编者按： 本文通过对近期发生的信息泄露事件的分析，剖析了个人隐私信息泄露产生的风险，提出了信息泄露的基本原因，并从个人、用户、企业以及监管机构等角度提出了如何防范信息泄露。最后，从信息系统管理的角度，建议应当尽快建立各相关企业的个人信息防护安全体系。

　　近期，中国人寿系统内80万页保单信息数据泄露事件，让个人隐私安全再一次引起大众的关注。用户资料的失窃很可能意味着用户信息被滥用，企业也将面临巨大的经济风险。与此同时，近年来我国的互联网技术发展极快，市场规模也呈几何式增长，然而从业人员的职业素养却一直落后于行业发展速度。提高涉密人员职业素养、加强企业信息安全管理制度的建设已经迫在眉睫。

　　信息泄露类安全事件的发生都源于客户信息具有利用的价值，对利用者具有相当的吸引力，针对个人的重要程度而言，被泄露的客户信息主要有四种类型：

　　一种类型的客户信息是存储在银行、证券、保险、基金公司等金融企业中的个人金融信息，包括：个人信用记录、金融账户信息等，当前大部分严重的信息犯罪均来源于对此类信息的恶意利用。另一重要类型是电信运营商所拥有的个人电信信息，包括：电话号码、电信资费信息、个人通讯信息和个人定位信息等。此外，互联网企业所持有的个人认证信息，包括：用户名与密码等。此类信息主要被用来猜解重要账户，构建水军或僵尸网络、进行网络渗透等。还有一类是分布在工商、学校、医院等各类政府机关、企事业单位的个人身份信息，包括：身份证、家庭住址、信息方式、企业注册信息等，这类信息大量用于直复营销、数字营销等。

　　这四类信息依据数据量和危害度的不同，如下图所示。

个人信息的主要类别及可能的被利用途径

　　总之，所有这些客户信息都触及到社会公众的个人隐私，个人隐私被泄露、被恶意传播、被犯罪份子利用的问题，已经成为影响社会秩序和公众利益的重大问题。

　　隐私信息成为不法分子的生财之道

　　近年来，各种垃圾短信、推销电话已成为大多数人日常生活中无法回避的烦恼。进入2013年，这类现象呈愈演愈烈的趋势。据了解，个人姓名、住址、联系电话甚至是身份证号码、驾照信息和车辆行驶证信息等都可以在网上买到。

　　一套隐私信息可以反复售卖，这种生意一本万利，所以诱惑性极大。黑客利用社会工程学原理及许多现代化手段大量套取用户信息，然后将这些信息卖给“下家”，而“下家”则利用自己手上的资料群发短信或者利用邮件渠道推销这些隐私信息。

　　非法远程控制软件盗取私密信息

　　相较于大面积的个人身份信息泄露，非法远程控制软件则成为了个人机密信息的泄露源头。与正规的远程协助软件及企业信息安全监控系统不同，该类远程控制软件会采取一些不正当的手段规避杀毒软件的监测，同时还会修改被监控电脑的系统日志，以实现“隐身”的目的。这类软件多数都是带有恶意的远程控制程序，有些甚至可以读取、修改或转移对方电脑上的任意文件，并强制开启摄像头。最近出现多起名人隐私照片、视频泄露的事件，跟该类软件的盛行不无关系。

　　个人隐私信息泄露原因分析

　　(一)APT攻击及网络钓鱼成为信息泄露的重要源头

　　目前，套取个人身份信息的方法主要有两种APT攻击及网络钓鱼。现今，大多数网站都要求用户提供一些必要的个人身份信息。而黑客看重的正是存储该类信息的企业服务器。通常，他们会花费几天到几个月不等的时间，对目标服务器进行渗透，找到该服务器的系统漏洞，盗取数据库内的重要资料。

　　网络钓鱼则是仿冒一些知名网站，再利用社会工程学原理，诱骗用户在网站上填写个人信息。无论是APT攻击还是网络钓鱼，都可以大量获取个人身份信息，造成大规模隐私信息泄露。

　　(二)第三方外包泄密风险大，涉密人员素质参差不齐

　　无纸化办公、电子政务等技术逐步成熟，用户的个人信息被大量采集用于公共事业管理及服务行业。许多单位在维护这些信息系统的时候，都选择雇佣第三方外包公司。然而，这样做虽然节省了人力、物力，却使得用户隐私外泄的危险性加大，各类企业、单位的核心数据库都处于外包公司的管控之中。

　　(三)信息安全防护意识普及率低

　　虽然部分业内人士表示，目前杀毒软件的普及率已经超过90%，然而信息安全现状却并不乐观。其中一个重要的原因是信息安全防护意识薄弱。目前，无论是个人用户还是中小型企业用户，普遍对信息安全保护缺乏正确认识。许多个人用户认为，只要安装了杀毒软件或者防火墙，就可以高枕无忧。但是，互联网环境却时时变化，近年来网络钓鱼愈演愈烈，各种诈骗手段更是层出不穷，网民稍不小心就会误入不法分子设下的圈套，被套取隐私信息。

　　个人信息泄漏的根本解决之道

　　针对个人信息泄露的事件，在服务体系的建制过程中，充分认识到信息安全中的攻与防、泄露与保护、破坏与建设是一对长期存在的关系，从理论的层面上讲，是应当要建立长效的、纵深的、基于风险的安全体系保障信息安全。因此，笔者建议从业务环节的不同角度着手信息保护工作。

　　最终用户：应提高个人信息安全保护意识，积极防范各类信息泄露和欺诈，特别需加强网上购物及交易安全防范意识。

　　企业经营者：应加快建设企业内部个人隐私保护、敏感信息防护、数据防泄密等数据安全体系，防范内部作案风险。

　　各行业监管部门：应落实合规制度要求，加强对行业内外风险监控、特别对内部作案事件严查死守，严厉打击，将行业内部合规检查精细化、标准化、常规化。

　　从信息系统管理的角度，建议应当尽快建立各相关企业，特别是银行、保险、电信行业的个人信息防护安全体系。建议相关企业可以依照以下步骤展开个人信息的安全保护工作：

　　1.识别：相关企业应首先识别自己业务系统中涉及的全部敏感个人信息，并分类定级，以便于针对性地采取保护措施。

　　2.管理：尽快出台管理措施，加强对企业内部人员的管理与控制，提升个人信息保护的防范意识，只有管理到位才能收到实效。

　　3.防护：通过加密、认证、访问控制、截断威胁路径等技术手段，防止个人信息的泄露。

　　4.监测：能够通过监控手段，发现异常的信息传播，以便及时采取控制措施防止进一步影响的发生和损失的扩大。

　　5.追踪：通过安全审计措施，使得一旦出现个人信息从本企业泄露的事件，可以通过追查日志记录能够发现泄密者，有效追踪非法行为以便进行严厉的惩办。

　　在信息化时代的今天，企业间的竞争愈加激烈，用户群已成为许多企业的生存命脉。用户资料一旦泄露，企业所面对的不止是同行业的争抢瓜分，还将面临来自公众的信任危机。从近期国内发生的几起个人信息泄露事件上可以看出，互联网行业需要一个明确的法律规定来约束公民个人信息的收集者及相关涉密从业人员。人大常委于2012年12月28日通过的《关于加强网络信息保护的决定》明确了一个重要原则，就是国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。同时，该决定还对个人信息收集者的义务作了多项规定。这对肃清行业秩序，建立行业规范，引导行业健康有序发展，起到了至关重要的作用。