金融业个人信息安全保护分析与应对(上篇、下篇)
金融科技对个人隐私保护的挑战与对策分析
金融科技对个人隐私保护的挑战与对策分析近年来,随着金融科技的迅猛发展,个人隐私保护面临着前所未有的挑战。
以人工智能、大数据分析和区块链技术为代表的金融科技应用,对个人隐私的采集、使用和保护提出了新的问题和难题。
本文将从不同角度分析金融科技对个人隐私保护的挑战,并提出相应的对策。
首先,金融科技的快速发展使得个人隐私保护面临着信息收集的巨大挑战。
随着金融科技应用的普及,越来越多的个人敏感信息被大数据分析公司收集、整合和分析,而无论是在线支付、消费者信用评估还是互联网借贷等金融服务领域,个人隐私信息都已成为了商业化的重要资源。
这就要求金融科技企业加强对个人信息的保护,建立健全的安全管理制度,限制和精确授权数据的采集和使用,并完善相关立法,加大对违规行为的处罚力度。
其次,金融科技的广泛应用带来了个人隐私泄露的风险。
以区块链技术为例,虽然其具有去中心化、不可篡改等特点,但在实际应用过程中,由于个人身份信息的存储和传输环节存在漏洞,依然面临黑客攻击和个人隐私泄露的风险。
因此,金融科技企业应强化对区块链技术安全性的研究和投入,通过技术手段加密个人隐私信息,确保信息存储和传输的安全性;同时,加强对员工的安全教育和管理,提高员工的安全意识和技能,减少内部人员的数据泄露风险。
此外,金融科技的大数据分析对个人隐私保护带来了新的挑战。
大数据分析作为一种强大的工具,可以从海量数据中获取个人的隐私信息,从而对个人进行精确的画像和分析。
例如,通过个人的消费数据、社交网络信息等,可以准确推测个人的借贷能力和信用状况,这对于个人隐私权的侵犯是不可忽视的。
因此,对于大数据分析的应用,金融科技企业应建立明确的隐私保护规则,对个人数据的采集和使用进行限制,确保数据使用的合法性和合理性,并接受独立第三方的监督和审核。
最后,金融科技对个人隐私保护的挑战还体现在监管和立法方面。
当前,金融科技的快速发展远远超过了监管和法律制度的跟进。
个人隐私保护相关的法律法规尚不完善,监管部门的力量和手段也相对薄弱。
关于银行个人金融信息保护排查报告
关于银行个人金融信息保护排查报告1. 前言个人金融信息保护是银行业务运营中的重要环节,也是银行对客户个人信息保密的法律职责。
为了确保客户的个人金融信息安全,本报告对银行个人金融信息保护进行了全面排查和分析,并提出了改进意见。
2. 信息安全管理体系建设情况银行已建立了信息安全管理体系,并根据国家相关法律法规要求,制定了信息安全管理制度和操作规程。
但是在实际运营过程中,存在一些问题,比如员工对信息安全意识不够强,缺乏相关培训等。
建议加强员工培训,提高信息安全意识。
3. 个人金融信息收集和处理情况银行在个人金融信息收集和处理过程中采取了一系列措施,包括制定了信息收集和处理流程,建立了安全的信息系统等。
但是在操作过程中,仍存在一些问题,比如信息收集时未经客户同意,信息处理时缺乏必要的安全控制等。
建议完善信息收集和处理流程,规范操作行为。
4. 个人金融信息存储和传输情况银行已建立了安全的个人金融信息存储和传输系统,采取了一系列物理和技术措施保护信息安全。
但是在实际操作中,仍存在一些问题,比如存在信息泄露的风险,传输过程中缺乏必要的加密保护等。
建议加强信息存储和传输的安全措施,确保信息安全性。
5. 个人金融信息使用和共享情况银行对个人金融信息的使用和共享进行了严格的管理,仅在必要情况下才进行使用和共享,并与相关部门签署了保密协议。
但是在实际操作中,仍存在一些问题,比如信息使用和共享未经客户同意,共享信息未经过滤等。
建议加强对信息使用和共享的监管,确保客户信息被合法使用。
6. 个人金融信息保护意识情况银行已开展了一系列个人金融信息保护宣传教育活动,提高了客户和员工的保护意识。
但是在实际操作中,仍存在一些问题,比如客户密码管理不规范,员工对信息保护政策的理解不充分等。
建议加强客户和员工的信息保护意识教育,提高信息保护能力。
7. 结论通过对银行个人金融信息保护的排查,可以看出银行在信息安全管理体系建设、个人金融信息收集和处理、个人金融信息存储和传输、个人金融信息使用和共享以及个人金融信息保护意识等方面存在一些问题。
金融行业的个人信息保护与资金安全
金融行业的个人信息保护与资金安全一、金融行业个人信息保护的现状随着互联网技术的飞速发展,金融行业与信息技术紧密结合,个人信息在金融交易中起到了重要作用。
然而,在金融行业中,个人信息的保护一直是一个严峻的挑战。
近年来,金融领域频繁曝出数据泄露、信用卡盗刷等事件,给广大用户带来了巨大损失。
因此,加强个人信息保护,在确保资金安全的前提下维护用户权益成为亟待解决的问题。
目前,我国已经有相关法律法规对金融行业的个人信息保护做出了明确规定。
《中华人民共和国网络安全法》、《中华人民共和国电子商务法》等法律文件对个人信息采集、存储、传输和使用等方面进行了详细规定,并对违反规定者给予相应处罚。
此外,监管机构也发布了一系列指导意见和规范性文件,鼓励企业加强个人信息保护工作。
二、金融行业个人信息保护所面临的挑战尽管相关法律法规不断完善,金融行业个人信息保护仍然面临一系列挑战。
首先,技术手段跟不上。
随着互联网技术的日新月异,黑客攻击手段也越来越多样化和隐蔽化。
传统的个人信息保护手段已经无法满足日益增长的安全需求,制定更加高效、全面的技术保障措施势在必行。
其次,金融企业对于个人信息保护意识和能力的不足。
由于金融业务复杂多样,在开展业务的同时很容易忽略信息安全管理。
金融机构需要增强员工培训和教育力度,提高他们对个人信息保护重要性的认识,并加强内部管理以防止数据泄露等风险。
此外,存在信息共享和合作机制不健全的问题。
金融行业构建统一、标准的个人信息切换和共享平台十分迫切,这将有助于提高各机构之间的信任度,并有效遏制非法获取个人信息的行为。
三、加强金融行业个人信息保护策略为了解决上述问题,金融行业需要制定一套完善的个人信息保护策略。
首先,建立全面健全的信息安全管理制度。
金融机构应该建立起适合自身特点的信息安全风险评估与控制机制,并通过定期监测和评估来发现和修正潜在的安全风险。
在技术层面,可以采用加密、隐私保护等手段来防止个人信息被非法获取、篡改或泄露。
个人信息保护对金融行业的影响评估与应对策略
个人信息保护对金融行业的影响评估与应对策略随着数字化时代的到来,个人信息保护成为千家万户以及企业界最为关注的话题之一。
尤其对于金融行业而言,个人信息的安全与保护显得尤为重要。
本文将对个人信息保护对金融行业的影响进行评估,并提出相应的应对策略。
首先,个人信息保护对金融行业的影响主要体现在以下几个方面。
1. 法律与合规要求:保护个人信息已成为多个国家和地区的法规标准,金融机构必须遵守相关的隐私与数据保护法律法规。
不合规将面临严重的法律责任和金融惩罚。
因此,金融机构需要加强自身合规能力,建立符合法律要求的个人信息保护制度。
2. 用户信任与声誉:金融机构的核心资产是其客户信任和声誉。
如果金融机构无法保护客户的个人信息安全,用户将失去信任,导致客户流失和声誉受损。
因此,金融机构应积极采取措施,保护客户的隐私权,建立良好的社会声誉。
3. 数据安全风险:金融机构管理着大量的个人数据,包括银行账户信息、信用卡信息、投资组合等。
若个人信息受到泄露、盗用或攻击,将导致财产损失以及客户个人声誉和信用受到严重损害。
因此,金融机构需要增强信息技术安全能力,采取严格的数据安全措施,确保客户数据的安全性与机密性。
那么,金融机构应如何应对个人信息保护对其带来的挑战呢?以下是一些应对策略的建议。
1. 建立全面的个人信息保护框架:金融机构应制定相应的隐私政策和个人信息保护制度,确保遵守相关的法律法规,并向客户通知其个人信息收集和使用的方式与目的。
同时,金融机构需要对内进行培训,提高员工的隐私保护意识和专业知识水平。
2. 引入先进的技术手段:尤其是在数据存储与传输方面,金融机构可以采用加密技术、访问控制、身份验证等先进技术手段,确保个人信息的机密性和完整性。
此外,还可以考虑使用人工智能和大数据分析来监测异常活动和识别潜在的安全风险。
3. 与第三方开展合作:金融机构可以与专业的信息安全公司合作,共同开发安全解决方案,确保个人信息的保护。
互联网金融行业中的个人信息保护与数据安全
互联网金融行业中的个人信息保护与数据安全互联网金融行业中的个人信息保护与数据安全随着互联网金融行业的迅猛发展,个人信息保护和数据安全问题备受关注。
在互联网金融的发展过程中,保护用户的个人信息和确保数据的安全成为了至关重要的问题。
本文将探讨互联网金融行业中的个人信息保护与数据安全,并提出相应的解决方案。
一、背景介绍互联网金融行业指的是利用互联网技术进行金融活动的行业,包括了互联网支付、互联网借贷、互联网保险等多个领域。
随着互联网金融的快速发展,越来越多的人将个人信息输入到互联网金融平台,而这些个人信息的泄露和数据的被盗用风险也相应增加。
二、问题描述个人信息保护和数据安全是互联网金融行业中面临的关键问题。
如何保护用户的个人信息,防止个人信息被泄露和滥用,是互联网金融企业以及相关部门亟需解决的难题。
同时,数据的安全性也是一个重要的议题。
保护数据的安全,防止黑客入侵和信息泄露,对于互联网金融行业的稳定和发展至关重要。
三、解决方案1. 加强技术保障互联网金融企业应加强技术保护措施,使用高级加密算法等技术手段,确保用户个人信息在传输和存储过程中的安全性。
此外,建立完善的防火墙和数据监控系统,及时发现和处置安全漏洞,提高互联网金融行业的整体安全水平。
2. 完善法律法规政府应加强互联网金融行业的监管,完善个人信息保护的法律法规。
建立相应的法律体系,对于个人信息的收集、使用、存储等行为进行规范,明确互联网金融企业应承担的责任和义务。
加大对于违法行为的处罚力度,形成有力的威慑机制。
3. 提高用户意识互联网金融用户应提高自我保护意识,避免将个人信息泄露给不可信赖的平台。
在使用互联网金融服务时,慎重选择平台,注意查看平台的隐私政策和数据使用规定。
此外,用户应定期更改密码,避免使用简单密码,确保个人账户的信息安全。
4. 加强合作监管互联网金融企业应加强与相关监管机构的合作,共同维护个人信息的保护和数据的安全。
建立健全的监管机制,加大对互联网金融企业的监管力度,及时发现和处理安全风险,确保互联网金融行业的良性发展。
金融业中的个人信息保护措施
金融业中的个人信息保护措施个人信息保护在金融业中的重要性及措施一、引言随着数字化时代的到来,金融业不断创新,个人信息的处理和使用在金融领域中显得尤为重要。
然而,随之而来的风险也随之增加,个人信息的泄露和滥用问题日益引起人们的关注。
本文将探讨金融业中个人信息保护的重要性,以及相关的措施。
二、个人信息保护的重要性金融业是高风险领域,涉及大量的个人敏感信息。
个人信息的泄露可能导致身份盗窃、金融欺诈、信用卡欺诈等违法犯罪行为,给个人和社会带来严重损失。
因此,保护个人信息是金融业不可忽视的重要任务。
1. 个人隐私权保护的法律法规个人信息保护的法律法规是确保个人隐私权得到保护的重要基础。
在中国,个人信息保护法规体系已初具规模,包括《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等。
金融机构应遵守这些法律法规,确保个人信息的收集、使用和保护符合法律的要求。
2. 建立健全的内部管理体系金融机构应建立健全个人信息保护的内部管理体系,包括明确的岗位责任、权限分配、操作流程等。
通过培训员工和制定相应的规章制度,提高员工的个人信息保护意识和专业水平。
此外,金融机构还应制定应急预案和演练,以应对个人信息泄露等安全事件。
三、金融业中的个人信息保护措施为了保护个人信息安全,金融业采取了一系列措施来规范个人信息的收集、存储和使用。
1. 加密技术的应用金融机构在个人信息的存储和传输过程中,应采用加密技术,对个人信息进行加密处理。
这样可以增强信息的安全性,防止个人信息在传输或存储过程中被非法获取。
2. 多重身份验证金融机构在进行交易和开户等操作时,应采用多重身份验证方式,如密码、指纹识别、短信验证码等。
通过多重验证,可以降低非法访问和身份盗窃的风险,并提高个人信息的安全性。
3. 建立信息披露制度金融机构应建立个人信息披露制度,明确告知个人信息的收集目的、存储和使用方式,并经过个人同意。
同时,金融机构还应及时向公众披露个人信息保护和数据安全措施,增加透明度,提高公众对个人信息保护的信任。
金融行业中的信息安全隐患及整改建议
金融行业中的信息安全隐患及整改建议一、引言随着互联网和数字化技术的快速发展,金融行业面临着日益复杂和智能化的信息安全挑战。
本文将深入探讨金融行业中存在的信息安全隐患,并提出相应的整改建议,以保护金融数据和用户权益。
二、金融行业中的信息安全隐患1. 数据泄露风险:个人身份信息、财务数据等关键数据存储在金融机构系统中,一旦遭受黑客攻击或内部员工的犯罪行为,可能导致敏感信息泄露。
2. 恶意软件威胁:恶意软件如病毒、木马和勒索软件等对金融机构网络进行渗透,危害存款账户、交易系统等重要业务运作。
3. 社交工程攻击:通过伪装成合法机构或员工,诈骗用户敏感信息及资产;或者欺骗员工提供核心系统权限等器官。
4. 供应链攻击:攻击者通过篡改供应链中组件或软件的方式,渗透金融机构系统,并获得访问系统的权限,从而造成信息安全风险。
5. 人员安全意识不足:员工在处理敏感数据或使用内部系统时将他们暴露给入侵、社交工程和其他形式攻击行为。
三、整改建议1. 提升安全意识培训:金融机构应加强内部培训,提高员工对信息安全的认知,并加强与员工合作以及第三方供应商之间的沟通与合作。
该培训应包括如何识别恶意软件、如何避免社交工程攻击等内容。
2. 强化身份验证:采用多因素身份验证来限制非授权用户的访问;同时,建立严格的管理流程和监测机制,确保唯一标识符(例如ID和密码)只在必要时才被分发和使用。
3. 加密数据传输与存储:加密技术可有效保护信贷卡号、个人资料等信息,在数据传输过程中可以使用安全套接字层(SSL/TLS)协议,存储时可以使用加密算法。
4. 定期演练与测试:金融机构应定期进行网络攻击模拟演练,以检验安全系统的有效性。
同时,还应定期进行渗透测试,并修复发现的漏洞。
5. 监测与响应系统:金融机构应部署安全信息与事件管理系统(SIEM),对异常活动进行监测和分析,并及时采取措施回应和恢复操作。
6. 加强供应链安全:建立完善的供应商审查流程,确保在金融机构内部网络中使用的软件和硬件都是可信任且经过安全检查的。
个人金融信息保护情况汇报
个人金融信息保护情况汇报
近年来,随着互联网金融的快速发展,个人金融信息泄露和被
盗用的案例屡见不鲜,给广大市民的财产安全带来了严重威胁。
为
了更好地保护个人金融信息安全,我对自身的金融信息保护情况进
行了汇报和总结。
首先,我对自己的金融信息保护意识进行了提升。
我意识到个
人金融信息的重要性,明白了一旦泄露可能带来的严重后果。
因此,我在日常生活中更加谨慎地处理个人金融信息,不轻易向他人透露
自己的银行卡号、密码等重要信息,避免信息被不法分子利用。
其次,我加强了个人金融信息的保护措施。
我定期更改银行卡
密码,避免使用过于简单的密码,同时也安装了防火墙和杀毒软件,加强了个人电脑和手机的信息安全防护。
在进行网上交易时,我也
会选择正规可靠的平台进行,避免上当受骗。
另外,我还定期对个人金融信息进行审查和整理。
我会定期查
看银行流水账单,及时发现异常交易并及时报告银行进行处理。
同时,我也会清理手机和电脑中的个人金融信息,避免被不法分子利用。
最后,我还通过学习提升了个人金融信息保护的知识和技能。
我会关注一些金融信息保护的相关文章和资讯,了解最新的防范措施和案例,以便及时调整自己的保护措施。
综上所述,个人金融信息保护是一项重要的工作,关系到每个人的财产安全。
我将继续加强对个人金融信息保护意识的培养,不断完善个人金融信息保护措施,以确保自己的金融信息安全,避免不法分子的侵害。
希望大家也能够重视个人金融信息保护,共同营造一个安全的金融环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
金融业个人信息安全事件分析与应对摘要:本文针对当前发生的个人信息泄露事件,从金融安全的角度分析个人信息保护方面的现状,提出银行类金融企业应对信息安全的策略与个人信息安全保护建设的解决方案。
关键词:个人信息、隐私保护、安全方案上篇:个人信息泄露安全事件分析在信息安全领域中,个人信息的安全保护是一个关系到个人、企业、国家各方利益的综合性问题,个人信息泄露事件已经在社会上产生了巨大的影响,因此在国家、行业和企业层面加强对个人信息的保护势在必行,分析这些个人信息安全事件,可以为我们进一步的进行保护提供良好的基础。
以下几部分总结近期个人信息泄露的事件,深入分析事件对我们进行安全保护的启示。
1、个人信息大规模泄露社会影响巨大个人信息泄密事件已经引起了巨大的社会影响,从2011年底披露在媒体上的各种信息来看泄露事件被集中的揭露出来,而且至今还在不断的发展过程中,关于这个事件综合各方媒体的报道,我们可以大致梳理一下发生发展的脉络如下:2011年网站“泄密”事件12月21日知名程序员网站CSDN的一份用户数据库由于未查明原因被曝光,包含超过600万个注册邮箱账号和对应明文密码。
12月22日网友爆料游戏网站多玩网有800万用户资料被泄露。
同日,网上还流传着疑似人人网、猫扑、7K7K等多个网站的用户信息库。
12月25日天涯社区4000万用户账号和密码被泄露,天涯表示“天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据”。
12月27日京东商城在某些业务上存在用户权限控制不当的漏洞,导致用任意用户登录后都可以访问到所有用户的姓名、地址、电话、Email等。
12月28日当当网消息称,当当网1200万全字段用户资料已泄露,经过验证可确认为是当当网用户。
爆料者称,目前这些数据已经在黑市上流通。
12月29日过千万的支付宝用户的账号被泄露,支付宝回应称“单纯的支付宝账号不是私密信息,对用户资金安全没有任何威胁”。
12月30日据互联网资讯平台挨踢客的消息称,网友向挨踢客爆料,国内多家银行的用户数据已经泄露,其中包括交通银行7000万和民生银行3500万用户。
根据网友提供的部分信息截图,泄露数据的银行包括交通银行、民生银行、工商银行等,数据包含了用户的姓名、卡号、密码等敏感信息。
后交通、工商、民生银行否认用户资料外泄。
12月31日技术漏洞致广东444万余条出境申请信息泄露一时间看到这些消息的人变得人人自危,都在担心自己的信息与密码是否已被泄露,2012在不安中降临了。
信息安全的问题变成了热门话题,甚至一些号称资深“黑客”的人也频频出现在媒体上,以各种耸人听闻的表述为事件推波助澜,引出无数眼球,激起大家无限的好奇心。
2、个人信息保有者互联网金融企业身陷其中各种信息表明个人信息的泄露已经成为不争的事实,而泄露的源头出自各互联网企业,互联网企业在其发展的过程中,为了争夺和绑定互联网用户,采取的手段可以说是花样百出,无所不用其极,在这个过程中,它们逐渐地积累了大量的客户资源,这些信息动辄数以百万计。
而关于这些个人信息或个人资料本身一时间也成为运营者获利的工具,而从来没有想到对个人信息妥善保护的问题。
互联网企业对安全的忽视造成了当前的局面。
思想:《易经-系辞传》“君不密则失臣,臣不密则失身,机事不密则害成。
是以君子慎密而不出也。
”释义:作为一个行业或企业的领导者,如果不懂得保守秘密则会丢失声望与信誉,如果一个个人不能保守个人的秘密则人身安全就失去保障,如果我们从事的业务不能为用户保守秘密,就会对业务的开展和运营造成伤害。
所以作为一个负责任的人应当谨慎保密而不泄露,而对企业或机构而言审慎地保护个人隐私信息不泄露应是非常重要的。
事件的蔓延使多家银行也要频频出面澄清并非是自己业务系统的信息泄露,但公众的担心却集中在金融账户保密和网上金融交易安全上,原因一方面是银行系统中存在的是实实在在的真实个人信息而非虚拟信息,另一方面银行系统中保存着用户的真金白银而非虚拟货币,再则,这也和近年银行卡大量发卡,网上转账、网上支付业务迅速增长等因素密切相关。
如何让人们树立对金融银行系统的安全的信任是一个长期的课题。
3、金融银行业面临着巨大的冲击作为最为直接与明确的责任者,银行业特别是网上银行系统是这次事件受冲击最严重的部分之一。
网上银行系统为用户提供了方便快捷的金融服务,同时也蕴含了多种信息安全的风险因素。
思想:《论语·季氏篇》“虎兕(sὶ)出于柙,龟玉毁于椟中,是谁之过欤?”“典守者不得辞其责。
”。
释义:老虎和犀牛从笼子里跑出来,龟甲和玉器在匣子里被毁坏,这是谁的过错呢?答案是负责看守的人难辞其咎。
而如果是用户个人信息泄露了又要谁来负责呢?答案是负责保守这些信息的企业自身。
这类冲击同样可能来自不同的层面,有心理的,技术的,管理的,也不排除有传导性的影响发生。
a、用户对网银的信任产生危机,可能产生客户流失如果我们把着眼点专注于银行网银交易系统进行分析,则最大的冲击应当是由于用户对系统安全性的信任丧失,导致现有客户对利用网上服务产生疑虑,而潜在客户则不再开通网上服务项目了。
尤其是大量对信息技术知之不多的普通用户,更是宁可采取等待的心态。
这也就导致,网银系统是直接由于这轮安全事件导致业务影响的一类系统。
b、黑客获得武器会增加攻击,防御成本增加;大量用户密码库的泄露导致的另一个影响是对用户密码设置习惯的分析和利用增加,通过已有的密码可以掌握或猜测用户其它账户的密码,黑客有了这样的武器,对网银账户的“撞库”测试有可能增加,针对这些情况银行系统的防御成本大大增加了。
c、第三方与网银间依赖度降低,业务开展不顺;与网银存在多种业务联系的第三方支付系统在这次事件中也倍受冲击,网银与支付系统的接口成为一个比较关键的边界,其信任机制,依赖关系需要进一步改进增强。
在第三方支付受影响的情况下,银行业务的开展也相应地会受到或多或少的影响。
D 、面临内部安全管理课题,安全体系受考验。
堡垒通常是最容易从内部攻破的,从内部管理的角度,银行对客户个人信息保护的问题也是一个非常棘手的课题。
从现在的情况分析,大部分银行还没有明确的个人隐私保护的管理规定和可行的操作规范。
银行内部对客户资料的控制还存在一些管理上的问题。
【银行职员称客户资料在内部几乎透明】某股份制银行财富中心职员称,客户只要在一家银行留下过个人基本资料,银行内部人员要查看难度并不大。
有一次,一个客户打电话过来,我一时想不起这位客户,于是把该客户的手机号码告诉公司柜台,柜台没有两分钟就把客户的资料传过来了。
----/Sahk4G而随着安全形式的发展,完善客户信息保护的安全体系已经是非常急迫的任务之一了。
3、信息泄露源于信息系统技术与管理漏洞从整个事件发展来分析,互联网企业对大量的客户信息没有尽到应有的保护责任是因,个人信息大范围泄露是果,而这些信息到底如何被泄露呢?综合公安机关的调查结果和企业自身对事件的表态可以基本得出:信息泄露是因为信息系统的技术与管理两方面都存在安全漏洞。
五起网络信息泄露事件被查处一、经查, CSDN、天涯网站被入侵事件是这两家网站曾在2009年以前被入侵,数据遭泄露也发生在两年前,近期这两家网站并未遭受攻击。
二、经查,网上流传的京东商城网站被入侵事件是这个网站确遭入侵但数据未被泄露。
网名“我心飞翔”的犯罪嫌疑人要某因涉嫌敲诈勒索,现已被依法刑事拘留。
三、经查,广东“YY”语音聊天网站泄露的数据,系该公司员工利用职务之便从公司内部备份数据库窃取的。
四、网上流传的工商银行等金融机构数据泄露事件,是网名“挨踢客”的王某某(男,24岁)凭空捏造,王某某已被公安机关予以训诫。
五、经查,新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵。
网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定。
---国家互联网信息办发言人从事件分析可能存在的引起泄露的安全问题如下:(1) 管理方面a. 企业对于存放业务数据的介质管理不善,导致信息明文看得见;b. 企业内部对于数据的使用、查看、维护等管理混乱,导致信息流动管不住;c. 对于员工和第三方人员的行为缺乏审批和监控,导致信息进出无监控;d. 信息设备的运维缺乏必要的审计或审计力度不足,导致信息泄露无法查。
(2) 技术方面a. 业务系统主机或网络设备存在漏洞,黑客可以利用漏洞进入业务网内部;b. 个人信息相关的基础环境或应用软件自身存在漏洞,黑客可以访问个人信息;c. 面向客户的应用系统存在漏洞,黑客可以将客户信息从应用系统中盗走;d. 系统、设备或业务管理密码过于简单,黑客通过密码猜测就可以获得更大权限。
e. 密码采用明文存储、或密码弱加密,易于破解,黑客取走的信息可以被破解利用;f. 整个系统的入侵检测机制不足,黑客进进出出,最终也追查不到。
总结来说,这些技术、管理漏洞由来已久,信息安全业界对应的安全解决方案也已经相当成熟并形成体系,但互联网行业由于监管和自身发展的限制对安全的投入一直非常缺乏。
真正重视安全的互联网企业凤毛麟角,所以形成了当前的一个信息安全的洼地。
4、个人信息流传多年已经形成利益链条深入分析本次事件暴露出的个人信息安全问题其实很可能只是冰山之一角,因为,从信息利用的角度,非法取得大量个人信息的人会想尽各种方法售卖取利,而只有在一次次榨干利润或互相间竞争激烈无利可图后,才把资料抛出来博取一下知名度。
个人信息的售卖网上早有流传,现在只不过是验证了利益链条的说法实有其事:个人信息被多次售卖的流程第一波进行虚拟币等信息的剥离,例如支付宝和QQ等,拿到用户的账号后就会进入账户尝试,如果有虚拟金钱就会转走,或将QQ号倒卖;第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人;第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止。
这样的黑市交易也就难怪有些黑客暗地里标榜自己日进斗金,已腰缠万贯了。
5、不法分子恶意利用个人信息进行大肆破坏据绿盟科技安全专家的分析表明:不法分子会利用从黑市上得来的个人信息进行各种不法活动,这些活动包括:进一步窃取信息并销售、构建并控制大规模僵尸网络、用网络洗钱、盗卖虚拟货币。
图1:恶意利用方式分析图示这些不法行为严重损害了网民的利益和财产安全,而且它通常具有以下特点:(1) 采用隐蔽的方式进行破坏以规避打击与追踪。
(2) 对单个人来讲损失数额小或不易察觉,通常没有达到立案标准,打法律的擦边球。
(3) 与恐吓、诈骗和洗钱等犯罪互相勾结,充当犯罪者的工具和帮凶。
(4) 复杂的交易网络,得利者隐于背后,暴露出的通常是代理人或替罪羊。
总之,精心的隐藏、隐蔽的操作和与其它犯罪形式混合导致了严重的危害,人们却疏于防范,遭受损失后无法有效维权。