数据安全事件成为近期热点新闻:美国最大的成品油管道运营商科洛尼尔受到黑客攻击,支付440万美元后重启运营;印度航空因黑客入侵存储和处理旅客个人信息的系统,约450万名旅客信息泄露。
安全威胁并不遥远。5月17日,省委网信办、省通信管理局、国家互联网应急中心江苏分中心联合发布的《2020年江苏省互联网网络安全报告》指出,我省网络安全面临的风险挑战十分严峻。
勒索病毒“绑架”数据索要赎金
“是勒索病毒‘绑架’了科洛尼尔公司的数据。”东南大学网络空间安全学院教授曹玖新解释,“攻击者事先在目标系统中植入恶意软件,并通过恶意软件对目标系统内的数据强行加密,使其无法被他人读取。通常只有受害者支付赎金,攻击者才将数据解密。这个过程就像黑客将数据作为人质要挟受害者,所以被称为‘数据绑架’。”
曹玖新告诉记者,“数据绑架”并非只针对大型机构,个人的重要数据也可能被勒索病毒劫持。2017年5月,一种勒索病毒在国内高校校园网内传播,许多学生毕业设计文档被加密,需要支付3个比特币才能解密。2018年12月,国内出现首个要求微信支付赎金的勒索病毒,几天内至少感染10万台电脑,受害者需通过微信“扫一扫”支付110元赎金才能解密文件。
省公安厅网安总队案件查处科郭警官介绍,去年南通启东市某大型超市的收银系统被黑客植入勒索病毒,导致系统瘫痪。南通市公安机关网安部门侦查发现,系统数据被病毒加密上锁,内容无法打开。同时受害人被要求联系指定的邮箱,向指定的收款地址支付比特币,付费后才能破解。据超市负责人反映,由于被锁服务器中有重要数据,格式化将带来巨大损失,只能被迫按照要求向对方付费解锁。
经过艰苦侦查,警方最终精准锁定巨某、谢某、谭某3名犯罪嫌疑人,其中巨某系多个比特币勒索病毒的制作者。经查,嫌疑人巨某编写源代码,制作多款勒索病毒程序,并伙同广州某软件公司法人谢某、谭某,非法获取他人系统权限后植入勒索病毒,索要高额赎金,涉案金额800余万元。目前,3名嫌疑人均以破坏计算机信息系统罪获刑,其中主犯巨某被判处有期徒刑8年。
省公安厅网安总队网络与信息安全信息通报科牛警官说,近年来勒索病毒是最令人头痛的新型网络病毒之一,医疗、金融、建筑、制造等行业频受其害。一方面,勒索成本不高、利润较大,不法之徒利欲熏心,作案冲动强烈;另一方面,制作使用病毒的黑客几乎全部利用暗网或境外小众软件进行通联,并且通过比特币等虚拟货币收取赎金,追踪溯源十分困难。
更令人担心的是,有些企业被勒索病毒攻击后,为迅速恢复生产、降低社会影响,选择交赎金换解锁。牛警官提醒,一旦被勒索病毒感染,不要随意重启、重装受害系统,及时报警,最好邀请网络安全专家帮助查明原因,避免再次受害,防止被勒索者“牵着鼻子走”。
去年省内近3000万条数据有泄露风险
“用户个人数据,比如账号信息、手机号码、地址、身份证号码、支付信息以及个人偏好信息等,都具备比较高的业务挖掘价值,对网络攻击者来说是诱人的目标。”腾讯安全云鼎实验室高级研究员谢灿说,“因此,以数据窃取为目标的网络攻击事件时有发生,造成巨大的经济损失和安全隐患。”
谢灿介绍,印度航空公司的系统就是遭到拖库攻击。所谓拖库,指网络攻击者找到某个系统权限漏洞后,直接把整个数据库文件都拖出来,从而泄露所有数据。其中,明文数据库被拖库造成的危害最大。
国家互联网应急中心江苏分中心发现,去年全省发生270起涉及个人信息和重要数据安全的事件与风险,包括162起数据库攻击事件、101起数据库和信息系统数据泄露风险、7起暗网售卖省内个人信息事件。
据监测,去年省内有2914万余条个人信息数据存在被泄露的风险,涉及政府工作人员、医生、导游、教师、学生、司机等职业,体检人员、孕妇、病人、婴儿等多类人员;135万余条业务数据存在被泄露风险,涉及车辆、药品、公文、合同、邮件等信息。
这2914万余条个人信息数据中,2913万余条含有包括姓名、电话号码在内的个人基本资料,2883万余条含有个人身份证号等个人身份信息,2581万余条含有人员健康码、体检报告信息等个人健康生理信息。虽然漏洞已修复,但不排除修复前数据已遭泄露的可能。
保障数据安全,需要高度重视系统漏洞。国家互联网应急中心江苏分中心网络安全处高级工程师俞宙告诉记者,去年,中央网信办和国家信息安全漏洞共享平台(CNVD)通报,包括数据库的安全漏洞在内,我省省内各级重要信息系统存在安全漏洞1500个,其类型主要是弱口令漏洞、文件读取漏洞和SQL注入漏洞。
弱口令,就是容易被他人猜到或破解的密码。弱口令漏洞发现简单、利用容易、危害严重。如某省级单位信息管理系统账号存在弱口令漏洞,一旦被恶意攻击者利用,将导致近27万服务对象的姓名、手机号、身份证号、家庭住址等个人信息泄露。
文件读取漏洞也称文件下载漏洞,一些网站提供文件下载或查看服务,但对用户可查看或下载的文件不作限制,攻击者可以读取服务器内部应用配置信息或者系统重要文件,为进一步攻陷主机打开方便之门。
SQL注入是一种常见攻击手段,攻击者利用SQL注入漏洞可以获取数据库敏感信息,或对数据库实施添加、修改和删除等恶意操作。去年,攻击者利用某省级单位业务系统的SQL注入漏洞,获取系统的管理员密码,从而登入系统,查看该单位内部数据。
如何抵御“黑手”守护数据安全
网络空间不存在百分百的安全,我们如何抵御攻击,守护数据安全?
“不管是黑客还是技术爱好者,不管是恶意还是非恶意,针对网络上的数据进行的扫描、试探或攻击,每天都在发生。”谢灿认为,在数字经济时代,企业对涉及个人隐私的数据要严格按照“最小化”的标准,合法合规地采集。对采集到的数据,企业应结合管理手段、技术手段去做分类分级,对不同安全等级的数据进行不同的安全保护。比如,用户的个人信息属于高敏感信息,业务方在使用这类数据时,应进行脱敏处理,这样业务操作者看到的是变形后的数据而非原文,可以规避内部人员泄密造成的数据泄露事件;对存储状态的数据应加密,把明文变成密文,这样即便遭遇到拖库攻击、数据被盗,黑客看到的也是密文,数据本身无法被利用。
谢灿介绍,“腾讯建立了一整套数据安全治理体系,对数据的采集、传输、存储、使用、共享及销毁进行‘全生命周期’的数据安全管理与安全防护。除常规的数据安全保护手段之外,在多个企业数据共享场景下,我们会利用一些新兴的技术手段,包括多方计算、联邦学习等,来解决隐私数据保护问题。这种方式,简单来讲,就是在不向数据共享方透出原始数据,或在数据共享方看到密文状态数据的前提下,实现对数据的多方联合分析与数据应用。”
许多中小企业并不具备专业的网络安全技术人员和网络安全建设能力,一些有较强防范意识的企业使用专业的网络安全产品与服务。2016年成立的南京聚铭网络科技有限公司,专注于网络安全智能分析和检测,目前已为1万多家客户提供网络安全服务。该公司技术总监于化农说,企业要保障数据资产的完整性、保密性和可用性,需要做好事前的安全检查、防范规划,事中的风险监控、威胁阻断,事后的审计检索、追溯定责。
于化农介绍,网络上的攻击手段越来越多,组合攻击、隐蔽攻击层出不穷,而且攻击爆发时间变短、扩散迅速,给安全建设和安全防护工作带来很大挑战。与之相应,网络安全行业的产品市场细分领域也在增多,出现很多新兴产品形态,如流量分析、态势感知、大数据安全等。该公司依托人工智能技术开发的网络流量智能分析审计系统,为国内输油管路、轨道交通等领域提供安全识别分析,包括防攻击、防勒索、数据保护、性能监控等。某地铁公司在使用网络流量智能分析审计系统时,发现勒索病毒侵入,技术人员通过网络流量智能分析审计系统的智能响应引擎与防火墙交换机的联动处置,快速进行隔离阻断,防止了勒索威胁的蔓延,避免了重大安全事故。
针对网络黑客攻击犯罪问题,省公安厅连续3年组织开展净网行动,通过发起破案攻坚和集群战役,严厉打击此类犯罪活动,共侦破危害网络信息系统安全和数据安全案件2090起,抓获犯罪嫌疑人8215名,打掉黑客犯罪团伙57个。
信息系统要“装好刹车再上路”
国家互联网应急中心江苏分中心主要面向党政机关、事业单位、大型国企和其他关键信息基础设施运营单位,开展网络安全事件的发现、预警、通报和处置,重点保障公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等行业和领域的安全运行。该中心主任王云飞认为,所有系统都有漏洞,虽然可以找到漏洞并给漏洞打上补丁,但是随着技术不断升级,新的漏洞又会出现。很多单位热衷于建设信息系统,但对做好系统的安全防护重视程度不一。“安全防护相当于‘刹车’,大家应该有‘装好刹车再上路’的意识,建设信息系统时要根据网络安全法的要求做到‘三同步’,保证安全技术措施同步规划、同步建设、同步使用。”
该中心网络安全处副处长尹魏昕表示,一旦数据库被攻击,数据被窃取、泄露到互联网上,就产生了无法挽回的后果——从私密数据变成公开数据。因此,守护数据重在防护:用户要谨慎提供个人数据,尽量使用可靠的大平台,设置满足复杂度要求的密码;平台要根据法律法规、行业标准,切实保护用户数据安全;政府部门要使用行政手段约束或督促平台规范运维,提升数据的安全防护;在国家层面,要通过法律手段加强对数据安全的保护。
从技术角度看,如何做好数据库安全防护?俞宙介绍,首先应设置访问控制策略,严格限制互联网上对数据库的访问。从该中心监测情况看,绝大多数的数据库被攻破,与其未设置有效访问策略、在互联网上可直接被访问有关。其次,应修复数据库存在的漏洞,采用给数据库设置强口令等措施。第三,要提升信息系统的整体安全防护能力。
曹玖新提醒个人用户,“当我们在网上留下痕迹时,个人信息数据就有被窃取甚至利用风险。”数据泄露渠道包括:各类单据,如快递单、火车票;社交网络,如在微博、微信不自觉透露姓名、职务、单位等信息,晒登机牌时不将身份证号码、二维码等敏感信息进行模糊处理;手机中的APP,用户个人信息可能被APP过度索取,甚至私自共享给第三方;参加问卷调查、购物抽奖,或申请会员卡、扫描带优惠信息的二维码等,填写详细联系方式和家庭住址等信息;求职简历,网上投简历是求职的重要方式,而简历中个人信息一应俱全;资料打印,各类考试、培训班报名,经常要登记个人信息,有打印店将客户信息存档留底后转卖。
那么,如何保护我们的个人信息?曹玖新建议,在处理快递单等含有个人信息资料的文件时,先抹掉个人信息再丢弃;上网的过程中不随意留下个人信息;尽可能在官方应用商店下载APP,拒绝授予APP不必要的权限;在各类社交平台、网购平台,尽量使用较复杂的密码;谨慎扫描商家提供的优惠二维码,不为贪图小优惠而提供个人信息。(徐冠英 胡兰兰 颜颖 蔡姝雯)