常見數(shù)據(jù)泄露隱患及防范常識(shí)

【摘 要】 本文介紹了常見的數(shù)據(jù)泄露及數(shù)據(jù)竊取場景、途徑及手段，并結(jié)合近幾年出現(xiàn)的典型案例，分析了辦公、生活兩種場景下常見的數(shù)據(jù)竊取與數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患及防范常識(shí)，以期為公眾提高信息安全防護(hù)素養(yǎng)提供借鑒。

【關(guān)鍵詞】 數(shù)據(jù)泄露 數(shù)據(jù)竊取 風(fēng)險(xiǎn)隱患

1 引言

大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等新技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，為我們帶來工作便利的同時(shí)，數(shù)據(jù)泄露與數(shù)據(jù)竊取渠道、手段也更加多樣，安全風(fēng)險(xiǎn)持續(xù)加大。一方面，不法分子通過網(wǎng)絡(luò)攻擊重要部門竊取數(shù)據(jù)的活動(dòng)越發(fā)猖獗；另一方面，國家秘密、工作秘密、個(gè)人隱私正面臨著極大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

2 常見的數(shù)據(jù)泄露方式

近年來，數(shù)據(jù)泄露、竊取事件頻頻發(fā)生，從案發(fā)情況來看，導(dǎo)致數(shù)據(jù)安全隱患增加的原因主要有以下3種。

（1）數(shù)據(jù)竊取：數(shù)據(jù)竊取一般指外部人員利用技術(shù)手段主動(dòng)竊取數(shù)據(jù)，或策反內(nèi)部人員協(xié)助其達(dá)到竊取數(shù)據(jù)的目的。常見的數(shù)據(jù)竊取手段，如網(wǎng)絡(luò)釣魚、利用信息系統(tǒng)存在的配置缺陷或安全漏洞、結(jié)構(gòu)化查詢語言（SQL）注入攻擊、植入間諜軟件等，都是通過非法入侵他人系統(tǒng)竊取數(shù)據(jù)。

（2）數(shù)據(jù)泄露：數(shù)據(jù)泄露主要指因人員保密意識(shí)薄弱、疏忽大意造成數(shù)據(jù)泄露。此外，部分人員出于經(jīng)濟(jì)利益或報(bào)復(fù)情緒等原因，將敏感數(shù)據(jù)故意泄露或售賣。

（3）數(shù)據(jù)丟失：數(shù)據(jù)丟失一般指因數(shù)據(jù)發(fā)布或傳輸流程存在缺陷、數(shù)據(jù)存儲(chǔ)介質(zhì)丟失、維修或處置失誤、不完善的數(shù)據(jù)定級(jí)制度及授權(quán)訪問機(jī)制失控導(dǎo)致的敏感數(shù)據(jù)泄露。

3 辦公場景中的數(shù)據(jù)泄露隱患及防范常識(shí)

近年來，手機(jī)、平板、電腦及其配備設(shè)備逐步成為輔助辦公的重要手段，強(qiáng)大的功能豐富了數(shù)據(jù)獲取、上傳、存儲(chǔ)、傳輸?shù)耐緩剑�隨之而來的數(shù)據(jù)泄露事件頻繁發(fā)生，最常見的原因無外乎“為圖省事”“事多疏忽”“事出緊急”等。

本節(jié)從移動(dòng)存儲(chǔ)設(shè)備、無線通信及網(wǎng)上辦公等方面分析了辦公場景中常見的信息泄漏隱患，并提出對(duì)應(yīng)的防范措施。

3.1 移動(dòng)存儲(chǔ)設(shè)備存在的安全隱患及防范常識(shí)

移動(dòng)設(shè)備作為電子信息傳遞的載體之一，因其體積小巧、便于攜帶、存儲(chǔ)容量大、價(jià)格低廉等優(yōu)勢被人們廣泛使用，但移動(dòng)存儲(chǔ)設(shè)備使用不當(dāng)導(dǎo)致的信息泄露事件也頻繁發(fā)生。據(jù)統(tǒng)計(jì)，移動(dòng)存儲(chǔ)設(shè)備交叉使用造成的數(shù)據(jù)泄露占比達(dá)一半以上，讓人細(xì)思極恐。

移動(dòng)存儲(chǔ)設(shè)備在使用過程中，極易被植入“擺渡”“輪渡”等木馬病毒程序，這些病毒的傳播過程類似于生物病毒傳播過程。當(dāng)移動(dòng)存儲(chǔ)設(shè)備插入一臺(tái)被植入木馬的計(jì)算機(jī)后，其就成為病毒攜帶者，一旦將該設(shè)備接入內(nèi)網(wǎng)計(jì)算機(jī)，就會(huì)導(dǎo)致內(nèi)網(wǎng)計(jì)算機(jī)感染木馬病毒。當(dāng)該移動(dòng)存儲(chǔ)設(shè)備再次連接聯(lián)網(wǎng)計(jì)算機(jī)時(shí)，木馬病毒會(huì)非常隱蔽地將竊取的數(shù)據(jù)發(fā)送給竊取者，造成數(shù)據(jù)泄露。另外，公私混用、管理困難、設(shè)備丟失等，也成為移動(dòng)存儲(chǔ)設(shè)備潛藏的安全威脅。

為防止移動(dòng)存儲(chǔ)設(shè)備泄露數(shù)據(jù)，切實(shí)保障數(shù)據(jù)安全，嚴(yán)禁在涉密領(lǐng)域和非涉密領(lǐng)域混用移動(dòng)存儲(chǔ)設(shè)備；定期查殺病毒、木馬等惡意代碼，防止其蔓延傳播；嚴(yán)禁將已報(bào)廢的涉密移動(dòng)存儲(chǔ)介質(zhì)轉(zhuǎn)為非涉密載體繼續(xù)使用，并對(duì)已報(bào)廢的涉密移動(dòng)存儲(chǔ)介質(zhì)要進(jìn)行徹底銷毀；對(duì)移動(dòng)存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行加密、備份，防止設(shè)備丟失后數(shù)據(jù)被竊取。

3.2 無線通信中存在的安全隱患及防范常識(shí)

隨著無線通信技術(shù)的迅速發(fā)展，無線鍵盤、鼠標(biāo)、智能穿戴設(shè)備等得到廣泛應(yīng)用。相較于傳統(tǒng)的有線連接方式，無線設(shè)備沒有繁雜的線纜，不僅方便攜帶，更不會(huì)因距離限制人們使用。但是無線連接設(shè)備在受到人們的喜愛的同時(shí)，也引起了不法分子的興趣，逐漸成為不法分子竊取數(shù)據(jù)的重要途徑。

由于無線通信信號(hào)是在空間中自由傳播的，無論是移動(dòng)通信、衛(wèi)星通信，還是微波通信等，任何人都可以通過相應(yīng)的接收裝置接收到通信信號(hào)，并經(jīng)處理后還原通信內(nèi)容。因此，從傳輸媒介的角度來看，無線通信系統(tǒng)是一個(gè)開放式系統(tǒng)，其安全保密隱患比有線通信更為突出。常見的無線通信竊密風(fēng)險(xiǎn)主要有空中監(jiān)聽、定位追蹤、重放攻擊、注入攻擊、信號(hào)截取、木馬病毒攻擊等。通過在無線設(shè)備中嵌入木馬模塊，或截獲無線設(shè)備發(fā)出的未加密的信號(hào)，即可達(dá)到竊取數(shù)據(jù)的目的；定位追蹤會(huì)導(dǎo)致手機(jī)等移動(dòng)終端持有者暴露自己的位置，造成位置泄露；木馬病毒會(huì)遠(yuǎn)程隱蔽開啟手機(jī)等移動(dòng)終端的通話功能，竊聽用戶周圍環(huán)境語音信息。這樣無線設(shè)備便成了“貼身間諜”，安全隱患極高。

為防范風(fēng)險(xiǎn)，不要隨意接受他人贈(zèng)送的無線設(shè)備，如需使用，通過正規(guī)渠道如官方網(wǎng)站購買；不使用無線設(shè)備處理涉密文件或敏感文件；不將無線設(shè)備帶入涉密（重要）會(huì)議或活動(dòng)場所；不在通信中涉及國家秘密、工作秘密。

3.3 網(wǎng)上辦公潛在的安全隱患及防范常識(shí)

近年來，隨著智能手機(jī)的全面普及和移動(dòng)網(wǎng)絡(luò)的廣泛覆蓋，使用移動(dòng)終端進(jìn)行在線辦公的單位呈現(xiàn)跨越式增長，加之新冠疫情的影響，移動(dòng)辦公需求顯著提升。但用手機(jī)拍攝、即時(shí)通訊工具傳輸敏感文件時(shí)有發(fā)生，通過手機(jī)圖文識(shí)別程序轉(zhuǎn)換敏感文件屢見不鮮，使用互聯(lián)網(wǎng)網(wǎng)盤、郵箱存儲(chǔ)、處理敏感文件屢禁不止，互聯(lián)網(wǎng)移動(dòng)辦公已然成為數(shù)據(jù)泄露、數(shù)據(jù)竊取的“高發(fā)地”。

對(duì)此，建議提高日常保密防范意識(shí)，堅(jiān)持“上網(wǎng)不涉密、涉密不上網(wǎng)”，嚴(yán)禁在連接互聯(lián)網(wǎng)的計(jì)算機(jī)或手機(jī)上存儲(chǔ)、處理國家秘密、工作秘密；不使用微信、微博、短信、郵件、云盤、網(wǎng)盤等互聯(lián)網(wǎng)途徑存儲(chǔ)、處理、傳輸國家秘密、工作秘密；不得在涉密場所使用手機(jī)進(jìn)行視頻通話、拍照、上網(wǎng)、錄音和錄像；居家辦公期間辦理涉密公務(wù)，必須在能夠確保安全保密的場所進(jìn)行；涉密文件、涉密計(jì)算機(jī)、涉密光盤、涉密U盤、涉密移動(dòng)硬盤等涉密載體和涉密存儲(chǔ)介質(zhì)嚴(yán)禁帶回家中使用；不在普通電話通話中談?wù)撋婕皣�家秘密、工作秘密的事，不與家人談?wù)撋婷苁马?xiàng)。

4 日常生活中的數(shù)據(jù)泄露隱患及防范常識(shí)

現(xiàn)如今，我國移動(dòng)互聯(lián)進(jìn)程持續(xù)加快，生活中的數(shù)據(jù)竊取、數(shù)據(jù)泄露事件時(shí)有發(fā)生，防不住的數(shù)據(jù)竊取、止不住的意外泄露，已成為網(wǎng)絡(luò)時(shí)代的安全風(fēng)暴，認(rèn)清安全保密風(fēng)險(xiǎn)隱患，并采取措施防范數(shù)據(jù)泄露刻不容緩。

4.1 即時(shí)通訊類社交媒體數(shù)據(jù)泄露及防范常識(shí)

當(dāng)前，即時(shí)通訊類社交媒體走進(jìn)千家萬戶，抖音、快手、小紅書、微信朋友圈等更是成為當(dāng)下“網(wǎng)民”分享生活的重要途徑，深受人們的喜愛。據(jù)統(tǒng)計(jì)，社交網(wǎng)絡(luò)的用戶每天會(huì)分享約30億張照片。

就在前段時(shí)間，一段關(guān)于“照片定位”的視頻引爆社交網(wǎng)絡(luò)，視頻中的網(wǎng)絡(luò)大神通過分析照片中的信息推理出拍攝者的所在位置。在贊嘆其高超技術(shù)之外，這樣的游戲?qū)嶋H上也提醒我們，在網(wǎng)絡(luò)上隨意發(fā)布的照片信息十分容易被追蹤，如果每張照片的發(fā)布算作一次隱私的泄露，那這樣的情況將每天發(fā)生上億次。因此，在社交平臺(tái)上意外泄露數(shù)據(jù)逐漸成為信息泄露的一大風(fēng)險(xiǎn)隱患，在個(gè)人社交媒體上分享的生活照、傳遞的信息及發(fā)布的圖片很有可能就成為黑客手中的工具，對(duì)單位、企業(yè)及個(gè)人的敏感信息造成嚴(yán)重威脅。

對(duì)此，應(yīng)注意不在網(wǎng)上“曬”隱私類信息，如出生日期、火車票、飛機(jī)票、個(gè)人位置、度假計(jì)劃、孩子照片及姓名、工作相關(guān)信息等。如果發(fā)現(xiàn)個(gè)人信息已經(jīng)被泄露，可以向互聯(lián)網(wǎng)管理部門、工商部門等行業(yè)管理部門和相關(guān)機(jī)構(gòu)投訴舉報(bào)。另外，建議關(guān)閉社交媒體軟件中位置顯示、“搖一搖”“搜一搜”等可能泄露個(gè)人信息的功能；非必要不建立聊天群組等，如需建立，落實(shí)審批建群、規(guī)范群名、建檔備查、驗(yàn)證成員身份等工作。

4.2 釣魚攻擊導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)及防范常識(shí)

釣魚攻擊指通過給攻擊目標(biāo)發(fā)送包含惡意網(wǎng)站網(wǎng)址的郵件，通過誘導(dǎo)訪問網(wǎng)站來獲取目標(biāo)的個(gè)人信息或密碼等，從而盜取數(shù)據(jù)資產(chǎn)。釣魚攻擊最常見的方式是釣魚郵件，攻擊者通過使用偽造的郵件地址，假冒銀行、電商、社交網(wǎng)絡(luò)等引誘用戶點(diǎn)擊附件或鏈接，并在虛假的網(wǎng)站上誘導(dǎo)用戶輸入賬號(hào)、口令等數(shù)據(jù)，從而獲取用戶個(gè)人信息或數(shù)據(jù)資產(chǎn)。隨著人們安全防范意識(shí)的提升，釣魚攻擊形式變得更加隱蔽，手機(jī)紅包釣魚、無線Wi-Fi入侵劫持等方式讓人防不勝防。

面對(duì)更有迷惑性的攻擊方式，我們要主動(dòng)學(xué)習(xí)、了解常見釣魚攻擊知識(shí)與關(guān)鍵特征，慎重點(diǎn)擊“可疑”鏈接，格外警惕任何涉及個(gè)人敏感信息的操作，及時(shí)識(shí)別并避開釣魚陷阱。針對(duì)郵件釣魚，點(diǎn)擊前應(yīng)仔細(xì)檢查發(fā)件人的郵件地址及郵件內(nèi)容是否存在可疑之處，并注意附件內(nèi)容；針對(duì)通訊、短信釣魚，建議盡量避免接聽來自“未知號(hào)碼”的呼叫，并及時(shí)使用應(yīng)用程序顯示來電、屏蔽未知電話號(hào)碼的短信內(nèi)容；針對(duì)Wi-Fi孿生釣魚，在連接熱點(diǎn)時(shí)注意手機(jī)警告，不貿(mào)然使用不熟悉的網(wǎng)絡(luò)熱點(diǎn)；為防止克隆網(wǎng)站釣魚，建議直接訪問相關(guān)軟件或與電商客服溝通，需格外警惕以“商品促銷或折扣”為主題的鏈接。

5 結(jié)語

綜上所述，我國科學(xué)技術(shù)的迅猛發(fā)展及廣泛應(yīng)用推動(dòng)著信息數(shù)據(jù)安全管理工作越來越規(guī)范，然而，國家秘密、工作秘密及個(gè)人隱私的安全問題仍然時(shí)有發(fā)生。因此，持續(xù)加大信息數(shù)據(jù)保護(hù)力度，提升人們安全防范意識(shí)迫在眉睫。

（原載于《保密科學(xué)技術(shù)》雜志2023年4月刊）