“网络安全是相对的而不是绝对的。没有绝对的安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼”。
随着信息技术的广泛应用,政府和企业内部的业务系统都不能完全脱离网络。相对而言,网络安全会在未来的信息安全的地位越发的重要,随着互联网时代的不断发展,网络安全已经变的不可或缺。
最近,网络安全事件一直高发频发。数据泄露也早就不是什么秘密,并且严峻的形势也在不断的蔓延。

企业信息泄露导致的电信诈骗更是屡禁不止。所涉及到的行业范围之广,更是令人震惊。

随着电信诈骗事件不断被披露,涉及银行、教育、医院、电信、快递、证券、电商网站等行业灰色产业链也被人们所熟知。

今天小编就“顺丰快递频发信息泄露”这一事件,具体分析物流行业如何一劳永逸建设强大的IT系统。

 

顺丰高发的信息泄露事件回顾

1.公司网站账号密码泄露
(2016年8月26日,湖南省长沙市顺丰速递有限公司宋任宇,将个人所掌握的公司网站账号及密码出售他人,造成泄露的顺丰用户个人信息大量泄露。)

2.编写恶意程序批量下载客户信息
(2016年7月东莞市石碣分部仓管员陈洋伙同杨维保,利用杨维保编写的APP软件批量下载客户个人信息,一年间盗取10万余条。)

3.内部人员大批量查询客户信息
(2015年深圳多名顺丰客户接到诈骗电话,接举报,顺丰公司反查单号发现有员工一月间查询客户记录高达2.8万条,并多次利用他人账号查询信息。)

 · 4.通过购买内部办公系统地址、账号及密码,侵入系统盗取信息

2013年,杨某等人在互联网上购买顺丰内部网络系统登录地址、用户名及密码。通过无线网络侵入顺丰内部办公系统,批量下载客户个人信息及快递记录,非法贩卖从中牟利。截至案发,杨某等人共非法获取个人信息180万余条。

5.总部研发人员从数据库直接导出客户信息
(2013年顺丰的深圳福田总部,研发工程师严某利用职务之便,从顺丰公司数据库众直接导出客户个人信息,进行出售。)

 

 

如果大家仔细看顺丰高发的信息泄露事件,会发现几个关键词:从顺丰事件暴露出的问题:

1.数据库没有保护好
顺丰发生多起信息泄露事件,最大的原因是数据库没有保护好。信息泄露发生,主要是两方面的问题:一是黑客以非法手段入侵数据库;二是内部人员利用职权贩卖客户信息。一个普通员工能够一月间查询客户记录高达2.8万数据的权限;研发工程师严某利用职务之便,从顺丰公司数据库众能直接导出客户个人信息,而不被察觉。
更神奇的是公司居然没有任何的预警提示和事后审计功能,客户信息就这样悄无声息的被人“顺”走了?这样的事情居然发生在像顺丰这样的大型物流公司,小编已经目瞪口呆,可以猜想其他物流企业会是怎样的境地?


2.内网边界划分不清晰
文中顺丰案发与ip与mac管理不善也有关,局域网无边界防护圈,非法ip进来无预警无限制,it资产混乱,点位异常无法定位。
顺丰集散点的网络大多采用动态IP的方式,未实现严格的IP管理和Mac地址管理。顺丰对IP地址管理不善,所以事件一中出现公司员工直接将网站账号及密码出售他人,那么前后登录的IP地址应该是不一样的。
还有事件二中出现手机通过WIFI和公司台式连接,甚至还有多个账号登陆同一台机器的现象。
顺丰已有设备不能侦测这一现象,也做不到实时分析网络用户通讯行为。所以造成了大量信息泄露。


3.互联网出口被攻击
发生的多起入侵事件,说明顺丰检测系统不能对内部网络环境进行实时监控。嫌疑人能通过无线网络侵入顺丰内部办公系统,批量下载客户个人信息及快递记录,非法贩卖从中牟利。


顺丰事件的解决之道:
纽盾科技作为一家网络安全公司,以顺丰信息泄露事件为基础,为所有物流行业有上述问题的企业,提供网络安全加固与安全管理整体解决方案。
1.保护大数据,做好数据库防护系统顺丰信息泄露事件中多次出现内部人员违规操作,企业需要强化事前预警与事后审计。这是数据库本身所不具备的功能。所以需要强大的三方软件来保证。
纽盾DAM数据库审计系统能够自定义符合企业的规则,比如违反设定的“存取大量敏感数据”、“离职员工存取行为数据”、“登入失败次数异常”等规则,纽盾DAM会立即响应告警通知机制。
除此之外,当信息泄露事件发生后,纽盾DAM数据库审计系统能够追踪“真实使用者”和“特权使用者”。
也就是进行“人、事、时、地、物”的全面追踪,通过智能关联分析,能提供“谁查询过该笔数据?谁是数据库的真实用户?”。防止顺丰泄露事件中有人利用职权盗取数据,顺丰信息泄露主要是发生在内网。针对局域网无边界防护圈,非法ip进来无预警无限制等问题,纽盾NDM内网异常系统能够充分的解决这些问题。
纽盾NDM能够对网络设备、用户身份、地址、行为、事件和运维等进行全方位的管理。面对顺丰泄露事件当中,员工直接将网站账号及密码出售他人问题,纽盾NDM能对用户基础资料管理,非授权的用户禁止入网,那么即使出售账号,外部人员也不能入侵内网盗取数据。
同时一旦检测到IP地址异常,能及时通知管理员,降低信息泄露的损失。
 

3.建立网络威胁发现系统