信息安全危機(jī)四伏 保障工作迫在眉睫

責(zé)任編輯:editor008

2014-08-26 09:42:29

摘自:通信信息報(bào)

在當(dāng)前的互聯(lián)網(wǎng)領(lǐng)域,隨著安全形勢的日漸嚴(yán)峻,個(gè)人信息的泄露已經(jīng)成為一種常態(tài),嚴(yán)重威脅到社會秩序和公眾利益,做好信息保障工作已是迫在眉睫。

在當(dāng)前的互聯(lián)網(wǎng)領(lǐng)域,隨著安全形勢的日漸嚴(yán)峻,個(gè)人信息的泄露已經(jīng)成為一種常態(tài),嚴(yán)重威脅到社會秩序和公眾利益,做好信息保障工作已是迫在眉睫。

近日,央視報(bào)道,由于存在安全漏洞,快遞公司官網(wǎng)遭不法分子侵入,20秒即被竊取信息,用戶信息猶如“裸奔”。事實(shí)上,關(guān)于企業(yè)信息安全泄露的事件屢見報(bào)端。2014年7月,第三方漏洞報(bào)告平臺“烏云”再次曝出鐵路12306手機(jī)購票軟件存在漏洞,黃牛利用該漏洞甚至一個(gè)人就可以將全車廂的票買下來;同年3月,攜程網(wǎng)安全支付日志可被下載,大量用戶銀行卡信息被泄露……信息安全的嚴(yán)峻形勢已不容忽視,需要產(chǎn)業(yè)鏈的各方通力合作,共同治理防范。

快遞行業(yè)信息遭“裸奔”

互聯(lián)網(wǎng)時(shí)代的到來,給我們的生活帶來了翻天覆地的變化,但其雙刃劍效應(yīng)也逐漸凸顯,網(wǎng)絡(luò)信息安全隱患悄然滲入。

央視《每周質(zhì)量報(bào)告》近日報(bào)道,今年3月份,杭州市一快遞公司的負(fù)責(zé)人發(fā)現(xiàn)有人在網(wǎng)上公開買賣他們公司快遞單上的用戶信息。隨后經(jīng)警方調(diào)查發(fā)現(xiàn),是一名在校學(xué)生在做網(wǎng)絡(luò)安全測試時(shí)發(fā)現(xiàn)快遞公司或者是其他公司的一些安全漏洞,從中提取個(gè)人信息并進(jìn)行了網(wǎng)絡(luò)售賣。據(jù)了解,有些快遞公司網(wǎng)站的數(shù)據(jù)庫存在一些比較低級的漏洞,比如弱口令漏洞、上傳漏洞等等,犯罪嫌疑人成功通過漏洞進(jìn)入網(wǎng)站后臺后,可以通過上傳后門文件,獲取到數(shù)據(jù)庫的訪問權(quán)限,并獲取網(wǎng)站有效信息。截至案發(fā),犯罪嫌疑人共獲取了1400萬條個(gè)人信息,僅售賣1000余元。

無獨(dú)有偶,鐵路12306手機(jī)APP最新曝光一個(gè)安全漏洞,可被“黃牛”利用大量刷票。專業(yè)人士表示,這個(gè)漏洞屬于手機(jī)端so庫算法泄露漏洞,該算法泄露后,黃牛黨可以利用電腦來模擬多部手機(jī)多帳號進(jìn)行購票操作,甚至于一個(gè)人就可以無限制買一車廂的票。

事實(shí)上,企業(yè)官網(wǎng)安全漏洞頻發(fā),已被不良分子利用,成為竊取用戶個(gè)人信息的主要渠道。該現(xiàn)象猖獗,令人震驚。根據(jù)360網(wǎng)站安全檢測平臺發(fā)布的《2014上半年中國網(wǎng)站安全簡報(bào)》顯示,今年上半年國內(nèi)共發(fā)現(xiàn)705萬個(gè)網(wǎng)站漏洞!網(wǎng)站有漏洞,意味著黑客可以輕易入侵網(wǎng)站后臺,服務(wù)器權(quán)限,下載竊取網(wǎng)站數(shù)據(jù)庫,導(dǎo)致用戶在這些網(wǎng)站留存的個(gè)人信息慘遭泄露。而一旦用戶個(gè)人信息被泄露,輕則給用戶或其家人朋友帶來不必要的麻煩,遭受到無休止的電話騷擾;重則使用戶遭受嚴(yán)重的經(jīng)濟(jì)損失。

內(nèi)部監(jiān)管不善是信息泄露主因

美國最大的無線通信提供商Verizon近期發(fā)布了《2013年數(shù)據(jù)泄露事故調(diào)查報(bào)告(DBIR)》,報(bào)告顯示:幾乎70%的數(shù)據(jù)泄露事故都是由第三方檢測出的,而這恰恰反映了許多企業(yè)長期疏忽數(shù)據(jù)泄露檢測的真實(shí)現(xiàn)象。

以快遞公司為例,官網(wǎng)上的用戶信息容易遭竊取,主要是快遞公司疏于對網(wǎng)站的管理。奇虎360網(wǎng)站安全總監(jiān)趙武曾表示,快遞行業(yè)數(shù)據(jù)安全防護(hù)水平普遍較差,體現(xiàn)在網(wǎng)站漏洞多、修復(fù)不及時(shí)、運(yùn)維人員安全意識薄弱(使用弱口令)等方面。而造成這種問題的主要原因是,大多數(shù)快遞公司缺乏信息安全意識,沒有預(yù)留足夠的資金組建運(yùn)營網(wǎng)絡(luò)安全團(tuán)隊(duì),缺乏“防火墻”的系統(tǒng),黑客可以來去自如。

除了落后的安全技術(shù)配置,不規(guī)范的內(nèi)部管理制度,使得快遞行業(yè)成為近幾年用戶信息泄露的重災(zāi)區(qū)。在快遞公司,快遞單作為快遞信息的載體,一般至少有四聯(lián):發(fā)貨人聯(lián)、收貨人聯(lián)、結(jié)賬聯(lián)、簽收聯(lián)。據(jù)了解,訂單配送完返回的面單(顯示用戶信息)會在營業(yè)點(diǎn)內(nèi)保留一年,以備客戶查詢,然后由總公司回收,并在監(jiān)管部門監(jiān)督下統(tǒng)一銷毀。不過,一些營業(yè)網(wǎng)點(diǎn)對信息保護(hù)的不重視,將舊面單隨意丟棄或倒賣。另外,快遞業(yè)務(wù)鏈條很長,從電商平臺、賣家、快遞公司,以及收派貨環(huán)節(jié),參與者眾多,每個(gè)環(huán)節(jié)都有泄露用戶信息的可能。

此外,法律不健全也是造成行業(yè)用戶信息泄露的主要原因。今年4月國家郵政局發(fā)布的《寄遞服務(wù)用戶個(gè)人信息安全管理規(guī)定》寄遞企業(yè)及其從業(yè)人員違法提供寄遞用戶信息,尚未構(gòu)成犯罪的,依照《郵政法》第七十六條規(guī)定予以1萬元以上5萬元以下的罰款,并對快遞企業(yè)直接負(fù)責(zé)的主管人員和責(zé)任人員給予處分;構(gòu)成犯罪的,移送司法機(jī)關(guān)追究刑事責(zé)任。違法成本低也讓許多快遞從業(yè)人員無所畏懼。

保障信息安全迫在眉睫

快遞信息泄露、12306網(wǎng)站漏洞折射了信息安全面臨的嚴(yán)峻威脅。而且信息安全再也不是某個(gè)行業(yè)所面臨的問題,已經(jīng)輻射到整個(gè)互聯(lián)網(wǎng)領(lǐng)域。因此,信息安全的保障已迫在眉睫。

首先,法律要加大對信息安全的保障力度。雖然我國刑法在2009年將非法買賣和獲取個(gè)人信息列為刑事犯罪的新類型,并制定了相應(yīng)的懲處標(biāo)準(zhǔn)。但與非法買賣個(gè)人信息的嚴(yán)重程度相比,我國大多數(shù)地區(qū)還沒有對此類案件的立案標(biāo)準(zhǔn),執(zhí)法和處罰的力度遠(yuǎn)遠(yuǎn)不夠。另外,法律法規(guī)的制定部門也要針對特定行業(yè),建立健全的用戶信息安全保障制度。

其次,針對行業(yè)網(wǎng)站面臨的安全問題,業(yè)內(nèi)人士建議,企業(yè)官網(wǎng)要加強(qiáng)制度技術(shù)的升級,網(wǎng)站負(fù)責(zé)人定期對網(wǎng)站進(jìn)行安全檢測,及時(shí)發(fā)現(xiàn)并修復(fù)網(wǎng)站漏洞隱患,有效防范黑客入侵和DDoS等攻擊。企業(yè)官網(wǎng)要加強(qiáng)制度技術(shù)的升級。真正打擊網(wǎng)絡(luò)安全行為,企業(yè)就必須從制度和技術(shù)兩方面入手,多方聯(lián)合,齊抓共管。

D1Net評論:

除此之外,企業(yè)自身建設(shè)是重中之重,企業(yè)要加強(qiáng)自律行為,重視用戶的信息安全。譬如,快遞公司的數(shù)據(jù)庫一定要做好定期檢查并做好數(shù)據(jù)銷毀,同時(shí)快遞企業(yè)嚴(yán)格控制負(fù)責(zé)維護(hù)客戶信息數(shù)據(jù)庫的技術(shù)人員的管理權(quán)限,盡可能減少信息泄露的途徑,將用戶的信息保護(hù)落到實(shí)處。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號