從上海特大個人信息外泄案看安全運維
日前,上海市公安局經偵總隊偵破兩起特大個人信息外泄案,抓獲犯罪嫌疑人50余名,查獲各類公民個人信息近2億條。其中,泄露數十萬嬰兒信息的竟然是上海市衛生局數據庫的第三方維護人員。據介紹,犯罪嫌疑人張某是幫助衛生局維護數據庫的某公司技術部經理,他每個月都從家里訪問衛生局新生兒數據庫,從中下載私密信息。
除了上海之外,全國各地的公安機關都在最近開展了打擊侵害個人隱私的專項行動,抓獲相關犯罪嫌疑人1700余人。據此項專案的副指揮長、公安部刑偵局副局長廖進榮介紹,被買賣的公民個人信息包括金融、電信、工商等領域,這表明當前侵犯公民個人隱私的犯罪非常嚴重。根據媒體報道,這些信息很大一部分跟前面提到的上海案例一樣,是由維護核心數據庫的第三方外包人員、臨時工等獲取并買賣的。
第三方運維三大安全風險解析
目前無紙化辦公、電子政務等技術逐步成熟,相關系統的用戶隱私數據越來越多地被應用起來,導致用戶隱私外泄的危險性加大,各類企業、單位、組織的核心數據庫都處于危險之中。而在傳統運維模式下的第三方外包人員,在對數據庫進行維護時,企業面臨著以下風險:
事前:身份不明確,授權不清晰。
目前的IT事務基本采用是項目制,很少有單位有自己的IT運維團隊。從上海市衛生局的案例可以看出,即使一線大城市的重要單位,其運維也是外包給第三方公司完成。
作為第三方運維公司,其人員的身份、授權往往會存在多種問題,比如運維人員可以使用什么等級的賬號、擁有什么權限、權限維系的時間多長,如果事先未曾明確規定,就將帶來運維安全問題。
事中:操作不透明、過程不可控
媒體報道,上海此次特大公民信息外泄事件中,第三方公司人員在一年多的時間內,每個月兩次非法登錄核心數據庫,竊取公民隱私信息而未被發現。在如此長的時間內,問題沒有得到暴露,這本身就說明第三方公司在進行IT運維操作的時候操作不透明、過程不可控。而類似的案例在業界其實并不鮮見。在此情況下,用戶隱私信息安全,就只能依靠第三方運維人員的操守與職業道德。很顯然,這種缺乏監管的IT運維操作,是帶有巨大風險的。
事后:結果無法審計、責任不明確
由于IT運維是個缺乏客觀性標準的行業,有很多彈性和偶然性因素存在,內部系統及人員管理極其混亂,像以致上海衛生局案件事發之后,相關部門不能及時有效地對失職人員追責,事后還需投入大量的人力物力進行調查。
企業IT安全運維面臨四大挑戰企業IT運維項目中通常存在四大安全風險:
1、賬號管理混亂。在某些系統中,員工之間為方便公務操作會通用若干共用賬號,而這些為了一時方便的賬號可能給整個系統的安全帶來困擾。當系統出現問題時,由于賬號共用,可能導致無法確定責任人,即使可以確定責任人也需要較長的時間進行技術定位。
2、權限管理混亂。由于一些系統不支持細致的賬號分級,導致員工對于系統的管理權限十分混亂,這就有可能造成局域網內重大的安全隱患。一旦系統中毒,黑客便可以運用系統管理的高級權限在局域網內操作,造成更大的威脅。
3、設備日志管理混亂。由于系統內軟硬件設備的品牌差異、功能參差不齊,導致各設備之間不能有效協作,引發設備日志管理混亂,不能為管理者提供有價值的信息。
4、傳統安全審計問題。傳統安全審計對于加密協議的支持較少,無法審計網內的加密內容,也無法實現基于IP的安全審計,這就給整個系統審計造成盲區,無法發揮應有的作用。
小結——安全運維需“軟硬”兼備
近年來,用戶隱私泄露已成為嚴重困擾互聯網企業及網上政務運維機構的問題。從“軟件”上來說,企業想要將信息安全方面的風險降至最低,就需要一套分工明確,責任清晰的信息安全管理制度;而從“硬件”上來說,企業不但需要能夠對運維工作進行監管的信息安全產品,同時也需要能夠進行細顆粒度授權,對運維人員操作權限進行明確分工、限制的設施。
責任編輯:黎陽錦
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡