通过“2012十大信息泄密事件”阐述大数据时代的运维审计及风险控制.pdfVIP

通过 “2012 十大信息泄密事件”阐述大数据时 代的运维审计及风险控制 ——北京智恒网安科技有限公司 蒋朝福 2012 年已经进入大数据时代。大数据分析将带来网络安全防护 技术的变革，大数据分析与安全技术的融合将成为必定趋势，基于传 统安全的防病毒、防火墙和入侵防御系统的技术将加快向以大数据分 析监控为基础的安全技术改变。这一趋势将对于我国信息安全技术和 产品研发、网络安全防御体系建设产生影响。 事件回顾 经明朝万达统计，2012 年见诸媒体的信息泄密事件超 30 起，而 这仅是冰山一角，事件本身带来的损失、对行业及社会的负面影响等 均让人不安加揪心。此次，明朝万达根据事件的影响性评选出“2012 十 大信息泄密事件”，亚马逊、江苏银行、苹果、三星、1 号店及上海市卫 生局等泄密案例入选，望大家以儆效尤，做好信息安全保护工作。 图 1. 1 2012 年 10 大信息泄密事件 2012 年 1 月，亚马逊旗下美国 电子商务网站 Zappos 遭到黑客网 络攻击，2400 万用户的电子邮件和密码等信息被窃取。 2012 年 3 月，东软集团被曝商业秘密外泄，约20 名员工因涉嫌侵 犯公司商业秘密被警方抓捕。此次商业秘密外泄造成东软公司损失高 达 4000 余万元人民币。 2012 年 3 月，央视 3.15 晚会曝光招商银行、中国工商银行、中国 农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银 行卡信息，导致部分用户银行卡账号被盗。 2012 年 5 月，1 号店 90 万用户信息被 500 元叫卖。有媒体从 90 万全字段的用户信息资料上进行了用户信息验证，结果表明大部分用 户数据属真实信息。个人信息的泄露将会导致诈骗、勒索甚至威胁人 身安全的事件发生频率增高，让人心悸。 2012 年 7 月，京东、雅虎、Linkedin 和安卓论坛累计超过 800 万用 户信息泄密，而且让人堪忧的是，部分网站的密码和用户名称是以未 加密的方式储存在纯文字档案内，意味着所有人都可使用这些信息。 2012 年 7 月，三星电子员工向 LGD 泄密 AMOLED 技术被起诉。 2012 年 8 月，银行外包后台成泄密重灾区，江苏银行 1 个月卖千 份客户资料 同月，上海数十万条新生儿信息遭倒卖，出自市卫生局数据库外 包维护工作人员。 2012 年 9 月，美国媒体报道：有黑客组织声称破解了联邦调查局 （FBI）主管的笔记本 电脑，获得了 1200 万苹果 iOS 用户 UDID 、用户 名、设备名称、设备类型、苹果推送通知服务记录、电话号码、地址、等 重要内容。 2012 年 11 月，“三通一达”等多家快递公司客户信息遭贩卖。快递 单号的信息被大面积泄露，甚至衍生出多个专门交易快递单号信息的 网站。这些交易网站显示，被交易的快递单号来自包括申通、圆通、中 通及韵达在内的多个快递公司，“淘单 114”还写着“单号来源于各地快 递员”。 通过对 2012 十大信息泄密事件进行归纳分析，泄密方式主要有 三种情况：黑客入侵，用户信息未加密；企业内部员工窃密；服务外包人 员窃密。其中，企业员工内部泄密对企业的损害程度和其发生的频度 远远高于其他外部攻击窃密，更应是防范重点。罪犯虽然已被查处，但 透过事件本身我们看到，种种信息窃密，无一不透漏出现行监管制度 的欠缺、内部管理和技术措施的缺失及个人信息安全保护意识的薄弱 等问题。其中，企业的内网安全防护水平更是偏低，不论是外部黑客 入侵，还是内部泄密，企业都缺乏有力的监管手段。特别是电信运营 商、金融、电商等这些与网民十分相关的单位，防泄密更是重中之重。 企业 IT 内控审计至关重要 目前，随着信息安全建设的深入，安全防护已经成为最为重要的 一个环节。为此企业购买并部署了众多的安全防护设备，但随着应用 的增多，数据库服务器的重要性随之加大，信息化管理部分工作量日 益庞大，如果没有一套有效的安全运维管理体系作为支撑，不能实现 有效的监督与制衡机制，就无法及时发现并控制潜在的安全威胁，那 么发生重大的安全事件就成了必然。 同时据有关资料统计，在对单位造成严重损害的案例中，有 70％ 是组织里的内部人员及运维人员缺乏有效监管，这已经成为企业信息 系统安全运行的严重隐患，制约业务发展，影响企