您的位置: 网界网 > 安全 > 正文

社保信息泄露――亡羊而补牢,未为迟也

2015年04月27日 14:52:06 | 作者:佚名 | 来源:网界网 | 查看本文手机版

摘要:2015年4月22日铺天盖地这样的新闻充斥着所有人的眼帘――《数千万社保用户信息或被泄露》、《社保信息泄露波及范围已达全国三十余省》,究竟是危言耸听?还是确有其事?此次事件的影响范围有多大?泄露的数据对该行业的影响有多大...

标签
东软
社保
泄露

2015年4月22日铺天盖地这样的新闻充斥着所有人的眼帘——《数千万社保用户信息或被泄露》、《社保信息泄露波及范围已达全国三十余省》,究竟是危言耸听?还是确有其事?此次事件的影响范围有多大?泄露的数据对该行业的影响有多大?带着这一系列问题,记者连线了东软网络安全事业部副总经理张泉。

事出必有因——速度太快跟不上节奏

事实上,在该事件爆发之前,漏洞平台上有关已经有不少关于该行业漏洞的记载,记者经过搜索,已提交漏洞数量也已经70多条。这些系统为何如此薄弱?

近年来,随着移动互联网的高速发展,公共服务机构需求也在不断增长,而这样的变化让原本只需要在内部网络办公的政府、医院不得不在公网上提供服务。但是,由于信息化发展太迅猛,这些公共服务机构,更注重建设,而在其他方面有所忽略。

拿安全这块来说,在内网阶段,安全问题相对不足致命,因此投入偏少所带来的影响也不会很大。但是当开放公网后,多系统服务的需求逐渐增长,此时就很容易把一些比较初级的漏洞暴露出来。

有因必有果——社保行业究竟食了什么“果”

采访中,东软网络安全事业部副总经理张泉表示:此次漏洞曝出主要分为两类:一类是系统软件漏洞,包括操作系统,包括一些平台系统软件。这包括软件、中间件以及开发平台的补丁没有及时更新;第二类是软件开发商软件应用平台的漏洞,这个漏洞应该对开发平台进行漏洞检测以及修复,这个修复是长期和持续的过程。而以上这两种情况造成的直接损失就是:

l 曝出高危漏洞的省市已经超过30个;

l 社保类信息安全漏洞统计就达到5279.4万条

l 涉及人员数量达数千万……

行业安全隐患多 急需借东风

尽管我们在媒体披露的数字上看,数字非常惊人,当然这不是一件小事情,只是从目前东软积极的与客户沟通过的情况表明:现阶段此次事件的影响面并没有那么严重,核心业务并没有收到影响,核心数据也都相对安全。但是确实是存在风险的,因此现阶段的当务之急是进行有效的系统防护处理,不让类似事件急需恶化。

张泉说:我们应该跟客户,以及开发商坐下来,从各级层面去分析,包括他页面的路径梳理出安全防护手段,这些手段哪些地方我们可以应用产品,哪些地方要形成一定的规范,我觉得这应该是体系性的工作。

“我们应该引导用户不要去相信会有一劳永逸的产品手段能够一招治敌,这次做了以后,就能高枕无忧。其实我们做安全的,我们厂商自己来讲,知道一招治敌的手段或者产品肯定是没有的,一定是一个持续的过程。”张泉表示。

何以制敌?东软出击

东软在社保行业的占比在全国领先,因此东软此次也梳理了一些自己的想法,最终形成方案来帮助用户,在安全方面大体分为如下几个方面:

第一,收口工程。即互联网出口应该集中出口,如果互联网出口对于单位来说太多的话,不利于集中掌控的。

第二,看门工程。在内部依托安全运维管理平台,对内部资源进行实时的监控和预警。在外部应用防护入侵,检测防护的防护工具。

第三(+微信关注网络世界),锁库工程。对核心业务数据库应加强专项保护,从数据的传输到存储都应有专门的防护工具对数据访问的授权、认证、审计等操作做实时的保护。

第四,补漏工程。对系统的漏洞及时的打补丁,而且打补丁应该形成长期持续性的硬性要求,形成硬性的工作机制,来定期对系统打补丁。此外对开发商的选择,包括对系统防护安全检测,我们认为应该归结到补漏工程重要机制。

第五,底线工程。风险发生之后的应急预案,应该有一整套方案,并定期进行检验。

张泉表示:就这五个工程来说,应该是一个长期持续的投入。这一次事件曝光出来以后,我相信结合安全相关体系,各地部门还有机构,应该会慢慢重视。在做的过程当中,要消除一劳永逸、一招治敌的思想。

后记:

“见兔而顾犬,未为晚也;亡羊而补牢,未为迟也。”此次事件对于相关机构足以敲响警钟,也足以引起相关部门的重视。如微博大V段郎说事在微博中点评:既然公民交付了全部个人信息,那么有关部门必须同时具备保护公民这些核心信息不被泄密的能力。

人社部在前年的时候,就已经发文要求各省做本网三级建设,但当时由于各地资金不足且投入不够,整个推进比较缓慢。我们希望通过这样一个事件,也可以推进各部门保护体系安全、体系建设的工程进度。

[责任编辑:鹿宁宁 lu_ningning]