日前報道的“記者700元買到同事行蹤”在社會各界引發強烈關注。采訪中南都記者發現，個人信息泄露已成為互聯網時代的一個普遍現象。《中國網民權益保護調查報告2016》顯示，4.8億網購用戶，過半網購過程中遭遇個人信息泄露。行業專家表示，“內鬼”的比例要大于外部黑客攻擊。針對這兩類泄露渠道的防范技術也存在很大的差別，需要采取完整且具有針對性的手段，做到“外防黑客，內防內鬼”。

國內網站對漏洞修復率

平均不足10%

南都記者采訪的700元購買同事開房記錄的報道，公安部回應稱，此案是由相關單位內部人員與社會人員相互勾結所為。

除了內鬼之外，黑客非法侵入是造成隱私泄露的另外一種主要手段，曾為國慶60周年、世界互聯網大會以及G20杭州峰會提供網絡信息安全保障的杭州安恒信息技術有限公司CEO范淵對南都記者表示，黑客通過注入漏洞等方式將后端數據導出，不法分子再將數據進行整理和買賣，有的用于廣告，有的則用于詐騙。比如本周將要上映的電影《絕對控制》中，就披露了IT黑客通過非法方式對于個人信息造成的巨大威脅。

“目前，國內網站在接到漏洞報告后，對漏洞的修復率平均不足10%，這就給黑客入侵和竊取大開了方便之門。”360首席反詐騙專家、網絡安全專家裴智勇表示，黑客竊取個人信息的方式有網站拖庫、木馬病毒、釣魚網站等。其中最主要的方式還是利用網站漏洞對網站數據進行拖庫。

另一類泄露渠道則是內部數據泄露，也被稱作是“內鬼”。“內鬼”出現在各行各業，涵蓋范圍非常廣。例如，醫院內部將數據賣給醫藥代表;教育考試院的數據庫考生的個人信息遭到泄露，甚至不法分子通過修改志愿和分數進行詐騙;還有金融、社保、電商的軟件開發人員在軟件開發過程中故意“留后門”，盜取數據。

范淵介紹，據統計，“內鬼”的數量和黑客攻擊各占一半，甚至“內鬼”的比例還更大些。需要特別強調的是，“內鬼”不一定指的是內部員工，第三方軟件開發、維護人員，有一定權限可以在內網進行操作和查詢的，都屬于“內鬼”的范疇。

防內鬼竊密

實行數據分級管理

范淵表示，從技術環節來說，這兩類泄露渠道的防范在技術上有很大差別，需要非常完整清晰且具有針對性的手段，從整體上把控各種泄露的風險，做到“外防黑客，內防內鬼”。

從外部防護而言，需要通過云防護等幾道防護措施，做好監控和預警，內控則更為復雜。

“內鬼”有權限接觸到這些信息，如何辨別操作過程中是否存在信息泄露?范淵表示，目前，數據庫防火墻、數據庫審計、堡壘機、日志審計，是在數據安全防護領域內應用非常廣泛的“四件套”。這套軟件記錄能準確地檢測數據庫的進出訪問行為，實時判斷并通過數據庫防火墻進行攔截。

范淵還指出，很多機構和政府部門每年都會進行常態化的滲透測試，模擬黑客攻擊行為。通過這種模擬滲透測試，以及常態化的監測和實時防護，能夠對外部黑客攻擊進行一定的防范。但目前來看，有問題的系統還是很多，情況確實不樂觀，個人信息防護任重道遠。

就企業內部防止內鬼竊密的技術方法，裴智勇表示，技術手段包括數據的加密存儲、數據的業務管理，即負責某一項業務的人，只能在一定范圍內看到數據的一部分;數據的分級管理，即下層業務人員如果要查詢某些數據，必須要得到上級或相關業務管理者的臨時授權;以及數據協同管理、內部流量管控等多種方法。

另一方面，由于政府掌握了大量的、全面的公民信息，也更容易成為黑客攻擊的目標。國家信息技術安全研究中心金融安全處副處長曹岳對南都記者表示，目前，政府在信息化投入上相對欠缺。政府部門需要從技術維度加強審計和對內網系統的嚴格控制。