摘要: 昨天上午,新浪微博网友 @小朋友8小快乐 发了一条微博,表示了对政府单位信息安全建设的不满,并at了我,内容如下:我们看到,牵扯到的部门包括:车管所、教育局等……其实游侠此前单位的同事也遇到这样的情况——买车第二天,就有一外地口音的打电话过来,说退税,当然...
昨天上午,新浪微博网友 @小朋友8小快乐 发了一条微博,表示了对政府单位信息安全建设的不满,并at了我,内容如下:
我们看到,牵扯到的部门包括:车管所、教育局等……其实游侠此前单位的同事也遇到这样的情况——买车第二天,就有一外地口音的打电话过来,说退税,当然我这朋友比较小心的,所以没有上当。但是,如此快速的行骗,肯定得手不少!因为政策,也的确有退税的说法!估计很多人都认为是正规的退税,就去按照骗子的“操作指南”进行下一步了……
关键是:谁会为此造成的后果负责?
紧接着新浪微博的 @陈树鹏 也表示了同样的看法……同样的情况也出现在游侠前同事的身上:和老婆去医院做了产检,然后就开始接收各种短信、电话——卖纸尿裤、卖奶粉、卖童装……
是谁,把我们的信息卖了?!游侠和大家分析下:
- 政府公务人员(包括医院等)和外部商家,甚至骗子(和骗子的几率较小)里应外合,通过人工记录、复印、倒库等方式把资料转出;
- 信息系统有漏洞,被黑客攻击、利用,直接实施诈骗,或者转卖给骗子进行诈骗;
- 第三方人员,如帮政府、医院做集成、做业务系统的运维人员的非授权、人为数据导出。
以上三种,皆有可能,解决方式当然有很多种,简单说下:
- 部署桌面安全管理系统,对U盘拷贝、文件操作、文件改名、打印行为等进行严格控制和审计;
- 部署文档管控系统,对重要文档进行加密、授权,防止文档被非授权访问;
- 通过入侵检测、入侵防御等系统对业务系统进行保护,防止被黑客攻击;
- 对数据库操作行为进行管控,可通过旁路部署的数据库审计(对透明协议)实现;
- 对对运维人员的操作,如RDP、SSH、FTP、telnet等运维行为进行严格管理,通过运维安全管理系统(内控堡垒主机)等对所有行为进行审计、控制,同时对通过RDP和SSH、telnet对数据库的操作进行管控。
- 通过非法内外联控制系统,防止外部计算机接入内网,实行准入控制
这里仅仅是比较简单、易于操作的管控方式,还有更加深入的一些管控方式,限于篇幅和实施复杂程度,不再赘述!
当然,个人认为:政府和主管机关对公民信息保护意识不足,是主要问题。等级保护大张旗鼓的推广了很长时间,但很多地方都成了完全的政绩工程、面子工程,从拼技术成了拼关系、拼价格……也不得不说是个悲哀。
欢迎各位看官就此与游侠进行探讨、沟通,也欢迎把您的想法投递到本站。我的QQ是:55984512
相关阅读:
