瑞星：從上海特大個人信息外泄案看企業(yè)安全運維

日前，上海市公安局經(jīng)偵總隊偵破兩起特大個人信息外泄案，抓獲犯罪嫌疑人50余名，查獲各類公民個人信息近2億條。其中，泄露數(shù)十萬嬰兒信息的竟然是上海市衛(wèi)生局數(shù)據(jù)庫的第三方維護人員。據(jù)介紹，犯罪嫌疑人張某是幫助衛(wèi)生局維護數(shù)據(jù)庫的某公司技術(shù)部經(jīng)理，他每個月都從家里訪問衛(wèi)生局新生兒數(shù)據(jù)庫，從中下載私密信息。

除了上海之外，全國各地的公安機關(guān)都在最近開展了打擊侵害個人隱私的專項行動，抓獲相關(guān)犯罪嫌疑人1700余人。據(jù)此項專案的副指揮長、公安部刑偵局副局長廖進榮介紹，被買賣的公民個人信息包括金融、電信、工商等領(lǐng)域，這表明當(dāng)前侵犯公民個人隱私的犯罪非常嚴(yán)重。根據(jù)媒體報道，這些信息很大一部分跟前面提到的上海案例一樣，是由維護核心數(shù)據(jù)庫的第三方外包人員、臨時工等獲取并買賣的。

第三方運維三大安全風(fēng)險解析

瑞星安全專家指出，目前無紙化辦公、電子政務(wù)等技術(shù)逐步成熟，相關(guān)系統(tǒng)的用戶隱私數(shù)據(jù)越來越多地被應(yīng)用起來，導(dǎo)致用戶隱私外泄的危險性加大，各類企業(yè)、單位、組織的核心數(shù)據(jù)庫都處于危險之中。而在傳統(tǒng)運維模式下的第三方外包人員，在對數(shù)據(jù)庫進行維護時，企業(yè)面臨著以下風(fēng)險：

-事前：身份不明確，授權(quán)不清晰。

目前的IT事務(wù)基本采用是項目制，很少有單位有自己的IT運維團隊。從上海市衛(wèi)生局的案例可以看出，即使一線大城市的重要單位，其運維也是外包給第三方公司完成。

作為第三方運維公司，其人員的身份、授權(quán)往往會存在多種問題，比如運維人員可以使用什么等級的賬號、擁有什么權(quán)限、權(quán)限維系的時間多長，如果事先未曾明確規(guī)定，就將帶來運維安全問題。

-事中：操作不透明、過程不可控

媒體報道，上海此次特大公民信息外泄事件中，第三方公司人員在一年多的時間內(nèi)，每個月兩次非法登錄核心數(shù)據(jù)庫，竊取公民隱私信息而未被發(fā)現(xiàn)。在如此長的時間內(nèi)，問題沒有得到暴露，這本身就說明第三方公司在進行IT運維操作的時候操作不透明、過程不可控。而類似的案例在業(yè)界其實并不鮮見。在此情況下，用戶隱私信息的安全，就只能依靠第三方運維人員的操守與職業(yè)道德。很顯然，這種缺乏監(jiān)管的IT運維操作，是帶有巨大風(fēng)險的。

-事后：結(jié)果無法審計、責(zé)任不明確

由于IT運維是個缺乏客觀性標(biāo)準(zhǔn)的行業(yè)，有很多彈性和偶然性因素存在，內(nèi)部系統(tǒng)及人員管理極其混亂，像以致上海衛(wèi)生局案件事發(fā)之后，相關(guān)部門不能及時有效地對失職人員追責(zé)，事后還需投入大量的人力物力進行調(diào)查。

企業(yè)IT安全運維面臨四大挑戰(zhàn)

瑞星安全專家指出，企業(yè)IT運維項目中通常存在四大安全風(fēng)險：

1、賬號管理混亂。在某些系統(tǒng)中，員工之間為方便公務(wù)操作會通用若干共用賬號，而這些為了一時方便的賬號可能給整個系統(tǒng)的安全帶來困擾。當(dāng)系統(tǒng)出現(xiàn)問題時，由于賬號共用，可能導(dǎo)致無法確定責(zé)任人，即使可以確定責(zé)任人也需要較長的時間進行技術(shù)定位。

2、權(quán)限管理混亂。由于一些系統(tǒng)不支持細致的賬號分級，導(dǎo)致員工對于系統(tǒng)的管理權(quán)限十分混亂，這就有可能造成局域網(wǎng)內(nèi)重大的安全隱患。一旦系統(tǒng)中毒，黑客便可以運用系統(tǒng)管理的高級權(quán)限在局域網(wǎng)內(nèi)操作，造成更大的威脅。

3、設(shè)備日志管理混亂。由于系統(tǒng)內(nèi)軟硬件設(shè)備的品牌差異、功能參差不齊，導(dǎo)致各設(shè)備之間不能有效協(xié)作，引發(fā)設(shè)備日志管理混亂，不能為管理者提供有價值的信息。

4、傳統(tǒng)安全審計問題。傳統(tǒng)安全審計對于加密協(xié)議的支持較少，無法審計網(wǎng)內(nèi)的加密內(nèi)容，也無法實現(xiàn)基于IP的安全審計，這就給整個系統(tǒng)審計造成盲區(qū)，無法發(fā)揮應(yīng)有的作用。

小結(jié)——安全運維需“軟硬”兼?zhèn)?/strong>

近年來，用戶隱私泄露已成為嚴(yán)重困擾互聯(lián)網(wǎng)企業(yè)及網(wǎng)上政務(wù)運維機構(gòu)的問題。瑞星安全專家指出，從“軟件”上來說，企業(yè)想要將信息安全方面的風(fēng)險降至最低，就需要一套分工明確，責(zé)任清晰的信息安全管理制度；而從“硬件”上來說，企業(yè)不但需要能夠?qū)\維工作進行監(jiān)管的信息安全產(chǎn)品，同時也需要能夠進行細顆粒度授權(quán)，對運維人員操作權(quán)限進行明確分工、限制的設(shè)施。

目前，針對這兩種需求，瑞星研發(fā)的內(nèi)網(wǎng)審計系統(tǒng)及上網(wǎng)行為管理系統(tǒng)能夠全面的監(jiān)控全網(wǎng)用戶狀態(tài)，而針對在企業(yè)網(wǎng)絡(luò)擁有較高操作權(quán)限的運維人員，瑞星研發(fā)的運維管理審計系統(tǒng)可進行細顆粒度的訪問授權(quán)、操作記錄控制、審計和回放，實現(xiàn)運維過程的事前預(yù)防、事中控制和事后審計，提升企業(yè)網(wǎng)絡(luò)運維安全和管理水平。