當前位置：安全 → 行業動態 → 正文

個人信息泄露，背后竟有“內鬼”作祟，堵上網絡安全漏洞

責任編輯：editor006 |來源：企業網D1Net 2017-09-15 16:56:31 本文摘自：網信成都

隨著移動互聯網、大數據、云計算等信息技術的普及和發展，個人與社會、私域與公域、虛擬與現實的邊界變得越來越模糊。

大到維護國家安全，小至保護個人信息，網絡治理不是一個部門、一個機構能夠完成的任務，而是需要齊抓共管、形成合力。

重要基礎設施，要能防得住

今年5月，“永恒之藍”勒索病毒爆發并肆虐全球時，便有專家提出：“倘若病毒攻擊上海的軌道交通等重要基礎設施，我們能不能防得住？”

關鍵信息基礎設施，指的是面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統。如果說遍及全市的智慧城市應用和系統是上海的神經網絡，那么，金融、電力、通信等領域的關鍵信息基礎設施就是其中的神經中樞。維護網絡安全，首先就是要保障這些關鍵信息基礎設施。

開展關鍵信息基礎設施網絡安全檢查，是從涉及國計民生的關鍵業務入手，理清可能影響關鍵業務運轉的信息系統和工業控制系統，準確掌握關鍵信息基礎設施的安全狀況，科學評估面臨的網絡安全風險。

據統計，過去兩年，上海關鍵信息基礎設施網絡安全檢查工作順利開展，覆蓋各類單位超過1000家，涉及關鍵信息基礎設施1600多個，分布在能源、金融、交通、教育、水利、醫療衛生、環保、工業、市政、電信與互聯網、廣播電視、政府等領域，全都是事關國計民生的重要節點。

同時，為改變原本條塊分割、各自為戰的機構職能，市委網信辦正不斷加大統籌協調力度，推動建立網絡安全工作責任制，健全安全事件通報、處置、反饋等管理制度。網信、經信、公安、通信管理等職能部門和各行業主管部門分工協同的格局日益確立完善。

可以說，面對復雜的網絡信息安全局勢，經過全市努力，上海關鍵信息基礎設施的保障能力不斷躍升，安全防控形勢總體可控，存在的風險隱患也不斷化解。

用戶信息安全，要能保護好

身處大數據時代，人們享受著外賣、網購帶來的諸多便利時，也逐漸發現，隨著一個個平臺相繼要求實名認證，越來越多的個人信息進入了各家企業手中。不少人在認同其有利于管理的同時，也表達了自己的憂慮：“我的個人信息能得到保護嗎？”

人們的擔心并非空穴來風。今年3月，浦東警方偵破了一起非法獲取公民信息案，曾在新東方就職的顧某利用職務之便，秘密獲取了數萬條包含有公民個人姓名、手機號、微信號、畢業院校的信息，并向外出售。到案后，顧某直言不諱：“交換用戶信息是行業潛規則”。這樣看來，這些個人信息或許便是從某家留學中介流出。

同樣在今年3月，在公安部統一指揮下，14個省市公安機關打掉了一個通過入侵互聯網公司服務器，竊取出售公民個人信息的犯罪團伙，查獲涉及交通、物流、醫療、社交等各類被竊公民個人信息50多億條。其中一名犯罪嫌疑人是京東的“內鬼”，利用職務之便竊取了公司掌握的大量個人信息。

在業內人士看來，全民互聯網時代，信息安全至關重要，去年發生的徐玉玉案，就是一起血的教訓。作為獲取了用戶個人信息的企業，不論自身規模大小，都應該承擔起保護信息安全的責任。

“值得注意的是，技術過關之外，防范措施和應對危機的制度設計至關重要。”上海交通大學信息安全工程學院教授蔣興浩表示，從技術上來說，任何信息系統都存在漏洞，問題在于，我國很多企業缺乏自查意識，也沒有相應預案，平日里“太平無事”，一旦受到攻擊便“手足無措”。

“在韓國，政府規定企業必須定期雇人進行滲透測試，一旦被成功侵入，作為受害者的企業便要付出相應賠償。乍一看上去有些不合理，但實際上是強調了企業必須對自身嚴格要求。” 蔣興浩表示，我們的企業也需要這種緊迫感，不能僅僅把自己當作“受害者”。

群組信息服務，應當守規矩

9月7日，《互聯網用戶公眾賬號信息服務管理規定》與《互聯網群組信息服務管理規定》兩大新規同時發布，受到社會各界廣泛關注。尤其是后者，對大家廣泛使用的微信等具有群組功能的互聯網信息服務，以及各參與方怎樣通過共同努力確保安全、合法使用群組信息服務，提出了較為明確具體的要求。

按照《互聯網群組信息服務管理規定》，群主如及時制止群員發布侵犯他人合法權益的內容，則不會因存在過錯而與發布不當內容的群員承擔民事責任。否則，就有可能承擔連帶責任。對群員發布的尚不夠刑事處罰的違法內容，群主如果不履行監管職責，則有可能面臨共同的治安處罰。對群員涉嫌犯罪的行為，如果不行使監管職責，放任群員違法犯罪，在主觀上，有可能構成間接故意，從而與涉罪群員構成共同犯罪。

“互聯網空間不是法外之地。”披上虛擬的外衣，不代表可以在互聯網上“肆意妄為”。群組在方便人們日常溝通交流的同時，也有一部分因為疏于管理，成為不法分子散播虛假信息，乃至違法犯罪的溫床。