內(nèi)鬼泄密猛于黑客！ 如何保護(hù)防火墻內(nèi)的世界？

　　你可以建起一面墻，設(shè)置周全的防御措施，花費(fèi)大量人力物力來(lái)維護(hù)，以便抵御威脅。但是，如果你的敵人來(lái)自內(nèi)部，那么這面墻就形同虛設(shè)。與內(nèi)部敵人的斗爭(zhēng)是一場(chǎng)沒(méi)有硝煙但依然嚴(yán)峻的戰(zhàn)爭(zhēng)。

　　4月底，美團(tuán)、餓了么、百度外賣等外賣平臺(tái)的用戶信息泄露事件再次引起了全民探討。信息泄露原本不是什么新鮮事了，但這一次，泄露信息的并不是人們談之色變的黑客，也不是因?yàn)槭裁礇](méi)有及時(shí)修復(fù)的漏洞，而是企業(yè)沒(méi)有引起足夠重視但卻能造成嚴(yán)重危害的內(nèi)鬼(Insider)。

　　猖獗的內(nèi)鬼

　　隨著國(guó)內(nèi)外立法和宣傳逐漸增多，很多企業(yè)對(duì)于信息安全和數(shù)據(jù)保護(hù)已經(jīng)有了初步的認(rèn)識(shí)，也采取了適當(dāng)?shù)陌踩a(chǎn)品和安全服務(wù)來(lái)防范來(lái)自外部的威脅與攻擊。但是，明槍易躲暗箭難防。他們?cè)谥匾曂獠客{的同時(shí)，卻忽視了內(nèi)部的威脅同樣嚴(yán)重，同樣需要采取對(duì)應(yīng)措施。

　　關(guān)于內(nèi)鬼泄露信息的案例，國(guó)內(nèi)外其實(shí)比比皆是。除去尚未調(diào)查出結(jié)果的美團(tuán)、餓了么和百度外賣不提，傳聞表示前段時(shí)間剛被美國(guó)制裁的中興，也是因?yàn)槠髽I(yè)自身的不謹(jǐn)慎而被“內(nèi)鬼間諜”獲取機(jī)密文件，最終在法庭上處于劣勢(shì)。據(jù)說(shuō)，美國(guó)為了調(diào)查中興、搜集證據(jù)，派了臥底律師進(jìn)入中興， 結(jié)果發(fā)現(xiàn)中興把包括合同、戰(zhàn)略等高度機(jī)密的文件都放在內(nèi)網(wǎng)中，只要是公司員工都可公開(kāi)訪問(wèn)。因此，該律師不費(fèi)吹灰之力就拿到了壓倒中興的致命證據(jù)。后來(lái)，美國(guó)商務(wù)部還專門做了一份中興反面教材 PPT 公開(kāi)到網(wǎng)上，提醒后來(lái)者注意。

　　2016 年，智聯(lián)招聘的經(jīng)營(yíng)方北京網(wǎng)聘咨詢有限公司(以下簡(jiǎn)稱“智聯(lián)招聘”)報(bào)案稱，公司員工申某利用公司業(yè)務(wù)邏輯的問(wèn)題非法獲取用戶的簡(jiǎn)歷庫(kù)賬號(hào)及密碼，并將用戶簡(jiǎn)歷向外兜售，涉案信息數(shù)量超過(guò) 15 萬(wàn)條。這些簡(jiǎn)歷包括了姓名、身份證號(hào)、住址、電話、受教育程度、工作單位、薪資收入等大量詳細(xì)的個(gè)人信息，導(dǎo)致智聯(lián)招聘損失將近 2500 萬(wàn)元。最終，法院判處該員工有期徒刑三年六個(gè)月。

　　2017 年，谷歌前高管離職加入 Uber，同時(shí)帶走了將原本屬于谷歌的自動(dòng)駕駛技術(shù)。對(duì)此，谷歌起訴了這名高管以及 Uber，最終獲得 2.45 億美元的業(yè)務(wù)賠償金。當(dāng)然，最有代表性的的內(nèi)鬼泄密估計(jì)就是斯諾登“棱鏡門”了：斯諾登利用其安全部門承包商雇員的職務(wù)之便，獲得對(duì)關(guān)鍵系統(tǒng)的訪問(wèn)權(quán)，隨后從美國(guó)國(guó)家安全局拷貝了數(shù)十萬(wàn)份機(jī)密文件。他將這些資料提供給英國(guó)《衛(wèi)報(bào)》與美國(guó)《華盛頓郵報(bào)》兩家著名媒體，曝光之后引發(fā)軒然大波。這件事情的直接后果就是美國(guó)國(guó)家安全局與聯(lián)邦調(diào)查局于2007年就啟動(dòng)的美國(guó)有史以來(lái)最大規(guī)模的秘密監(jiān)控項(xiàng)目公之于眾。在這個(gè)過(guò)程中，攻擊者(斯諾登)來(lái)自美國(guó)安全部門內(nèi)部，無(wú)需利用黑客入侵手段，只利用職務(wù)權(quán)限就能竊取機(jī)密信息;而遭受攻擊的是美國(guó)國(guó)家安全部門，導(dǎo)致國(guó)家安全防御體系遭到破壞，讓美國(guó)政府飽受輿論壓力。

　　內(nèi)鬼帶來(lái)的威脅

　　內(nèi)鬼在信息領(lǐng)域統(tǒng)稱為”Insider”，他們?cè)斐傻耐{叫做內(nèi)部威脅(Insider Threat)，與外部威脅相對(duì)應(yīng)。確切說(shuō)來(lái)，內(nèi)部威脅就是由內(nèi)部人威脅企業(yè)或組織安全的行為。按照 2012 年美國(guó) CERT 提出的定義：

　　內(nèi)部威脅攻擊者一般是企業(yè)或組織的員工(在職或離職)、承包商以及商業(yè)伙伴等，其應(yīng)當(dāng)具有組織的系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)的訪問(wèn)權(quán);內(nèi)部威脅就是內(nèi)部人利用合法獲得的訪問(wèn)權(quán)對(duì)組織信息系統(tǒng)中信息的機(jī)密性、完整性以及可用性造成負(fù)面影響的行為。

　　美國(guó)CERT中心認(rèn)為，內(nèi)部威脅主要分為系統(tǒng)破壞、知識(shí)產(chǎn)權(quán)竊取與電子欺詐三類基本的攻擊類型，由此組合形成復(fù)合攻擊以及商業(yè)間諜攻擊。本文所說(shuō)的泄密內(nèi)鬼，實(shí)施的就是其中的知識(shí)產(chǎn)權(quán)竊取類攻擊。

　　安全公司邁克菲近期的調(diào)查顯示，43% 的數(shù)據(jù)泄露都來(lái)自內(nèi)鬼，而 Information Security Forum 的調(diào)查結(jié)果則顯示為 54%。這表明，內(nèi)鬼泄密其實(shí)已經(jīng)成為信息泄露的主要原因。我國(guó)公安部網(wǎng)絡(luò)技術(shù)研發(fā)中心主任許劍卓曾公開(kāi)表示：目前，公民個(gè)人信息泄露造成危害最大的行業(yè)主要是銀行、教育、工商、電信、快遞、證券、電商等行業(yè)，由于這些行業(yè)掌握大量個(gè)人信息，內(nèi)部人員更易泄露數(shù)據(jù)。

　　企業(yè)應(yīng)當(dāng)如何防范內(nèi)鬼?

　　內(nèi)鬼來(lái)自企業(yè)安全邊界的內(nèi)部，可以躲避防火墻等安全設(shè)備的檢測(cè)，因此很方便就能獲取到企業(yè)內(nèi)部資料及財(cái)產(chǎn)，而且由于他們自身具有關(guān)于企業(yè)的相關(guān)知識(shí)，更容易實(shí)施攻擊。內(nèi)鬼具有高度的隱蔽性，對(duì)企業(yè)造成的危害也更嚴(yán)重。

　　需要注意的是，內(nèi)鬼通常不是單獨(dú)作案，而是會(huì)與信息交易產(chǎn)業(yè)鏈中的上下游人員接觸。就算他們憑一己之力完成信竊取過(guò)程，最終也需要與他人或其他組織聯(lián)系，將手中的信息處理出去。在前文提到的外賣平臺(tái)內(nèi)部人員泄露信息的案例中，電話銷售群、網(wǎng)絡(luò)運(yùn)營(yíng)公司、商家及騎手均參與其中，他們與地下黑市的人員勾結(jié)，將數(shù)量龐大的用戶數(shù)據(jù)變成了交易和謀利的對(duì)象。

　　國(guó)內(nèi)的內(nèi)部威脅研究并沒(méi)有多少系統(tǒng)性成果，我們可以參考美國(guó) CERT 對(duì)于內(nèi)部威脅的政策，總結(jié)出一些方法供國(guó)內(nèi)企業(yè)參考。

　　企業(yè)管理層人員可以采取的措施：

　　數(shù)字資產(chǎn)標(biāo)識(shí)

　　作為管理者或企業(yè)安全業(yè)務(wù)相關(guān)的人員，最好按照 ISO 55000 國(guó)際標(biāo)準(zhǔn)對(duì)企業(yè)數(shù)字資產(chǎn)進(jìn)行標(biāo)識(shí)。ISO 標(biāo)準(zhǔn)規(guī)定：

　　資產(chǎn)是對(duì)組織有實(shí)際價(jià)值或潛在價(jià)值的物品、事物或?qū)嶓w。資產(chǎn)管理使組織能夠在實(shí)現(xiàn)目標(biāo)的同時(shí)實(shí)現(xiàn)資產(chǎn)價(jià)值。

　　雖然ISO 55000側(cè)重于實(shí)物資產(chǎn)管理，但其定義也適用于數(shù)字資產(chǎn)(包括數(shù)據(jù))。“關(guān)鍵資產(chǎn)”價(jià)值之外的內(nèi)容在于：如果關(guān)鍵資產(chǎn)受到嚴(yán)重?fù)p害，就會(huì)影響組織的繼續(xù)運(yùn)營(yíng)。

　　毫無(wú)疑問(wèn)，數(shù)據(jù)是當(dāng)今世界任何組織最重要的資產(chǎn)之一，因此需要安全、高效的管理。但是，并非所有數(shù)據(jù)在業(yè)務(wù)上都是平等的。每個(gè)企業(yè)都應(yīng)當(dāng)對(duì)其客戶、合作伙伴、庫(kù)存、供應(yīng)商和自己業(yè)務(wù)的數(shù)據(jù)負(fù)責(zé)。在組織內(nèi)部流通的數(shù)據(jù)通常包括公司的財(cái)務(wù)數(shù)據(jù)，運(yùn)營(yíng)數(shù)據(jù)，客戶的個(gè)人可識(shí)別數(shù)據(jù)以及一些分類數(shù)據(jù)。

　　預(yù)防數(shù)據(jù)泄露的第一步是識(shí)別并分類數(shù)據(jù)。盡管企業(yè)的 IT 專業(yè)人員熟知企業(yè)信息系統(tǒng)的運(yùn)行方式，但他們并未全面了解整個(gè)業(yè)務(wù)的運(yùn)營(yíng)和流程。此刻，企業(yè)的管理人員應(yīng)當(dāng)幫助相關(guān)專業(yè)人員進(jìn)行合理的識(shí)別與分類。

　　企業(yè)數(shù)據(jù)一般分為以下幾類：公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、已分類數(shù)據(jù)和合規(guī)要求的數(shù)據(jù)。注企業(yè)中每個(gè)流程相關(guān)聯(lián)的數(shù)據(jù)類型非常重要，因?yàn)楣粽咄ǔ２粫?huì)竊取所有類別的數(shù)據(jù)，而是會(huì)有針對(duì)性地下手。很多時(shí)候，攻擊者和內(nèi)部人員會(huì)獲取非常具體的數(shù)據(jù)，因此，將數(shù)據(jù)合理分類后，再有針對(duì)性地進(jìn)行保護(hù)，才能有效防御威脅。

　　內(nèi)部威脅項(xiàng)目

　　內(nèi)部威脅是每個(gè)組織面臨的一個(gè)非常獨(dú)特的安全問(wèn)題，因此需要配置專門的資源來(lái)解決這個(gè)問(wèn)題。有能力的企業(yè)最好設(shè)置一個(gè)全組織范圍內(nèi)的內(nèi)部威脅項(xiàng)目，這個(gè)項(xiàng)目具有統(tǒng)一的愿景和使命，包含多個(gè)角色、不同的職責(zé)以及專業(yè)培訓(xùn)。內(nèi)部威脅項(xiàng)目的參與者最好包括人力資源、法律、IT、工程、數(shù)據(jù)所有者和部門主管。最重要的是，這種項(xiàng)目應(yīng)該只向企業(yè)中最值得信賴的員工開(kāi)放。

　　內(nèi)部威脅項(xiàng)目的主要目的是建立相關(guān)的信息、協(xié)議和機(jī)制，以檢測(cè)、防范和應(yīng)對(duì)內(nèi)部威脅。內(nèi)部威脅項(xiàng)目應(yīng)包括：任務(wù)、詳細(xì)預(yù)算、管理結(jié)構(gòu)和共享平臺(tái)。

　　內(nèi)部威脅項(xiàng)目的主要工作內(nèi)容如下：

　　合規(guī)與流程監(jiān)督委員會(huì)：負(fù)責(zé)審查組織現(xiàn)有的工作流程，并在發(fā)生數(shù)據(jù)泄露之前提出變更建議;

　　報(bào)告機(jī)制：辦公室政治、集團(tuán)行為和一系列其他因素都可能阻礙員工舉報(bào)可疑行為。因此需要設(shè)置保密機(jī)制，保護(hù)舉報(bào)可疑人員的員工，防止舉報(bào)人遭遇報(bào)復(fù);

　　事件響應(yīng)計(jì)劃：如果內(nèi)部威脅已經(jīng)發(fā)生、數(shù)據(jù)已經(jīng)泄露，僅僅解雇員工并向當(dāng)局報(bào)告還不夠。如果制定了內(nèi)部事件響應(yīng)計(jì)劃，管理者就能更加清楚地了解到警報(bào)是如何識(shí)別、管理和升級(jí)的。此外，內(nèi)部威脅的行為與流程的具體時(shí)間范圍也能在內(nèi)部事件相應(yīng)計(jì)劃中體現(xiàn)。

　　專業(yè)培訓(xùn)：內(nèi)部威脅培訓(xùn)詳細(xì)介紹了組織中所有人員的安全意識(shí)培訓(xùn)計(jì)劃。但是，直接參與內(nèi)幕威脅項(xiàng)目的人員需要接受更專門的培訓(xùn)，以便更好地檢測(cè)和緩解內(nèi)部威脅;

　　基礎(chǔ)設(shè)施：這一部分主要是檢測(cè)、防范和應(yīng)對(duì)內(nèi)部威脅的基礎(chǔ)設(shè)施，包括協(xié)助管理層實(shí)現(xiàn)使命的技術(shù)。應(yīng)該定期審查部署的技術(shù)以獲得最佳選擇。

　　典型的內(nèi)部威脅項(xiàng)目總共包含十三個(gè)組成部分，除了上述重要環(huán)節(jié)，其他的還包括：公民自由保護(hù)、溝通框架、內(nèi)部威脅方案支持政策、數(shù)據(jù)收集工具、供應(yīng)商管理和風(fēng)險(xiǎn)管理整合等。

　　安全審查和監(jiān)督(HR)

　　在雇用人員時(shí)，最好對(duì)候選人進(jìn)行詳細(xì)的背景調(diào)查。雖然企業(yè)在招人時(shí)也會(huì)進(jìn)行背調(diào)，但如果涉及網(wǎng)絡(luò)安全層面，招聘過(guò)程的調(diào)查只是人員審查的第一步。最應(yīng)當(dāng)關(guān)注的就是犯罪歷史和就業(yè)經(jīng)歷。有時(shí)候，造成內(nèi)部威脅的人員很可能是處于商業(yè)目的或者政治目的間諜，他們可以通過(guò)各種渠道贏得信任、進(jìn)入企業(yè)。

　　NIST 網(wǎng)絡(luò)安全框架建議組織應(yīng)為每個(gè)職位設(shè)置風(fēng)險(xiǎn)等級(jí)。風(fēng)險(xiǎn)級(jí)別越高，工作崗位所需的信任和安全先決條件就越多。當(dāng)雇傭新人進(jìn)入風(fēng)險(xiǎn)較高的職位時(shí)，監(jiān)管人員應(yīng)該對(duì)他們進(jìn)行高風(fēng)險(xiǎn)行為的監(jiān)督。此外，最好記錄所有異常事件并分析行為趨勢(shì)。行為分析和風(fēng)險(xiǎn)分析技術(shù)是這一過(guò)程中需要用到的重要技術(shù)。

　　人力資源部門還應(yīng)該準(zhǔn)備一份終止協(xié)議，以便在員工出現(xiàn)可疑行為是隨時(shí)辭退他們。這份協(xié)議應(yīng)要求管理人員進(jìn)行離職面談，提供最終績(jī)效評(píng)估，并討論最終薪水安排。企業(yè)的 IT 專業(yè)人員應(yīng)刪除所有離職員工的賬戶。對(duì)于離職前為特權(quán)用戶的員工，應(yīng)當(dāng)在他們離職后更改所有共享密碼。人力資源部門需要再次向離職員工闡明與知識(shí)產(chǎn)權(quán)相關(guān)的規(guī)定。

　　形成健康的企業(yè)文化

　　這一部分看似與內(nèi)部威脅關(guān)聯(lián)性不大，但是有證據(jù)表明，在高壓環(huán)境中工作，可能讓員工形成消極的態(tài)度，導(dǎo)致他們更容易犯錯(cuò)。如果管理者沒(méi)有注意到這些負(fù)面情緒和影響并采取緩解措施，那么員工就會(huì)覺(jué)得被忽視，甚至降低對(duì)企業(yè)的忠誠(chéng)度。在這種情況下，他們更有可能做出不利于企業(yè)發(fā)展的事，甚至實(shí)施會(huì)對(duì)企業(yè)造成威脅的行動(dòng)。因此，設(shè)置合理的業(yè)務(wù)考核標(biāo)準(zhǔn)，營(yíng)造良好的工作氛圍、行程健康的企業(yè)文化，也有助于增強(qiáng)員工信任感，減少企業(yè)可能遭遇的內(nèi)部威脅。

　　供應(yīng)商管理流程和政策

　　要想應(yīng)對(duì)復(fù)雜的內(nèi)部威脅，除了企業(yè)內(nèi)部采取防范措施外，對(duì)供應(yīng)商和業(yè)務(wù)合作伙伴的安全管理也是重要一環(huán)。依舊以外賣平臺(tái)信息泄露為例，其中的網(wǎng)絡(luò)運(yùn)營(yíng)公司就是供應(yīng)商環(huán)節(jié)的泄密。因此，企業(yè)還需要設(shè)置供應(yīng)商管理流程和規(guī)則，擬定一系列協(xié)議，用于企業(yè)與供應(yīng)商合作過(guò)程中的問(wèn)責(zé)和監(jiān)督。供應(yīng)商管理流程和規(guī)則主要依賴企業(yè)管理層制定，如果沒(méi)有相關(guān)的詳細(xì)計(jì)劃，企業(yè)的安全人員只能在威脅發(fā)生后救火，而無(wú)法防范于未然。

　　供應(yīng)商管理流程主要包含四個(gè)階段：定義、規(guī)范、控制和整合。定義階段主要用于確定組織中最關(guān)鍵的供應(yīng)商，此處關(guān)鍵的標(biāo)準(zhǔn)是一旦與供應(yīng)商的關(guān)系出現(xiàn)問(wèn)題，企業(yè)的運(yùn)營(yíng)和收入都會(huì)受到負(fù)面影響。規(guī)范則涉及為每個(gè)合作的供應(yīng)商指定安全聯(lián)絡(luò)人，其職責(zé)是維護(hù)合規(guī)知識(shí)、執(zhí)行審計(jì)過(guò)程、促進(jìn)安全通信、提供培訓(xùn)、跟蹤合同和所有文件，并實(shí)施監(jiān)督。

　　供應(yīng)商政策應(yīng)當(dāng)包含的重點(diǎn)內(nèi)容有：審核安全控制的權(quán)利、供應(yīng)商遵守監(jiān)管的要求、安全績(jī)效報(bào)告以及及時(shí)上報(bào)任何數(shù)據(jù)泄露事件。最后階段是整合，主要關(guān)注數(shù)據(jù)收集、分析和驗(yàn)證。收集到的信息需要與企業(yè)現(xiàn)有的安全實(shí)踐和審計(jì)程序相結(jié)合，才能更好地發(fā)揮作用。

　　安全意識(shí)培訓(xùn)

　　如今，國(guó)內(nèi)企業(yè)已經(jīng)逐漸意識(shí)到安全意識(shí)培訓(xùn)的重要性。除了普通的安全意識(shí)培訓(xùn)之外，企業(yè)還應(yīng)當(dāng)針對(duì)不同的群體進(jìn)行有針對(duì)性的培訓(xùn)才能達(dá)到最好的效果。

　　首先是針對(duì)領(lǐng)導(dǎo)層、管理層的培訓(xùn)，前文所說(shuō)的方法如果沒(méi)有管理層的參與，是無(wú)法落地實(shí)施的。只有管理層意識(shí)到內(nèi)部威脅的嚴(yán)重性，有了防范意識(shí)，企業(yè)內(nèi)部的防御才能順利實(shí)施。安全專業(yè)人員最好定期總結(jié)威脅情報(bào)并回報(bào)給管理層，讓他們了解到這些威脅對(duì)于企業(yè)的財(cái)務(wù)狀況和聲譽(yù)所造成的嚴(yán)重影響，進(jìn)而引起他們的重視。

　　其次是針對(duì)企業(yè)內(nèi)安全專業(yè)人員的培訓(xùn)，他們直接負(fù)責(zé)安全業(yè)務(wù)，但也可能存在一些誤區(qū)。需要讓他們意識(shí)到，安全工具不代表一切，更難以防范來(lái)自內(nèi)部的威脅。安全工具只是動(dòng)態(tài)問(wèn)題的靜態(tài)解決方案。但人永遠(yuǎn)是多變的，他們總能找出破解或者繞過(guò)工具的方法。因此，安全專業(yè)人員不能依賴工具而高枕無(wú)憂，他們必須時(shí)刻準(zhǔn)備好面對(duì)各種變化。此外，他們也應(yīng)當(dāng)意識(shí)到，一旦出現(xiàn)問(wèn)題，最好的辦法是及時(shí)通報(bào)而非刻意遮掩。哪怕管理層對(duì)此并不重視，也應(yīng)當(dāng)承擔(dān)起作為安全專業(yè)人員的責(zé)任，直面問(wèn)題并盡力解決問(wèn)題。

　　最后，針對(duì)普通員工，定期進(jìn)行培訓(xùn)和考核，在公司顯眼位置張貼宣傳語(yǔ)或播放宣傳視頻，在潛移默化中培養(yǎng)員工的安全意識(shí)與安全習(xí)慣，不失為一種好方法。

　　技術(shù)層面的防范

　　除了上述的理論層面，在技術(shù)層面也可采取一定的措施來(lái)防范內(nèi)部威脅，以下列舉部分常用辦法：

　　加密存儲(chǔ)，對(duì)數(shù)據(jù)進(jìn)行業(yè)務(wù)管理：即負(fù)責(zé)某一項(xiàng)業(yè)務(wù)的人，只能在一定范圍內(nèi)看到一部分?jǐn)?shù)據(jù);

　　數(shù)據(jù)分級(jí)管理：即下層業(yè)務(wù)人員如果要查詢某些數(shù)據(jù)，必須要得到上級(jí)或相關(guān)業(yè)務(wù)管理者的臨時(shí)授權(quán);

　　數(shù)據(jù)協(xié)同管理、內(nèi)部流量管控;

　　基于蜜罐、蜜標(biāo)的內(nèi)部威脅檢測(cè);

　　實(shí)施 BYOD 政策，增強(qiáng)身份認(rèn)證和識(shí)別;

　　加強(qiáng)用戶行為分析(UBA)

　　監(jiān)管部門也當(dāng)亮劍

　　國(guó)內(nèi)內(nèi)鬼猖獗的原因除了企業(yè)安全意識(shí)不強(qiáng)、監(jiān)管不嚴(yán)格，還有最重要的一點(diǎn)就是暴利誘惑以及犯罪成本太低。因此，近年來(lái)監(jiān)管部門也逐漸加大了立法和執(zhí)法力度，從法律和監(jiān)管的角度遏制內(nèi)鬼泛濫。

　　在“兩高”發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》中明確規(guī)定，對(duì)于公民的行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息，只要非法獲取、出售或者提供50條以上，即構(gòu)成“情節(jié)嚴(yán)重”。而對(duì)于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息，標(biāo)準(zhǔn)則是500條以上。對(duì)于其他公民個(gè)人信息，標(biāo)準(zhǔn)為5000條以上。

　　而對(duì)行業(yè)“內(nèi)鬼”，《解釋》則降低了入罪標(biāo)準(zhǔn)?！督忉尅芬?guī)定，在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息出售或者提供給他人，數(shù)量或者數(shù)額達(dá)到司法解釋規(guī)定的相關(guān)標(biāo)準(zhǔn)一半以上的，即可認(rèn)定為刑法規(guī)定的“情節(jié)嚴(yán)重”，構(gòu)成犯罪。

　　還要知道，泄露公民的個(gè)人信息是刑事犯罪?！缎谭ㄐ拚?七)》規(guī)定：

　　金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或非法提供給他人，情節(jié)嚴(yán)重的，就可以構(gòu)成犯罪。賣家違法搜集訂餐客戶信息，作為“商品”肆意倒賣，嚴(yán)重侵犯公民權(quán)利，理應(yīng)受到法律追究和懲罰。

　　當(dāng)然，我國(guó)對(duì)于企業(yè)應(yīng)當(dāng)遵守的信息安全規(guī)范也有相應(yīng)的規(guī)定。《網(wǎng)絡(luò)安全法》明確要求，“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度”，“應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失”。否則，可作出警告、罰款、吊銷營(yíng)業(yè)執(zhí)照等處罰。嚴(yán)格保管客戶的隱私信息，是運(yùn)營(yíng)者的法定責(zé)任。

　　隨著公民和企業(yè)安全意識(shí)的增強(qiáng)、隨著立法不斷細(xì)化落地、隨著各類措施和流程的不斷完善，內(nèi)鬼泄密的情況也許能有所緩解。但是，“人永遠(yuǎn)是最薄弱的環(huán)節(jié)”，攻防之戰(zhàn)中，我們也只能永不停歇地前行。