安全策略:立法与技术双管齐下防泄密

近日媒体大量报道了如“黄埔雅苑业主个人信息网上遭不明泄露”、“广州番禺8000业主信息遭泄露”、“深圳千万富豪名单惊现网络”等一连串的信息泄密事件。资料之详细,传播之广泛,影响之深远,前所未及。

随着互联网在中国的飞速普及与发展,一方面给人们的工作和生活带来了便利,另一方面却也带来了大量数据安全隐患,特别是掌握大量个人信息的政府、金融、通信、交通、医疗等社会公共服务机构,一旦信息保护力度不到位,大量个人信息落入不法分子之手,后果将不堪设想。针对个人信息权益维护,既要有一整套完善的法律体系作保障,又要从技术上加强防护措施。立法与技术双管齐下、协调发展才能从根本上保障个人信息权益不被侵犯。在这方面,国外先例值得借鉴。

对于维护个人信息权益,国际上已经有50多个国家和地区建立了个人信息保护相关法规和标准。以德国为代表,通过成立统一的立法模式,制定综合性的个人信息保护法,来规范个人信息的搜集、处理和利用,并设置一个综合监管部门集中监管,适用于公共部门和非公共部门。又如:美国通过了《隐私权法》、《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《社会安全号码保护法》等一系列法律加强对个人信息的保护,对触犯信息保护法的制裁也相当严厉。比如,冒用他人身份申请信用卡,可罚款1000美元和最高5年的监禁。

一些国家对个人信息权益保护在法律制度上有一套比较完善的体系,在防止数据泄密的技术方面也有许多常用的产品,如 Symantec DLP 、McaFee DLP,但这些产品引进到国内都面临语言、法律规则,用户需求等本地化适应问题。

在我国现行的法律体系中,2009年10月“两高”司法解释新增了“出售、非法提供公民个人信息罪”的新罪名,《民法通则》、《身份证法》、《护照法》、《物业管理法》、《电信条例》等法律法规也有保护公民个人隐私、个人信息的规定,但这些规定零散地分布在各部法律法规之中,相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体,因而操作性差,对侵犯个人信息的违法行为打击不力;今年“两会”期间,张丽杰等14名代表提出了《关于加快深圳市个人信息保护立法的议案》;另据《深圳特区报》报道,深圳市也将立法保护个人信息,对社会公众人物和儿童的信息保护还将有特别规定,法规起草初稿将在2011年3月底前完成。显而易见,相对于国外某些较完善的法律保障体系而言,我国保护个人信息权益的法律建设还处在刚刚起步的阶段,至今仍没有专门的法律条文落实,这也是导致目前某些泄密案件明明已经造成不良后果,证据也十分充分,但维权却无法真正落实到位的尴尬现状的原因之一。

虽然,国内保护个人信息的法律制定还处在刚刚起步的阶段,但在技术方面已经有比较成熟的产品推出。像深圳虹安公司自主研发的DLP防泄密软件系列,就是专门针对企业数据安全问题提供的一整套泄露防护解决方案。据业内人士透露,目前国内的泄密案件在技术上主要可从以下两个方面来分析:一方面企业内部电脑没有任何数据防护措施,机密文档没有进行有效加密防护,给某些不法分子任意拷走机密信息的可趁之机。另一方面,很可能是由于Web泄露造成。通常政府、金融、通信、房地产、保险公司等企业或部门信息系统的浏览器端含有大量的用户信息,如果监管不严或者防护措施滞后,很容易导致大量用户信息被各种非法手段散发或泄露于互联网,被第三方获取。

针对机密文档加密保护问题,虹安研发的DLP文档安全管理系统利用动态透明加密、访问控制和审计跟踪等技术,对机密文档、重要业务数据等敏感信息的存储、传输和使用过程实施安全保护。精确控制敏感信息的使用权限和范围,最大限度防止机密文档泄露。针对Web泄露问题,虹安专门研发了网页数据防泄露系统“BDP”(Browser Data Protect),通过对被保护服务器强制安装浏览器的内核扩展插件,过滤拦截及修改浏览器的显示内容,以及工具栏、菜单栏等非法的命令操作,防止浏览器敏感数据泄露,自身的防护能力和抗攻击性得到大大地加强。对掌管大量个人信息的相关企业、部门来说,只有加强内部数据管理,规范使用流程,在技术上将重要的文档资料加密处理,加固浏览器数据防护等,才能将数据泄密防范于未然。

综上,只有通过完善的个人信息法律制度结合成熟的DLP(Data Loss Prevention,数据泄露防护)技术,从法律与技术管理两方面入手,才是治理泄密事件的有效途径。