2018 ｜ 國內外

個人敏感資訊洩露案例

據《2018資料洩露損失研究》評估顯示，大型資料洩露代價高昂，百萬條記錄可致損失4000萬美元，5000萬條記錄可致損失3.5億美元。

1. Aadhaar

今年1月份，印度10億公民身份資料庫Aadhaar被曝遭網路攻擊，該資料庫除名字、電話號碼、郵箱地址等之外還有指紋、虹膜記錄等極度敏感的資訊。

2. Facebook

今年3月，一家名為Cambridge Analytica的資料分析公司通過一個應用程式收集了5000萬Facebook使用者的個人資訊，該應用程式詳細描述了使用者的個性、社交網路以及在平臺上的參與度。

3. Under Armour

3月25日，美國著名運動裝備品牌Under Armour稱有1.5億MyFitnessPal使用者資料被洩露了（使用者名稱、郵箱地址和加密的密碼）。

4. MyHeritage

6月4日，MyHeritage的安全管理員發現9228萬個MyHeritage帳號的電子郵件地址和密碼被洩露。

5. 國內某大型快遞公司

6月19日，一位ID為“f666666”的使用者在暗網上開始兜售來自國內某大型快遞公司的10億條客戶資料，該使用者表示售賣的資料為2014年下旬的資料，資料資訊包括寄（收）件人姓名、電話、地址等資訊。

6. 國內某酒店集團

8月，國內某大型集團旗下數十家品牌酒店開房資料被曝在暗網出售，包括官網註冊資料、酒店入住登記身份資訊、酒店開房記錄等近5億個人敏感資料

（資訊來源：ITPUB）

2018 | 世平資訊

敏感資訊保安防護解決方案

1. 專案背景

《網安法》自實施以來，網路運營者被強制承擔起了諸多安全保護義務，其中之一就是制定內部安全管理制度和操作規程：

• 明確責任部門與人員

• 構建人員管理與培訓制度

• 開展個人資訊保安影響評估與審計制度，評估個人資訊處理過程中可能產生的風險與不利影響，形成評估報告以供相關方查閱

• 建立自動化審計系統，監測記錄個人資訊處理活動，及時處理審計過程中個人資訊違規使用、濫情況用等

2. 需求分析

無論是政府單位、運營商、金融機構，還是眾多網際網路企業，他們都收集、儲存著海量的使用者個人資訊，保護“個人隱私敏感資訊”是各單位應負的責任。

應擔負義務包括：

（1） 建立資訊保安管理制度並且嚴格執行；

（2）明確業務需要收集的個人資訊範圍；

（3） 保障個人資訊保安；

（4） 配合政府部門監督檢查；

（5）日誌資訊記錄；

（6） 向主管單位主動報告違規違法行為。

3. 存在的問題

• 數字系統越來越多，使用者個人資訊收集後儲存分散，業務使用中管理不規範

• 隨著企事業單位規模的擴大，員工數量逐步增加，資訊保安意識參差不齊，可能存在違規使用、隨意下載使用者個人資訊的行為

• 如何在大量日誌中篩選出違規或疑似違規行為的日誌並儲存，以便後期追溯時快速定位？

• 違規、違法行為出現時需及時上報，但管理者無法隨時緊盯，因此需要通過技術手段及時發現違規行為並通知管理者。

4. 敏感資訊風險評估系統（PAS）

世平敏感資訊風險評估系統（PAS）對網路中的資料進行深度內容分析，實現隱私資料的訪問行為監控、危險操作告警、可疑行為審計及安全狀況評估。

5. 方案部署

世平敏感資訊風險評估系統（PAS）緊密圍繞網路安全法、等級保護等相關政策與法規來設計，針對靜態儲存、動態傳輸及多種不同形式的個人資訊及重要資料的全生命週期安全評估與檢查。

6. 工作流程

• 根據需求設定重要資料及個人資訊隱私模型，並在隱私資訊保安評估系統中設定匹配規則；

• 通過對選定的伺服器中資料庫中的資料建立主機資源；

• 新建發現掃描策略，根據策略設定對資料進行敏感性檢查；

• 系統對資料進行檢查後生成隱私資訊檢查事件並生成相應的報表供使用者分析判斷。

7. 方案效果

• 對網路中傳輸的資料進行實時監控審計評估，捕捉其中包含的個人資訊，對其特性進行分析，並對分析結果進行動態視覺化的展示；

• 對使用者業務系統中個人資訊及獲取行為進行監控審計，防止內部工作人員非法獲取、外發隱私資訊和敏感資料的行為進行監控審計，配合資料洩露防護系統進行違規外發阻斷，防止個人資訊及資料洩露；

• 通過應用關聯審計精準的定位事件發生前後所有層面的訪問及操作請求，為事後追責溯源提供有力的支援；

• 方案總體設計嚴謹，檢查範圍全面，完全可落地執行。

8. 技術優勢

（1）豐富的資料來源型別支援

實現對檔案儲存伺服器、關係型資料庫、非關係型資料庫、主流應用系統等儲存的涉密資料檢查。

（2）全面的資料型別識別

系統支援資料庫內建的各類資料字元型別；檢查端支援非結構化資料的涉密資訊的檢查。

（3）深度的內容識別技術

• 基於內容特徵的識別技術

檢查端採用多種內容特徵檢查技術，實現對違規儲存涉密資料的檢查與匹配。

• 基於模式的識別技術

檢查端除基本內容檢查技術外，還支援基於正則表示式、基於模式指令碼的內容檢查與匹配技術。

（4）高效精準的圖片識別技術

系統採用光學字元檢查技術（OCR技術）準確提取圖片中的文字內容，實現敏感（涉密）資料檢查。

（5）人工稽核自學習技術

系統內建不可逆的指紋演算法，可將檔案內容生成一串唯一程式碼（即檔案指紋），檔案指紋生成後，系統自動提取並建立白名單庫。在檢查過程中，發現與白名單庫中的指紋特徵相同的檔案將自動過濾。周而復始，隨著系統的不斷檢查執行，白名單庫也會隨之擴大，檢查的準確度會不斷提升。

指紋演算法計算出的檔案內容程式碼，像人的指紋一樣具有唯一性、不可替代性，同時，此演算法的不可逆性，可防止程式碼反推、解析等惡意攻擊。

（6）基於中文分詞演算法的詞庫提取技術

系統採用內建基於主題模型的分類演算法，對現有涉密檔案進行自動分類。在分類的過程中，使用中文分詞技術，提取各型別涉密檔案的特徵，人工稽核後形成各行業或重大事件的涉密檔案特徵庫。

（7）個人隱私資訊及資料評價體系

未脫敏、可逆向、未泛化K-匿名、未L-多樣性、未分佈均衡、未差分共0-5個等級，對個人隱私資訊及資料進行安全層面的評價。

（8）靈活的可擴充套件性

多種定製介面，實現強大的二次開發能力，及與第三方平臺對接和擴充套件的能力。

歡迎各級機構及企事業單位報名試用

詳詢世平熱線：400 100 6790

或諮詢世平QQ客服：3256718569

杭州世平資訊有限公司（簡稱“世平資訊”），致力於智慧化資料管理與應用的深入開拓和持續創新，為使用者提供資料安全、資料治理、資料共享和資料利用解決方案，幫助使用者切實把握大資料價值與資訊保安。

近期熱點