“徐玉玉案”的警醒：個人信息泄露如何防

文/張璇

“徐玉玉案”的警醒：個人信息泄露如何防

文/張璇

又是一年高考季，在為學子們似錦前程喝彩的同時，去年高考季發(fā)生的“徐玉玉案”卻令人心痛不已。

分析詐騙分子的犯罪手法不難發(fā)現(xiàn)，他們早已經(jīng)從“大海撈針”式廣撒網(wǎng)的詐騙模式，進化為以個人信息為基礎(chǔ)的“精準”詐騙模式。個人信息泄露可能是內(nèi)鬼所為、用戶安全意識薄弱等原因，另一大主要原因就是信息系統(tǒng)或網(wǎng)站存在漏洞。

信息安全防護能力全面升級是大勢所趨

個人信息保護層面，今年6月1日實施的《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)信息安全的責任主體，確立了“誰收集，誰負責”的基本原則。第四十條明確規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

同樣是6月1日生效的“關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋”第九條規(guī)定：“網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應(yīng)當依照刑法第二百八十六條之一的規(guī)定，以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰?！?/p>

教育部關(guān)于信息安全保障的一系列動作與國家網(wǎng)絡(luò)空間安全戰(zhàn)略的發(fā)展是完全契合的，相關(guān)法律法規(guī)的出臺標志著教育行業(yè)網(wǎng)絡(luò)安全防護能力要求提升到了新的階段,升級信息安全防護能力已是大勢所趨。

構(gòu)建信息安全立體防護體系

新形勢下，對教育行業(yè)信息安全防護能力的要求更高，這對安全從業(yè)人員來說，既是挑戰(zhàn)，更是機遇。借著《網(wǎng)絡(luò)安全法》與《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》的東風，可以補齊原有的短板和不足，構(gòu)建一個科學合理的信息安全立體防護體系。筆者認為應(yīng)重點關(guān)注以下方面：

1.做好信息安全頂層設(shè)計

大到一個國家，小到一個機構(gòu)，都需要做好保障信息安全的頂層設(shè)計，也就是系統(tǒng)性的規(guī)劃和設(shè)計，目標是解決人、信息系統(tǒng)、技術(shù)、數(shù)據(jù)的關(guān)系問題。在構(gòu)建信息安全立體防護體系方面，技術(shù)和管理并重才能共同構(gòu)建完善的保障體系。

主要包括制定信息安全相關(guān)政策與制度，如人才政策，獎懲政策等；確立信息安全負責部門，責任具體到人；加強各部門間統(tǒng)籌協(xié)調(diào)。

根據(jù)《網(wǎng)絡(luò)安全法》的要求，應(yīng)落實建立安全監(jiān)測和信息通報制度、網(wǎng)絡(luò)安全事件應(yīng)急預案、安全事件及時響應(yīng)和快速處置制度，完善風險評估機制，并規(guī)范數(shù)據(jù)的采集、傳輸、存儲和開放共享。

2.夯實等?；€

等級保護制度是我國信息安全防護的基線要求，在網(wǎng)絡(luò)安全保障方面起著至關(guān)重要的作用。2007年公安部出臺的《信息安全等級保護管理辦法》為信息安全建設(shè)構(gòu)建了一個基本框架，制定了統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準，對信息系統(tǒng)實行分級安全保護，并對等級保護工作的實施進行監(jiān)督、管理。

據(jù)悉，為適應(yīng)新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護工作的需要，全新的《網(wǎng)絡(luò)安全等級保護基本要求》不久將會出臺。

《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度。根據(jù)法律要求，每個信息系統(tǒng)都應(yīng)進行定級備案，按照要求定期開展等級測評和整改工作。換言之，不按規(guī)定進行等保測評整改將是違法行為。

3.實現(xiàn)精細化管理

充分掌握本單位信息系統(tǒng)情況，準確進行安全等級的劃分，明確關(guān)鍵信息基礎(chǔ)設(shè)施，實行重點保護。教育行業(yè)重要的信息基礎(chǔ)設(shè)施包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施，涉及到考試、招生、學籍、資助等教育核心業(yè)務(wù)的信息系統(tǒng)，全國聯(lián)網(wǎng)的信息系統(tǒng)，存儲大量師生數(shù)據(jù)的信息系統(tǒng)。同時對網(wǎng)站、IP、域名等網(wǎng)絡(luò)信息資產(chǎn)管理到位。加強內(nèi)外部審計，做到安全事件事前、事中、事后有跡可查。

4.培養(yǎng)專業(yè)人才隊伍

人是信息安全工作是否到位的關(guān)鍵。教育行業(yè)網(wǎng)絡(luò)信息安全隊伍普遍存在人員少，任務(wù)重的狀況，由于與企業(yè)信息安全從業(yè)人員相比收入低，人才往往引不來，留不住。這個問題可以通過購買安全運維服務(wù)的方式解決，但仍然無法從根本上解決問題，信息安全工作不能完全依賴外部力量。上海交通大學姜開達老師倡導的學生團隊參與日常安全運維的做法值得參考，既鍛煉了學生的技術(shù)水平，又一定程度上解決了人才匱乏的問題。

從具體案件看信息安全防護能力提升之道

《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》指出，當前教育行業(yè)網(wǎng)絡(luò)安全工作主要問題表現(xiàn)在安全責任不落實、管理不規(guī)范、安全隱患修復不及時、監(jiān)測預警和應(yīng)急響應(yīng)能力不足、網(wǎng)絡(luò)安全事件時有發(fā)生等方面。盡管沒有看到官方發(fā)布的調(diào)查報告，僅從“徐玉玉案”案情分析，涉案平臺或多或少都存在這些問題。

互聯(lián)網(wǎng)公開資料顯示，“山東省2016高考網(wǎng)上報名信息系統(tǒng)”責任單位是山東省教育招生考試院，由于平臺的特殊性，安全責任管理機制、規(guī)范已初步建立，購置了相應(yīng)的安全設(shè)備，客觀來說其安全防護水平高于行業(yè)平均水準。出現(xiàn)徐玉玉個人信息泄露的問題，筆者分析原因極有可能是安全運維人員沒有及時修復漏洞所致。在事后并未見有相關(guān)責任人處理的報道，也反映出其安全責任可能并未落實到人，管理規(guī)范不夠細化，沒有獎懲細則。

筆者認為，事件給我們的啟示有以下幾點：一是沒有系統(tǒng)的安全防護措施規(guī)劃，單純購置先進的防護設(shè)備是無法發(fā)揮其最大作用的。二是欠缺及時的漏洞發(fā)現(xiàn)和修復能力是當前安全工作的一大頑疾。三是應(yīng)充分重視信息安全頂層設(shè)計，制定信息安全相關(guān)政策與制度。面對經(jīng)驗豐富的黑客，任何一點安全工作的瑕疵都可能釀成嚴重的后果。

山東省教育招生考試院同樣也看到了這些問題，從其采購信息發(fā)現(xiàn)，“徐玉玉案”后，公開招標安全運維服務(wù)、遠程滲透測試服務(wù)、信息安全管理體系（ISMS）建設(shè)服務(wù)、安全設(shè)備、容災服務(wù)等項目，同時改進了報名系統(tǒng)的登錄驗證方式，首次使用短信驗證登錄。山東省教育招生考試院2017年工作要點中也重點提出切實加強網(wǎng)絡(luò)信息安全建設(shè)，以建立相應(yīng)的信息安全管理制度和網(wǎng)絡(luò)安全保障體系為基礎(chǔ)，完善規(guī)范、規(guī)章制度，同時采取加強對重要設(shè)備、信息系統(tǒng)和網(wǎng)站的運行監(jiān)控和安全監(jiān)測，大力推動國產(chǎn)密碼的應(yīng)用，進一步完善防病毒、防攻擊、防篡改、防癱瘓、防竊密的技術(shù)措施。從這些措施可以看得出來，涉案網(wǎng)站主管單位吸取了“徐玉玉案”慘痛的教訓，亡羊補牢，未為晚矣！

教育行業(yè)數(shù)據(jù)安全防護常見技術(shù)

信息泄漏的兩大主因是外部攻擊和內(nèi)部監(jiān)控疏漏。外部攻擊主要是黑客利用信息系統(tǒng)的漏洞獲取數(shù)據(jù)，如考試報名系統(tǒng)本身存在注入點，或者其使用的中間件存在漏洞。內(nèi)部監(jiān)控疏漏可能由于內(nèi)部人員故意泄露、第三方合作機構(gòu)問題、計算機遺失導致的“被動”泄密、使用社交網(wǎng)絡(luò)無意泄露敏感數(shù)據(jù)等。因此需要必要的數(shù)據(jù)安全技術(shù)來防止信息泄露。

通常情況下，使用數(shù)據(jù)安全技術(shù)要達到的目標有：數(shù)據(jù)加密存儲；用戶身份鑒別，能夠阻止不合法的用戶來訪問數(shù)據(jù)；保證數(shù)據(jù)的完整性和數(shù)據(jù)的一致性；保證所有的數(shù)據(jù)都是可用的；保證對數(shù)據(jù)進行的一切操作進行跟蹤記錄。

信息防泄露是一個系統(tǒng)工程，下面就從應(yīng)用的角度來探討其常見技術(shù)措施。

首先要明確要保證安全的核心數(shù)據(jù)，例如報名系統(tǒng)的Web數(shù)據(jù)庫就是需要防護的核心數(shù)據(jù)。如果機構(gòu)龐大，數(shù)據(jù)源復雜，還需要自動發(fā)現(xiàn)服務(wù)器和數(shù)據(jù)庫系統(tǒng)，判斷是否存在沒有授權(quán)的服務(wù)器被臨時架設(shè)，以及是否開設(shè)未授權(quán)的服務(wù)。

明確了核心數(shù)據(jù)資產(chǎn)之后，制定信息防泄露策略。策略要針對核心數(shù)據(jù)從其創(chuàng)建、獲取、使用、傳遞、存儲、銷毀的整個周期來進行設(shè)計，面向設(shè)備、文件、網(wǎng)絡(luò)、應(yīng)用幾個層面，如網(wǎng)站站群管理、WAF、數(shù)據(jù)庫安全產(chǎn)品、數(shù)據(jù)脫敏技術(shù)、文檔、終端加密等安全應(yīng)用技術(shù)。

數(shù)據(jù)安全產(chǎn)品繁雜，需要專業(yè)規(guī)劃才能保證安全產(chǎn)品發(fā)揮最大作用。在實踐中需要有綜合性的應(yīng)用技術(shù)。

目前比較有代表性的綜合性技術(shù)是“數(shù)據(jù)泄漏防護”(Data leakage prevention, DLP)技術(shù)。DLP技術(shù)是近年來比較受關(guān)注的技術(shù)或管理手段，防止用戶的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式被有意或意外流出。DLP的核心技術(shù)就是內(nèi)容識別，內(nèi)容識別的依據(jù)主要有關(guān)鍵字、正則表達式、文檔指紋、確切數(shù)據(jù)源（數(shù)據(jù)庫指紋）、支持向量機算法等。

DLP防護范圍包括網(wǎng)絡(luò)和終端。網(wǎng)絡(luò)防護主要以審計、控制為主，終端防護除審計與控制能力外，還應(yīng)包含傳統(tǒng)的主機控制能力、加密和權(quán)限控制能力。最終實現(xiàn)智能發(fā)現(xiàn)、智能加密、智能管控、智能審計。

總之，在網(wǎng)絡(luò)空間安全戰(zhàn)略與《網(wǎng)絡(luò)安全法》的大背景下，教育行業(yè)信息安全防護能力全面升級是大勢所趨。面對新的機遇與挑戰(zhàn)，抓住契機補齊原有的短板和不足，構(gòu)建一個科學合理的信息安全立體防護體系，必將大大促進教育行業(yè)信息安全工作，類似徐玉玉這樣的悲劇才不會再次發(fā)生。

（責編：王左利）

（作者單位為山東警察學院）