神琥科技︱《焦點訪談》聚焦資訊保安:防內鬼 防黑客
10月7日,CCTV《焦點訪談》欄目播出了名為“資訊保安:防內鬼 防黑客”的節目。節目中,淮安的盧先生早上在網上買了蜂蜜,結果下午就接到了精準的電話推銷,向他兜售蜂皇漿、蜂膠等保健品。日常生活中,相信很多有過網購經歷的人都遭遇過相似的情景,到底是哪個環節出了問題,致使我們的資訊洩露呢?該如何保障我們的資料安全呢?
現在,我們的工作和生活越來越離不開網際網路。可是在享受諸多網路帶來的便利同時,我們也把大量的個人資訊和私密資料都留在了網際網路上。比如,用手機上的幾乎任何一款APP,都會要求填寫個人資訊,或者收集微信、微博賬號之類的。再比如,網購點東西,可能個人資訊就會留存在電商企業、快遞公司的系統裡。而如果這些網際網路平臺不能很好地保護個人資訊,那麼,大規模的資訊洩露就不可避免。最近警方破獲的幾起案件又給我們提了個醒。
案 件
近期,江蘇淮安警方偵破了一起黑客攻擊快遞公司資訊後臺資料的案件。
當時,某快遞公司頻繁接到客戶投訴,通過該快遞公司網購某些商品後,很快就會接到類似商品的推銷電話,甚至還有詐騙電話。客戶懷疑,快遞公司洩露了自己的資訊。
警方偵查後發現,這個快遞公司的資訊系統後臺已經被黑客攻破,大量的使用者資料已經被竊取。
據警方介紹,一共扣押了300G的資料,經初步梳理,大概有1億條左右公民資訊。
隨著網際網路經濟以及雲端計算、大資料技術的發展,越來越多的個人資訊集中在各種網路平臺系統之中。專業人士指出,相比於此前黑客盯上個人手機,通過木馬病毒等竊取個體的資訊,現在更多的黑客把目標盯上了各種集中了大量資訊的平臺。
淮安市公安局清江浦分局情報技術中心副主任沙俊說:“這些資料很鮮活,物流資訊往往包含公民的姓名、手機號、家庭地址,還有買賣快遞的時間,這種資訊對於後期詐騙也好,或者推銷商務產品也好,都可以更準確地對人群進行定位、分類。”
警方調查後表明,這些精準的個人資訊,根據新舊標價不同,用途也不同,老舊的資訊被賣給做推銷的,最新的資訊則被賣給做詐騙的,海量的個人資訊買賣背後,是巨大的經濟利益。警方抓獲的四名犯罪嫌疑人,一年時間就非法獲利100萬。
資訊數量大、獲利多,近年來,由於防護不到位,眾多平臺被黑客等攻破,大面積資訊洩露事件頻頻發生。而這種洩露,給個人的生命和財產安全,帶來極大隱患。
2016年,剛參加完高考的山東考生徐玉玉,正是因為山東教育部門系統被黑客攻破,導致個人資訊洩露,遭遇精準的電信詐騙,不幸去世。
中國科學院資料與通訊保護研究教育中心主任荊繼武說:“有80%的人的個人資訊都曾經錄入過,這是大概的統計,大部分人的資訊已經在網上了。我們發現大量的公司在發展過程當中,保護手段還沒有做得太好。很多使用者也擔心自己的資訊被洩漏,這也達到了80%,說明我們百姓的網路安全意識在提高。”
除了外來的“黑客”,平臺“內鬼”是造成個人資訊和資料洩露的另一個主要原因。近年來,“內鬼”事件多次被曝出。
案 件
前不久,江蘇常州警方破獲一起特大侵犯公民資訊案,這個案件中內鬼多達48名,涵蓋銀行、衛生、教育、社保、快遞、保險、網購、汽修等多個行業。買賣的資訊包括個人徵信、車輛資訊、開房住宿、收貨地址等數十個種類實時資訊。
這位某銀行原信貸部副經理,就是一名“內鬼”,利用職務之便,他以每條30塊錢的價格賣掉了單位資訊系統中3000多個客戶的徵信資訊,其中包括姓名、身份證號碼、家庭住址、工作單位等。
那麼,在資訊更多向平臺聚集的網際網路大資料時代,平臺如何防住外來的“黑客”和系統內的“內鬼”呢?
針對“黑客”,很多平臺正在構築綜合和縱深的防禦體系。專家指出,網路安全是一場攻守戰,針對技術越來越高的黑客攻擊,單點環節已經無法保障資料安全,必須有一個體系化的防禦機制,並且根據威脅不斷動態創新,才能構築安全屏障。
針對洩露個人資訊的“內鬼”,很多平臺設定了安全內控體系和審計監督機制。以某移動支付平臺為例,現在其使用者已經達到7億,每天平臺有上億筆交易,事關每個使用者的錢袋子,保障個人資訊和使用者安全是其工作的重中之重。為此,平臺設定了專人專崗,每次操作都會記錄操作人、操作內容、操作時間、操作物件等資訊,同時利用大資料和人工智慧系統進行監督。
“內鬼”和黑客行為都屬於違法犯罪,為了加強打擊力度,我國相關立法也在不斷完善。
我國《刑法修正案(九)》中加入了侵犯公民個人資訊罪這個新罪名,隨後兩高司法解釋明確非法獲取、出售或提供50條以上徵信、財產等公民個人資訊,即構成刑事犯罪。
同時,針對內、外兩方面造成的網路安全威脅,平臺應該怎麼做,從法律的層面,也越來越明確。網路安全法明確規定:網路運營者應當採取技術措施和其他必要措施,確保其收集的個人資訊保安,防止資訊洩露、毀損和丟失。同時明確,關鍵資訊基礎設施的運營者應當履行安全保護責任。
法律責任更明確,公安、網信等機關對於違法行為打擊力度也在不斷加大。就在本屆人大剛剛公佈的立法計劃中,針對個人資訊和國家資料安全,《個人資訊保護法》、《資料安全法》這兩部法律已經被明確列入立法規劃。
中國社會科學院法學研究所研究員周漢華認為,除了立法,還得建立一個有效的監管體系,有力的執法結構,科學的執法方法,有威懾力的執法手段,以及執法的監督制約機制,形成一個社會共治的結構。每一個人都來關心,既關心個人資訊的保護,也關心國家資料的安全。
如果不能很好地保護個人資訊,那麼,我們每個人都可能是透明人,都可能是受害者。之所以頻頻發生個人資訊的大規模洩露,一個重要原因還是網際網路平臺企業沒有盡到責任,對內對外的防護都不到位。所以不僅要在法律層面儘快完善立法、嚴格執法,網際網路企業如何在管理層面、技術層面防止漏洞變黑洞,也是刻不容緩。“網路安全為人民、網路安全靠人民”。國家、社會、企業、個人共同努力,各負其責,讓網際網路成為安全網,我們工作生活才會更放心、更安心。(來源:央視網《焦點訪談》1007,內容有刪減)
︱神琥觀點
當前,個人資訊洩露已成為精準詐騙的罪魁禍首。面對大規模的資訊洩露事件,電商、快遞等為代表的網際網路平臺企業應該如何應對呢?我們認為,構建主動防禦機制、保障資訊保安是關鍵。
以“主動防護”為核心,神琥科技研發推出了銅牆、鐵壁系列產品。
▼
銅牆系統專注於防護資料終端安全,通過實時監控人為操作和程式行為,識別高風險單位、部門、人員和裝置,解決通過計算機終端發現威脅線索並主動上報的問題,可有效防範內鬼洩密。
鐵壁系統專注於核查網路通訊安全,通過對網路通訊資料的實時採集、動態監測和預警分析等服務,解決通過網路節點發現和上報網路攻擊等威脅線索的問題,可有效防範黑客竊密。
銅牆鐵壁系統部署示意圖
(點選圖片可檢視高清大圖)
目前,銅牆鐵壁系統已為多個企業使用者構建起動態、全方位的資訊保安主動防禦機制,防範來自內、外兩方面的網路安全威脅,確保企業的資訊保安。關於銅牆鐵壁系統更詳細的介紹,敬請關注我們的後續文章!
本文內容整理自:CCTV《焦點訪談》,編輯:@神琥科技