憂！千萬用戶社保資訊疑遭泄漏之後

　　——大數據安全隱患顯露“冰山一角”

　　21日，一則經濟參考報的報道引起資訊安全領域的強烈震動。該報道稱，目前重慶、上海、山西、瀋陽、貴州、河南等省市衛生和社保系統出現大量高危漏洞，數千萬用戶的社保資訊可能因此被洩露。

　　人們不禁要問，這些資訊都是怎樣洩露出來的呢？

　　就此，記者採訪了業內相關專家。江蘇敏捷科技的數據安全專家張曉波表示，就在人們對大數據極力熱捧之時，大數據的安全危機已經逐漸顯露，大數據安全隱患的“冰山一角”已經呈現在我們面前了。

　　來自360公司的統計數據顯示，2014年一年中360網站安全檢測平臺掃描的網站中有65%的網站存在漏洞。這還只是自動化掃描攻擊工具發現，還不包含專業的apt攻擊。

　　該公司的技術人員告訴記者，網站是沒有絕對安全的。對於資訊安全可以毫不誇張地説：“幾乎所有的網站都是存在漏洞的，只有我們還沒發現的漏洞。”而通過漏洞，就會導致網站的數據被黑，這在行業內叫“拖庫”。

　　他説：“數據洩露的途徑主要有三種：善意內部人員、目標性攻擊和惡意內部人員、釣魚盜號。更多情況下，數據洩露的是由上述幾種原因共同引發的。例如，目標性攻擊通常是由善意的內部人員未遵從安全策略無意中引發，導致數據洩露。或者惡意內部人員洩露出去。”

　　他進而分析，善意內部人員是指內部人員無意中沒有按照安全策略或者工作中的疏忽而引發的數據被洩露。這些數據可能存在於員工的電腦中，也可能存在於伺服器上。由於員工安全意識薄弱，資訊暴露在外，被駭客發現並被利用。

　　比如，電子郵件、web郵件和可移動設備已經和人們如影隨形。駭客會向被攻擊公司的員工發送惡意的電子郵件或者釣魚郵件，誘使員工點擊郵件，植入木馬後門或者釣取員工資訊，從而進一步入侵公司內部的伺服器來獲取敏感數據。

　　還有，當業務流程不當或者過時，會導致數據自動傳輸到未授權的個人用戶或未受保護的系統上。這種情況下，數據很容易遭受到駭客攻擊或者惡意內部人員竊取。

　　更多情況下，由於利益的驅使，另一種駭客目標性攻擊越來越趨向於竊取資訊。所謂目標性攻擊，就是攻擊者通過尋找制定目標內的漏洞來入侵系統，獲取數據資訊。或者通過自動掃描網際網路上存在漏洞的伺服器來獲取敏感數據。

　　目前流行的獲取數據的攻擊手段主要包含：SQL注入攻擊、命令執行、暴力破解、撞庫攻擊、文件上傳漏洞、弱密碼、未授權訪問配置不當。

　　近年來，惡意內部人員導致數據洩露的事件也在不斷增加。

　　專家表示，企業竊取資訊的內部人員所引發的數據洩露主要有三類：白領犯罪、已經離職的員工和商業間諜。

　　在當前的白領犯罪案件中，員工為了獲取身份資訊故意竊取資訊而私自販賣銷售給競爭對手或者不法分子佔了很大的比例。通常情況下，為謀取個人利益而濫用資訊訪問許可權的公司內部人員從事這類犯罪。

　　被解雇的員工在離職時通常還會有保留各種許可權，導致他們還可以訪問許多機密資訊，由於情緒不滿而故意洩露數據或者將其數據帶走。

　　而對於商業間諜，都有非常強的目的性。他們來公司工作主要是為了竊取該公司的數據資訊。還有一部分惡意員工為了跳到競爭對手公司，將公司資訊提供給跳槽的公司。

　　360的專家稱，自2004年以後，盜號木馬開始盛行。由於利益的驅使，盜號已經形成了一條完整的黑色鏈條。盜來的賬號和密碼資訊按照等級、金錢等內容進行分類並打包來進行銷售。這些賬號密碼資訊在2010年以後開始陸續被發佈到網路上。

　　同時，網路釣魚的技術也在不斷升級。釣魚資訊通常也會進行打包來進行銷售或者直接進行洗號，或者用來滲透企業內部。

　　由此，近年來國內以及國際上數據洩露的事件越來越多，而且對應洩露的數據量也是異常驚人。超出大家想像的是很多被大家熟知的一些網際網路大公司也會出現這樣多的漏洞。

　　據補天漏洞響應平臺對這幾年中國網際網路洩露的數據統計，到目前為止，數據洩露數量達到11.2億,可洩露的數據量已達到23.6億。

　　數據作為“隱形資産”，其價值已被大家公認，而如何保護好大數據就成為政府、企業乃至個人和全社會首先要考慮的問題。

　　敏捷科技張曉波表示，目前的資訊安全市場上，大數據、雲服務産品魚龍混雜，即使是一些國際品牌也存在“漏洞門”。

　　他説：“防患未然要從源頭入手，要把補漏防泄制度化。要選用有效的安全産品和技術手段作保障。敏捷科技的DG採用特別的作業系統內核技術、高強度的加密演算法、靈活易用的安全策略，確保了從‘根源’上對數據進行全方位保護。並相容多種雲中心設備，降低雲中心升級改造成本，更加全面地解決大數據安全問題，推動大數據與雲計算更加良性地融合和發展。”

　　網際網路的虛擬世界，實際上是物理世界的映像。現實社會存在的各種犯罪和不良行為在虛擬世界裏都有相應的反映。道高一尺魔高一丈。資訊安全是一個網際網路永恒的沉重課題。