个人信息保护是一个复杂的难题,解决这一问题,需要国家层面的法律规章的支持,让买卖个人信息的犯罪行为有所忌惮;需要完善的信息泄露防护体系提供参考,同时也需要可靠的技术手段将防泄密体系落地实施。
2011年8月,23名涉嫌倒卖公民个人信息人员在北京被判处最高三年有期徒刑,当中作为泄密源头的多名人员为移动、电信、联通三大运营商员工;
2011年11月,国内最大的技术社区CSDN爆出600万注册用户信息泄露事件,包括明文存储的密码,成为国内互联网领域爆发的最大规模的用户信息泄露事件。随后,包括天涯、YY语音、京东商城等多家互联网与电子商务企业爆出用户信息泄露丑闻;
2012年3月,央视315晚会以“保护个人信息”为主题,曝光了招商银行信用卡中心员工违规出售2318份客户信息丑闻,事件最终导致经济损失300多万,同时多家银行被曝涉事其中;
2012年4月,在有关部门统一部署的打击非法贩卖公民个人信息的行动中,河北保定一工商员工因非法出售公民信息被捕,累计非法获利5万余元,由此曝光了政府机构与事业单位中广泛存在的内部人员贩卖信息的行为。同时,国内首部“个人信息保护条例”正在征求意见中。一场到目前为止最为严格的个人信息保护风暴正在展开…
一个个触目惊心的案例,揭示了目前国内公民个人信息保护形势之严峻,而且,形势正因为互联网的迅速发展而变得更加复杂。个人信息被通过各种渠道收集、贩卖和非法应用,更多普通人因此遭遇或大或小的经济损失,遭受更多的垃圾短信、邮件和推销电话的骚扰,遭遇诈骗甚至更严重的犯罪威胁。公民个人信息泄露已经实实在在的与每个公民有关。
另一方面,对于持有大量公民个人信息的组织来说,信息泄露的代价也越来越无法承受。在个人信息保护机制健全的美国、欧盟、日本等地,有严格的成文法规对隐私保护做出详细规定,保护所持有的个人信息是企业必须承担的责任。在这种前提下,一旦遭遇泄密事故,组织往往面临监管机构的天价罚单和用户的索赔诉讼,例如去年索尼PSN网络泄密带来的直接损失达1.7亿美元,后续间接损失更可能以数十亿计。此外,一旦遭遇大规模的泄密事故,对于该组织的信誉打击往往是毁灭性的,即使最高负责人以公开道歉等高规格措施补救也于事无补。
具体到我国,作为大量公民个人信息的持有者,政府机构、金融、电信运营商、社交网络运营商等组织有义务去保护所持有的信息。随着形势的日趋严峻,监管部门对于个人信息保护的力度也在加强。媒体的不断曝光,促使相关部门在近期出台了《个人信息保护指南》,代表了监管层面对于个人信息保护的态度转变。那么,个人信息保护现实不尽如人意的根源何在?前路又在何方?作为国内知名的内网安全与信息泄露防护厂商,溢信科技(www.ip-guard.net )近期专门就这一课题进行了研究,希望能给为相关领域的安全人员提供一些有益的建议。(详情请了解IP-guard个人信息泄露防护专题 )
还原信息泄密的典型链条
随着2012年4月以来公安部统一部署的个人信息保护行动的展开,众多买卖公民个人信息事件浮出水面,结合溢信科技多年来的信息泄露防护经验,我们可以总结出一条清晰的由内部人员开始的泄密链条。
1) 信息源,也是最终的受害者
政府机构和事业单位所持有的基础数据,如人口统计和工商登记数据等,金融、电信运营商、医疗、互联网服务提供商等企业所拥有的海量数据,都是重要的数据来源。可以说,每个个体所提交的任何真实数据信息,最后可能都会以一条记录的形式存在于某个数据库中。
2) 卖家,泄密的开始;
根据溢信科技的经验,数据泄密的源头,大致可以分为三类:
· 内部人员的主动泄露,以典型的信息买卖为主,以及人情请托等;
· 恶意的信息窃取,如黑客攻击所导致的数据库被盗;
· 意外的数据丢失,如存储有数据的笔记本、U盘、移动硬盘等设备的丢失;
根据公安部统一行动以来的报道,第一类类情况更为普遍。内部人员因其天然拥有的合法权限而具有数据买卖的便利,而国内愈加猖獗的黑客盗取数据库行为也让人不可小视,2011年所爆发的CSDN、天涯用户注册信息泄露,便可见一斑。
3) 中间人,数据掮客;
零散的信息买卖行为可能只能造成小范围的影响,而数据中间商的存在,则使信息买卖行为出现了“产业化”的趋向。以此次重点打击行动为例,大量的数据买卖平台、从业人员以及打着交流名头的买卖群的存在,都表明信息买卖行为已经职业化。
4) 买家,最终的受益者。
现代营销学的基本观点,即是“发现和满足用户的需求”。反映在信息买卖犯罪上,也正因为有各种各样的需求的存在,才催生了这个“产业”的乱象。买家出于多种“需求”购买信息,有“精准广告”、“调查取证”这样的灰色地带,也有赤裸裸的诈骗等犯罪行为。需求的差异化和精细化,也决定了任何一个持有差异化的人口统计信息的组织,都有可能有信息泄露的潜在风险。
从各种或合法或非法或游走在灰色地带的需求出发,数据掮客作为中间人牵线搭桥,买进卖出,内部人员疏于防范甚至监守自盗,黑客行为愈发猖狂,凡此种种,最终组成了一个完整的信息买卖犯罪链条,让几乎每一个人,都暴露在了光天化日之下。
为什么是内部人?
从已经曝光的多起案件中,不难看出,大量的信息泄露事故均牵涉到内部人的主动泄密,这也与溢信科技多年来在内网安全和数据保密领域的从业经验相互印证。从溢信科技得到的数据看,与国外不同,目前国内70%的泄密事件都是源于内部泄密。那么,内部泄密为什么有如此之高的比例?又为什么这么容易发生呢? 我们不妨以一起近期典型的信息泄密事故为例进行分析。
2012年4月20日,河北保定工商行政管理局信息中心的一名工作人员,因为倒卖工商注册信息被捕,据查,该人员自2010年起,利用档案保管和查询的职务之便,以5-20元每条的价格不等,先后在内部系统中查询后,通过QQ、邮件等渠道,贩卖工商注册信息获利达5万余元。
从这起事件中,我们可以发现典型的内部人员泄密事件的特点。
1) 内部人有更大的权限合法接触信息
国家机关、金融机构、社交网络服务商等信息持有者,出于安全法规、IT规章以及竞争等需要,一般会对存储的用户信息辅以一定的保护手段,类似身份认证、访问授权等技术已经大大降低了外部人员恶意入侵带来的安全风险。但对于内部工作人员,往往出于工作的便利,或安全意识不足等原因而疏于管理。
2) 对内部人员的信息使用行为缺乏足够的权限控制与审计
哪些用户能够使用哪些信息,如何使用,是否有违规的情况发生,这些问题,在缺乏信息安全意识的行业往往找不到答案。涉案的工商人员,拥有极大的信息使用权限,却对这种权限缺乏必要的制约和审计机制,以至于能够在长达两年的时间内持续犯案。
3) 缺乏必要的技术手段防范众多泄密渠道
由于信息的数字化,信息所存在的载体,由以前的纸质文件,转变为了硬盘、光盘等存储介质,一张光盘往往已经能够存储以前几间仓库才能存放的档案信息。容量更大,载体更小,给信息保密带来了巨大的挑战。另一方面,数字化的信息,可以通过更多的渠道流通。案例中工作人员使用的QQ、邮件,只是信息传播渠道的一个缩影,加上类似的网络共享、随处可见的U盘,信息保密真正面临着“漏洞百出”的窘境。
亮剑个人信息保护,还需完整信息泄露防护体系
溢信科技认为,目前个人信息保护的形势虽然很严峻,但信息的持有方还是有一些技术和管理手段可以降低这些安全风险。根据我们十余年来服务客户的经验,结合我们所推出的IP-guard信息泄露防护三重保护解决方案,有以下一些可行的建议。
首先,持有信息的组织,有必要对自身IT系统中所持有的信息的实际情况作通盘的了解。
信息安全管理者必须问自己这样一些问题:
· 我的系统中都有哪些类型的信息?重要程度如何?
· 这些信息存储在哪里?
· 哪些人可以接触到这些信息?目前有违规的使用行为么?
· 信息使用和传递的过程中有哪些可能的风险?
这些问题是作为下一步决定采用哪些信息安全策略的基础,也是ISO27001等信息安全标准所规定的必要流程。为了回答这些问题,IT管理者有必要在企业内部署专用的审计工具,如IP-guard丰富的审计功能,能够实现对于网络、外设、终端等多种渠道的信息使用行为的追踪和审计。无论是邮件、 Email,还是网络共享、U盘复制,都是IP-guard“知己知彼”的信息泄露防护思路的体现。
其次,IT管理者有必要对网络、终端、外设等主要的信息泄露风险点部署安全防护策略。
如果把信息比喻成水,那么传递信息的各种渠道,就相当于水管,如果不加控制,信息可以流向任何地方。因此,有必要为各种“水管”加上“阀门”。
针对信息系统中常见的即时通讯、Email、移动存储、网络共享等常见应用,IP-guard都有对应的权限控制机制,预防或阻止机密信息经由这些渠道随意泄露。而对于时下正流行的智能手机、平板电脑灯移动设备,也必须有必要的防范措施。
最后,对于非常重要的信息,有必要部署更加严格的保护措施对信息本身进行加固。
反映在目前较为流行的技术上,即是透明加密。通过采用可靠的高强度密码技术,透明加密模块可以将重要的文档和信息进行强制加密,达到即使外流也无法使用的效果。应用此类加密技术之后,对于网络、终端、外设等可能的泄密渠道安全防护力度也会大大加强。
此外,针对部分以非文档形式存在的信息,以及PLMCRM数据库等系统,还可以采用加密安全网关、网络准入控制系统等,在涉密网络节点之前进行安全防护。
通过全方位的审计发现泄密风险点所在,再利用灵活的权限控制机制,对网络、终端、外设等多个泄密风险点予以灵活的权限控制,必要时则利用透明加密等强度更高的技术,提升整体的防护力度,这就是IP-guard倡导的信息泄露防护三重保护体系的主体思想。同时,“发现问题-解决问题-检验改进”这一闭环的流程,也是ISO27001等信息安全管理体系的精华所在。
后记:
个人信息保护是一个复杂的难题,解决这一问题,需要国家层面的法律规章的支持,让买卖个人信息的犯罪行为有所忌惮;需要完善的信息泄露防护体系提供参考,同时也需要可靠的技术手段将防泄密体系落地实施。最重要的,也需要IT管理者甚至是企业的管理者提高信息安全意识,“三分技术七分管理”的信息安全法则,在个人信息保护领域也同样适用!