本报记者 张亚楠
谁是徐玉玉事件的内鬼?
8月26日,警方宣布抓获了徐玉玉诈骗案的最后一名嫌疑人。作为一名资深信息安全内控专家,瑞宁CEO汉先生并不认为事件的真相就此浮出水面。
徐玉玉的助学申请包含了26个数据项,包括姓名、身份证号、联系方式、住址、还有个人照片、生日、银行账号、学号、家庭经济情况、家庭成员信息等。这些数据不仅呈现了申请者自身状况,还反映了她的社会关系网。
从表面上看,徐玉玉事件是典型的电信诈骗案。那么如此大量、准确、实时的信息,是怎么来的?汉先生认为,泄密的根源是收集信息主管单位的内部人员,特别是信息技术人员,即“后台”泄密。
从临沂到南京,哪些部门有条件接触到徐玉玉个人信息呢?究竟是谁泄密了徐玉玉的信息?谁是徐玉玉事件的“内鬼”?
“深挖这一事件的根源,就是我们正在做的这个事。”汉先生提到。
汉先生是山东瑞宁信息技术股份有限公司的CEO(以下简称瑞宁)。汉先生提到,所谓的内控,控制内部网管员或外包服务人员泄密。不管哪个单位都有自己的信息系统,有数据库、防火墙,但这种信息安防基本在于防外,防止黑客入侵,但防外不防内。来自内部人员的泄密,即收集信息的内部人员“后台”泄密,才是最致命的。现在的信息技术,让数据复制、转移的成本非常低廉,过程非常简单快捷。没有加密的数据基本上相当于“裸奔”。企业花了很大成本构建数据库,但内部人员可能几千块钱就把信息卖出去了。
给后台安上“黑匣子”
被人觊觎的后台牵动着相互博弈的两大产业,一个是倒卖个人数据的黑色产业链,另一个则是信息安全内控产业。市面上常见的“内鬼”数据有快递面单、各类考试、学校培训班数据。其中金融类数据的可利用价值更高,不是“内鬼”很难拿出来。
2014年1月,江苏灌云县发生了一起案件,当地一辆被扣轿车的数十条违章记录连同1万多元罚款信息,莫名其妙从市级公安交管综合平台违章系统内消失了,但在省级平台上这辆车的违章记录还在。
当地警方经过调查才发现,当地黄牛伙同软件研发人员李智入侵公安交管综合平台,直接删除连云港等地车辆违章记录1.4万条,造成损失1000多万元。原来这个李智就是负责当地车管系统的软件维护人员。他通过计算机后台,远程入侵车管网络系统,可以24小时无障碍删除违章记录。
瑞宁是2006年进入信息安全内控市场的。这一年,他们在给一个银行客户做运维时发现,银行内部人员比较复杂,外包商、厂商、集成商都有可能接触后台数据,万一有人离职,关键信息就有可能泄密。而现实中,很多单位只有一两个信息运维人员,也就没有设立权限架构;并且信息运维外包非常普遍,导致信息泄密渠道非常多。他们由此判断信息内控的市场是非常广阔的。
瑞宁副总经理朱总提到,教育、医疗、电信,不管哪个行业,一旦发生信息泄密,每个单位的数据中心是核心源头。如果单靠黑客攻击获取这些数据,代价太高。有关部门做过专门统计,因黑客攻击导致信息泄密的仅占20%,而且这一比例越来越少。
内控系统相当于飞机上的黑匣子,内部人员的行为轨迹都会记录在案,何人、何时、何地做了什么样的浏览、下载操作都会被记录下来。比如,某个内部人员执行了高危操作,他很反常地查询整个数据库行为,或者对敏感数据进行访问,或者在周日凌晨进行访问。对于这些登录异常行为,内控系统有一个行为识别库,对“内鬼”进行鉴别,有反常行为首先会报警,并可阻断操作,迅速定位到责任人。而且这个行为识别库的模型可以随着现实情况不断升级。
现在,信息安全内控第三代产品已经往智能化发展,替代人工,尽可能减少人为风险,事前、事中、事后三个阶段更加细化。
没有人愿意被监管
瑞宁是家科技型研发公司,在信息内控这个行业艰难跋涉了10年,每年研发投入大量精力和费用,其中艰辛可想而知。直到2014年“棱镜门”爆发,这家公司的内控业务才迎来一个转折点,“因为大家认识到信息安全的重要性了。”瑞宁CEO汉先生说。至今,在济南高新区汉先生的办公室,还挂着一张爱德华·约瑟夫·斯诺登的照片。
但即便如此,信息内控在现实推广中还存在一些难题。“没有人愿意被监管。”朱总说。就徐玉玉事件来说,难以继续查下去的一个原因在于相关单位可能内控手段缺失。
医疗行业一直存在灰色交易,比如医生开药,厂家会根据药房出货量给提成。早在几年前,卫生部门推出“统方”系统,原本是为了预防医生开大处方或滥开抗生素,但省内某医院数据中心的人将“统方”里的药品数据泄密给厂家,给上述灰色交易提供精准数据。去年,济南市卫生系统要求医院安装“防统方软件”,目的就是为了防止后台数据泄密。“这种软件3万块钱一套,医院是不缺这个钱的,但是否装这个软件,软件装了是否真正启用,那就是另外一码事了。”某卫生系统内部人士对齐鲁晚报记者说。
卫生信息安全工作是我国卫生事业发展的重要组成部分,卫生部对医疗行业的信息安全等级保护工作很重视,下发的关于《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)。按国家相关规定必须有配套的内控产品,“有政策但不执行,相当于一张废纸。这种现象非常普遍。”朱总说。
目前后台管理缺失有效的手段,仅仅靠制度约束是不够的。瑞宁愿意辅助主管部门采取技术手段解决此问题,让徐玉玉类似悲剧不再发生。
本稿件所含文字、图片和音视频资料,版权均属
齐鲁晚报所有,任何媒体、网站或个人未经授权不得转载,违者将依法追究责任。
【PDF版】
