敏感信息泄露..docxVIP

什么是敏感信息?敏感信息指不为公众所知悉,具有实际和潜在利用价值,丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。包括：个人隐私信息、业务经营信息、财务信息、人事信息、IT运维信息等。个人意思信息：个人基本资料、身份鉴别信息、个人资产信息、交易信息、宗教信仰、政治倾向、种族、血缘、基因、性生活等资料皆属于敏感个人信息；业务运营信息：销售业绩、合同信息、管理决策信息、收发文、会议纪要、工作报告等；财务信息:日常入账信息、税务信息、财务报表等；人事信息：薪酬信息、员工基本资料信息、绩效考核信息等；IT运维信息：IT服务流程制度、操作手册、网络拓扑、网络区域划分、网络访问控制策略、IP地址分配状况等；………………除国家秘密信息和可以公开信息意外的信息。 敏感信息泄露实例：其一：12月25日消息，第三方漏洞报告平台乌云曝出12306网站现用户数据泄露漏洞，大量12306用户数据在互联网遭疯传，包括用户帐号、明文密码、身份证邮箱等。?有消息称，此次遭泄露的账户数量在14万左右。?对此中国铁路客户服务中心发布公告称，经过核查确认泄露信息全部含有用户的明文密码。同时，铁路客服中心还表示，12306数据库中的所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。?相关专家还建议，用户需立即修改12306网站密码，登录12306所用的邮箱及邮箱密码也需修改。除此之外，由于此次信息泄露还包括账户上的所有购票人信息，用户需提醒相关购票人信息泄露风险。其二：有黑客在网上公开了知名程序员网站CSDN的用户数据库，高达600多万个明文的注册邮箱账号和密码遭到曝光和外泄，成为2014年中国一次重大网络安全事故。一份名为“CSDN-中文IT社区-600万.rar”的文件已经在网上传播，文件大小107366K，经过下载验证，里面的确记录了大量CSDN的邮箱和密码，并且都是明文的。整个事件最不可思议的地方在于，像CSDN这样的以程序员和开发为核心的大型网站，居然采用明文存储密码，导致海量用户的账号信息包括密码直接被泄露，这是最令人难以置信的地方，稍微懂一点编程的程序员都知道，为了用户的安全，应该在数据库里保存用户密码的加密信息，最简单的MD5（密码+随机字符串），一般类似UCenter这样的论坛还会将这个信息再MD5一次，这样黑客即使下载了数据库，用户密码破解也不是一件容易的事情。这次事件中，CSDN其实也是一个受害者，其声誉遭到严重打击，权威性会受到质疑，其办的《程序员》杂志也会受到负面影响，在程序员中的口碑下降。当然，事件最大的受害者还是该文件中的600万CSDN用户，他们中的很多人使用相同的邮箱和密码注册网络服务，他们如果使用相同的密码注册上网的话，其各个网络服务都会遇到严重威胁，个人财产可能会面临损失的可能，电子邮件可能会被入侵，个人隐私可能会泄密。因此，建议曾经注册过CSDN的用户，立刻修改CSDN的密码，如果该密码还在其他网站使用，请尽快登录其他网站修改密码。如有可能，务必修改网银、邮箱等重要网站的密码，以保障资金安全，防止隐私泄露。此外，这次用户邮件的泄漏，垃圾邮件者凭空得到600万个程序员的电子邮件地址，估计以后广告邮件就会轮番轰炸过去了。防护难点：信息存在形式多、访问人员多、扩散快：敏感信息可能以纸质、电子形式存在，雇员、商业合作伙伴、供应商以及客户都能访问，信息通过企业内部网络、互联网能迅速扩散。互联网使用：即使通信软件如QQ、MSN等；文件共享与传输软件BT、迅雷、等P2P传输软件，网盘、云盘的使用不当；对外提供服务的信息系统漏洞被暴漏或被黑客攻破。移动办公：笔记本电脑，由于其移动性管理难，这些电脑染毒、木马或者设备本身丢失和被盗会导致信息泄露。存储介质：磁盘、硬盘、U盘、移动硬盘、光盘、存储卡等丢失、报废、维修、遭窃等，数据造成泄密。开发测试环境：在系统UAT测试、压力测试中使用未经脱敏处理的敏感信息，甚至开发人员直接拥有生产环境数据的访问权限。经营分析：大数据时代企业越来越重视对数据的综合分析为企业决策提供支持，在经营分析是大量人员会使用大量未脱敏的敏感信息。内部工作人员泄露：企业内部工作人员违反规章制度泄密、无意识泄密、故意泄密等。引进外包：在业务拓展、软件开发、IT运维过程中引入外包，外包人员责任心、归属感差。第三方合作：第三方合作，第三方的安全管理不到位极易造成信息泄露。不同形式敏感信息的保护思路敏感信息按存储形式分为：电子信息和纸质信息；电子信息按其存储的位置分为：信息系统内信息和信息系统外信息；纸质信息一直是传统必威体育官网网址关注对象，可以参考必威体育官网网址的相关要求进行保护。信息系统内部信息：更多的依靠系统本身的安全来保障系统内信息的安全，如通过安全开发（SDL）、安全产品、安全服务、安全运维等方式来确