個人信息被通過各種渠道收集��、販賣和非法應(yīng)用,更多普通人因此遭遇或大或小的經(jīng)濟(jì)損失��,遭受更多的垃圾短信����、郵件和推銷電話的騷擾,遭遇詐騙甚至更嚴(yán)重的犯罪威脅�。
2011年8月,23名涉嫌倒賣公民個人信息人員在北京被判處最高三年有期徒刑�,當(dāng)中作為泄密源頭的多名人員為移動、電信��、聯(lián)通三大運(yùn)營商員工;
2011年11月��,國內(nèi)最大的技術(shù)社區(qū)CSDN爆出600萬注冊用戶信息泄露事件����,包括明文存儲的密碼,成為國內(nèi)互聯(lián)網(wǎng)領(lǐng)域爆發(fā)的最大規(guī)模的用戶信息泄露事件�。隨后,包括天涯�、YY語音�、京東商城等多家互聯(lián)網(wǎng)與電子商務(wù)企業(yè)爆出用戶信息泄露丑聞;
2012年3月,央視315晚會以“保護(hù)個人信息”為主題��,曝光了招商銀行信用卡中心員工違規(guī)出售2318份客戶信息丑聞����,事件最終導(dǎo)致經(jīng)濟(jì)損失300多萬,同時多家銀行被曝涉事其中;
2012年4月�,在有關(guān)部門統(tǒng)一部署的打擊非法販賣公民個人信息的行動中�,河北保定一工商員工因非法出售公民信息被捕����,累計非法獲利5萬余元��,由此曝光了政府機(jī)構(gòu)與事業(yè)單位中廣泛存在的內(nèi)部人員販賣信息的行為�。同時,國內(nèi)首部“個人信息保護(hù)條例”正在征求意見中����。一場到目前為止最為嚴(yán)格的個人信息保護(hù)風(fēng)暴正在展開…
一個個觸目驚心的案例,揭示了目前國內(nèi)公民個人信息保護(hù)形勢之嚴(yán)峻,而且����,形勢正因?yàn)榛ヂ?lián)網(wǎng)的迅速發(fā)展而變得更加復(fù)雜�。個人信息被通過各種渠道收集�、販賣和非法應(yīng)用,更多普通人因此遭遇或大或小的經(jīng)濟(jì)損失����,遭受更多的垃圾短信、郵件和推銷電話的騷擾����,遭遇詐騙甚至更嚴(yán)重的犯罪威脅����。公民個人信息泄露已經(jīng)實(shí)實(shí)在在的與每個公民有關(guān)。
另一方面,對于持有大量公民個人信息的組織來說����,信息泄露的代價也越來越無法承受。在個人信息保護(hù)機(jī)制健全的美國、歐盟��、日本等地����,有嚴(yán)格的成文法規(guī)對隱私保護(hù)做出詳細(xì)規(guī)定��,保護(hù)所持有的個人信息是企業(yè)必須承擔(dān)的責(zé)任�。在這種前提下��,一旦遭遇泄密事故�,組織往往面臨監(jiān)管機(jī)構(gòu)的天價罰單和用戶的索賠訴訟,例如去年索尼PSN網(wǎng)絡(luò)泄密帶來的直接損失達(dá)1.7億美元����,后續(xù)間接損失更可能以數(shù)十億計�。此外,一旦遭遇大規(guī)模的泄密事故��,對于該組織的信譽(yù)打擊往往是毀滅性的��,即使最高負(fù)責(zé)人以公開道歉等高規(guī)格措施補(bǔ)救也于事無補(bǔ)��。
具體到我國����,作為大量公民個人信息的持有者,政府機(jī)構(gòu)��、金融����、電信運(yùn)營商��、社交網(wǎng)絡(luò)運(yùn)營商等組織有義務(wù)去保護(hù)所持有的信息。隨著形勢的日趨嚴(yán)峻,監(jiān)管部門對于個人信息保護(hù)的力度也在加強(qiáng)。媒體的不斷曝光��,促使相關(guān)部門在近期出臺了《個人信息保護(hù)指南》�,代表了監(jiān)管層面對于個人信息保護(hù)的態(tài)度轉(zhuǎn)變�。那么����,個人信息保護(hù)現(xiàn)實(shí)不盡如人意的根源何在?前路又在何方?作為國內(nèi)知名的內(nèi)網(wǎng)安全與信息泄露防護(hù)廠商�,溢信科技(www.ip-guard.net )近期專門就這一課題進(jìn)行了研究,希望能給為相關(guān)領(lǐng)域的安全人員提供一些有益的建議�。
還原信息泄密的典型鏈條
隨著2012年4月以來公安部統(tǒng)一部署的個人信息保護(hù)行動的展開�,眾多買賣公民個人信息事件浮出水面�,結(jié)合溢信科技多年來的信息泄露防護(hù)經(jīng)驗(yàn)����,我們可以總結(jié)出一條清晰的由內(nèi)部人員開始的泄密鏈條����。
1) 信息源�,也是最終的受害者
政府機(jī)構(gòu)和事業(yè)單位所持有的基礎(chǔ)數(shù)據(jù),如人口統(tǒng)計和工商登記數(shù)據(jù)等��,金融����、電信運(yùn)營商、醫(yī)療�、互聯(lián)網(wǎng)服務(wù)提供商等企業(yè)所擁有的海量數(shù)據(jù),都是重要的數(shù)據(jù)來源��??梢哉f,每個個體所提交的任何真實(shí)數(shù)據(jù)信息��,最后可能都會以一條記錄的形式存在于某個數(shù)據(jù)庫中��。
2) 賣家�,泄密的開始;
根據(jù)溢信科技的經(jīng)驗(yàn),數(shù)據(jù)泄密的源頭�,大致可以分為三類:
內(nèi)部人員的主動泄露,以典型的信息買賣為主��,以及人情請托等;
惡意的信息竊取��,如黑客攻擊所導(dǎo)致的數(shù)據(jù)庫被盜;
意外的數(shù)據(jù)丟失�,如存儲有數(shù)據(jù)的筆記本、U盤����、移動硬盤等設(shè)備的丟失;
根據(jù)公安部統(tǒng)一行動以來的報道����,第一類類情況更為普遍。內(nèi)部人員因其天然擁有的合法權(quán)限而具有數(shù)據(jù)買賣的便利,而國內(nèi)愈加猖獗的黑客盜取數(shù)據(jù)庫行為也讓人不可小視��,2011年所爆發(fā)的CSDN��、天涯用戶注冊信息泄露��,便可見一斑�。
【收藏本頁】 【返回頂部】 【關(guān)閉窗口】
