信息安全重要性案例解读

韩国起亚汽车、双龙汽车和现代汽车，是韩国汽车企业巨头。然而，从2007年开始，先后均发生了令人震惊的泄密案件：

韩国起亚汽车“泄密门”

——2007年5月9日，9名韩国起亚雇员因涉嫌向中国等国的车企出售汽车制造核心技术而被韩国检察局起诉。据检方透露，起亚汽车和其子公司的在职职员将“索兰托”(Sorento)车型和新款车型的车身自动组装技术等，非法出售给由前职员运营的汽车技术咨询公司。该咨询公司在向代号为“C”的中国汽车公司出售相关技术后，获得了2.3亿韩元(约190万元人民币)的非法收入，他们还曾试图向另一家代号为“J”的中国汽车公司出售相关技术。

韩国双龙汽车“泄密门”

——2008年7月4日上午，韩国首尔中央地方检察厅派出10余位检察官，“突袭”位于京畿道平泽的双龙汽车本部技术中心。检方传唤双龙汽车管理层干部，并带走了“涉案”文件和电脑。来自韩国消息称，双龙汽车涉嫌中国上海某汽车公司“泄露”混合动力核心技术，按韩国法律规定，目前这些技术不能向外国公司输出。据韩国媒体报道，韩国检察机关2009年11月11日公布调查结果称，双龙汽车尖端技术被泄漏给收购双龙汽车的中国某汽车集团，混合动力车中央控制装置(HCU，Hybrid Control Unit)的“原始码(source code)”被泄漏给该汽车集团。

韩国现代汽车“泄密门”

——据2008年韩联社报道，韩国现代汽车职员尹某等2人被地方检察厅拘留起诉。他们涉嫌收取报酬将NF索纳塔的自动变速器设计图等泄漏给中国某汽车公司，还涉及NF索纳塔御翔的车身和电气系统技术的泄密，违反《不正当竞争防止法》。

上述“泄密门”事件不管到底背后真相如何，但事实上也给国内汽车企业敲响了警钟。 各家汽车企业纷纷做出反应，部署实施数据泄露防护(DLP)系统，以避免核心信息泄露，远离“泄密门”丑闻，保护企业知识产权。据笔者了解，目前已经采用DLP系统的有如下企业：

1. 中国一汽集团。2007年，一汽集团在获悉韩国起亚汽车“泄密门”事件后，就对国内各种反泄密手段进行考察，最后选用了北京亿赛通文档安全管理系统，对核心电子文档进行加密保护，防止内部信息泄密;

2. 河北天马汽车。2008年，河北天马汽车部署实施北京亿赛通数据泄露防护体系，对所有电子文档实现加密，以透明加密系统为核心，结合文档使用权限管理系统、身份认证系统和日志审计系统，防止核心信息泄密;

3. 河北长安汽车。2008年，河北长安汽车有限公司部署亿赛通数据泄露防护系统;

4. 比亚迪汽车。2009年，比亚迪汽车股份有限公司部署亿赛通数据泄露防护系统;

5. 广州本田、广州汽车集团、本田技研。2009年12月，广州本田汽车有限公司 、广州汽车集团股份有限公司、本田技研工业(中国)投资有限公司三大日系汽车公司及其研究院采用亿赛通数据泄露防护系统;

6. 北京汽车、包头德翼、浙江爱知。2010年1月，北京汽车工业控股有限责任公司乘用车事业部、包头德翼车辆有限责任公司、浙江爱知工程车辆有限公司部署亿赛通数据泄露防护系统;

……

据中国独立调查机构ESN协会调查，针对“泄密门”事件，有89%的中国汽车企业已经开始考察选型数据泄露防护(DLP)系统，22%的汽车企业已经进入测试阶段。据估计，到2010年底，部署DLP系统的汽车企业将达到15%。

五、中国的汽车工业协会呼吁全行业反泄密

2010年2月，中国某汽车工业协会发出呼吁，号召全行业反对泄密，防止“泄密门”丑闻。中国汽车工业协会高层指出，在屡屡发生的汽车“泄密门”案件中，中国汽车企业遭受声誉上的损失，是不可弥补的。为了避免今后再次发生泄密事件，必须加强信息安全管理，尽快采用先进的数据泄露防护(DLP)系统，确保核心资产不被流失，远离泄密事件。

著名信息安全专家阮晓迅指出，中国作为世界第一汽车大国，是全球最庞大的汽车市场。中国汽车企业有责任保护好自己的智慧财富，防止核心资产流失。北京亿赛通作为中国最早成立的文档加密软件厂商、中国第一家数据泄露防护系统缔造者，也有责任为中国的汽车产业做出应有的贡献。早在2007年，亿赛通已经针对汽车行业特征，推出汽车行业文档防泄密系统。如今，亿赛通推出了全新的“汽车行业数据泄露防护解决方案”，已经部署实施在众多汽车企业。亿赛通愿意与更多的汽车企业携手，为汽车企业反泄密提供先进的技术手段和全面的信息安全管理体系，实现汽车企业全行业反泄密。

 

材料2"短信门"事件再显个人信息安全之忧：

广西最近“网事”多烦忧。继烟草局长“日记门”事件之后，５月１０日，一条关于南宁市某小学副校长“善吃窝边草”的帖子被挂到网上。帖子还曝光了这个副校长遗失的手机里的几千条短信。帖子迅速被很多网站转载，引起了网民的广泛关注，当地党委、政府也高度重视，迅速介入开展调查。 

    近期，网络不断曝出“日记门”“短信门”等事件,网络在揭露腐败等社会丑恶现象方面的强大效果得到充分显现，但同时也伴随着信息失真、牵连无辜、隐私被泄露等负面作用。如何捍卫个人的信息安全已成为人们日益关注的话题。 

个人信息如何泄露出来？ 

    此次“短信门”事件所曝出的短信多达１０万字，如此大量的信息是如何泄露出来的？发帖人的说法是，有人捡到了这名副校长不慎遗失的手机，从而发现了短信内容。但有网民质疑：虽然手机内存能装下这么多内容，但是一般人不会在自己手机里累积保留这么多的信息。 

    那么，会不会是一些不法分子破解了通信运营商的防御系统，从而窃取别人的信息内容？或者是通信运营商内部的人员暴露他人隐私？ 

    “专业克隆各种手机卡，可以用克隆出来的手机卡接收对方短信，接听双方通话，可以做到在手机上没有隐私，无需提供原卡，详询……”近来，手机用户经常收到这样的短信。是否真有这样功能的工具呢？对此，一家通信公司相关负责人表示，现在的手机卡都运用了各种加密手段，密码非常复杂，从通信技术上来说，无卡克隆属无稽之谈，“即使有两种相同的ＳＩＭ卡，也不能监控、窃听电话，窃取短信。” 

    上述负责人还表示，为依法保护客户通信秘密和客户利益，公司已于２００９年９月１日起不再保存个人通信信息，并已对历史消息内容进行清理。不仅２００９年９月１日以后的短信内容都没有，之前的内容也清理了，后台数据库已经没有了这些数据，内部人员将客户的信息泄露出去也没有可能。 

    虽然通信运营商如此表示，但广西一家私家侦探公司负责人却认为，在他们业内，确实存在购买“短信内容详单”的现象。他们一般是通过中介购买，价格基本都在万元以上。而中介则通过通信运营商内部人士获取相关数据。事实上，近年来，在上海、安徽等地，就出现过一些掌握个人信息的机构违法出卖公民个人信息、私家侦探冒充安全部门到通信运营商骗取公民手机信息等案件。 

    “有关部门在调查副校长是否有违法违纪行为的同时，也应查清楚信息究竟是怎么泄露出去的？谁泄露出去的？并要严格追究相关责任人的法律责任。”广西柳州市一事业单位工作人员李先生说，“谁的短信里没有点私密内容啊？如果监管不到位，谁的短信都有可能被公布到网上去，那真是人人自危啊。” 

发布信息者应该担责 

    在“日记门”“短信门”等事件中，网络监督固然值得肯定，但网络运用“人肉搜索”的手段，不断侵犯他人隐私权、触犯相关法律，对当事人的影响已超出了事件的本身。 

    在广西“日记门”事件中，网民不但将当事人韩峰的劣迹一一公之于众，而且将可能与韩峰有不正当关系的几名女子的姓名，甚至住址、门牌号等信息也放在了网上，并有人广发“英雄帖”，“人肉搜索”女当事人信息、相片，给所涉及的人造成了无法弥补的创伤。 

    在“短信门”事件中，出现了大量的真实姓名，其中提到多名老师与此副校长有“关系”，而事实上有的老师并非这所学校的。另外，还将所谓男主角的照片，学校其他一些老师的照片也被搜索贴到网上，甚至一些小学生的姓名也被提及。

    “天涯杂谈”网民“闹心姑娘”认为：“不管什么原因，泄露别人的隐私，本身就触犯法律。至于当事人私生活不检点，这是其个人的问题，别人不应当过分干涉，也不必成为炒作的话题。” 

    而在“日记门”事件的处理过程中，虽然韩峰因涉嫌受贿犯罪被依法逮捕，但损害当事人以及可能与之有关女性权益的行为却无人追究，甚至“韩峰日记”是如何泄露出来的也没有查证，这在一定程度上助长了不负责任肆意公布个人信息的风气。 

    广西王莹文律师事务所律师陈云肖认为，在未获得他人授权的情况下，将他人的手机信息在网络上发布，不管内容是什么，其实质是公开了公民个人的生活信息，侵犯了公民对个人信息的控制权，这是侵犯了别人隐私权的行为。此外，网上发布的信息还可能有不实或夸大的成分，有些还牵连到无辜者，影响了他人的生活安宁和社会对他（们）的评价，其实都侵犯了公民的人格利益。 

    “不论是当事人本身还是司法机关，都应充分运用相关的法律法规，捍卫公民的合法权益，否则追究相关责任人的责任。”陈云肖说。 

个人信息安全需全社会共同维护 

    “短信门”的真相如何？这尚需有关方面进行调查取证，但在当前，如何既让网民充分行使表达权、监督权，又要符合法律和社会规范、维护公安的个人信息安全，是必须直面的问题。 

    目前，作为信息通道的国内正规网站为了保护公民隐私，都会在页面上注明：“请遵守国家的法律法规，不发布违法违规信息，并对自己的行为承担全部民事和刑事责任”以及“请尊重网络道德，不污言秽语，不侵犯他人的权利和个人隐私”的字样，然而网站却并不具备辨别帖子真伪的能力，除了要求发帖人自觉遵守相应规则之外，却并没能形成有效的防范机制，这些声明反倒成为了网站规避责任的借口。 

    据记者了解，即将于今年７月１日起实施的《侵权责任法》第３６条明确规定，网络用户利用网络侵害他人民事权益的，网络服务提供者获悉网络用户利用其网络服务侵害他人民事权益而未采取必要措施的，都应当承担侵权责任。因此，公民可以根据相关法规保护自己的合法权益。 

    “我们也希望能够出现相关个案的判例，让广大网民知道网络监督的底线。”陈云肖认为，信息安全的维护需要靠全社会的共同努力，网络安全执法部门应加强监管，网络服务提供者（网站）应承担起自己的责任，通信运营商应履行保密的义务，公民个人也应增强信息安全意识，运用一些技术手段加强信息管理。

材料3：企业信息安全管理所面临的问题

　　当前企业在信息安全管理中普遍面临的问题：(1)缺乏来自法律规范的推动力和约束。(2)安全管理缺乏系统管理的思想。被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的办法，不是建立在风险评估基础上的动态的持续改进的管理方法。(3)重视安全技术，忽视安全管理。企业愿意在防火墙等安全技术上投资，而相应的管理水平、手段没有体现，包括管理的技术和流程，以及员工的管理。(4)在安全管理中不够重视人的因素。(5)缺乏懂得管理的信息安全技术人员。(6)企业安全意识不强，员工接受的教育和培训不够。

　　以上的问题在具体被调查的某个贸易公司中表现在以下方面：

　　(1)打印机和传真机输出的信息过度暴露。公司使用公用的打印机，并且将打印机、复印机等器材放在一个相对独立的空间里。于是，部门之间的机密文件就可以从设备室开始，在其他部门传播，当部门之间没有秘密，公司也就没有秘密了。

　　(2)贸易行业中企业员工跳槽现象非常普遍。但是电脑易手问题没有妥善解决，新员工都有过这样的经历：新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道，公司里曾经发生过的事情“尽收眼底”，从公司以往的客户记录、奖惩制度、甚至还有幸阅读前任的辞呈。

　　(3)大部分员工为了方便记忆在电子邮件和操作系统中使用相同的用户名和密码，不慎泄露其中任何一个那另外一个也就自动暴露了。而且用户密码的设置规律性很强，基本上就是使用人的生日，例如800214。

　　(4)将公司的整个内部网络按域划分，实现部门级别的权限管理。每个部门内的每个员工在文件服务器上都有互相独立的存储空间。但是访问权限的设置没有体现实际的安全需求：部门之间禁止互相访问，而部门内的员工对自己的文件并不具有独占的管理权，比如一个业务员可以读、更改、删除另一个业务员在文件服务器中文件夹里面的资料。信息安全管理没有体现业务的需求。

　　(5)向企业的客户提供资料时没有考虑到企业敏感信息泄露的可能性。在发布的信息中应该出现“此为本公司机密信息，请保密。”字样，并在事前签订保密协议，但是目前企业根本没有考虑到这个问题，也没有规定信息安全对应到每个员工的责任。

　　(6)没有实现集中化的安全管理。只有当员工电脑出现问题才会有信息技术人员来给你安装操作系统的补丁，或者电脑上的杀毒软件没有采用服务器分发升级包进行自动病毒库更新，而要等到员工发现病毒了才会去升级杀毒软件。

材料4

民航资源网2010年5月10日消息：合肥骆岗国际机场作为上海世博会航空运输三大备降机场之一，安徽民航机场集团有限公司（简称“安徽机场集团”）为全力做好网络与信息安全保障工作，及时成立了集团公司世博会网络与信息安全保障工作领导机构，制定了集团公司网络信息安全应急保障方案，指导协调集团公司网络信息安全保障工作，督促各分（子）公司制订应急保障方案，要求做好信息安全报送工作。

　　今年3月24日，安徽机场集团在合肥骆岗国际机场进行了一次世博会信息安全应急演练，演练锻炼了队伍，提高了集团公司信息安全保障能力。4月6日，安徽机场集团下发《关于加强世博会网络与信息安全保障工作的通知》，明确了信息安全工作的职责，建立信息安全应急协调响应和联动机制，要求各单位加强网络信息系统安全保障工作，严防失密泄密事件发生。严格执行世博期间网络与信息安全日报送制度，以确保世博期间网络和信息安全。

4月15日，安徽机场集团组织信息安全工作检查，结合设备换季工作普遍进行了设备检查，保证了网络信息设备在世博会期间的安全运行。

材料5 银监会提醒消费者保护账户信息安全

针对近期出现的多起不法分子冒充银行，以提供贷款为由骗取受害人账户信息和密码，以及诱骗受害人向不法分子的账户存款、汇款等事件，中国银监会２２日发出风险提示，提醒广大金融消费者要时刻警惕，保护个人银行账户信息安全。

  银监会在风险提示中强调了三方面内容，包括不要轻信贷款小广告，不要轻信可疑电话和短信，不要泄露个人信息。

  目前，报纸、网站、手机等媒体和通讯工具上关于提供贷款的小广告层出不穷，一些不法分子甚至以提供贷款的名义冒充银行工作人员骗取消费者的信任，获取其银行账户的重要信息，通过制造伪卡、电话转账、网上转账、网上消费等方式诈骗资金。另外不法分子通过电话、短信和邮件进行诈骗的花样也正在不断翻新，其目的在于获取银行账户和密码等重要个人信息，或要求消费者直接向不法分子转账。

“广西公务员泄题案” 折射企业信息安全隐患

    据调查结果显示，此次广西公务员考试泄题最终锁定在广西人事考试中心。由于考试中心工作人员黄某利用入闱参加命题的机会，私自夹带无线网卡和笔记本电脑将《行政职业能力测验》试题和答案、《申论》试题通过QQ发送给黄某等4人，并从中获利，造成试题和答案在考前被泄露的严重后果。

    截至3月18日，广西公安、检察机关已刑事拘留犯罪嫌疑人黄某等28人，其中检察机关已经批准和决定逮捕24人。纪检、监察机关共对5人进行立案调查。

    透过这则公务员泄题事件，相信不仅是广西9万考生对广西公务员考试的公平性、权威性提出质疑，而且全国各地的考生、社会各界人士都会对我国公务员考试信息安全状况心存担忧，国家政府的形象为此受损。由此可见，信息数据安全工作直接关系到政府形象。

    历来国家对信息安全都非常重视，尤其在军事机密、经济情报等方面是慎之又慎，严防他国盗窃国内机密，不给任何“外贼”可乘之机。可俗话说“外贼易守，家贼难防”。当人们安全防护措施针对外部严格设防的时候，往往忽略内部最难防的漏洞，“广西公务员泄题案”便是最好的例证。

“力拓间谍门”敲响信息安全警钟

力拓间谍门事件因给中国整个钢铁行业带来高达7000多亿元的经济损失而备受关注。同样让人关注的还有力拓上海办事处内的一台计算机。国家安全部门调查后有了惊人的发现：在这台计算机内，竟然存有数十家中国钢铁生产企业的详细资料，包括企业详细采购计划、原料库存、生产安排等数据，甚至连每月的钢铁产量、销售情况也非常明晰。对此有媒体戏言：力拓甚至比有些企业的老总更了解他们的公司。

这无疑为中国的企业信息化敲响了警钟。它反映出我国企业的信息安全特别是信息内部安全控制还处于非常初级的阶段。事实上，电子化办公易传播、易扩散性的特性在给信息传输带来极大便利的同时，也给信息安全埋下了隐患。《财富》杂志统计，全球排名前100的企业中，每次由电子文档泄露所造成的平均损失高达50000美元。特别是在经济危机时期，市场竞争加剧、企业员工关系不稳固，通过窃取机密信息等手段进行不正当竞争以及内部员工出卖机密的事件时有发生。据德勤对世界前100家全球性金融机构高层的调查，就公司信息安全而言，36%的受访者担心机构内部员工行为失当，而担心来自外部攻击的受访者则仅有13%。这表明，今天企业面对的最大信息安全威胁，已经从外部入侵转为内部人员使用信息的不可控上。

facebook 会员资料外泄

美國執法人員在7月4日假日周末逮捕了一名前高盛(Goldman Sachs)員工，指控他竊取敏感的自動化交易代碼，並將其上傳到一個設在德國的服務器。

　　謝爾蓋•阿列尼科夫(Sergey Aleynikov)是一名計算機程序員，于2007年5月加入高盛，並于上月辭職。上周五晚間他在紐瓦克(Newark)國際機場下飛機時被逮捕，並于次日遭到盜竊商業秘密和轉移贓物的指控。

　　根據處理該案件的一名聯邦調查局(FBI)特工提交的書面証詞，6月5日以副總裁頭銜離開高盛的阿列尼科夫，是一個軟件開發小組的成員，該小組負責開發和改進高盛電腦化交易程序中使用的軟件代碼。

　　阿列尼科夫需遵守高盛的標准保密协议。

　　美國聯邦調查局在書面陳述中，指控他在接受新公司的就職邀請後（新公司身份尚未確定），于6月1日和6月5日期間，通過班上的台式電腦及家中的筆記本電腦，分四次下載了大約32兆字節的高盛自營交易平台數據。6月5日是他在高盛的最後一個工作日。

　　阿列尼科夫在高盛工作的最後幾天，高盛監測了他的電子郵件和電腦活動，並將此事報告給聯邦調查局。該公司沒有對阿列尼科夫及其被捕事件發表評論，但知情人士堅稱，無論是公司或任何客戶，都不會因為阿列尼科夫的文件轉移行為蒙受任何財務損失。

深圳十万业主资料被泄密

连续多日，本报对４００多个小区业主资料被泄露一事进行了跟进采访报道。记者通过对这些资料分析，发现有些业主资料表上有“国土局２００６．９．２０制表”、“非数字用户”等字样，昨日本报在Ｂ１版刊登了《十万业主资料来自国土局？》一文，对此事进行了详细报道。 

本报报道被凤凰财经频道、腾讯网等多家网站转载。报道刊发后，深圳各大媒体及中央媒体也就本报报道向相关单位进行采访并报道。新华社深圳２月２日电称，“《深圳商报》记者随机抽取了部分业主资料进行核实，发现这些资料的准确度极高……深圳市规划和国土资源委员会相关负责人２日对新华社记者表示，他们已进行核查。”

昨日下午，国土部门和天威视讯就本报报道作出回应。

天威：可能被代理商泄露

天威视讯市场部有关负责人在接受记者采访时说，他们认真看了本报的报道，对本报图片进行了分析。图片上除了“用户编号”不正确之外，表格形式基本上与天威视讯的用户登记表相符合。

这位负责人解释说，５年前，天威视讯开始在特区内推广数字电视，当时要给不少小区住户装机顶盒，业务量很大，因此天威视讯就聘请了一些代理商和临聘人员负责这项工作。在数字电视整转期间，天威视讯交给了代理商和个人一些住户资料，虽然数字电视推广完成后，天威视讯全部将这些资料回收，但这些代理商和临聘人员是否留有备份无法得知。

据天威视讯张工程师介绍，天威视讯用户信息管理十分严格，虽然他们可以看到用户信息，但是无法批量提取，而且用户的信息系统没有链接互联网，连Ｕ盘都无法使用。另外，天威客服人员输入用户资料时，电脑上只显示出一个用户信息，其他用户信息不会显示出来。所有客服人员的电脑ＵＳＢ接口都封闭，也没有链接互联网。为了安全起见，在客户服务中心还装有摄像头，对客服人员实施监控。

市场部有关负责人说，凡是能接触到用户资料的员工，都会签署保密协议。

这位负责人说，天威视讯也是第一次遇到用户资料被泄露一事，从目前天威视讯调查的情况看，他们公司的用户资料很可能是２００５年办理整转业务时，被部分临聘人员或代理公司泄露出去的。在今后工作中，天威视讯会做好用户资料的保密工作，不会让类似事件再次发生。

国土：不是从国土部门流出的

  本报对业主资料被泄露一事的报道，引起了市规划和国土资源委员会的重视，规划国土委先后对登记中心、信息中心、市场处、第一直属管理局等这些可以看到业主资料的部门进行了调查，经核实，业主资料不是从他们这里泄露出去的。规划国土委郑重承诺，假如查出内部有人泄露资料，将交由警方处理并追究相关法律责任。

规划和国土资源委员会工作人员说，他们详细查看记者提供标注有“国土局２００６．９．２０”字样的业主资料表格，经过调查这张表格不会是规划国土委所制报表。２００６年就已经没有“国土局”这一名称了，而是“国土房产局”，简称为“国房局”。

规划国土委工作人员向记者演示了房地产信息系统界面。如果要登录这个系统，先要输入密码，然后进入系统内，才能看到业主签订房产合同的流水号，点击进入是ＰＤＦ格式的合同内容，上面有业主电话、住宅地址、身份证等信息。据介绍，全深圳市只有约２０人有授权可以进入这个系统内，他们都签有保密协议。就算有人可以将业主信息拷贝走，要是不进入这个系统输入相应密码，业主信息就是一堆乱码。

据介绍，开发商在销售商品房时，先要到国土部门备案，经核实后才发放预售许可证。然后开发商和买家签订购房合同，这部分合同是要到国土部门备案的，开发商每签订完一份合同，房地产信息系统都会有记录。但是开发商如何处理业主资料，他们就不知道了。

个人资料频遭泄密 谁动了我们的隐私?

有报道称，在天河北某外资公司上班的白领陈先生告诉记者：经常接到各家保险公司、直销公司，还有短期个人借款公司的推销电话，而且对方对其隐私十分清楚。他说：“和以往的推销电话不同，对方不但确切知道姓名，还了解自己的家庭住址、公司职务、收入情况，甚至家里有几口人，连自己最近在干什么都知道，实在太可怕了！”     陈先生说，自己的这些资料，即使是银行也不能完全掌握，而最大的可能性就是公司人力资源部门的保密资料外泄。对此，他将情况提交公司法务部门要求调查。而安全专家分析后也同意他的看法，认为来自内部的泄密远比从银行、地产公司，以及运营商等多家资料进行汇总的可能性要大得多。据悉，目前该公司初步将目标锁定在最近离职的前人力资源部门员工身上。    类似的个人资料遭遇泄密的事件正在频繁地发生。“接待专员频遭公关”、“从做产检开始，孕妇就遭全程盯梢”、“大学生简历遭泄密，家人险被骗3万元”……个人资料泄密让人们防不胜防。    这些个人资料是如何被“挖”走的呢？一位前猎头公司中层管理人士告诉记者：“其实这些都是公开的秘密，通过‘黑市’就可以购买到各种齐全的个人资料。”    在信息社会里，个人信息就是资源和价值。随着社会经济活动的快速发展，商战日益激烈，我们的年龄、职业、收入、家庭状况等资料都可能成为有价值的商业信息。谁掌握了更多的个人信息，谁就拥有更多的潜在消费者。于是，有的商家不遗余力地收集个人信息用于商业用途，一些以出卖个人资料来赢利的公司或个人也随之出现了，买卖个人资料成了一个新兴行业。, ^; f, S+ O6 y; k" H" 

    我们签订购房购车协议、办理银行卡、到医院看病、甚至是在网上找工作时，都可能不经意间将一些个人资料公开。这本来只是向特定的单位、部门公开，没什么问题。但是，假如一些人受利益驱使，采用不合法的手段窃取别人的个人资料以进行某些商业活动，我们就可能因此成了没有秘密的透明人。3 Z  j6 I- h$ k+ n

 

 央视《东方时空》今年4月的一份调查显示，74％的人有过信息被泄露的遭遇，在被泄露的信息当中，90％是联系方式（电话、工作单位）被泄露。泄密渠道42％是网上注册，25％是找工作投简历，16％是买车、房、保险等，10％是医院看病

    但个人信息如何管理，目前在法律法规上没有明确规定。这也是导致个人资料频繁被泄露的主要原因。此外，由于买卖个人信息的交易多是私下进行的，这也给有关部门的调查带来相当大的难度。为了避免个人隐私权被侵犯，除相关部门应加强监管外，个人也应增强自我保护意识。

    让人欣慰的是，今年8月25日，记者获悉，从2003年开始起草、2005年初完成《个人信息保护法》草案已呈交至国务院，进入审批程序，有望在未来几个月内就会正式颁布。与此同时，《刑法修正案草案》规定“窃取公民信息要负三年以下刑事责任”，希望通过刑法能够有效遏止目前个人信息泄露泛滥的局面。

    据了解，典型的信息安全泄露途径有：软硬件故障导致意外泄密、病毒与黑客入侵、企业防火墙失效，以致安全设置形同虚设，以及黑客利用企业安全漏洞访问企业内部网络或数据资源，进行删除、复制甚至毁坏数据的活动。更严重的是企业内部的敏感信息被内部人员泄露出去。比如通过USB存储，或者聊天工具、电子邮件等等，内部人员将机密的资料泄露出去，这些都是内部信息安全管理不善所导致的。

     链接 消费者如何防止个人资料泄露

   1.个人证件要谨慎保管，包括身份证、社会保障卡、护照、户口本等。     2.尽量别在公司或者公共电脑上存储或者输入隐私资料。

     3.一旦侵权现象发生，受害者应及时记录相关信息，为有关部门的调查工作提供有价值的线索。     企业如何防止客户资料泄密, c6 M  E( [( o

    1.建立规范化信息安全制度。不止要保护企业内部的设备，看守好数据，而且要规范企业员工的行为，对员工进行管理，深化员工信息安全意识。利用法律法规保护企业机密。     2.使用加密软件保护企业重要信息。完善各种保密制度的同时要寻找一种切实有效的技术手段从根本上杜绝泄密事件。例如铁卷电子文档安全系统这样一款加密软件，就可以对企业内部设计图纸、标书、合同等重要的电子文档进行安全防范。由于企业内部文件在脱离了企业环境的时候便无法阅读，而且软件安装后是全透明的，从而实现了在不影响员工工作的情况下，真正做到防止资料外泄，更好地保护企业客户信息。

4 A) e8 e# `4 G/ Y$ x7 @

防泄密的案例可以看一些做防泄密的厂商的主页。我给你贴几个数据吧：

     据美国独立研究机构波莱蒙研究所(Ponemon Institute)的最新报告显示，对那些不愿意对数据安全防护进行投资的公司来说，一旦系统被入侵，可能需要付出更大的成本。

    波莱蒙研究所对来自17个国家的43家大型公司进行了关于数据入侵的调查。结果显示，有4200条到113000条客户记录丢失。此前业界曾发生过一些重大客户数据泄密事件，其中受影响的客户数据动辄上百万，不过该调查数据主要是基于多数企业通常会遭遇的数据入侵。

    据波莱蒙研究所表示，企业去年在数据入侵时的平均损失是，每条记录大约202美元。而2005年该公司同类性质调查的结果是每条记录损失138美元，相比之下上升了138美元，另外2006年的调查结果是182美元，2007则是197美元，呈逐年递增趋势。

    这个每条记录损失的成本主要包括两方面，一是直接成本，例如检测、缓解、通知和响应成本;另外还包括间接成本，诸如客户满意度的降低和因此而失去的企业机会。据波莱蒙研究所表示，数据入侵给企业带来的平均损失是660万美元，有的公司的损失甚至高达3200万美元。

    波莱蒙研究所董事长兼创始人拉里•波莱蒙表示，企业因数据入侵而遭受的最大损失是丢失业务。据其表示，在去年的每条记录平均损失202美元中，有139美元(占69%)是指丢失业务。波莱蒙表示，尽管企业一直在通过更好的防护措施来避免数据泄密，但客户对此类事件的容忍度也越来越低，一旦发生数据泄密情况，客户很可能转向其它厂商。

可以在百度或者GOOGLE上寻找这些案例：

1.6万病人隐私外泄都是医院人为错误

香港医院“泄密门”

　　●4月底，香港卫生署下属的屯门儿童体重智力测验中心及联合医院发生两宗遗失病人资料事件，涉及到700多名病人。

　　●5月1日，威尔士亲王医院的一名在病理化验室工作的女职员，乘坐的士时丢失了USB记忆棒，里面载有1.6万名来自不同医院的病人资料，包括病人名字、身份证号码以及病理检查项目。

　　●5月5日，香港医管局公布，过去的一年，共有5家医院发生9宗病人资料遗失事件，涉及到6000位病人。这9家医院遗失病人资料，有的是放置不当被人偷窃，有的则是不小心遗失。

　　●6月5日，将军澳医院一名清洁员工在医生办公室清洁时误把300份含有病人姓名、性别、年龄、出生日期、身份证号码及检验结果的报告当做一般废物抛弃。警方随后通知受内部文件外泄影响的当事人。

 

倒卖安踏设计图纸受审

汇丰遗失服务器 泄漏16万客户资料

汇丰银行观塘裕民坊分行由上月28日起装修，预计工程今年7月底完成；但该分行职员于上月26日发现一部载有大量客户资料的计算机服务器不翼而飞，其后大批职员曾往堆填区搜索但不果。汇丰银行于事发后，没有即时公开事件及通知受影响客户，至事发后6天，即本月2日才通知金管局，而前日接受传媒查询时，汇丰亦依然拒绝透露受影响客户的人数及服务器保存的资料类别，只强调服务器有多重加密保安。 

　　一直未有详细交代事件的汇丰银行昨晚“忽然”发表声明证实，位于观塘裕民坊的分行上月底确实在内部装修期间，遗失了一部载有客户资料的计算机服务器，涉及约159，000名客户的资料，包括账户号码、姓名及交易金额，但不包括任何私人口令或客户名称。 

　　汇丰解释，服务器设有多重保安措施，泄露资料而导致不法活动的机会甚微，银行正联络有关客户，并已加强保安措施，避免同类事件重演。声明又重申，发现事件后已即时报警，警方正调查事件，他们向受影响客户致歉，并指若有客户因任何诈骗活动而遭受财务损失，毋须承担责任。客户如有疑问可致电27483322查询。 

　　生产力促进局信息科技首席顾问古炜德表示，银行分行的服务器一般都不会保存客户的全套资料，但他担心分行服务器的保密程度不会太高，比较容易被人破解，以及使用该些资料，“可能有相关客户账目号码，交易所涉的金额，而很多时联系主机互相通讯之间，会有一些暂存记忆，在传送过程可能有一些痕迹留在服务器中，这一类型的资料不一定有很完整的保安措施。” 

　　科大电机及电子工程学系助理教授缪伟豪表示，汇丰银行的服务器于上个月遗失，现在才被揭发，时间太长，加密技术有可能被破解，客户资料有外泄风险，建议受影响客户尽快更改全部账户的口令。

IBM前高管就窃取商业机密认罪

上市药企内部上演“无间道” 线人内鬼一应俱全

eBay出售相机包含MI6文件 英国军情六处严重泄密

一位买家在eBay上花17个英镑购买了一个二手照相机,结果发现这只照相机曾经是英国军情六处(MI6)用过的。

照相机里有许多机密数据,包括恐怖嫌疑人的名字和指纹,甚至是火箭发射器和导弹的图像,他立即报警,此后,英国的国家安全部门已经五次造访他们家,看来这照片内容真的很严重。

英国外交部发言人证实,警方正在调查此事,但她表示证实是否有情报部门参与了调查。

包括CIA2007年确定的基地组织干事阿卜杜勒•哈迪•伊拉基在内的各种反恐信息都在里面,此外,打击基地组织武装分子的有关文件均在此处。目前已知部分文件属于MI6“绝密”等级,这已经是非常严重的泄密行为。（