千万社保用户信息泄露了我们该怎么办

大洋彼岸刚曝出美国第二大的医疗保险服务商Anthem公司信息系统被黑客攻破，近8000万员工和客户资料被盗的消息，国内超过30个省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露的消息犹如一枚重磅炸弹丢在了政府和百姓面前，也揭开了我国信息安全的大隐患。

 

在这次曝出的大量高危漏洞中，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

 

公安部第三研究所所长严明在接受《经济参考报》记者采访时表示，社保系统包含个人非常隐私的信息，同时也是国家宏观调控的重要信息和数据来源，一旦系统信息被不法分子进行篡改，后果不堪设想。与此同时，大量个人隐私信息可能被一些人员倒卖获利，造成经济方面的损失。

 

国家信息技术安全研究中心专家曹岳表示，类似地方社保等很多部门和公司，实际上对网络信息安全保护意识非常缺乏，也没有太重视对于相关人才的培养，很多时候即使出现了信息泄露问题，也仅仅是"捂盖子"，不会进行太多的补救。目前信息安全已经成为个人信息泄露重灾区，而我国在网络安全人才方面的培养和储备还远远不够。国家除了需要启动更加实质性的监管工作外，还需要加快对相关人才的培养，布局信息安全产业。

 

政府相关人员以及专业技术人员已经认识到我国信息安全存在的问题，从大局上十分利于我国信息安全防护的建设。不过，认识到问题只是第一步，如何采取有效措施解决这些信息安全漏洞，加固我国信息安全防护才是重中之重。

 

昂楷科技信息安全资深顾问Henry认为：首先要建立健全的信息安全泄露的问责机制，做到有法可依，包括建立"首席安全官"制度，把信息安全责任落实到相关部门和企业的负责人；其次，百姓们也要提高个人的信息安全保护意识，让不法分子没机可乘。

如何从根本上防止类似危害公民信息安全的事件发生呢？Henry提出了以下几点建议：

加强运维审计管理，对内部数据库、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录，提供细粒度的审计，并支持操作过程的全程回放，能够从事前、事中、事后的多角度、全方位进行安全防护。

从根源解决个人信息保密，从数据库级别进行防控，从根源上彻底控制客户数据信息的泄露，将个人身份证、社保参保信息、财务、薪酬、房屋等关键数据，使用文档加密技术，进行加密存储，防止个人隐私信息集中泄露、统计行为批量进行;

进行数据访问行为审计监控，重点加强数据库审计技术，将对数据仓库的访问行为进行监控和审计，对正在发生的数据库窃密行为能够实时预警、及时制止；还可提供有效的电子证据；

变相互制约为权责分明，完善IT内控机制，建立独立于数据库系统的安全权限体系，进行权限精细控制，从内控的角度来看，系统的使用权、管理权与监督权必须三权分立。审计系统实现独立审计，帮助监督人员获得有效的技术手段，从而完善企业IT内控机制，无关人员不能看到个人具体信息。

人们在享受信息时代的种种好处时，很多隐患早已潜伏在暗处，无论是个体还是国家，社会还是政府都要意识到问题的严重性。一方面要敢于不断开放政府的大数据，让百姓好好加以利用；另一方面则必须警惕信息安全的问题，重新设计整个信息安全的维护模式。只有在建设和运维、管理和安全双管齐下才能有力应对突发危机。