收藏
下载资源

【2017年整理】敏感信息泄露

上传人:豆浆 文档编号:1040881 上传时间:2017-05-26 格式:DOCX 页数:5 大小:115.17KB
返回 下载 相关 举报
【2017年整理】敏感信息泄露_第1页
第1页 / 共5页
【2017年整理】敏感信息泄露_第2页
第2页 / 共5页
【2017年整理】敏感信息泄露_第3页
第3页 / 共5页
【2017年整理】敏感信息泄露_第4页
第4页 / 共5页
【2017年整理】敏感信息泄露_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《【2017年整理】敏感信息泄露》由会员分享,可在线阅读,更多相关《【2017年整理】敏感信息泄露(5页珍藏版)》请在金锄头文库上搜索。

1、什么是敏感信息?敏感信息指不为公众所知悉,具有实际和潜在利用价值,丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。包括:个人隐私信息、业务经营信息、财务信息、人事信息、IT 运维信息等。 个人意思信息:个人基本资料、身份鉴别信息、个人资产信息、交易信息、宗教信仰、政治倾向、种族、血缘、基因、性生活等资料皆属于敏感个人信息; 业务运营信息:销售业绩、合同信息、管理决策信息、收发文、会议纪要、工作报告等; 财务信息:日常入账信息、税务信息、财务报表等; 人事信息:薪酬信息、员工基本资料信息、绩效考核信息等; IT 运维信息:IT 服务流程制度、操作手册、网络拓扑、网络区域划分、网络访

2、问控制策略、IP 地址分配状况等; 除国家秘密信息和可以公开信息意外的信息。 敏感信息泄露实例:其一:12 月 25 日消息,第三方漏洞报告平台乌云曝出 12306网站现用户数据泄露漏洞,大量 12306 用户数据在互联网遭疯传,包括用户帐号、明文密码、身份证邮箱等。 有消息称,此次遭泄露的账户数量在 14 万左右。 对此中国铁路客户服务中心发布公告称,经过核查确认泄露信息全部含有用户的明文密码。同时,铁路客服中心还表示,12306数据库中的所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。 相关专家还建议,用户需立即修改 12306 网站密码,登录12306

3、所用的邮箱及邮箱密码也需修改。除此之外,由于此次信息泄露还包括账户上的所有购票人信息,用户需提醒相关购票人信息泄露风险。其二:有黑客在网上公开了知名程序员网站 CSDN 的用户数据库,高达 600 多万个明文的注册邮箱账号和密码遭到曝光和外泄,成为2014 年中国一次重大网络安全事故。一份名为“CSDN-中文 IT 社区-600 万.rar”的文件已经在网上传播,文件大小 107366K,经过下载验证,里面的确记录了大量CSDN 的邮箱和密码,并且都是明文的。整个事件最不可思议的地方在于,像 CSDN 这样的以程序员和开发为核心的大型网站,居然采用明文存储密码,导致海量用户的账号信息包括密码直

4、接被泄露,这是最令人难以置信的地方,稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,最简单的 MD5(密码+随机字符串),一般类似 UCenter 这样的论坛还会将这个信息再 MD5 一次,这样黑客即使下载了数据库,用户密码破解也不是一件容易的事情。这次事件中,CSDN 其实也是一个受害者,其声誉遭到严重打击,权威性会受到质疑,其办的程序员杂志也会受到负面影响,在程序员中的口碑下降。当然,事件最大的受害者还是该文件中的 600 万 CSDN 用户,他们中的很多人使用相同的邮箱和密码注册网络服务,他们如果使用相同的密码注册上网的话,其各个网络服务都会遇到严重威

5、胁,个人财产可能会面临损失的可能,电子邮件可能会被入侵,个人隐私可能会泄密。因此,建议曾经注册过 CSDN 的用户,立刻修改 CSDN 的密码,如果该密码还在其他网站使用,请尽快登录其他网站修改密码。如有可能,务必修改网银、邮箱等重要网站的密码,以保障资金安全,防止隐私泄露。此外,这次用户邮件的泄漏,垃圾邮件者凭空得到 600 万个程序员的电子邮件地址,估计以后广告邮件就会轮番轰炸过去了。防护难点: 信息存在形式多、访问人员多、扩散快: 敏感信息可能以纸质、电子形式存在,雇员、商业合作伙伴、供应商以及客户都能访问,信息通过企业内部网络、互联网能迅速扩散。 互联网使用: 即使通信软件如 QQ、M

6、SN 等; 文件共享与传输软件 BT、迅雷、等 P2P 传输软件,网盘、云盘的使用不当; 对外提供服务的信息系统漏洞被暴漏或被黑客攻破。 移动办公: 笔记本电脑,由于其移动性管理难,这些电脑染毒、木马或者设备本身丢失和被盗会导致信息泄露。 存储介质: 磁盘、硬盘、U 盘、移动硬盘、光盘、存储卡等丢失、报废、维修、遭窃等,数据造成泄密。 开发测试环境: 在系统 UAT 测试、压力测试中使用未经脱敏处理的敏感信息,甚至开发人员直接拥有生产环境数据的访问权限。 经营分析: 大数据时代企业越来越重视对数据的综合分析为企业决策提供支持,在经营分析是大量人员会使用大量未脱敏的敏感信息。 内部工作人员泄露:

7、 企业内部工作人员违反规章制度泄密、无意识泄密、故意泄密等。 引进外包: 在业务拓展、软件开发、IT 运维过程中引入外包,外包人员责任心、归属感差。 第三方合作: 第三方合作,第三方的安全管理不到位极易造成信息泄露。不同形式敏感信息的保护思路敏感信息按存储形式分为:电子信息和纸质信息;电子信息按其存储的位置分为:信息系统内信息和信息系统外信息;纸质信息一直是传统保密关注对象,可以参考保密的相关要求进行保护。信息系统内部信息:更多的依靠系统本身的安全来保障系统内信息的安全,如通过安全开发(SDL)、安全产品、安全服务、安全运维等方式来确保信息系统的安全,登记保护对信息系统安全提供了很好的参考。信息系统外信息:有些信息为存储至信息系统,或信息从存储系统内被提取、导出的系统外环境,此时已经脱离信息系统复制和扩散的风险增大,也是管理的难点,需围绕信息声明周期考虑各项控制措施。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号