摘要：12306用戶數(shù)據(jù)大量泄露事件，導致個人信息不安全。本文分析12306事件過程，及其使用的攻擊手段：“撞庫攻擊”，并分析事件特點，提出應(yīng)對措施。

關(guān)鍵詞：12306；數(shù)據(jù)泄露；撞庫攻擊；個人信息

中圖分類號：D920.4文獻標識碼：A文章編號：1671-864X（2016）09-0065-01

一、數(shù)據(jù)泄露事件

2014年12月25日上午10：59，烏云網(wǎng)發(fā)布漏洞報告稱，大量12306用戶數(shù)據(jù)在網(wǎng)絡(luò)上瘋狂傳播。本次泄露事件被泄露的數(shù)據(jù)達131653 條，包括用戶賬號、明文密碼、身份證和郵箱等多種信息，共約14M數(shù)據(jù)。這不是12306網(wǎng)站第一次發(fā)生用戶信息泄露事件了，但是最大的一次。

二、數(shù)據(jù)泄露分析

（一）數(shù)據(jù)盜取方式：撞庫攻擊。

是以技術(shù)含量最高、最為隱蔽的職業(yè)黑客為主，他們通過攻擊系統(tǒng)安全漏洞，編寫木馬實施入侵，獲取數(shù)據(jù)，這一過程可分為3個階段：拖庫、洗庫和撞庫。拖庫也被稱為“脫庫”，是黑色產(chǎn)業(yè)的一個術(shù)語，黑客利用漏洞入侵有價值的網(wǎng)站，盜走目標數(shù)據(jù)庫。2014年5月，小米官方論壇800萬用戶的賬戶信息被拖庫。拖庫成功后，黑客接著會進行洗庫工作，即利用技術(shù)手段清洗、篩選數(shù)據(jù)資料，提煉出有價值的用戶數(shù)據(jù)，以便將來用于變現(xiàn)。通過拖庫、洗庫得到用戶數(shù)據(jù)資料后，一些黑客拿著這些用戶數(shù)據(jù)在其他網(wǎng)站嘗試登錄，稱為撞庫。因為不少人習慣于在不同的網(wǎng)站使用相同或相似的用戶賬號和密碼進行注冊，這就為用“撞庫”的方式獲得更多的數(shù)據(jù)提供了可能。

（一）第三方數(shù)據(jù)泄露問題。

第三方數(shù)據(jù)泄露是指在一些企業(yè)中，某些系統(tǒng)軟件平臺的開發(fā)、運行、維護等多項工作常常外包給第三方完成，或者與多個第三方合作完成，由于第三方數(shù)據(jù)管理不當和系統(tǒng)漏洞而造成的數(shù)據(jù)泄露。第三方數(shù)據(jù)泄露也分為有意識和無意識地的泄露，有意識泄露，即指第三方運營人員以營利為目的，從數(shù)據(jù)庫中竊取大量客戶信息進行倒賣，如某技術(shù)公司承擔著為陜西某電信企業(yè)提供手機資費計算系統(tǒng)軟件平臺開發(fā)、維護等工作，其中某員工倒賣用戶信息謀取利益。大數(shù)據(jù)時代，使得越來越多的企業(yè)委托第三方進行數(shù)據(jù)存儲和管理，數(shù)據(jù)共享也日益成為企業(yè)之間合作的主要內(nèi)容之一，因而導致接觸企業(yè)數(shù)據(jù)的人員增加，數(shù)據(jù)泄露風險無形增大。2008 年Verizon 數(shù)據(jù)泄露調(diào)查報告中指出，39% 的泄露涉及受害者的合作伙伴，30%涉及多方合作。

（三）電商數(shù)據(jù)泄露將成為新的泄露重點。

2012 年 11 月 1 號店客戶信息遭其員工泄露、美第二大團購網(wǎng)站遭黑客攻擊5 000萬用戶信息或泄露等等，除此之外，電商網(wǎng)站賬戶泄露或盜號的事情更是頻繁出現(xiàn)。近兩年內(nèi)包括京東、1 號店、蘇寧和支付寶等在內(nèi)的電商集團，以及美電商巨頭 Ebay 都曾出現(xiàn)過客戶數(shù)據(jù)泄露事件。電商數(shù)據(jù)真正體現(xiàn)了大數(shù)據(jù)的多樣化，不僅涉及個人信息、消費記錄、購買周期等文本信息，還涉及瀏覽記錄、興趣偏好、點擊量等多媒體信息。

（四）數(shù)據(jù)泄露重復發(fā)生。

在這些數(shù)據(jù)泄露案件中，數(shù)據(jù)的反復泄露值得重視。索尼公司泄露高達三次，第三次黑客攻擊損失或超 10 億美元，谷歌、當當網(wǎng)、塔吉特等公司的數(shù)據(jù)也曾重復泄露。

三、應(yīng)對措施

（一）應(yīng)對撞庫攻擊。

在口令設(shè)置上要允許一般站點重復使用弱口令。在這些非重要站點上避免浪費過多的精力，才能保證更好地記住那些復雜獨特的口令并運用在重要的賬戶設(shè)置上。同時，應(yīng)當注意避免在重要站點上重復使用弱口令。比如，涉及用戶錢財?shù)木W(wǎng)上銀行賬戶、支付寶賬戶，關(guān)系個人切身利益的購票網(wǎng)站、郵箱賬號等，必須獨立設(shè)置復雜獨特的口令。如此，才能有效防范黑客的“撞庫攻擊”。

（二）應(yīng)對第三方泄露。

此次12306個人信息泄露事件就屬于第三方數(shù)據(jù)泄露問題。對于此類數(shù)據(jù)泄露，第三方組織能否像數(shù)據(jù)所有方一樣重視數(shù)據(jù)，規(guī)范管理，保證數(shù)據(jù)安全至關(guān)重要。如果不能，最基礎(chǔ)的應(yīng)做到權(quán)責明晰，與各第三方簽署協(xié)議，加強評估與管理，本著誰泄露誰負責的原則，劃清責任范圍，減少數(shù)據(jù)泄露風險，降低損失。

（三）應(yīng)對電商數(shù)據(jù)泄露。

在技術(shù)方面，加強自身技術(shù)防護，如加強加密防護與權(quán)限防護，加密技術(shù)能夠降低信息被非法獲取并訪問的風險，適用于保護個體文件或整個存儲介質(zhì)。加強安全基礎(chǔ)設(shè)施建設(shè)，部署包括數(shù)據(jù)泄露防護、網(wǎng)絡(luò)安全、端點安全、加密、驗證和信譽技術(shù)在內(nèi)的安全防御系統(tǒng)，并實時監(jiān)測與定點記錄。這樣既可以主動防御黑客入侵，又可以及時發(fā)現(xiàn)自身安全漏洞。

（四）應(yīng)對數(shù)據(jù)重復泄露。

數(shù)據(jù)重復泄露體現(xiàn)對數(shù)據(jù)管理上的不足。因此，應(yīng)將數(shù)據(jù)防護納入常態(tài)化的管理，7×24 小時數(shù)據(jù)監(jiān)測、快速反應(yīng)的應(yīng)急預案以及其他管理措施都是必不可少的。

四、總結(jié)

大數(shù)據(jù)時代，網(wǎng)絡(luò)用戶在互聯(lián)網(wǎng)的個人信息、評論、圖片、興趣愛好、交易信息、訪問網(wǎng)站等等均被企業(yè)記錄在案。加上功能強大的數(shù)據(jù)挖掘技術(shù)，使得信息之間相互關(guān)聯(lián)，數(shù)據(jù)一經(jīng)泄露，個人信息安全面臨極大的威脅。這不僅使個人隱私得不到應(yīng)有的保護，而且人身安全、財產(chǎn)安全也會受到威脅。對于個人而言，輕則經(jīng)常受到垃圾短信、電話、推送郵件的騷擾，重則導致詐騙案件、個人名譽受損、存款流失等事件的發(fā)生。數(shù)據(jù)泄露與每個人的切身利益息息相關(guān)，影響著個人的生活與社會的穩(wěn)定。在這個新媒體、大數(shù)據(jù)快速傳播的時代，我們每個人都會在互聯(lián)網(wǎng)上顯山露水，我們的個人信息也都會主動或被動地出現(xiàn)在互聯(lián)網(wǎng)上。因此，保護好個人信息，是一個重大的時代命題，亟需引起各級政府的高度重視，并身體力行實踐之。

參考文獻：

[1]董楊慧：大數(shù)據(jù)視野下的數(shù)據(jù)泄露與安全管理——基于90 個數(shù)據(jù)泄露事件的分析。情報雜志。第33卷第11期。154-158

[2]侯林：互聯(lián)網(wǎng)數(shù)據(jù)泄露背后的黑色產(chǎn)業(yè)鏈及發(fā)展趨勢分析。無限互聯(lián)科技。第20期。35-37

[3]傅國：也談口令設(shè)置那點事兒。信息安全。2015年第1期。50

[4]閆利平：亟需被保護的個人信息。人民公仆。學會與媒體打交道。2015年5月號。65-69

[5]熊璐：從12306網(wǎng)站用戶數(shù)據(jù)泄露看大數(shù)據(jù)時代的數(shù)據(jù)風險?？萍寂c創(chuàng)新。2016年第2期。29

[6]楊力：12306網(wǎng)站信息泄露事件的法律對策探討。信息安全與通信保密。2015.01.46

作者簡介：王瑩（1994.03-），漢族，女，吉林人，工作單位：國際關(guān)系學院。