乏信息安全意識的行業往往找不到答案。涉案的工商人員,擁有極大的信息使用權限,卻對這種權限缺乏必要的制約和審計機制,以至于能夠在長達兩年的時間內持續犯案。
3) 缺乏必要的技術手段防范眾多泄密渠道
由于信息的數字化,信息所存在的載體,由以前的紙質文件,轉變為了硬盤、光盤等存儲介質,一張光盤往往已經能夠存儲以前幾間倉庫才能存放的檔案信息。容量更大,載體更小,給信息保密帶來了巨大的挑戰。另一方面,數字化的信息,可以通過更多的渠道流通。案例中工作人員使用的QQ、郵件,只是信息傳播渠道的一個縮影,加上類似的網絡共享、隨處可見的U盤,信息保密真正面臨著“漏洞百出”的窘境。
亮劍個人信息保護,還需完整信息泄露防護體系
溢信科技認為,目前個人信息保護的形勢雖然很嚴峻,但信息的持有方還是有一些技術和管理手段可以降低這些安全風險。根據我們十余年來服務客戶的經驗,結合我們所推出的IP-guard信息泄露防護三重保護解決方案,有以下一些可行的建議。
首先,持有信息的組織,有必要對自身IT系統中所持有的信息的實際情況作通盤的了解。
信息安全管理者必須問自己這樣一些問題:
我的系統中都有哪些類型的信息?重要程度如何?
這些信息存儲在哪里?
哪些人可以接觸到這些信息?目前有違規的使用行為么?
信息使用和傳遞的過程中有哪些可能的風險?
這些問題是作為下一步決定采用哪些信息安全策略的基礎,也是ISO27001等信息安全標準所規定的必要流程。為了回答這些問題,IT管理者有必要在企業內部署專用的審計工具,如IP-guard豐富的審計功能,能夠實現對于網絡、外設、終端等多種渠道的信息使用行為的追蹤和審計。無論是郵件、Email,還是網絡共享、U盤復制,都是IP-guard“知己知彼”的信息泄露防護思路的體現。
其次,IT管理者有必要對網絡、終端、外設等主要的信息泄露風險點部署安全防護策略。
如果把信息比喻成水,那么傳遞信息的各種渠道,就相當于水管,如果不加控制,信息可以流向任何地方。因此,有必要為各種“水管”加上“閥門”。
針對信息系統中常見的即時通訊、Email、移動存儲、網絡共享等常見應用,IP-guard都有對應的權限控制機制,預防或阻止機密信息經由這些渠道隨意泄露。而對于時下正流行的智能手機、平板電腦燈移動設備,也必須有必要的防范措施。
最后,對于非常重要的信息,有必要部署更加嚴格的保護措施對信息本身進行加固。
反映在目前較為流行的技術上,即是透明加密。通過采用可靠的高強度密碼技術,透明加密模塊可以將重要的文檔和信息進行強制加密,達到即使外流也無法使用的效果。應用此類加密技術之后,對于網絡、終端、外設等可能的泄密渠道安全防護力度也會大大加強。
此外,針對部分以非文檔形式存在的信息,以及PLM\CRM\數據庫等系統,還可以采用加密安全網關、網絡準入控制系統等,在涉密網絡節點之前進行安全防護。
通過全方位的審計發現泄密風險點所在,再利用靈活的權限控制機制,對網絡、終端、外設等多個泄密風險點予以靈活的權限控制,必要時則利用透明加密等強度更高的技術,提升整體的防護力度,這就是IP-guard倡導的信息泄露防護三重保護體系的主體思想。同時,“發現問題-解決問題-檢驗改進”這一閉環的流程,也是ISO27001等信息安全管理體系的精華所在。
后記:
個人信息保護是一個復雜的難題,解決這一問題,需要國家層面的法律規章的支持,讓買賣個人信息的犯罪行為有所忌憚;需要完善的信息泄露防護體系提供參考,同時也需要可靠的技術手段將防泄密體系落地實施。最重要的,也需要IT管理者甚至是企業的管理者提高信息安全意識,“三分技術七分管理”的信息安全法則,在個人信息保護領域也同樣適用!