個人信息安全保護岌岌可危

　　目前國內公民個人信息保護形勢很嚴峻，而且，形勢正因為互聯網的迅速發展而變得更加復雜。個人信息被通過各種渠道收集、販賣和非法應用，更多普通人因此遭遇或大或小的經濟損失，遭受更多的垃圾短信、郵件和推銷電話的騷擾，遭遇詐騙甚至更嚴重的犯罪威脅。公民個人信息洩露已經實實在在的與每個公民有關。

　　另一方面，對於持有大量公民個人信息的組織來說，信息洩露的代價也越來越無法承受。在個人信息保護機制健全的美國、歐盟、日本等地，有嚴格的成文法規對隱私保護做出詳細規定，保護所持有的個人信息是企業必須承擔的責任。在這種前提下，一旦遭遇洩密事故，組織往往面臨監管機構的天價罰單和用戶的索賠訴訟，例如去年索尼PSN網絡洩密帶來的直接損失達1.7億美元，後續間接損失更可能以數十億計。此外，一旦遭遇大規模的洩密事故，對於該組織的信譽打擊往往是毀滅性的，即使最高負責人以公開道歉等高規格措施補救也於事無補。

　　具體到我國，作為大量公民個人信息的持有者，政府機構、金融、電信運營商、社交網絡運營商等組織有義務去保護所持有的信息。隨著形勢的日趨嚴峻，監管部門對於個人信息保護的力度也在加強。媒體的不斷曝光，促使相關部門在近期出台了《個人信息保護指南》，代表了監管層面對於個人信息保護的態度轉變。那麼，個人信息保護現實不盡如人意的根源何在？前路又在何方？作為國內知名的內網安全與信息洩露防護廠商，溢信科技（www.ip-guard.net ）近期專門就這一課題進行了研究，希望能給為相關領域的安全人員提供一些有益的建議。（詳情請了解IP-guard個人信息洩露防護專題）

　　還原信息洩密的典型鏈條

　　隨著2012年4月以來公安部統一部署的個人信息保護行動的展開，眾多買賣公民個人信息事件浮出水面，結合溢信科技多年來的信息洩露防護經驗，我們可以總結出一條清晰的由內部人員開始的洩密鏈條。

　　1）信息源，也是最終的受害者

　　政府機構和事業單位所持有的基礎數據，如人口統計和工商登記數據等，金融、電信運營商、醫療、互聯網服務提供商等企業所擁有的海量數據，都是重要的數據來源。可以說，每個個體所提交的任何真實數據信息，最後可能都會以一條記錄的形式存在於某個數據庫中。

　　2）賣家，洩密的開始；

　　根據溢信科技的經驗，數據洩密的源頭，大致可以分為三類：

　　。內部人員的主動洩露，以典型的信息買賣為主，以及人情請托等；

　　。惡意的信息竊取，如黑客攻擊所導致的數據庫被盜；