您现在的位置是:首页 > IT基础架构 > 网络与安全 >

黑客汹汹 如何避免企业的用户信息泄露

2011-05-24 22:18:00作者: 来源:

摘要信息科技巨头们近来面临了众多来自互联网信息安全的挑战:继索尼公司爆发迄今为止最大规模的用户数据外泄事件后,谷歌、苹果等知名企业纷纷在用户信息安全上备受关注;而微软也在一片争议中紧急解释了Windows Phone 7数据收集功能,适时“撇清”。 ...

信息科技巨头们近来面临了众多来自互联网信息安全的挑战:继索尼公司爆发迄今为止最大规模的用户数据外泄事件后,谷歌、苹果等知名企业纷纷在用户信息安全上备受关注;而微软也在一片争议中紧急解释了Windows Phone 7数据收集功能,适时“撇清”。

  同时,在世界范围内,法国、德国、意大利、韩国等国家和地区政府也开始高度重视用户隐私问题,纷纷通过司法途径要求可能涉嫌泄露用户信息的信息科技公司对此进行说明和解释,美国监管机构更是将调查范围扩大到移动设备供应商的整个行业。在互联网时代,用户隐私信息的安全问题引起世界瞩目,已经迫在眉睫。


如何避免企业用户信息泄露

  一、 什么是用户信息?

  要想了解如何保护用户信息,首先要认识用户信息的含义。

  用户信息是指能够标识唯一用户的信息,从单一的用户个人来讲,其中包括用户的姓名、性别、年龄、种族、居住地、籍贯等个人信息。

  在信息时代,用户信息已经不是传统意义上的信息了,“个人信息”还包括用户的工作、工种、喜好、收入、生活方式、上网行为等;从群体来讲,用户的“群体信息”还包含他的朋友、社交圈、获取信息来源等。

如何避免企业用户信息泄露
索尼公司高层因PSN平台用户信息泄露一事致歉

  所谓的“用户信息”其实是指用户是谁、他在网站上干了什么、在网络下有什么生活的“绑定用户身份的用户行为数据”。这种信息无法完全标准化,但是可以通过了解用户的此类信息,判断他的“属性”,以便获取到对商业公司有利的信息,分门别类的发送商业数据。

  面临“高风险”的用户数据信息可能包含:

  ·包含名字、地址、金融信息或有关身份的资料的客户或雇员的数据;

  ·可能被竞争对手利用的客户名单及信息;

  ·商业机密或企业机要信息;

  ·机密产品设计和生产、营销计划。

 

二、 用户信息的“经济链”

  俗话说“无利不起早”,黑客费时费力并且承担着一定的风险获取了企业的用户信息,绝不仅仅是为了满足好奇心。目前众多行业都出现了用户个人信息被泄露的情况,这代表着围绕着用户信息,已经形成了一个庞大的经济效益圈。


如何避免企业用户信息泄露
去年一份iPad用户信息泄露,包括政府官员邮箱在内的资料被公布
(图片来自互联网)

  据国外媒体报道,美国《圣何塞信使报》(The San Jose Mercury News)披露了一封来自谷歌首席执行官拉里·佩奇(Larry Page)和同事的电子邮件,邮件中表示了谷歌收集用户地理位置信息对该公司的移动战略“有多么重要”;

  《华尔街日报》的分析文章认为,众多信息科技企业收集用户的包括位置信息在内的各种信息的目的可能在于:创作大规模数据库。据研究公司G artnerInc.称,此前之所以多个移动通讯产品曝出了收集用户地理位置信息数据事件,是因为手机定位服务市场目前价值29亿美元,在2014年将增至83亿美元。

  也有分析认为,完备的数据库暗含巨大商机,比如广告商会根据你的搜索记录研究你的兴趣爱好,专门发送“为你特别打造”的广告从而谋取利益。

如何避免企业用户信息泄露
黑客入侵企业系统产业链(图片来自互联网)

  可见,“用户信息”这种强大的数据库可以成为企业的财富,成为企业未来发展战略部署的基础之一。因此强大的经济利益驱使,使得在某些领域用户信息被明码标价,一旦进入交易领域,信息购买者可根据当事人的实际情况,进行具有针对性的营销活动,一份准确的个人信息更“赤裸裸”的代表了一个潜在的客户。比如,持有用户信息的人,可以给有孩子的用户推销玩具,给有汽车的人推销保险,给喜好数码产品的人推销电子产品……而对于某些恶意侵袭者来说,获取用户的个人信息,甚至可能成为其实施犯罪行为的一种手段,影响更为恶劣、造成的损失也更为巨大。

 

 三、 可能被黑客入侵的企业系统

  在现阶段网络安全形式日趋复杂的情况下,企业核心信息、用户个人数据、重要客户需求及公司内网安全都面临着巨大风险。目前,用户对于自身的安全意识并不够强,且对于自己隐私的保护,也不清楚如何清晰的进行划分和界定。而用户隐私虽然看起来不如企业机密信息那么重要,但如果企业没能妥善保护,将会为用户带来多重安全隐患,随之带来的大规模用户信息安全威胁也足以使企业公众形象受损及用户信任度下降。因此,企业在任何情况下都应该从尊重用户出发。

  目前,较易被黑客利用获取用户信息的企业“重点”监控区域有:

  1、 登录页面

  对于社交、门户网站来说,登录页面是用户将自己信息“泄露”的第一步,这也很有可能成为“钓鱼”网站的目标。


如何避免企业用户信息泄露
模仿《非常6+1》栏目的钓鱼网站,可获取用户姓名、联系方式、账号等信息
(图片来自互联网)

  2009年,曾发生过黑客利用虚假Twitte登录页面骗取用户登录信息的事件,Twitter当时曾向广大用户发出警告,称如果Twitter用户收到类似于“嘿,请查看这篇有关你的有趣博客……”信息时请不要点击,因为这是一个“钓鱼”式攻击,点击后用户将被指向一个虚假的Twitter登录页面。此举旨在窃取用户的登录密码,一旦黑客获得用户密码,就会利用该帐户向其他订阅者发送消息。

  2、 VPN网络

  VPN(虚拟专用网络Virtual Private Network)是在公众网络上所建立的企业网络,拥有与专用网络相同的安全、管理及功能等特点。VPN是一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常是对企业内部网的扩展。通过VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

如何避免企业用户信息泄露
VPN的部署策略

  目前针对VPN最为常见的攻击行为是DoS攻击,其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。其具体表现方式有以下几种:

  1)、用大流量无用数据致使企业网络堵塞,使被攻击主机无法正常和外界通信;

  2)、反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它请求。

  3)、反复发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态甚至死机。

 

3、 网络设备(包括数据库等)

  网络设备是企业用户信息传输、保存的重要介质,黑客通过入侵数据库,也可以获得用户信息。由于黑客对于数据库的侵袭时间可长可短,因此有些企业的数据库已经被攻击和损害了相当长的一段时间,还没有引起企业管理者的注意。


如何避免企业用户信息泄露
黑客对数据库发动袭击

  恶意的黑客会利用非常简单的攻击方法进入数据库,如:不严谨的配置、未更新补丁的漏洞等。

  目前,对于数据库的主要攻击类型分为:

  1)、破解弱口令或默认的用户名及口令;

  2)、非法权限的提升;

  3)、利用未及时更新漏洞;

  4)、SQL注入攻击;

  5)、窃取备份(未加密)的信息等。

  四、 企业用户信息安全的技术防护

  从目前的防护手段上来看,企业抵御黑客盗窃用户信息的防御方式主要为网关防护、终端防护和软件防护,而在实际应用中,软硬件相结合的防护方式,才能从根本上保护信息安全。

  1、 注意数据库漏洞

  首先,企业网络管理者要为数据库起个无规律且不易记录的名字,并放在几层目录下,这样可以增加黑客入侵难度;

如何避免企业用户信息泄露
某品牌的数据库漏洞扫描部署(图片来自互联网)

  其次,对于数据库漏洞要经常扫描、更新补丁,减少黑客的可趁之机。

 

2、后台管理程序及权限的规范

  对于后台管理程序的入口链接一定要慎重体现,管理员的用户名和密码不能设置过于简单,并应定期更换。


如何避免企业用户信息泄露
设置合理的用户权限

  此外,在权限上应及时予以相关工作人员的更新及收回,对于不同工作职能的浏览内容应予以区分。

  3、部署加密系统

  加密技术长久以来都代表着技术含量及不菲的应用,但近年来众多加密产品的问世,可以使企业网络安全管理者以较低的成本实现电子邮件、磁盘等系统的加密。

如何避免企业用户信息泄露
部署加密系统

  目前已经有越来越多的企业采取加密技术来实现对内部关键数据和文件的监控和保护,这可以在完全不改变企业原有工作流程和文件使用习惯的前提下,有效的防止被动和主动泄密。

  4、部署VPN

  由于企业员工具有流动性及变更新性,因此设置VPN系统能使企业较为安全的在互联网扩展网络共享或在公司外部访问系统文件。一些基本的简单保护,也可以选择价格低廉甚至免费的VPN软件,免费的VPN产品可以作为企业部署更高级VPN的试验,以决定是否真的有效及成本投入部署。

  5、采用专业的防止数据泄漏工具

  用户数据信息泄露给企业所带来的损失及震荡在近期的索尼"黑客门"事件已经得到深刻的诠释,企业用户在感叹"民意"强大的同时也应完成企业网络系统安全部署,选择专业工具。

  在数据泄漏预防工具市场,Vontu、Reconnex与Vericept是较为知名的品牌,它们很容易进行部署,能对企业内部的关键数据文件实行监控和强制加密保护。当然,通过专业的工具部署,也不完全代表企业的信息系统可以百分百安全,可以一劳永逸的保护用户数据信息。

  6、全员的创新及解决方案

  建立完善的奖惩制度,并公布企业信息安全防御方案,调动公司全员树立积极的防护意识,也可以减少企业用户信息泄露事件的发生。

  帮助企业提高风险管理控制、且不需要投入很高的资金及人力资源、在最短时间内实现提高安全性目的的用户信息安全防御才是企业真正需要的。

  现阶段知名的信息科技巨头掌控了动辄数以百万计的用户个人信息,这些信息是互联网产业增长的基础,但也可能成为恶意侵袭者实施犯罪行为的踏板,给企业用户甚至社会都带来损失。

  对于现阶段企业用户如何搜集、使用、储存用户信息方面,用户们已经有了一定的认识及得到保护的意愿,互联网企业也承担了更多的社会责任,在处理消费者的个人信息时必须坚持高端的保护标准,并在企业内部结构方面加大技术及管理防护,以确保用户的个人信息得到真正的保护。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们