信息泄露多來(lái)自“內(nèi)鬼” 層層布控難防“家賊”

　　IT時(shí)報(bào)記者 潘少穎

　　剛填寫(xiě)了相關(guān)資料，很快接二連三的收到各種廣告；剛生完小孩，就有人打電話(huà)過(guò)來(lái)推銷(xiāo)奶粉；就連向來(lái)以安全著稱(chēng)的支付寶，近來(lái)也因該公司技術(shù)員工李某在2010年分多次在后臺(tái)下載了支付寶用戶(hù)資料并出售的事件被推到了風(fēng)口浪尖，個(gè)人信息安全再度引來(lái)關(guān)注。

　　多為“內(nèi)鬼”泄露個(gè)人信息

　　小到電話(huà)推銷(xiāo)，大到銀行卡被盜刷，信息泄露的源頭大多數(shù)為“內(nèi)鬼”，就如支付寶的李某一樣。

　　記者在 新浪 微博上看到一條出售個(gè)人資料的微博，聯(lián)系上該賣(mài)家后，該賣(mài)家告訴記者，出售的個(gè)人信息包括姓名、身份證和銀行卡號(hào)，3.5元一條，并且給記者看了一個(gè)樣品。當(dāng)記者問(wèn)起這些信息的來(lái)源時(shí)，該賣(mài)家表示，自己并非銀行員工，而是通過(guò)銀行內(nèi)部員工得到的這些信息。

　　記者從該賣(mài)家處了解到，通過(guò)銀行內(nèi)部員工得到個(gè)人信息并非一次性交易，而是可以連續(xù)多次地獲得信息�！白蛱斐鰜�(lái)的10000個(gè)庫(kù)存已經(jīng)賣(mài)完了，最新的個(gè)人信息要稍晚一點(diǎn)才能出來(lái)，時(shí)間不緊的話(huà)可以等一下�！痹撡u(mài)家說(shuō)。

　　內(nèi)部系統(tǒng)仍留隱患

　　記者了解到，在不少掌握用戶(hù)信息的企業(yè)中，都會(huì)有員工因?yàn)楣ぷ餍枰�可查�?xún)用戶(hù)信息，并且可以將信息從電腦里“流”出來(lái)。

　　“我能看到的用戶(hù)信用報(bào)告上的個(gè)人信息巨細(xì)無(wú)遺，包括銀行卡賬號(hào)、出生日期、手機(jī)號(hào)碼、通訊地址以及配偶資料等。這些資料都保存在電腦里一個(gè)固定的地方，雖然在內(nèi)部審計(jì)時(shí)會(huì)查，但這些資料還是可以下載下來(lái)的�！蹦炽y行前客戶(hù)經(jīng)理告訴記者，銀行相關(guān)后臺(tái)人員都有相關(guān)賬號(hào)和密碼，盡管會(huì)有攝像頭等實(shí)時(shí)監(jiān)控，但也不排除員工越軌。

　　技術(shù)手段難防“家賊”

　　很多涉及到大量用戶(hù)信息的企業(yè)，都會(huì)對(duì)員工在保護(hù)用戶(hù)信息方面有各種規(guī)定，包括制度上的和技術(shù)上。支付寶也在其聲明中表示，對(duì)于敏感數(shù)據(jù)如身份證信息、密碼等采用先進(jìn)加密技術(shù)處理。

　　某運(yùn)營(yíng)商工作人員告訴記者，其客服人員進(jìn)入工作現(xiàn)場(chǎng)不能帶手機(jī)，電腦工作環(huán)境是內(nèi)網(wǎng)，沒(méi)有發(fā)送電子郵件的功能，所有的輸入輸出設(shè)備如USB接口、光驅(qū)等一并封掉，用戶(hù)的一些重要信息如信用等級(jí)等需要授權(quán)才能看到�！�

　　“會(huì)對(duì)用戶(hù)信息進(jìn)行相應(yīng)的隱碼處理(隱掉部分字段)；查看用戶(hù)信息或其他敏感數(shù)據(jù)，工作人員都需登錄相關(guān)平臺(tái)方可訪問(wèn)，同時(shí)該平臺(tái)會(huì)留有相應(yīng)的操作記錄，也不允許以任何方式將用戶(hù)信息帶離公司�！备顿M(fèi)通相關(guān)人士表示。

　　“即使采用封閉外接設(shè)備端口等極端方式，也不能防止信息泄露。比如技術(shù)人員在維護(hù)系統(tǒng)時(shí)，權(quán)限比較大，可以批量導(dǎo)出用戶(hù)信息。技術(shù)人員也可以說(shuō)硬盤(pán)壞了，需要更換硬盤(pán)等方法�？偠�言之，再?lài)?yán)密的系統(tǒng)也有透風(fēng)的地方，核心還是企業(yè)自己的風(fēng)控意識(shí)�！睆�(fù)旦大學(xué)軟件學(xué)院博士楊珉說(shuō)。