《焦點訪談》 20181007 信息安全:防內鬼 防黑客
央視網消息(焦點訪談):現在,我們的工作和生活越來越離不開互聯網。可是在享受諸多網絡帶來的便利同時,我們也把大量的個人信息和私密數據都留在了互聯網上。比如,用手機上的幾乎任何一款APP,都會要求填寫個人信息,或者收集微信、微博賬號之類的。再比如,網購點東西,可能個人信息就會留存在電商企業、快遞公司的系統里。而如果這些互聯網平臺不能很好地保護個人信息,那么,大規模的信息泄露就不可避免。最近警方破獲的幾起案件又給我們提了個醒。
近期,江蘇淮安警方偵破了一起黑客攻擊快遞公司信息后臺數據的案件。
當時,某快遞公司頻繁接到客戶投訴,通過該快遞公司網購某些商品后,很快就會接到類似商品的推銷電話,甚至還有詐騙電話。客戶懷疑,快遞公司泄露了自己的信息。
警方偵查后發現,這個快遞公司的信息系統后臺已經被黑客攻破,大量的用戶數據已經被竊取。
據警方介紹,一共扣押了300G的數據,經初步梳理,大概有1億條左右公民信息。
隨著互聯網經濟以及云計算、大數據技術的發展,越來越多的個人信息集中在各種網絡平臺系統之中。專業人士指出,相比于此前黑客盯上個人手機,通過木馬病毒等竊取個體的信息,現在更多的黑客把目標盯上了各種集中了大量信息的平臺。
淮安市公安局清江浦分局情報技術中心副主任沙俊說:“這些數據很鮮活,物流信息往往包含公民的姓名、手機號、家庭地址,還有買賣快遞的時間,這種信息對于后期詐騙也好,或者推銷商務產品也好,都可以更準確地對人群進行定位、分類。”
警方調查后表明,這些精準的個人信息,根據新舊標價不同,用途也不同,老舊的信息被賣給做推銷的,最新的信息則被賣給做詐騙的,海量的個人信息買賣背后,是巨大的經濟利益。警方抓獲的四名犯罪嫌疑人,一年時間就非法獲利100萬。
信息數量大、獲利多,近年來,由于防護不到位,眾多平臺被黑客等攻破,大面積信息泄露事件頻頻發生。而這種泄露,給個人的生命和財產安全,帶來極大隱患。
2016年,剛參加完高考的山東考生徐玉玉,正是因為山東教育部門系統被黑客攻破,導致個人信息泄露,遭遇精準的電信詐騙,不幸去世。
中國科學院數據與通信保護研究教育中心主任荊繼武說:“有80%的人的個人信息都曾經錄入過,這是大概的統計,大部分人的信息已經在網上了。我們發現大量的公司在發展過程當中,保護手段還沒有做得太好。很多用戶也擔心自己的信息被泄漏,這也達到了80%,說明我們百姓的網絡安全意識在提高。”
專家指出,互聯網大數據時代,信息互聯互通,網絡安全已經成為一個整體。個人信息泄露導致的后果,決不僅僅是損害個人的生命和財產安全,深度的數據挖掘和分析會給國家網絡安全帶來極大挑戰。
中國網絡安全產業聯盟理事長肖新光說:“從網絡安全法可以看到,網絡安全與四個層面是相關的。分別是國家安全、社會安全、機構安全和個人安全,一個公民的個人數據,從本身相對來看,是關乎到他的個人生命財產安全。但是如果是大量公民的個人數據聚合在一起,實際上就會與上面的三個層次安全都息息相關。”
除了大數據挖掘背景下,個人信息泄露帶來的國家網絡安全威脅,近年來,直接針對國家重點機密數據的有組織黑客攻擊也是不斷發生,并且越來越隱蔽。
近日,安天實驗室發布報告,安天在協助政府監管部門應急響應中,發現并持續監測到一個針對我國的網絡攻擊組織。該組織活躍數年,主要針對政府部門、航空、軍事相關科研機構進行攻擊,主要目標是竊取高價值數據和機密信息,魚叉釣魚郵件是其慣用攻擊手段。
安天實驗室網絡安全工程師關墨辰說:“通過仿冒會議主辦方,或者相關的培訓機構發會議的邀請,培訓的邀請,誘使你去點擊;或者模擬仿冒評獎單位,讓你推薦候選人,誘使你打開惡意郵件的附件。打開這些郵件的時候,就會利用漏洞突破你本機的防護,讓具備遠程控制能力的木馬植入進來,全權控制你的機器,竊取你機器上所有的數據。任何一個文件,他想要的時候,隨時隨地可以拿走,這種控制是持續,不間斷的。”
這個黑客組織被安天實驗室命名為“綠斑”。不僅目標明確,“綠斑”的攻擊已經持續多年,活動頻繁,相比于那種被攻擊后電腦會出現運行緩慢,CPU、內存占用率極高的普通攻擊,遭受“綠斑”攻擊后的電腦,雖然關鍵文檔和數據會被竊取,但表面看基本沒有異常表現,發現起來也更難。
目前,我國已經成為遭受網絡攻擊最多的國家之一。其中,金融、能源、電力、通信、交通等領域的關鍵信息基礎設施,是經濟社會運行的神經中樞,也是網絡重點攻擊的目標。
安天實驗室模擬了一個常見的攻擊過程。
關墨辰說:“我們模擬整個電力系統,它有兩大部分,一部分是數據中心區,對電力進行控制和服務進行收集數據;另外一個是辦公區,辦公區是做日常維護的工作。即便是這個網絡比較隔離,它還是有日常維護的工作要做。比如說終端要進行升級,需要訪問互聯網,偽裝的程序就偽裝成了正常的升級程序,通過防火墻進入到內部。在內部執行升級程序的時候是沒有什么感覺的,但是這個升級程序會利用漏洞,在網絡進行橫向的傳播偵查,毀壞和破壞網內的計算機,最終數據區域的機器破壞掉之后,整個電力供應就會出現問題。”
除了外來的“黑客”,平臺“內鬼”是造成個人信息和數據泄露的另一個主要原因。近年來,“內鬼”事件多次被曝出。前不久,江蘇常州警方破獲一起特大侵犯公民信息案,這個案件中內鬼多達48名,涵蓋銀行、衛生、教育、社保、快遞、保險、網購、汽修等多個行業。買賣的信息包括個人征信、車輛信息、開房住宿、收貨地址等數十個種類實時信息。
這位某銀行原信貸部副經理,就是一名“內鬼”,利用職務之便,他以每條30塊錢的價格賣掉了單位信息系統中3000多個客戶的征信信息,其中包括姓名、身份證號碼、家庭住址、工作單位等。
那么,在信息更多向平臺聚集的互聯網大數據時代,平臺如何防住外來的“黑客”和系統內的“內鬼”呢?
針對“黑客”,很多平臺正在構筑綜合和縱深的防御體系。
專家指出,網絡安全是一場攻守戰,針對技術越來越高的黑客攻擊,單點環節已經無法保障數據安全,必須有一個體系化的防御機制,并且根據威脅不斷動態創新,才能構筑安全屏障。
中國網絡安全產業聯盟理事長肖新光說:“總體上來看,它是一個以架構安全為基礎,以縱深防御形成相應的層次,以態勢感知和積極防御為整個的工作目標和核心,再融入到威脅情報這樣一個疊加演進的工作。”
針對泄露個人信息的“內鬼”,很多平臺設置了安全內控體系和審計監督機制。以某移動支付平臺為例,現在其用戶已經達到7億,每天平臺有上億筆交易,事關每個用戶的錢袋子,保障個人信息和用戶安全是其工作的重中之重。為此,平臺設置了專人專崗,每次操作都會記錄操作人、操作內容、操作時間、操作對象等信息,同時利用大數據和人工智能系統進行監督。
“內鬼”和黑客行為都屬于違法犯罪,為了加強打擊力度,我國相關立法也在不斷完善。
我國《刑法修正案(九)》中加入了侵犯公民個人信息罪這個新罪名,隨后兩高司法解釋明確非法獲取、出售或提供50條以上征信、財產等公民個人信息,即構成刑事犯罪。
同時,針對內、外兩方面造成的網絡安全威脅,平臺應該怎么做,從法律的層面,也越來越明確。網絡安全法明確規定:網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損和丟失。同時明確,關鍵信息基礎設施的運營者應當履行安全保護責任。
法律責任更明確,公安、網信等機關對于違法行為打擊力度也在不斷加大。
就在本屆人大剛剛公布的立法計劃中,針對個人信息和國家數據安全,《個人信息保護法》、《數據安全法》這兩部法律已經被明確列入立法規劃。
中國社會科學院法學研究所研究員周漢華認為,除了立法,還得建立一個有效的監管體系,有力的執法結構,科學的執法方法,有威懾力的執法手段,以及執法的監督制約機制,形成一個社會共治的結構。每一個人都來關心,既關心個人信息的保護,也關心國家數據的安全。
如果不能很好地保護個人信息,那么,我們每個人都可能是透明人,都可能是受害者。之所以頻頻發生個人信息的大規模泄露,一個重要原因還是互聯網平臺企業沒有盡到責任,對內對外的防護都不到位。所以不僅要在法律層面盡快完善立法、嚴格執法,互聯網企業如何在管理層面、技術層面防止漏洞變黑洞,也是刻不容緩。“網絡安全為人民、網絡安全靠人民”。國家、社會、企業、個人共同努力,各負其責,讓互聯網成為安全網,我們工作生活才會更放心、更安心。