近日,南京市鼓楼法院审理了一桩公职人员泄漏信息案件。在该案中,南京某机关单位主任科员朱某,在2010年4月至2016年9月,利用职务之便,越权下载了大量公民个人信息,并提供给两位朋友使用。经统计,朱某泄漏的公民信息多达82万条。
由于情节严重、影响恶劣,法院一审判处朱某有期徒刑4年,罚金9万元。
本案向政府机关敲响了防范“内鬼”的警钟,同时,也突出了机关单位在网络安全方面存在的几个问题:
1.安全制度不健全:在6年多的时间里,朱某窃取共计数十万条公民信息,作案时间跨度长,窃取信息数量大,但机构很少甚至没有管理审核和操作记录,也没有及时发现、解决相关网络安全问题;
2.账户职权混乱,导致内鬼有机可乘:朱某窃取公民信息的行为未经授权,却能一而再、再而三地越权下载。
随着国家加快推进互联网+政务服务工作,相关工作效率得到了极大提高,但与此同时,政府机关的信息安全也面临着“内忧外患”的威胁。
Ø 在内忧方面
据统计,75%以上的安全问题都是由内部人员引起的,内忧已成最大的安全隐患。除了前文提到的员工越权操作之外,还有如下几个隐患:
① 身份冒用:静态密码或传统令牌等方式不能确认到用户本人,导致用户身份存在被盗用的风险,或事发后也无法证明是否为本人操作;
② 账户密码安全等级低:由于跨地域、跨部门的大规模、分布式应用系统越来越多,公务人员需要记住大量的账号密码,增加了记忆困难,为了便于记忆,密码复用和弱口令的现象十分普遍;
③ IT管理难度大:因为缺乏统一的用户管理平台,管理员需要登录不同的平台管理用户,同时,随着员工角色的变动,有些账号不能及时增删,导致有时离职员工仍然拥有账号权限,导致信息泄漏。
Ø 在外患方面
电子政务系统账户易被恶意攻击:电子政务系统中的数据在黑产市场有着巨大的经济利益,吸引着黑客使劲浑身解数进行围攻,所以面临的风险远高于其他行业。根据2017年9月PositiveTechnologies发布的统计报告,在所有领域中,政府和IT是每天遭受攻击次数是最高的。
通过以上分析可以看出,电子政务安全需要解决的根本问题是用户的身份认证,确保只有用户本人才能访问相应系统,防止他人冒用身份。但在信息技术飞速发展之时,黑客的攻击手段也层出不穷,传统的身份认证方式已经无法满足电子政务对安全的需求。
Ø SecID解决方案
在AI & IoT时代,乘着人工智能和大数据日益火爆的东风,身份认证技术必定是AI、大数据和多种识别方式的结合,才能更好地解决身份认证的便捷性和安全性问题。锦佰安科技自主研发的SecID身份识别系统,即是基于这一理念的核心产品。
1.AI行为识别:安全性与便捷性的结合
SecID可以通过手机传感器,多维度、多规则地收集用户日常登录系统的操作行为和使用习惯,然后基于卷积神经网络和循环神经网络等技术,在用户无感知状态下持续深度学习其行为特征并建立识别模型,再与用户本人进行相似度匹配,即可对用户身份进行精准确认。
这个过程是在用户无感知状态下完成的,也就是说,用户的操作行为本身就是身份认证的过程,也就完全无需改变操作习惯。因为每个人的行为特征具有明显差异性,所以即使输入同样的密码,系统也不会让用户本人之外的其他人登入。
总之,无论是通过AI行为识别,还是多因素身份认证,都可确保只有真实合法的用户访问应用系统,从而杜绝身份被冒用的可能。政府机关可根据自己的需求,灵活地选择身份认证策略。
2.安全审计、责任到人
SecID 身份识别管理后台可记录管理员操作日志及用户登录认证日志,方便安全审计和追溯。
3.明确账户职权
SecID智能后台支持用户分组管理模式,明确每个账户对应的权限,防止越权操作,避免公务人员因离职、职位变动、权限不明等带来的安全隐患。
4.统一身份一键接入和删除,降低运维成本
SecID后台还提供一站式批量化管理,支持单个及批量用户的创建、修改、删除等操作,可实现账号统一管理,从而将运维人员从重复、枯燥的身份管理工作中解放出来。
Ø 结语
在今年4月20日至21日召开的全国网络安全和信息化工作会议上,习近平总书记指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”由于电子政务系统资源的特殊性,它的安全也关系到国家主权、安全和公众利益,所以保障电子政务安全异常重要。
作为国内领先的身份识别综合解决方案提供商,助力电子政务安全,锦佰安科技义不容辞。SecID身份识别系统,能够为电子政务提供可信身份认证、访问权限管理、安全审计综合解决方案,在保证电子政务系统安全性的同时,又不牺牲用户体验。我们将秉承创新和安全的理念,全力为电子政务系统的安全保驾护航。