瑞星2012年中國信息安全綜合報(bào)告
2013-01-23 10:09:49三、個(gè)人隱私信息安全
瑞星安全專家介紹,隨著幾起重大網(wǎng)絡(luò)泄密事件的發(fā)生,個(gè)人隱私信息泄露問題已成為社會(huì)焦點(diǎn),國家有關(guān)部門對(duì)此高度重視,并于2012年底頒布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。在本年度的《瑞星2012年中國信息安全綜合報(bào)告》中,瑞星根據(jù)對(duì)黑客、信息販賣團(tuán)伙等不法組織的跟蹤分析,首次在國內(nèi)揭露公民個(gè)人隱私信息完整的地下產(chǎn)業(yè)鏈。
圖13:國內(nèi)個(gè)人隱私信息地下產(chǎn)業(yè)鏈
(一)隱私信息買賣及非法遠(yuǎn)程監(jiān)控工具泛濫
1.?隱私信息成為不法分子的生財(cái)之道
近年來,各種垃圾短信、推銷電話已成為大多數(shù)人日常生活中無法回避的煩惱。進(jìn)入2012年,這類現(xiàn)象呈愈演愈烈的趨勢(shì)。據(jù)了解,個(gè)人姓名、住址、E-mail地址、聯(lián)系電話甚至是身份證號(hào)碼、駕照信息和車輛行駛證信息等都可以在網(wǎng)上買到。
圖14:非法提供個(gè)人隱私信息的廣告郵件及QQ群
“一套隱私信息可以反復(fù)售賣,這種生意一本萬利,所以誘惑性極大。”瑞星安全專家介紹,黑客利用社會(huì)工程學(xué)原理及許多現(xiàn)代化手段大量套取用戶信息,然后將這些信息賣給“下家”,而“下家”則利用自己手上的資料群發(fā)短信或者利用郵件渠道推銷這些隱私信息。同時(shí),他們還會(huì)在網(wǎng)上公開發(fā)布廣告,使用搜索引擎或者聊天工具也可以搜索到他們。
2.?非法遠(yuǎn)程控制軟件盜取私密信息
相較于大面積的個(gè)人身份信息泄露,非法遠(yuǎn)程控制軟件則成為了個(gè)人機(jī)密信息的泄露源頭。報(bào)告期內(nèi),瑞星“云安全”系統(tǒng)就攔截到不少專門提供監(jiān)聽軟件的網(wǎng)站。與正規(guī)的遠(yuǎn)程協(xié)助軟件及企業(yè)信息安全監(jiān)控系統(tǒng)不同,該類遠(yuǎn)程控制軟件會(huì)采取一些不正當(dāng)?shù)氖侄我?guī)避殺毒軟件的監(jiān)測(cè),同時(shí)還會(huì)修改被監(jiān)控電腦的系統(tǒng)日志,以實(shí)現(xiàn)“隱身”的目的。
圖15:非法遠(yuǎn)程控制軟件銷售網(wǎng)站
瑞星安全專家指出,“這類軟件多數(shù)都是帶有惡意的遠(yuǎn)程控制程序,它能由監(jiān)聽者強(qiáng)制安裝在被監(jiān)聽的電腦上,并監(jiān)視對(duì)方的所有動(dòng)作。有些甚至可以讀取、修改或轉(zhuǎn)移對(duì)方電腦上的任意文件,并強(qiáng)制開啟攝像頭。最近出現(xiàn)多起名人隱私照片、視頻泄露的事件,跟該類軟件的盛行不無關(guān)系。”
(二)公民個(gè)人隱私信息泄露原因分析
1.?APT攻擊及網(wǎng)絡(luò)釣魚成為信息泄露的重要源頭
目前,套取個(gè)人身份信息的方法主要有兩種——APT攻擊及網(wǎng)絡(luò)釣魚。現(xiàn)今,大多數(shù)網(wǎng)站都要求用戶提供一些必要的個(gè)人身份信息,才能使用某些擴(kuò)展性服務(wù)。而黑客看重的正是存儲(chǔ)該類信息的企業(yè)服務(wù)器。通常,他們會(huì)花費(fèi)幾天到幾個(gè)月不等的時(shí)間,對(duì)目標(biāo)服務(wù)器進(jìn)行滲透,然后找到該服務(wù)器的系統(tǒng)漏洞,進(jìn)而獲取服務(wù)器的控制權(quán)限,盜取數(shù)據(jù)庫內(nèi)的重要資料。網(wǎng)絡(luò)釣魚則是仿冒一些知名網(wǎng)站,再利用社會(huì)工程學(xué)原理,誘騙用戶在網(wǎng)站上填寫個(gè)人信息。瑞星安全專家指出:“無論是APT攻擊還是網(wǎng)絡(luò)釣魚,都可以大量獲取個(gè)人身份信息,造成大規(guī)模隱私信息泄露。”
2.?第三方外包泄密風(fēng)險(xiǎn)大,涉密人員素質(zhì)參差不齊
目前,無紙化辦公、電子政務(wù)等技術(shù)逐步成熟,用戶的個(gè)人信息被大量采集用于公共事業(yè)管理及服務(wù)行業(yè)。許多單位、組織,在維護(hù)這些信息系統(tǒng)的時(shí)候,都選擇雇傭第三方外包公司。然而,這樣做雖然節(jié)省了人力、物力,卻使得用戶隱私外泄的危險(xiǎn)性加大,各類企業(yè)、單位、組織的核心數(shù)據(jù)庫都處于外包公司的管控之中。
與此同時(shí),從行業(yè)角度上講,近年來我國的互聯(lián)網(wǎng)技術(shù)發(fā)展極快,市場(chǎng)規(guī)模也呈幾何式增長(zhǎng),然而從業(yè)人員的職業(yè)素養(yǎng)卻一直落后于行業(yè)發(fā)展速度。2012年爆發(fā)的上海特大個(gè)人信息泄露案就是一個(gè)典型的例子:涉案人員張某是承接衛(wèi)生局?jǐn)?shù)據(jù)庫維護(hù)的運(yùn)維公司技術(shù)部經(jīng)理,他利用工作之便,每個(gè)月都會(huì)從家里訪問衛(wèi)生局?jǐn)?shù)據(jù)庫,從中下載大量用戶隱私信息,并將這些信息轉(zhuǎn)手倒賣給他人。
除此之外,近年來全國各地的公安機(jī)關(guān)都開展了打擊侵害個(gè)人隱私的專項(xiàng)行動(dòng),抓獲相關(guān)犯罪嫌疑人1,700余人。由此可見,提高涉密人員職業(yè)素養(yǎng)、加強(qiáng)企業(yè)信息安全管理制度的建設(shè)已經(jīng)迫在眉睫。
3.?信息安全防護(hù)意識(shí)普及率低
雖然部分業(yè)內(nèi)人士表示,目前殺毒軟件的普及率已經(jīng)超過90%,然而信息安全現(xiàn)狀卻并不樂觀。“其中一個(gè)重要的原因是信息安全防護(hù)意識(shí)薄弱”,瑞星安全專家指出,目前無論是個(gè)人用戶還是中小型企業(yè)用戶,普遍對(duì)信息安全保護(hù)缺乏正確認(rèn)識(shí)。許多個(gè)人用戶認(rèn)為,只要安裝了殺毒軟件或者防火墻,就可以高枕無憂。但是,互聯(lián)網(wǎng)環(huán)境卻時(shí)時(shí)變化,近年來網(wǎng)絡(luò)釣魚愈演愈烈,各種詐騙手段更是層出不窮,網(wǎng)民稍不小心就會(huì)誤入不法分子設(shè)下的圈套,被套取隱私信息。
而對(duì)于企業(yè)用戶來說,許多企業(yè)為了節(jié)約運(yùn)營成本,只安裝免費(fèi)的個(gè)人版殺毒軟件,這是相當(dāng)危險(xiǎn)的,尤其是一些對(duì)保密性要求較高的行業(yè)。因?yàn)閭€(gè)人版殺毒軟件無法解決病毒在企業(yè)內(nèi)網(wǎng)交叉感染的問題,更不可能對(duì)病毒大面積爆發(fā)、ARP攻擊等重大安全事件進(jìn)行追蹤定位,甚至就連簡(jiǎn)單的殺毒軟件升級(jí)都不可能做到全網(wǎng)統(tǒng)一。在這種情況下,員工一個(gè)小小的違規(guī)操作就有可能給黑客帶來可乘之機(jī)。一旦企業(yè)內(nèi)網(wǎng)遭到入侵,所有存儲(chǔ)于IT設(shè)備上的數(shù)據(jù)就將暴露給黑客。
(三)隱私信息泄露帶來嚴(yán)重危害
1.?個(gè)人身份信息泄露恐導(dǎo)致嚴(yán)重后果
“垃圾短信和騷擾電話并不是最嚴(yán)重的后果。”瑞星安全專家指出,不法分子有可能利用網(wǎng)民的身份證號(hào)碼、復(fù)印件、電子掃描件等信息冒名申請(qǐng)電話卡或信用卡,并惡意透支。除此之外,像汽車駕駛證、行駛證等信息,也可能被不法分子利用偽造“套牌車”。屆時(shí),該“套牌車”的所有違法行為,均將記錄在被“套牌”的車主名下。
2.?大規(guī)模數(shù)據(jù)泄露今后將嚴(yán)重影響企業(yè)生存
在信息化時(shí)代的今天,企業(yè)間的競(jìng)爭(zhēng)愈加激烈,用戶群已成為許多企業(yè)的生存命脈。用戶資料一旦泄露,企業(yè)所面對(duì)的不止是同行業(yè)的爭(zhēng)搶瓜分,還將面臨來自公眾的信任危機(jī)。同時(shí),對(duì)于很多靠虛擬貨幣盈利的互聯(lián)網(wǎng)企業(yè)來說,用戶資料的失竊很有可能意味著用戶賬號(hào)內(nèi)的虛擬財(cái)產(chǎn)被濫用,企業(yè)也將面臨巨大的經(jīng)濟(jì)損失。
(四)立法保護(hù)才是個(gè)人信息泄漏的根本解決之道
從2012年國內(nèi)發(fā)生的幾起個(gè)人信息大規(guī)模泄露事件上可以看出,互聯(lián)網(wǎng)行業(yè)需要一個(gè)明確的法律規(guī)定來約束公民個(gè)人信息的收集者及相關(guān)涉密從業(yè)人員。同時(shí),為從根本上震懾非法竊取個(gè)人信息的不法分子,網(wǎng)絡(luò)實(shí)名制也勢(shì)在必行。有業(yè)內(nèi)人士指出:盜取個(gè)人隱私信息的不法分子,在網(wǎng)上從事非法活動(dòng)時(shí)多沒有登記真實(shí)信息,這些人不在公安機(jī)關(guān)的監(jiān)控當(dāng)中,導(dǎo)致一旦出現(xiàn)個(gè)人信息泄露事件,執(zhí)法機(jī)關(guān)往往面臨取證難、查處難的困境,對(duì)該類事件的處理效率也會(huì)隨之大打折扣。
為解決上述問題,人大常委于2012年12月28日通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。決定明確了一個(gè)重要原則,就是國家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。同時(shí),該決定還對(duì)個(gè)人信息收集者的義務(wù)作了多項(xiàng)規(guī)定。這對(duì)肅清行業(yè)秩序,建立行業(yè)規(guī)范,引導(dǎo)行業(yè)健康有序發(fā)展,起到了至關(guān)重要的作用。
