学习手册：信息泄露事件忖量

随着企业信息化的发展，在日常工作中，信息系统已逐渐成为不可或缺的工具和手段。利用信息化技术打破地域之间的阻碍，同时还会产生大量如客户资料、财务报表、研发数据等关乎企业核心竞争力的机密信息。然而网络强大的开放性和互通性，同时催生了商业泄密等信息安全事件，信息防泄漏成为企业越来越关注的焦点。

一、信息会如何泄露？

近年来，频发的网络诈骗、网络侵权案件让民众感到忧虑，不法分子利用通信、互联网等技术和工具，通过发送短信、拨打电话、植入木马等手段，网络诱骗(盗取)被害人资金汇入其控制的银行账户等行为，让人防不胜防。而这些网络犯罪，又往往和不法窃取、泄露的个人信息联系在一起。那么信息是如何泄露出去的呢？

• 外部竞争对手窃密

竞争对手采用收买方式，买通企业内部人员，让内部人员把重要信息发送竞争方，从而窃取机密的情况也非常多。这种方式直接损害了企业的核心资产，给企业带来致命的打击。

• 黑客或商业间谍窃密

国际国内许多黑客和商业间谍，通过层出不穷的技术手段，窃取国内各种重要信息，已经成为中国信息安全的巨大威胁。虽然许多企业都部署了防火墙、杀毒软件、入侵检测等系统，但是对于高智商的犯罪人员来说，这些防御措施往往形同虚设。

• 内部人员无意泄密和恶意泄密

企业内部人员在上网时候不小心中了病毒或木马，电脑上存储的重要资料被流失的情况也非常多。由于病毒和木马泛滥，使得企业泄密的风险越来越大。而部分不良员工明知是企业机密信息，还通过QQ、MSN、邮件、博客或者是其他网络形式，把信息发到企业外部，这种有针对性的泄密行为，导致的危害也相当严重。

• 内部人员离职拷贝带走资料泄密

这类情况发生概率最高。据调查，中国企业员工离职拷贝资料达到70%以上。在离职的时候，研发人员带走研发成果，销售人员带走企业客户资料，甚至是财务人员也会把企业的核心财务信息拷贝带走。

• 内部文档权限失控失密

在单位内部，往往机密信息会分为秘密、机密和绝密等不同的涉密等级。一般来说，根据人员在单位中的地位和部门的不同，其所接触和知悉的信息也是不同。然而，当前多数单位的涉密信息的权限划分是相当粗放的，导致不具备相应密级的人员获知了高密级信息。

• 存储设备丢失和维修失密

移动存储设备例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等，一旦遗失、维修或者报废后，其存储数据往往暴露无遗。随着移动存储设备的广泛使用，家庭办公兴起，出差人员的大量事务处理等等都会不可避免地使用移动存储设备。因此，移动存储设备丢失和维修导致泄密也是当前泄密事件发生的主要原因之一。

• 对外信息发布失控失密

在两个或者多个合作单位之间，由于信息交互的频繁发生，涉密信息也可能泄露，导致合作方不具备权限的人员获得涉密信息。甚至是涉密信息流至处于竞争关系的第三方。因此，对于往外部发送的涉密信息，必须加以管控，防止外发信息失控而导致失密。

二、近期相关事件回顾

信息防泄漏的管理越来越重要，不仅是IT人员关心的问题，而是企业领导者都必须认真对待的棘手问题。

2016年4月，土耳其方面爆发重大数据泄露事件，直接导致近5000万土耳其公民的个人信息遭到威胁，其中包括姓名、身份证号、父母名字、住址等敏感信息。

同年5月，一名俄罗斯黑客盗取了2.723亿电子邮箱信息，其中包括4000万个雅虎邮箱、3300万微软邮箱以及2400万个谷歌邮箱。之后这些信息流入俄罗斯黑市，并以不到1美元的价格进行出售。

2016年上半年，微软因反对美国政府对用户电子邮件执行所谓的“秘密搜查令”，起诉了美国政府部门，一时间引起轩然大波。

6月15日，日本最大的旅行社JTB股份有限公司宣布自己受到了未知黑客的攻击，多达793万份客户个人信息可能被窃取。攻击者伪装了一份供应商的机票邮件，诱使员工打开附件压缩包中的PDF文件，进而让攻击者得以植入木马，实施信息窃取动作。

2016年9月23日，雅虎宣布有至少5亿用户账户信息被黑客盗取，盗取内容包括用户的姓名、电邮地址、电话号码、生日、密码等，甚至还包括加密或未加密的安全问题及答案。

这些个信息泄露事件对整个互联网安全影响重大，波及到绝大多数互联网企业，运营商、金融等行业受此事件的影响，大家都积极地寻找防控措施。同时“拖库、撞库、洗库”这三个黑产中的专有术语再次呈现于公众舆论面前。

拖库、撞库、洗库是啥意思？

拖库、撞库、洗库，这些名词并无标准权威的定义，但实际理解起来却是极易接受的。

拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取，一般这些敏感信息包括用户的账号信息如用户名、密码；身份信息如真实姓名、证件号码；通讯信息如电子邮箱、电话、住址等。

撞库是黑客通过收集互联网已泄露的拖库信息，特别是注册用户和密码信息，生成对应的字典表，尝试批量自动登录其他网站验证后，得到一系列可以登录的真实账户。

洗库即对数据库中的资源进行层层利用和价值剥离。第一波进行虚拟币等信息的剥离，例如支付宝和QQ等，拿到用户的账号后就会进入账户尝试，如果有虚拟金钱就会转走，或将QQ号倒卖；第二次“洗”是对于个人信息的收集，有些账户可能包括个人信息内容，这些会卖给那些需要的人；第三次“洗”是关联手机号的信息，卖给转发垃圾短信的，这样一层层“洗”下去直到没有价值为止。

事件影响程度

这些信息泄露事件对各类企业及最终用户带来的影响到底是什么呢？

互联网企业遭受的直接冲击不言而喻，包括用户数据及业务记录等商业机密流失，企业信誉受损，同时还面临来自互联网主管机关的压力。

而运营商、金融及能源等行业也面临潜在危害：首先网厅、网银等核心业务网站可能成为下一个“拖库”目标。其次，因部分互联网用户在不同网站注册帐号时习惯使用相同用户名和密码，各行业的业务网站成为“撞库”的可能受害者。

最危险的在于，这些“拖库”事件曝露的用户信息中可能包括企业内部人员信息，这些内部人员可能成为社会工程目标，黑客对数据进行“拖库”“洗库”后，提炼筛选整合数据使其更有价值，进而可能导致企业内网被渗透，核心信息被盗取。而用户们则成为最终的买单者，面临经济损失、成为垃圾邮件受害者，且因为个人敏感信息泄漏，可能成为进一步的社会工程目标。

三、敏感信息泄露思考

在我们调侃希拉里是因为没有做好数据安全工作而丢掉了美国总统的时候，数据泄露也正在成为我们每一个人头上的阴云。大数据很美，但数据安全怎么保障？我们在享受互联网带来的种种便利的同时，个人信息在裸奔吗？

从信息泄露路径的思考

从攻击路径的视角来看，攻击者利用Web应用或第三方应用软件的漏洞以及网站内部管理存在的脆弱性，采用SQL注入、Web shell上传等攻击手段并可能结合社会工程实现内部渗透，获得存储在数据库中的用户敏感信息（包括帐号及密码等）。

围绕信息泄露的过程，小编进行了进一步的揣摩：

1. 面对大数据管理，攻击者能否攻进来？
2. 网站入侵是其中一种攻击路径，存在多种漏洞利用（SQL注入、文件上传漏洞等）。网站Web应用及第三方应用程序的漏洞问题是否有效应对？
3. 如果攻击者能采用各种手段进攻成功，那么他是否可以看见核心数据？
4. 偶们的数据库是否明文存储用户数据？
5. 如果攻击者技巧高明，居然可以看见核心数据，那么他是否有能力拿走数据？
6. 针对数据库的危险操作是否有严格的访问控制策略以及监控、审计手段？
7. 如果攻击者属于高手中的高手，可以偷取整个数据库，那么他是否可以进行解密这些核心信息？
8. 是否采用了较弱方式进行用户数据保护，易遭受暴力破解？

事件背后的产业链

随着近些年安全态势的变化，攻击具有动机趋利化、手段定向化的特点，而安全事件背后潜藏的黑色产业链日趋完善，其商业模式也日趋成熟。

通过攻击行为获得企业或个人信息后，有专门向泄密源团体购买数据信息中间商团体，买卖、共享和传播各种数据库核心资料。还有专门从中间商团体购买个人信息，并实施各种犯罪的使用者团体，他们是实际利用个人信息侵害个人利益的群体。在这种黑色产业链中，有更为精细的角色分工，从漏洞挖掘到工具开发直至获利，各司其职。

当前面临的最大挑战在于攻击者和信息安全的防御者在知识、环境上存在严重地不对称：防御人员缺乏安全技能和工具，对典型的利用手法的威胁场景缺乏感性认识，无法具有前瞻性地对前面所提到的漏洞、威胁以及受威胁的相关资产进行识别和管理，一旦重大的安全事件爆发，很难从安全事件的影响里全身而退。

四、靠谱的防护方案

黑产方和安全保障方永远都是魔高一尺、道高一丈的斗争。信息泄露事件引发了业界的触动并带来全行业安全意识的提升。各企业积极投入安全事件研判与应急处理，并关心自身的脆弱性并积极地寻求风险防控措施。

那么对于个人及企业用户，我们应该如何做呢？

个人防护

对于个人用户而言，需要保持良好的密码管理与使用习惯：

• 分级管理密码，重要帐号（如常用邮箱、网上支付、聊天帐号等）单独设置密码；
• 定期修改密码，可有效避免网站数据库泄露影响到自身帐号；
• 建议不将工作邮箱用于网络帐号注册，以免密码泄露后危及企业信息安全；
• 不让电脑自动“保存密码”，不随意在第三方网站输入帐号和密码；
• 定期在所有已登录站点手动强制注销进行安全退出；

企业防护

对于企业而言，防护措施需要结合企业实际情况，建立全面的信息防泄漏的保护安全体系。还需要有自己的安全团队，由专人专岗负责企业内部安全工作、作为外部接口进行安全动态跟踪，并负责与专业安全公司的合作，进行安全保障工作。

从流程上来看，需要有相应的预警与应急机制，并通过日常的安全运维工作，将定期安全评估检查工作例行化，以便了解自身站点安全状况。

技术上可以针对现有“木桶短板”进行修补，包括：修补网站漏洞（Web应用及第三方应用软件存在的漏洞）；对于用户敏感信息（不限于密码信息）应加密存储，如单向加密，二次MD5，并加入随机salt等；并结合网站特点，采用必要的防护手段，防止外部攻击。

从时间节点来看，可以采用“事前预防+事中监控与防护+事后审计”的解决方案。

• 事前预防：通过扫描器/WSS（网站安全监测服务）实现对SQL注入、XSS、挂马等网页漏洞或恶意代码的检查；提供安全评估服务、渗透测试服务，为站点客户发现站点中存在的安全隐患，并提出针对性的对策。
• 事中监控与防护：IDS/IPS通过对拖库的特征进行分析，以实现告警或者阻断；WAF通过对双向数据检测，可对SQL注入等恶意请求进行检测与阻断，对HTTP Response中含有的用户敏感信息进行过滤，从而降低信息泄漏的风险。
• 事后审计：SAS对数据库危险操作进行审计和告警。

 

参考文献

[1]《关于CSDN中文社区用户帐号密码泄露的安全公告》

[2]《关于相关网站用户信息泄露事件的通报》

[3] http://www.cert.org.cn/articles/news/common/2011122725705.shtml

[4] http://baike.baidu.com/link?url=-sGMH-n_ig1vOizhQTX6vkHF7IcOthHnuMxnh3iJxI5_Fop_lZ9RdIdmPiP_YETg1_G7gbyrO-WCWK6bXAgdS-lezxZ10csXGCxmDXDFx_AS8CJpKh59B9TQ81NFoADa_-Z63uqp3vhZz2m825atC_

[5] 《中国经济周刊》2016年第49期

[6] 《大数据》

[7] http://www.networkworld.com/news/2011/031811-rsa-warns-securid-customers-after.html?hpg1=bn

如果您需要了解更多内容，可以
加入QQ群：570982169、486207500
直接询问：010-68438880-8669