日前報道的“記者700元買到同事行蹤”在社會各界引發(fā)強烈關(guān)注。采訪中南都記者發(fā)現(xiàn)，個人信息泄露已成為互聯(lián)網(wǎng)時代的一個普遍現(xiàn)象?！吨袊W(wǎng)民權(quán)益保護調(diào)查報告2016》顯示，4.8億網(wǎng)購用戶，過半網(wǎng)購過程中遭遇個人信息泄露。行業(yè)專家表示，“內(nèi)鬼”的比例要大于外部黑客攻擊。針對這兩類泄露渠道的防范技術(shù)也存在很大的差別，需要采取完整且具有針對性的手段，做到“外防黑客，內(nèi)防內(nèi)鬼”。

國內(nèi)網(wǎng)站對漏洞修復(fù)率

平均不足10%

南都記者采訪的700元購買同事開房記錄的報道，公安部回應(yīng)稱，此案是由相關(guān)單位內(nèi)部人員與社會人員相互勾結(jié)所為。

除了內(nèi)鬼之外，黑客非法侵入是造成隱私泄露的另外一種主要手段，曾為國慶60周年、世界互聯(lián)網(wǎng)大會以及G20杭州峰會提供網(wǎng)絡(luò)信息安全保障的杭州安恒信息技術(shù)有限公司CEO范淵對南都記者表示，黑客通過注入漏洞等方式將后端數(shù)據(jù)導(dǎo)出，不法分子再將數(shù)據(jù)進行整理和買賣，有的用于廣告，有的則用于詐騙。比如本周將要上映的電影《絕對控制》中，就披露了IT黑客通過非法方式對于個人信息造成的巨大威脅。

“目前，國內(nèi)網(wǎng)站在接到漏洞報告后，對漏洞的修復(fù)率平均不足10%，這就給黑客入侵和竊取大開了方便之門。”360首席反詐騙專家、網(wǎng)絡(luò)安全專家裴智勇表示，黑客竊取個人信息的方式有網(wǎng)站拖庫、木馬病毒、釣魚網(wǎng)站等。其中最主要的方式還是利用網(wǎng)站漏洞對網(wǎng)站數(shù)據(jù)進行拖庫。

另一類泄露渠道則是內(nèi)部數(shù)據(jù)泄露，也被稱作是“內(nèi)鬼”。“內(nèi)鬼”出現(xiàn)在各行各業(yè)，涵蓋范圍非常廣。例如，醫(yī)院內(nèi)部將數(shù)據(jù)賣給醫(yī)藥代表;教育考試院的數(shù)據(jù)庫考生的個人信息遭到泄露，甚至不法分子通過修改志愿和分數(shù)進行詐騙;還有金融、社保、電商的軟件開發(fā)人員在軟件開發(fā)過程中故意“留后門”，盜取數(shù)據(jù)。

范淵介紹，據(jù)統(tǒng)計，“內(nèi)鬼”的數(shù)量和黑客攻擊各占一半，甚至“內(nèi)鬼”的比例還更大些。需要特別強調(diào)的是，“內(nèi)鬼”不一定指的是內(nèi)部員工，第三方軟件開發(fā)、維護人員，有一定權(quán)限可以在內(nèi)網(wǎng)進行操作和查詢的，都屬于“內(nèi)鬼”的范疇。

防內(nèi)鬼竊密

實行數(shù)據(jù)分級管理

范淵表示，從技術(shù)環(huán)節(jié)來說，這兩類泄露渠道的防范在技術(shù)上有很大差別，需要非常完整清晰且具有針對性的手段，從整體上把控各種泄露的風險，做到“外防黑客，內(nèi)防內(nèi)鬼”。

從外部防護而言，需要通過云防護等幾道防護措施，做好監(jiān)控和預(yù)警，內(nèi)控則更為復(fù)雜。

“內(nèi)鬼”有權(quán)限接觸到這些信息，如何辨別操作過程中是否存在信息泄露?范淵表示，目前，數(shù)據(jù)庫防火墻、數(shù)據(jù)庫審計、堡壘機、日志審計，是在數(shù)據(jù)安全防護領(lǐng)域內(nèi)應(yīng)用非常廣泛的“四件套”。這套軟件記錄能準確地檢測數(shù)據(jù)庫的進出訪問行為，實時判斷并通過數(shù)據(jù)庫防火墻進行攔截。

范淵還指出，很多機構(gòu)和政府部門每年都會進行常態(tài)化的滲透測試，模擬黑客攻擊行為。通過這種模擬滲透測試，以及常態(tài)化的監(jiān)測和實時防護，能夠?qū)ν獠亢诳凸暨M行一定的防范。但目前來看，有問題的系統(tǒng)還是很多，情況確實不樂觀，個人信息防護任重道遠。

就企業(yè)內(nèi)部防止內(nèi)鬼竊密的技術(shù)方法，裴智勇表示，技術(shù)手段包括數(shù)據(jù)的加密存儲、數(shù)據(jù)的業(yè)務(wù)管理，即負責某一項業(yè)務(wù)的人，只能在一定范圍內(nèi)看到數(shù)據(jù)的一部分;數(shù)據(jù)的分級管理，即下層業(yè)務(wù)人員如果要查詢某些數(shù)據(jù)，必須要得到上級或相關(guān)業(yè)務(wù)管理者的臨時授權(quán);以及數(shù)據(jù)協(xié)同管理、內(nèi)部流量管控等多種方法。

另一方面，由于政府掌握了大量的、全面的公民信息，也更容易成為黑客攻擊的目標。國家信息技術(shù)安全研究中心金融安全處副處長曹岳對南都記者表示，目前，政府在信息化投入上相對欠缺。政府部門需要從技術(shù)維度加強審計和對內(nèi)網(wǎng)系統(tǒng)的嚴格控制。