信息泄露事件虽然是个老生常谈的问题,但是我们不能不去关注。信息不像钱财一样可以物化,但也别把信息不当财富。这种事情发生在谁的身上都会忐忑不安。因此,本年度的信息泄露重大事件,依然可以入选2007年让人失望的IT应用事件。
先说国内的。今年夏天,上海某高校数千名学生的电子学籍管理系统的账号和密码外泄。不要小看这些账号。通过这些账号,人们不仅可查看在校学生的学籍、个人和家庭信息,还可以对部分权限大的账号中的学生个人信息进行修改。
而且,在这个事件发生之前,上海的另一所高校发生了因学生个人信息泄露导致不少家长遭遇诈骗的事件。当时不少家长都接到"学校老师"的电话,以学生在学校出了意外等理由,让家长寄钱到某个账户上。因为对方了解自己的电话号码、工作单位,并能正确地说出自己孩子所在的院系和班级,有些家长放松了警惕,情急之中按照对方的要求寄钱过去。后来才知道上当受骗,造成了不小的经济损失。
如果说国内的这一信息泄露还局限在一个城市,那么英国的信息泄露事件差点带来一场政治危机。2007年10月,英国税务及海关总署工作人员应英国审计办公室要求,寄送了两张数据光盘。办事员没有按规定将包裹挂号注册就随意寄出。
最后,这两张光盘最终没有抵达目的地。光盘信息涉及所有儿童福利补贴受益人,包括2500万人、725万个家庭。这些记录包含受益人及其子女的姓名、住址、出生日期、儿童补贴受助号码、国家社会保险号码以及相关银行或抵押银行账户信息。两张光盘,在英国政坛把一些政府高官折腾得够戗:税务及海关总署署长格雷因此不得不引咎辞职,英国财政大臣达林公开道歉,布朗首相被议员问责。
在信息安全领域,虽然是道高一尺,魔高一丈,黑客、病毒的攻击防不胜防。但是说到底,企事业单位自身对信息安全的防范程度不够,是不可推卸的责任。
首先,很多单位的信息安全管理制度存在漏洞。网络信息安全包含三方面因素:网络技术、安全策略和人,其中前两方面可以通过部署先进的网络安全软硬件来实现,而人的因素却是难以确定的。在日常信息化工作中,密码被盗、数据丢失、系统瘫痪往往都是由于使用者的信息安全意识淡薄而造成的。
例如:计算机不设置密码,不及时安装补丁程序,随意打开来路不明的电子邮件,下载安装不明软件等。"三分技术七分管理",只有依靠严格的管理制度对人加以限制,才可能最大限度地降低人为因素造成的信息安全。
一些企事业单位对于防止信息泄露的举措是防君子不防小人,相关解决方案不严密,实施可能会导致信息泄露事件发生的隐患。一个完善的解决方案要能禁止移动电脑和存储设备随意接入内网;能够控制目录的使用权限;能够分级、控制用户的上网行为;能够防范内网设备非法外联;能够点对点地控制异常客户端的运行;能够实时发现客户端设备的系统漏洞并自动分发补丁;能够在全网制订统一的安全策略,并强制网络用户的执行;能够及时发现网络中占用带宽最大的客户端;可以对原有客户端应用软件进行统一监控、管理,能够快速有效地定位网络,及时、准确地切断安全事件的发生点和网络。解决方案严密了,事故发生的可能性自然就会降低。
此外,如果信息泄露事件真的发生了,就应该启动应急备案。遗憾的是,不少企事业单位往往在这个事情上丢分严重。信息和数据一旦丢失,就无从着手。如果平时能够构架功能强大的统一网络安全报警处置平台进行安全事件响应和事件查询,如果平时能够定期进行备份,把日常管理和应急管理结合起来,那么即使信息安全事故发生了,也能把损失减到最小。
据报道,上海某高校在丢失学生账号后学校很快宣布立即进行系统升级。该系统升级后,要想登录电子学籍系统,除了需要账号和密码,还需要学校发给学生或老师本人的身份认证。
亡羊补牢,为时未晚。但是,在事情发生之前,难道就可以完全把这些安全措施束之高阁吗?
有人的地方就有江湖,有信息的地方就有泄露的可能性。信息防泄露,将依然是2008年的重头任务之一。
