【大话IT】社保信息泄露谁之过？是偶然还是必然？

qdwmail · 发表于 2015-4-28 13:33

层层分包后还有多少是纯技术讨论

jhua_lu · 发表于 2015-4-28 14:40

让我忽然想起，为何建筑类的有安全追纠保障法规这些，做为信息系统实施（建筑商）也应该有这方面的要求，这两者应该同等对待！

xdsnet · 发表于 2015-4-29 09:04

本帖最后由 xdsnet 于 2015-4-29 09:07 编辑

1.补天漏洞响应平台此次曝光的名单，有人觉得这次事故是公民社保类信息泄露的“冰山一角”，泄露事故到底是偶然的还是必然的？
绝对的必然，只是爆发时间是偶然的，前面很多人都提到了我们对信息安全其实是没有真正重视的，原来很多封闭的管理系统因社会发展变成不那么封闭了，这时没有专门的进行信息安全方面的加固，而贸然公开，则信息安全事故绝对频发。
即是是封闭的系统，因为我们内部人员控制方面的问题，其实信息安全状况也不容乐观的。
说实在的，像国内很多系统，其实一开始就没有这方面的全面考虑，缺少多个层次的安全审计，则必然有很多漏洞，所以发生这样的事情是绝对必然的。

2.像这次政府网站出现大面积的信息漏洞，有人觉得是技术因素，也有人觉得是人为因素，您觉得呢？为什么？
人为因素是主要因素，技术因素是次要因素。因为技术因素是由人为因素选择的，技术是需要成本的，因为人的不重视，在技术更新（条件发生变化等等）时，没有人为选择更适合的技术，进行技术升级，则必然有漏洞。

3.从技术的层面看，您觉得政策拟社保系统中存在哪些因素会导致信息泄露？弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等？谈谈您的想法。
从技术层面说，明码保存重要（敏感）信息、弱口令、数据库保护更新不及时导致注入，防止密码暴露破解等都是需要在技术层面解决的问题（虽然技术采用需要人为选择），也是导致信息泄露的风险点。
其实对这些都有一些基本成型的技术（策略），一般来说按策略要点进行系统升级就可以把泄露风险降到到合理水平了，比如敏感信息的加密保存、系统分层分级相对隔离进行信息的读取（信息访问最小化原则，一般只能读取很少信息，只有经过强认证的个别指定设备才能获得更多的信息......），数据库防注入，弱口令更换成强口令，甚至其他更强的加密认证方式（结合生物识别、物理加密器件认证等等、固定访问设备）。总之，方法策略很多，就看选取那些了，要和成本等等均衡。

4.在大数据概念通行的当下，政府将是公民信息最大的保有者，它保有的不仅是“价值连城”的个人数据，还是涉及公民核心隐私的“火药库”。社保系统的信息安全漏洞该怎么补呢？
其实还是政策等问题，我们要做到个人信息分级使用，而不是什么地方办个小事情都要涉及所有的个人敏感信息。其实这方面看从国家到个人都还有很多路要走。此外还有责任追究制度，现在就是泄密了，对政府来说其实没有什么真正的“损失”的。
信息安全漏洞要修补，更多的还是控制人为因素。

5.补天平台相关负责人说，我们会将信息安全漏洞反馈给涉事机构，但政府网站往往不给回应。“好一点的至少能悄悄地把漏洞修复了。但还有一些，却连花几分钟修复最简单的漏洞都不愿意。”您是怎么看待这种说法的？
因为没有责任追查制度，所以大家都不关心了，而且侥幸心理严重的。
此外政府相关工作人员素质相对较低，信息安全意识薄弱也是需要加强的。
此外作为相关政府方面的事务，如果没有预算、经费就是动不了的，而这些一般又是临时性的，多半预算是没有的，所以如果更上级领导不拍板，则只能放在那里了。

pipihappy8888 · 发表于 2015-4-29 09:52

我有个遥远的梦发表于 2015-4-27 13:53
皮皮头像换了，人变成熟了

我是不是跑题了

是的呢，我的头像代表着季节，时间的流逝，你懂得！

马甲168 · 发表于 2015-4-29 10:35

2009532140 发表于 2015-4-25 08:51
恩恩，确实是我们公司

社保系统是东软做的？

马甲168 · 发表于 2015-4-29 10:39

w39 发表于 2015-4-27 13:04
就算是有，也要辟谣啊

有、没有都很难说，这补天漏洞响应平台好像以前没听说过

乌云，你听说过吧。

shenzhen_sap · 发表于 2015-4-30 15:04

1.补天漏洞响应平台此次曝光的名单，有人觉得这次事故是公民社保类信息泄露的“冰山一角”，泄露事故到底是偶然的还是必然的？
有偶然也有必然, 偶然是指可能是某些技術人員錯誤將相關的信息上傳到一些公用网站. 必然的當然和利有關, 賣個人銀行信息的, 信用卡信息的, 多了去了.

2.像这次政府网站出现大面积的信息漏洞，有人觉得是技术因素，也有人觉得是人为因素，您觉得呢？为什么？
我覺得兩者都有, 政府部門人員效率不高, 對外面的新技術未必了解. 人為因素不排除某些技術人員對現狀的不滿而失去了職業道德.

3.从技术的层面看，您觉得政策拟社保系统中存在哪些因素会导致信息泄露？弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等？谈谈您的想法。
初始密碼過於簡單應該其中一個方面.

4.在大数据概念通行的当下，政府将是公民信息最大的保有者，它保有的不仅是“价值连城”的个人数据，还是涉及公民核心隐私的“火药库”。社保系统的信息安全漏洞该怎么补呢？
政府可以利用企業的雲建立私有雲, 同時制定信息洩露罪的立法, 對違法分子嚴懲.

5.补天平台相关负责人说，我们会将信息安全漏洞反馈给涉事机构，但政府网站往往不给回应。“好一点的至少能悄悄地把漏洞修复了。但还有一些，却连花几分钟修复最简单的漏洞都不愿意。”您是怎么看待这种说法的？
正常, 政府給老百姓的感覺就是效率慢, 工作人員懶散, 服務態度差.

gh_95533 · 发表于 2015-4-30 15:43

路过，好像政府网络和互联网应该不是一个网段吧

W开怀Q · 发表于 2015-4-30 16:18

后手倒卖数据

mynamedcc · 发表于 2015-5-2 20:15

随便帮顶。。。。。。。。。..