最近,博主看到新闻上在报道:上海市公安局经侦总队侦破两起特大个人信息外泄案,抓获犯罪嫌疑人50余名,查获各类公民个人信息近2亿条。其中,泄露数十万婴儿信息的竟然是上海市卫生局数据库的第三方维护人员。据介绍,犯罪嫌疑人是帮助卫生局维护数据库的某公司技术部经理,他每个月都从家里访问卫生局新生儿数据库,并从中下载私密信息……
于是,博主就上网搜索了一下,发现除了上海之外,全国各地的公安机关都在最近开展了打击侵害个人隐私的专项行动,并抓获相关犯罪嫌疑人1700余人。根据公安部相关负责人介绍:被买卖的公民个人信息包括金融、电信、工商等领域,这表明当前侵犯公民个人隐私的犯罪非常严重,而且这些信息很大一部分跟前面提到的上海案例一样,是由维护核心数据库的第三方外包人员、临时工等获取并买卖的。
诚然,现在无纸化办公、电子政务等技术逐步成熟,相关系统的用户隐私数据越来越多地被应用起来,导致用户隐私外泄的危险性加大,使各类企业、单位、组织的核心数据库都处于危险之中。同时,在传统运维模式下的第三方外包人员,在对数据库进行维护时,使用什么等级的账号、拥有什么权限、操作的时候透不透明、过程可不可控,都是企业需要注意的问题。就此来说,企业IT运维项目中通常存在四大安全风险:
账号管理混乱。在某些系统中,员工之间为方便公务操作会通用若干共用账号,而这些为了一时方便的账号可能给整个系统的安全带来困扰。当系统出现问题时,由于账号共用,可能导致无法确定责任人,即使可以确定责任人也需要较长的时间进行技术定位。
权限管理混乱。由于一些系统不支持细致的账号分级,导致员工对于系统的管理权限十分混乱,这就有可能造成局域网内重大的安全隐患。一旦系统中毒,黑客便可以运用系统管理的高级权限在局域网内操作,造成更大的威胁。
设备日志管理混乱。由于系统内软硬件设备的品牌差异、功能参差不齐,导致各设备之间不能有效协作,引发设备日志管理混乱,不能为管理者提供有价值的信息。
传统安全审计问题。传统安全审计对于加密协议的支持较少,无法审计网内的加密内容,也无法实现基于IP的安全审计,这就给整个系统审计造成盲区,无法发挥应有的作用。
由以上就可以看出,用户隐私泄露已成为严重困扰互联网企业及网上政务运维机构的问题。国内某著名网络安全厂商指出:现在企业安全运维已刻不容缓,并且需要软硬结合才能收到良好的效果。从“软件”上来说,企业想要将信息安全方面的风险降至最低,就需要一套分工明确,责任清晰的信息安全管理制度;而从“硬件”上来说,企业不但需要能够对运维工作进行监管的信息安全产品,同时也需要能够进行细颗粒度授权,对运维人员操作权限进行明确分工、限制的设施。
可以这么说,在企业IT运维中,网络行为管理才是是重中之重。