原标题:忧!千万用户社保信息疑遭泄漏之后
——大数据安全隐患显露“冰山一角”
21日,一则经济参考报的报道引起信息安全领域的强烈震动。该报道称,目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。
人们不禁要问,这些信息都是怎样泄露出来的呢?
就此,记者采访了业内相关专家。江苏敏捷科技的数据安全专家张晓波表示,就在人们对大数据极力热捧之时,大数据的安全危机已经逐渐显露,大数据安全隐患的“冰山一角”已经呈现在我们面前了。
来自360公司的统计数据显示,2014年一年中360网站安全检测平台扫描的网站中有65%的网站存在漏洞。这还只是自动化扫描攻击工具发现,还不包含专业的apt攻击。
该公司的技术人员告诉记者,网站是没有绝对安全的。对于信息安全可以毫不夸张地说:“几乎所有的网站都是存在漏洞的,只有我们还没发现的漏洞。”而通过漏洞,就会导致网站的数据被黑,这在行业内叫“拖库”。
他说:“数据泄露的途径主要有三种:善意内部人员、目标性攻击和恶意内部人员、钓鱼盗号。更多情况下,数据泄露的是由上述几种原因共同引发的。例如,目标性攻击通常是由善意的内部人员未遵从安全策略无意中引发,导致数据泄露。或者恶意内部人员泄露出去。”
他进而分析,善意内部人员是指内部人员无意中没有按照安全策略或者工作中的疏忽而引发的数据被泄露。这些数据可能存在于员工的电脑中,也可能存在于服务器上。由于员工安全意识薄弱,信息暴露在外,被黑客发现并被利用。
比如,电子邮件、web邮件和可移动设备已经和人们如影随形。黑客会向被攻击公司的员工发送恶意的电子邮件或者钓鱼邮件,诱使员工点击邮件,植入木马后门或者钓取员工信息,从而进一步入侵公司内部的服务器来获取敏感数据。
还有,当业务流程不当或者过时,会导致数据自动传输到未授权的个人用户或未受保护的系统上。这种情况下,数据很容易遭受到黑客攻击或者恶意内部人员窃取。
更多情况下,由于利益的驱使,另一种黑客目标性攻击越来越趋向于窃取信息。所谓目标性攻击,就是攻击者通过寻找制定目标内的漏洞来入侵系统,获取数据信息。或者通过自动扫描互联网上存在漏洞的服务器来获取敏感数据。
目前流行的获取数据的攻击手段主要包含:SQL注入攻击、命令执行、暴力破解、撞库攻击、文件上传漏洞、弱口令、未授权访问配置不当。
近年来,恶意内部人员导致数据泄露的事件也在不断增加。
专家表示,企业窃取信息的内部人员所引发的数据泄露主要有三类:白领犯罪、已经离职的员工和商业间谍。
在当前的白领犯罪案件中,员工为了获取身份信息故意窃取信息而私自贩卖销售给竞争对手或者不法分子占了很大的比例。通常情况下,为谋取个人利益而滥用信息访问权限的公司内部人员从事这类犯罪。
被解雇的员工在离职时通常还会有保留各种权限,导致他们还可以访问许多机密信息,由于情绪不满而故意泄露数据或者将其数据带走。
而对于商业间谍,都有非常强的目的性。他们来公司工作主要是为了窃取该公司的数据信息。还有一部分恶意员工为了跳到竞争对手公司,将公司信息提供给跳槽的公司。
360的专家称,自2004年以后,盗号木马开始盛行。由于利益的驱使,盗号已经形成了一条完整的黑色链条。盗来的账号和密码信息按照等级、金钱等内容进行分类并打包来进行销售。这些账号密码信息在2010年以后开始陆续被发布到网络上。
同时,网络钓鱼的技术也在不断升级。钓鱼信息通常也会进行打包来进行销售或者直接进行洗号,或者用来渗透企业内部。
由此,近年来国内以及国际上数据泄露的事件越来越多,而且对应泄露的数据量也是异常惊人。超出大家想象的是很多被大家熟知的一些互联网大公司也会出现这样多的漏洞。
据补天漏洞响应平台对这几年中国互联网泄露的数据统计,到目前为止,数据泄露数量达到11.2亿,可泄露的数据量已达到23.6亿。
数据作为“隐形资产”,其价值已被大家公认,而如何保护好大数据就成为政府、企业乃至个人和全社会首先要考虑的问题。
敏捷科技张晓波表示,目前的信息安全市场上,大数据、云服务产品鱼龙混杂,即使是一些国际品牌也存在“漏洞门”。
他说:“防患未然要从源头入手,要把补漏防泄制度化。要选用有效的安全产品和技术手段作保障。敏捷科技的DG采用特别的操作系统内核技术、高强度的加密算法、灵活易用的安全策略,确保了从‘根源’上对数据进行全方位保护。并兼容多种云中心设备,降低云中心升级改造成本,更加全面地解决大数据安全问题,推动大数据与云计算更加良性地融合和发展。”
互联网的虚拟世界,实际上是物理世界的映像。现实社会存在的各种犯罪和不良行为在虚拟世界里都有相应的反映。道高一尺魔高一丈。信息安全是一个互联网永恒的沉重课题。(科技日报北京4月22日电)