憂！千萬用戶社保信息疑遭泄漏之后

　　——大數(shù)據(jù)安全隱患顯露“冰山一角”

　　21日，一則經(jīng)濟(jì)參考報的報道引起信息安全領(lǐng)域的強(qiáng)烈震動。該報道稱，目前重慶、上海、山西、沈陽、貴州、河南等省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞，數(shù)千萬用戶的社保信息可能因此被泄露。

　　人們不禁要問，這些信息都是怎樣泄露出來的呢？

　　就此，記者采訪了業(yè)內(nèi)相關(guān)專家。江蘇敏捷科技的數(shù)據(jù)安全專家張曉波表示，就在人們對大數(shù)據(jù)極力熱捧之時，大數(shù)據(jù)的安全危機(jī)已經(jīng)逐漸顯露，大數(shù)據(jù)安全隱患的“冰山一角”已經(jīng)呈現(xiàn)在我們面前了。

　　來自360公司的統(tǒng)計(jì)數(shù)據(jù)顯示，2014年一年中360網(wǎng)站安全檢測平臺掃描的網(wǎng)站中有65%的網(wǎng)站存在漏洞。這還只是自動化掃描攻擊工具發(fā)現(xiàn)，還不包含專業(yè)的apt攻擊。

　　該公司的技術(shù)人員告訴記者，網(wǎng)站是沒有絕對安全的。對于信息安全可以毫不夸張地說：“幾乎所有的網(wǎng)站都是存在漏洞的，只有我們還沒發(fā)現(xiàn)的漏洞。”而通過漏洞，就會導(dǎo)致網(wǎng)站的數(shù)據(jù)被黑，這在行業(yè)內(nèi)叫“拖庫”。

　　他說：“數(shù)據(jù)泄露的途徑主要有三種：善意內(nèi)部人員、目標(biāo)性攻擊和惡意內(nèi)部人員、釣魚盜號。更多情況下，數(shù)據(jù)泄露的是由上述幾種原因共同引發(fā)的。例如，目標(biāo)性攻擊通常是由善意的內(nèi)部人員未遵從安全策略無意中引發(fā)，導(dǎo)致數(shù)據(jù)泄露?；蛘邜阂鈨?nèi)部人員泄露出去。”

　　他進(jìn)而分析，善意內(nèi)部人員是指內(nèi)部人員無意中沒有按照安全策略或者工作中的疏忽而引發(fā)的數(shù)據(jù)被泄露。這些數(shù)據(jù)可能存在于員工的電腦中，也可能存在于服務(wù)器上。由于員工安全意識薄弱，信息暴露在外，被黑客發(fā)現(xiàn)并被利用。

　　比如，電子郵件、web郵件和可移動設(shè)備已經(jīng)和人們?nèi)缬半S形。黑客會向被攻擊公司的員工發(fā)送惡意的電子郵件或者釣魚郵件，誘使員工點(diǎn)擊郵件，植入木馬后門或者釣取員工信息，從而進(jìn)一步入侵公司內(nèi)部的服務(wù)器來獲取敏感數(shù)據(jù)。

　　還有，當(dāng)業(yè)務(wù)流程不當(dāng)或者過時，會導(dǎo)致數(shù)據(jù)自動傳輸?shù)轿词跈?quán)的個人用戶或未受保護(hù)的系統(tǒng)上。這種情況下，數(shù)據(jù)很容易遭受到黑客攻擊或者惡意內(nèi)部人員竊取。

　　更多情況下，由于利益的驅(qū)使，另一種黑客目標(biāo)性攻擊越來越趨向于竊取信息。所謂目標(biāo)性攻擊，就是攻擊者通過尋找制定目標(biāo)內(nèi)的漏洞來入侵系統(tǒng)，獲取數(shù)據(jù)信息?；蛘咄ㄟ^自動掃描互聯(lián)網(wǎng)上存在漏洞的服務(wù)器來獲取敏感數(shù)據(jù)。

　　目前流行的獲取數(shù)據(jù)的攻擊手段主要包含：SQL注入攻擊、命令執(zhí)行、暴力破解、撞庫攻擊、文件上傳漏洞、弱口令、未授權(quán)訪問配置不當(dāng)。

　　近年來，惡意內(nèi)部人員導(dǎo)致數(shù)據(jù)泄露的事件也在不斷增加。

　　專家表示，企業(yè)竊取信息的內(nèi)部人員所引發(fā)的數(shù)據(jù)泄露主要有三類：白領(lǐng)犯罪、已經(jīng)離職的員工和商業(yè)間諜。

　　在當(dāng)前的白領(lǐng)犯罪案件中，員工為了獲取身份信息故意竊取信息而私自販賣銷售給競爭對手或者不法分子占了很大的比例。通常情況下，為謀取個人利益而濫用信息訪問權(quán)限的公司內(nèi)部人員從事這類犯罪。

　　被解雇的員工在離職時通常還會有保留各種權(quán)限，導(dǎo)致他們還可以訪問許多機(jī)密信息，由于情緒不滿而故意泄露數(shù)據(jù)或者將其數(shù)據(jù)帶走。

　　而對于商業(yè)間諜，都有非常強(qiáng)的目的性。他們來公司工作主要是為了竊取該公司的數(shù)據(jù)信息。還有一部分惡意員工為了跳到競爭對手公司，將公司信息提供給跳槽的公司。

　　360的專家稱，自2004年以后，盜號木馬開始盛行。由于利益的驅(qū)使，盜號已經(jīng)形成了一條完整的黑色鏈條。盜來的賬號和密碼信息按照等級、金錢等內(nèi)容進(jìn)行分類并打包來進(jìn)行銷售。這些賬號密碼信息在2010年以后開始陸續(xù)被發(fā)布到網(wǎng)絡(luò)上。

　　同時，網(wǎng)絡(luò)釣魚的技術(shù)也在不斷升級。釣魚信息通常也會進(jìn)行打包來進(jìn)行銷售或者直接進(jìn)行洗號，或者用來滲透企業(yè)內(nèi)部。

　　由此，近年來國內(nèi)以及國際上數(shù)據(jù)泄露的事件越來越多，而且對應(yīng)泄露的數(shù)據(jù)量也是異常驚人。超出大家想象的是很多被大家熟知的一些互聯(lián)網(wǎng)大公司也會出現(xiàn)這樣多的漏洞。

　　據(jù)補(bǔ)天漏洞響應(yīng)平臺對這幾年中國互聯(lián)網(wǎng)泄露的數(shù)據(jù)統(tǒng)計(jì)，到目前為止，數(shù)據(jù)泄露數(shù)量達(dá)到11.2億,可泄露的數(shù)據(jù)量已達(dá)到23.6億。

　　數(shù)據(jù)作為“隱形資產(chǎn)”，其價值已被大家公認(rèn)，而如何保護(hù)好大數(shù)據(jù)就成為政府、企業(yè)乃至個人和全社會首先要考慮的問題。

　　敏捷科技張曉波表示，目前的信息安全市場上，大數(shù)據(jù)、云服務(wù)產(chǎn)品魚龍混雜，即使是一些國際品牌也存在“漏洞門”。

　　他說：“防患未然要從源頭入手，要把補(bǔ)漏防泄制度化。要選用有效的安全產(chǎn)品和技術(shù)手段作保障。敏捷科技的DG采用特別的操作系統(tǒng)內(nèi)核技術(shù)、高強(qiáng)度的加密算法、靈活易用的安全策略，確保了從‘根源’上對數(shù)據(jù)進(jìn)行全方位保護(hù)。并兼容多種云中心設(shè)備，降低云中心升級改造成本，更加全面地解決大數(shù)據(jù)安全問題，推動大數(shù)據(jù)與云計(jì)算更加良性地融合和發(fā)展?！?/p>

　　互聯(lián)網(wǎng)的虛擬世界，實(shí)際上是物理世界的映像?，F(xiàn)實(shí)社會存在的各種犯罪和不良行為在虛擬世界里都有相應(yīng)的反映。道高一尺魔高一丈。信息安全是一個互聯(lián)網(wǎng)永恒的沉重課題。