|
|
1.补天漏洞响应平台此次曝光的名单,有人觉得这次事故是公民社保类信息泄露的“冰山一角”,泄露事故到底是偶然的还是必然的?
答:必然的,因为没有人需要为信息泄露负责,生活中个人隐私信息就没有得到过保护。P民泄露了也没多大事,被骗那是自己不小心,跟社保没啥关系,人家门清呢。
2.像这次政府网站出现大面积的信息漏洞,有人觉得是技术因素,也有人觉得是人为因素,您觉得呢?为什么?
答:安全这事情,说三分技术七分管理也是适用,从技术层面看,安全是动态的,系统上线时相对安全,过几年技术发展了,到处是漏洞也正常,就需要及时安全加固。
而且技术防止不了内部人员泄密,当然内部人主动泄密社保信息的可能性比较小。
3.从技术的层面看,您觉得政策拟社保系统中存在哪些因素会导致信息泄露?弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等?谈谈您的想法。
答:最大可能是社保系统上线比较早,SQL注入都有可能出现。另外数据库管理弱口令、导出的统计类记录文件泄密也是可能。至于说信息加密,大部分社保信息应该都是明码保存的。
安全是有代价的,少了在安全方面的持续技术投入,系统多半不安全了。
4.在大数据概念通行的当下,政府将是公民信息最大的保有者,它保有的不仅是“价值连城”的个人数据,还是涉及公民核心隐私的“火药库”。社保系统的信息安全漏洞该怎么补呢?
动态评估啊,经常漏扫和加固。在代码编程、数据库管理等方面都要加强,最小化权限设计和异常访问监控都是必要的。
5.补天平台相关负责人说,我们会将信息安全漏洞反馈给涉事机构,但政府网站往往不给回应。“好一点的至少能悄悄地把漏洞修复了。但还有一些,却连花几分钟修复最简单的漏洞都不愿意。”您是怎么看待这种说法的?
还是责任制落实的问题,社保管理机构也属于参公机构,除非平时就有安全事件应急方面的费用,安全漏洞修复肯定要依赖外服,落实不了预算,自然不太可能去修复,修复时产生问题怎么办? |
|
楼主: pipihappy8888
IP卡
狗仔卡
发表于 2015-4-26 01:05
显身卡
....
发表于 2015-4-27 13:04