根据12月25日,乌云-漏洞报告平台发布报告称,大量12306用户数据在互联网传播,包括身份证及电话等敏感信息泄漏。乌云在报告中透露,目前泄露的数据包括用户登录账号、密码、信用卡信息、购买记录、常用联系人的电话及身份证号,泄露数据已在传播售卖。
而此次12306的这个漏洞可能导致所有注册了12306用户的帐号、明文密码、身份证、邮箱等敏感信息泄漏,而泄漏的途径目前还无法确认是12306官方还是第三方抢票平台信息泄漏。
乌云漏洞截图报告
此后,中国铁路客户服务中心迅速在其官方网站发布公告称,针对互联网上出现“12306网站用户信息在互联网上疯传”的信息泄漏事件,经12306官方网站认真核查,此泄露信息全部含有用户的明文密码。
根据官方核实,此次泄漏信息全部含有用户明文密码,究其根本原因在于数据库以明文形式保存用户信息,没有使用任何内部防泄密手段保障用户信息安全,给了黑客可乘之机,一旦攻破外部防火墙进入服务器后,就可以畅通无阻的获取信息数据,导致如此严重的信息泄漏。
华途软件信息安全专家分析,很多传统行业,比如政府、医疗、航空、保险等等,都采用信息化开发业务。但是,这些企业的安全意识转变并没有跟上,企业的安全管理不足,很容易被攻击,造成信息泄露,但若使用一些常见的加密软件对这些敏感数据进行设置密码,虽可以起到一定的防泄密效果,但每次保密前要设置密码,查看时也要输入解密码,费时费力不说,最大的弊病是这一切都要靠人为主动地、有意识地去保密。假如面对的是本企业的内部人员(他本身平时就能经常接触这些资料的),他可以在完全不主动加密这些文件的情况下,带走该企业核心资料。面对这样的加密技术,对于预防企业内部人员的泄密,又有多大作用呢?
由此不难看出,企业在注重外部防护的同时,更应重视企业内部体系安全管理,对机密数据和访问权限选择专业的防泄密技术来实施保护,这样既能防范黑客对数据的恶意攻击,又能对内部员工进行安全的有效防控。而华途软件的“数据防泄漏(DLP)”产品就是为有效解决信息泄漏而定向研发的,从根源上具备“内外兼防”全新信息安全防护产品。该产品可以对各种类型的数据进行自动加密,并生成新的加密数据。授权访问者可以正常访问加密文档,非授权用户则无法打开加密文档,从而从根本上杜绝了企业机密因外部窃密或内部泄密而带来的各类损失。
以华途软件“文档安全管理系统H7”(http://www.huatusoft.com/prolist-9-11.html)为例,它采用了动态文档透明加密技术、虚拟化技术、身份认证技术及硬件绑定技术,结合多维密级和权限管理,针对内部员工和部门差异化及自主管理需求,对重要数据进行精细化细粒度权限管理,有效的防止了未经授权非法使用及越权使用者对文档所造成的信息泄漏,使信息安全得到重要保障。通过华途文档安全管理系统H7,可以全面实现内部防泄漏管控部署,配合防火墙与杀毒软件等传统安全措施,实现信息安全的“内外兼防,滴水不漏”。
随着全社会对信息安全的日益关注,信息安全刻不容缓,华途软件作为“中国数据防泄漏(DLP)领导品牌”,连续八年关注中国网络信息安全演进过程,随着新技术、新漏洞的出现和信息安全趋势变化,第一时间调整产品满足企事业单位的信息安全需求,把消极防御防范转变为主动防治结合,努力拓宽研究应用的深度和广度,对症下药、标本兼治,构建安全稳定的网络环境。