返回目录:理财保险
案件回放
去年3.15前夕,京东被曝出大量用户隐私信息遭到泄露,多名客户的信息被泄露,很多人在几分钟之内就被骗走数十万,总共损失数百万。现在事情被查明,并非“撞库”也并非“安全漏洞”,而是京东出现了“内鬼”。据《法制晚报》报道,京东三名负责物流的员工通过QQ群联系买家,共出售了9313条客户信息。
李军等3人都是负责物流的员工,而物流部门掌握着详细的客户资料,包括客户姓名、电话、地址、何时下单、所购货物等信息。从2014年12月至2015年1月,李军等3人通过登录北京京东世纪贸易有限公司ERP办公系统(服务器位于北京市大兴区亦庄),非法获取京东商城客户个人信息9313条,造成北京京东世纪贸易有限公司大量客户信息泄露,并将上述信息售予他人。
虽然判决书中根据相关证据认定泄露京东商城客户个人信息9313条,但根据第一被告人李军的自认,他们非法获取的京东商城客户个人信息大约有近3万条。
案件分析
普华永道发布的“全球信息安全状况调查”指出,对于中国大陆和香港企业,客户数据、内部信息和知识产权成为网络攻击主要锁定的目标。其中,针对客户数据的安全事件数量比2014年上升64%,远高于35%的全球平均值。值得注意的是,根据中国大陆和香港受访者反馈,在所有检测到的安全事件中,有50%归因于企业现有和离任雇员等内部人员。
大数据时代,随着数据的价值不断被挖掘,客户数据泄露事件层出不穷。在京东的这次泄密事件中,作案人主要是通过登录办公应用系统窃取客户信息。事实上,如果企业缺乏相应的数据安全管理措施,内部人员利用职务之便,倘若有心拿走资料真的是“神不知鬼不觉”。
解决方案
那么,针对应用系统的数据外泄事件,有没有对应的解决之道?
下面以天锐绿盾应用服务器安全接入系统为例,讲解如何有效保障应用系统数据安全。
首先,进行严格的身份认证,只有安装天锐绿盾应用服务器安全接入系统客户端的用户才可以申请访问指定应用系统,有效防止用户密码泄露或内部人员通过外网访问时,办公系统内重要数据外泄。
其次,针对在线阅读安全,系统支持对在线阅读的文件内容进行安全设置,如:禁止截屏、禁止打印、禁止复制等。内部人员想通过拷贝、截屏等方式外发客户数据,也是不可能的。
另外,针对下载文件安全,当内部人员从企业应用服务器上下载文件时,可对下载文件进行落地加密。那么,即使文件被下载下来,未授权的情况下外发拷贝出去,文件也无法打开或显示乱码。
如今,ERP、OA、CRM等应用系统不再是单纯的归档手段和管理工具,它们包含了大量的客户资料、财务信息、档案资料等重要数据。面对当下复杂的数据安全环境,企业除了加强制度管理之外,针对应用系统数据安全,还需要采取有效的技术手段进行主动管控,确保只有授权的内部人员才能访问应用系统,杜绝下载、拷贝等泄密隐患,保障重要数据安全。