目前,互聯網已經成為信息洩露的重災區。“實際上,(內鬼)是可以防範的,主要是做好權限管理跟賬號管理。”知道創宇超級安全體檢團隊負責人王宇告訴南都記者。據了解,華為在內控上,核心數據不能够通過硬件(U盤)拷走;而支付寶則是在不同工作人員顯示頁面加入肉眼不能看到的水印技術,有安全人員透露,之前它曾有一個後台截屏傳出就通過這個水印追查到人。
“最基本是審計軟件,這就相當於物理環境的攝像頭,你把企業內部信息發出去必須經過內部網關。”王宇表示。
但大部分企業并沒有辦公出口的審計系統。
“有些公司業務過於龐大,分支機構較多,管理水平參差不齊,領導的重視程度也有限,有些信息基本處於半公開狀態,很容易造成洩露。”一位不願透露姓名的企業管理層透露,目前政策缺位,政府對此監管乏力,企業在這一領域的投入和監管還不完善,一些掌握核心信息的機構、甚至是基層環節比如快遞員,獲取信息的門檻并不高。
技術層面直接正面攻擊
不過,李鐵軍表示,更嚴重系統漏洞帶來的信息洩露規模更驚人。但“系統漏洞洩露的信息往往不够新,有的是轉過很多次手。”
南都記者采訪獲悉,目前任何系統都不可能100%杜絕漏洞。
“白帽匯”首席安全官鄧煥表示:“常規做法只能說不停排查漏洞,不能100%避免;另外就是通過一些獨特算法去二次加密數據,實際上現在最常用的純MD5基本都能破解。” |
