近日,一则“数千万社保用户信息或遭泄露 超30省市曝管理漏洞”的消息引起重大关注,据经济参考报报道目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。
据某漏洞响应平台数据显示,存在高危漏洞的目前不单存在于社保系统,其中和大众生活息息相关的户籍查询系统、疾控中心等系统均存在信息漏洞,目前大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
这是继此前火车票购票网站12306被曝有信息漏洞、安防行业龙头产品出现BUG后发生的又一重大信息漏洞事件。
信息高危漏洞带来的危害
相信大家在日常生活中已经感受到了个人信息泄露带来的烦恼,频繁的广告推销电话或是诈骗短信让我们不仅遭受打扰甚至会因此蒙受经济损失。此次社保用户信息泄露事件,对个人而言,由于社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息,这些信息一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。而以省或市为单位的信息泄露,则有可能被大致匡算出当地的人均收入、社保金额等国家经济数据,危害极大,补天漏洞响应平台安全专家邓焕表示,仅河北省计生委的一个漏洞就涉及7000万居民详细信息,山东省某卫生系统漏洞导致全省600万儿童、1200万父母详细信息泄露。
用户隐私信息泄露是信息高危漏洞的一个直接表现,另一方面,当体量级的网络信息平台遭受恶意攻击时,其给整个社会和国家带来的危害将不可估量。在国家整体推进的智慧城市建设过程中,网络信息安全是其中不容忽视的一个部分,智慧城市建设以物联网、云计算等大数据技术体系为支撑,数据信息巨大,并涉及到政务、商业、生活等方方面面,智慧城市云端数据资源的高度共享性,使得云平台在恶意软件作用下,将会产生数据丢失、IP和身份窃取、金融欺诈和盗窃的重要隐患。又比如分布式拒绝服务攻击(DDoS)也具有快速摧毁整个云基础架构的潜力,并且当云平台受到攻击时,所有相关账户也将牵涉其中,导致该平台服务的用户受到不可估量的损失。比较典型的案例就是2010年的蠕虫病毒震网(stuxnet),其感染了全球超过45000个网络,给各国的电力部门带来了巨大的威胁和破坏。
信息漏洞为何频繁曝出?
国家信息技术安全研究中心专家曹岳表示,类似地方社保等很多部门和公司,实际上对网络信息安全保护意识非常缺乏,也没有太重视对于相关人才的培养,很多时候即使出现了信息泄露问题,也仅仅是“捂盖子”,不会进行太多的补救。他认为,目前信息安全已经成为个人信息泄露重灾区,而我国在网络安全人才方面的培养和储备还远远不够。
公安部第三研究所所长严明表示,地方社保等部门对于信息安全方面投入不足,监管不力。社保系统暴露的信息安全问题,仅仅是我国信息安全发展过程中的一个缩影。一直以来,我国很多部门和产业都存在“重建设轻运维”、“重管理轻安全”的情况,无论是资金还是技术和人才方面的投入都大大低于欧美国家。如果这个趋势不改变,随着互联网经济的爆发性发展,类似的事件将会继续暴露出来。
如何加强信息漏洞的应对处理措施?
政策层面信息安全政策制定加快
事实上,近年来,信息安全问题已经升至国家层面。在国家网络信息安全、个人信息安全保护等方面,都有推动立法的呼声。全国人大代表及政协委员们呼吁通过建立健全法律法规等途径确保信息安全,而2015政府工作报告中也明确指出,要建立全国统一的社会信用代码制度和信用信息共享平台,依法保护企业和个人的信息安全。同时,全国政协第十二届全国委员会第三次会议上也宣布,网络安全法已被列入了相关立法计划。近日提请十二届全国人大常委会第十四次会议进行二次审议的国家安全法草案,也在网络与信息安全方面提出了要求。
一方面加大加密网络与信息安全政策的发布和出台,在政策扶持之下启动更加实质性的监管工作,另一方面还需要加快对信息安全相关人才的培养,全面布局信息安全产业。