溢信每周信息防泄露简报-2012第11周

年初的CSDN大规模泄密事件逐渐淡出了公众的视野,近期有关信息防泄露的新闻,大概也就是“微博实名制”了,包括正在召开的“两会”也有关于实名制的“提案”,究竟“微博实名制”何去何从,我们拭目以待。专业安全厂商赛门铁克源代码泄露事件也是让人大跌眼镜,UC浏览器泄密门等也是惹人争议。更多信息防泄露话题,一起走入本周的“溢信每周信息防泄露简报”。

1. 代表委员热议微博实名制

去年两会前,全国人大代表、二炮文工团歌唱演员李丹阳曾建议实行微博实名制,在当时引起代表委员和网友的激烈辩论。一年后的今天,微博实名制很快将在全国多地成为现实。在新浪微博实名认证的两会代表将近800人,在腾讯开通微博的代表有240多人。他们对于微博实名制的施行大多持比较肯定的态度,但也提出了一些顾虑。

“韩国2007年就开始实行网络实名制,但最近因黑客攻击,很多韩国人的资料被泄密,最终韩国被迫取消了实名制。我国如何保证网友的资料不被窃取,需要备加注意。” ——广东省律师协会副会长朱征夫

短评:3.16微博实名制大限即将来临,四大微博运营商推进微博实名制的动静似乎还是不大。放在台面上的,是各路代表和大众对于个人隐私泄露的担心;但明眼人都知道,微博实名制,醉翁之意不在酒。so,微博运营方如果能在隐私保护上提供一些信心,不知能否多少冲淡这里面的阴谋论味道。

2. 神州数码郭为:政府部门泄露个人隐私要严处

去年中国互联网发生重大泄密事件,600万用户数据被泄露。全国政协委员、北京市工商联副主席、神州数码(微博)控股有限公司总裁郭为(微博)此次带来“加强个人信息保护立法”的提案,他建议建立一套符合中国国情的网络公民身份体系,加快个人信息安全及隐私保护的立法。

短评:郭总这番发言,可谓切中要害。在我国,由于政府权力和职能的关系,各种部门掌握了海量的公民个人信息,保护这些分散但又详尽的信息是政府部门义不容辞的责任。但是,由于个人隐私保护意识不足,立法缺失,我国缺失缺乏事实上对于公民隐私进行保护的机制。上行下效,先从立法开始,政府部门做个表率,应该是好的开始。

3. 武汉地铁广告招标事件续:一经理涉嫌泄密被调查

今年初,武汉地铁集团在地铁2号线一期工程站内平面广告媒体代理经营项目的招标活动中,深圳报业地铁广告公司出价最多却落标,引发广泛质疑。武汉市纪委、市监察局通报说,武汉地铁运营公司资源部经理邓宏武在此次招标文件编制中,设置有利于个别投标企业的条款,向相关投标单位泄露招投标信息,并涉嫌受贿。武汉市纪委已对邓宏武进行立案调查。

短评:标书泄密,是目前主动信息泄露事故的常见表现。由于时常掺杂显著的经济利益,同时缺乏有效的保密流程和方法,标书保密也是个老大难的问题,如果遇到内部人主动泄密,更是防不胜防。目前,标书大多以电子文件的形式存档,因此,应对内部人员主动泄标的行为,溢信建议,一是严格限制能够接触到核心标书文件的用户权限;二是加强对于合法用户的审计;三是采用可靠的加密手段对标书进行加密保护。

4.Anonymous在海盗湾泄露Symantec软件源代码

Anonymous今天公布他们已拥有的Symantec泄露的安全软件源代码,泄露源码是该组织最近进行的与安全保护系统对抗的活动之一。事件的起因是一名名叫Jeremy Hammond的黑客于本周因涉嫌参与Lulzsec黑客袭击被捕。这次泄露行为更像是一次报复。

短评:安全厂商遭遇安全事故,可谓是对此事件最好的注脚。恶意的信息盗取行为会影响到所有人,这时你还会觉得自己和公司的数据是安全的么?

5. 盘点美宇航局网络安全事故

北京时间3月9日消息,美国宇航局总调查长保罗·马丁(Paul Martin)在上周向国会下属的一个委员会透露了在2009年至2011年间一连串该局发生过的安全事件,其中包括一个保存有国际空间站指令和控制密码的笔记本被盗的案件。”

  • 2009至2011年间,美国宇航局有48台笔记本和移动存储设备失窃。一台失窃的笔记本电脑中存有国际空间站的安全密码和指令文件。
  • 在2010年和2011年,由于网络安全漏洞造成的恶意软件安装以及对宇航局系统的非法访问次数达5408起。
  • 发生47起被归类于“高级持续性威胁”(APTs)的安全事件。有13次,这种APT攻击得以成功侵入美国宇航局计算机系统。
  • 罗马尼亚黑客“TinKode”,真名叫拉兹万·马诺勒-切瑙(Razvan Manole Cernaiu)年仅20岁,他于2011年成功侵入美国宇航局戈达德空间飞行中心的计算机系统,目的是“测试自己的技术能力”。
  • 有25台美国宇航局大气红外成像探测项目所属的计算机被另一位罗马尼亚黑客,25岁的“Iceman”攻破,其真名为罗伯特·波特亚(Robert Butkya)。由于“Iceman”的攻击,造成宇航局损失50万美元。
  • 在2010至2011年的两年间,美国宇航局由于遭受网络攻击共计造成700万美元的损失。
  • 每年美国宇航局在网络安全技术方面的开支高达5800万美元。
  • 宇航局每年在信息技术方面的总投入超过15亿美元。

短评:美国宇航局为我们提供了一个绝佳的信息泄露事故的典型样本,设备丢失、黑客入侵等是最为常见的信息泄露的原因。即使美国宇航局每年花费了5800万美元,依然有众多事故发生,普通对于信息安全没有预算或预算很少的企业,又会面临着怎样的风险?应该引起你的重视

6. 公司“先进”竟是“内鬼” 盗窃核心技术“自立门户”被刑拘

今年35岁的汪某来自安徽阜阳,在南京市高新技术开发区某电子零配件公司担任工程师,并掌握这公司的核心技术和客户资料。汪某一直想另起炉灶,自己当老板,在利益的驱使下,他竟然做起“内鬼”,盗窃公司核心技术资料,在安徽注册了一家新的公司。近日,南京高新警方将犯罪嫌疑人汪某成功抓获。目前,汪某已被刑事拘留。

短评:与国外相比,内部人员恶意泄密在泄密事故中所占比例明显偏高,这当中有文化的原因,也有职业素养、法规缺失等多方面的问题,应对这些问题,需要在管理和技术上共同努力。加强内控,显得十分必要。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注