左手右手 左手收集，右手泄密

　　从社区论坛，到游戏网站，再到网络购物，我们已经耳闻了太多用户个人信息被服务提供商泄漏的事件。这类事件一直在持续，似乎已经没有了终结的时日。8月9日，曾开发了包括《星际争霸》、《魔兽争霸》以及《暗黑破坏神》等知名游戏产品的厂商美国暴雪娱乐公司（Blizzard Entertainment）发布声明称，“公司的安全团队发现内部网络遭到了非法入侵”。暴雪游戏连线对战平台“战网（Battle.net）”以及其上所运营的游戏均受到了入侵事件的影响。据悉，被泄漏的信息包括用户的邮箱地址、北美地区服务器上存储的被加密过的密码数据库、加密过的手机号码、个人安全提示问题和答案以及手机安全令牌等内容。
　　创业容易守业难
　　一直以来，数据安全都游走在一个很尴尬的位置上。谈到IT建设，CIO们大多会首先考虑计算、存储以及网络部署。计算速度更快、存储容量更大、网络带宽更高，这些需求蒙蔽了CIO们的双眼。之所以出现这种情况，是由于在IT建设过程中，无论计算、存储还是网络部署，都是按照业务需求来匹配的。换句话说，业务推动了以上三个部分的增长。与之相对比的是，安全部署看起来似乎同业务增长没有半点关系。
　　但是，真的是这样吗？如果说计算、存储和网络被冠以“创业先锋”名号的话，安全则是当之无愧的“守业专家”。“创业容易守业难”，这句话用在此处非常合适。在信息安全攻击的背后，往往涉及着不可告人的经济、商业或者政治利益，这种以人为主导的操作，往往会令业务遭受到重创，并会让企业声誉受损。
　　从2011年年底开始，国内网站将用户个人信息泄漏的事件频频见诸于报端。令人感到诧异的是，这些网站中有不少都是管理着用户姓名、地址、电话以及钱款等重要内容的电子商务网站。当当网、京东商城、1号店等知名电子商务服务商在这场数据安全大战中无一幸免。
　　在记者的采访中，一位不愿意透露姓名的安全技术人员表示，国内很多电子商务网站都存在着这样或那样的安全问题。在这些安全问题中，由于部分相关代码涉及到后台发布、数据库管理等核心应用，因此很难被修复，“除非真的出现了问题，服务商痛定思痛去解决，否则都是抱着得过且过的心态。”
　　不让数据泄漏成常态
　　那么，看似能够正常运行的信息系统，是如何遭遇到风险的呢？
　　RSA中国区技术顾问华丹认为，一般来说，我们所谈及的数据泄漏和信息安全风险主要来自内部威胁和外部攻击。随着近年来高级可持续性威胁（Advanced Persistent Threat，APT）的泛滥和恶意软件的快速发展，信息泄漏风险正在面临越来越大的压力和挑战。
　　在这其中，内部威胁情况比较复杂，服务商需要从包括人员管理、风险策略、安全管理平台等多个方面去考察安全状况。“日常内部各个环节都可能造成数据泄漏等风险隐患。”华丹表示，“包括暴雪等在内的服务提供商通常都需要搭建海量数据平台及系统基础架构，来为公众提供良好的服务。因此，这些服务商不仅需要了解哪些数据是关键数据或高风险等级数据，而且还要确保针对这些数据信息已经有相应的技术手段实现保障。同时，服务商还需要按时按需查看这些技术手段是否在正确的位置发挥了应有的作用，并评估数据出现风险后将会对具体业务和公司运营层面产生哪些影响。”
　　华丹所谈到的内容涉及了公司策略、制度、技术体系保障、技术实现等多个方面，统一起来的话，可以被称为是对公司IT治理的规划和落实。对于企业CIO而言，不仅需要对安全风险了然于胸，而且还要能够利用工具实现风险的可视性、实时分析、安全威胁智能和合规等内容。
　　有句俗话叫做“罗马不是一天建成的”，同样，企业安全问题的处置不能够一蹴而就。
　　CA Technologies亚太及日本地区安全副总裁Vic Mankotia认为:“在我们所生存的这个依靠网络相连接的世界中，对于确保数据安全应该采取更加积极的姿态。”Vic表示，数据安全建设需要有一个多层次的安全体系，通过保护交互的信息来实现网络和基础设施水平上的传统安全。
　　在线业务安全解决方案一般包括了四个部分：了解身份、管理访问、使用高级认证和数据丢失防护。
　　Vic认为，对于服务供应商来说，有三方面的安全要素需要特别提起注意：
　　首先，确保IT系统已经部署了基于内容感知的身份认证和访问管理，并确保实施了像双因子认证机制这样的高级认证服务（相关文章请参见计算机世界2012年8月6日第22版文章《双因子认证不可靠？》）。
　　其次，服务供应商需要了解其自身是信息的聚合器和仓库这样一个定位，如果没有积极主动地进行安全防护的话，很容易成为黑客和犯罪分子的目标。
　　最后，如今的网络和信息环境已经通过有线、无线和移动连接覆盖了全球各地。因此，服务供应商需要知道如何合理安全地共享信息，这也是安全保护的关键。
　　我国个人信息保护立法尚待时日
　　在这次信息泄漏事件中，暴雪的做法受到了外界广泛的质疑和批评。
　　根据暴雪披露的信息显示，其早在美国当地时间8月4日就发现了此次黑客入侵。然而，这一入侵事件真正被其公之于众却是在5天以后。暴雪声称，之所以延后披露相关信息是由于其在此期间对攻击事件进行了翔实的调查，包括此次入侵的性质及数据泄露的范围等。然而，这一做法却增加了用户密码的被盗风险。外界普遍认为，如果在攻击事件发生后24小时内对外通报事件并提醒用户修改密码的话，用户将能够更好地保护自己的密码不被盗取。
　　那么，对于互联网服务商所保存的用户信息，是否有相关法规限制其对这些信息内容的应用？一旦信息发生泄漏，是否存在相关的处理条款？
　　提到个人信息保护，就不得不提到目前在全球最早颁布的相关法规之一——1995年欧盟所公布的《数据保护指令》。其规定了个人信息的处理流程，并制定了一系列需要所有成员国实施的原则和规则。这一法规是欧盟人权和隐私法规的重要组成部分。
　　《数据保护指令》在内容上包括一般性规定、合法性的一般规则、司法救济、责任与制裁及成员国贯彻措施等部分。其关于个人信息保护方面的实质性规定主要包括适用范围、对个人数据收集加工的基本原则、数据主体的权利、数据控制者的义务及对数据控制者的监管、救济与法律责任等内容。