第一篇:关于信息泄露及其安全的分析
关于信息泄露及其安全的分析
在二十一世纪这个崭新的时代里,随着社会的不断发展,科技的不断进步,极大的满足了人们的各种需求。特别市互联网的广泛普及,不仅方便信息的交流,而且还可以通过其满足物质需求。但与此同时,也会产生许多问题,信息泄露就是一个亟待解决的问题。其中包括个人信息、政府信息和企业信息,甚至国家信息,都可能成为被泄露的对象。
近年来,国家加大力度打击非法买卖公民个人信息的行为。面对互联网的普及给公民个人信息安全的保护带来新的挑战,不久前在公安部统一部署指挥下,我国首次大规模集中打击侵害公民个人信息犯罪的专项行动取得显著成果,共抓获犯罪嫌疑人1700余名。但是,由于侵害公民个人信息的手段、方式不断翻新,公民信息安全保障的形式依然严峻。
对于个人信息泄露的途径,调查发现,银行、保险公司、商场等商业单位是民众认为最有可能泄露个人信息的机构,有1530名受访者对此表达了担心,占参与调查总人数的51%。此外,当前不少网站在用户注册、参与线下活动时要求用户提供个人信息,也被34%的受访者认为是可能造成个人信息泄露的重要途径。
调查显示,公众对个人信息安全的认知和重视程度还有待加强,38%的受访者日常并不注意保护个人信息,在网站需要提供个人信息时不清楚信息收集的目的。长期关注网络社会问题的中国传媒大学詹骞老师认为,网上个人信息频频被泄露的根源,一方面是由于公民个人的信息保护意识和能力还不够强,另一方面在于技术和商业利益裹挟在一起,不法分子通过各种技术手段盗取用户的个人信息,背后是商业利益的驱使。另外,人们在享受互联网便捷性的过程中,也不知不觉地将个人信息和隐私交换出去,如通过微博和交际网站晒个人的生活细节等,都存在信息泄露的隐患。
面对个人信息泄露可能给公民人身和财产安全造成的威胁,民众普遍呼吁出台保障个人信息安全的专门政策,加强立法。“保障个人在信息泄露后有获得补偿和救济的权利”“对盗取个人信息的行为予以法律制裁”“强调个人在信息收集时的权利,若所收集信息与办理的业务无关,个人可选择不提供信息”是网民呼声最高的三个选项,有近70%的受访者表达了这样的期待。
除了相关政策法规的完善,詹骞还认为,网站有义务从技术上为用户提供保护,以防止不法分子对网民个人信息的盗取和挖掘。“除了法律规定的一些机密信息,采集公民个人信息的机构、网站也应对用户个人隐私数据的保护承担更多责任。”詹骞说。以下将会介绍几则关于个人信息安全的实例。
(1)手机登录网站“领奖” 聊城男子被骗1500元。“尊敬的用户您好:您的手机号被《快乐大本营》节目后台抽取为场外幸运号,您将获得由苹果公司赞助提供的79000元奖金与苹果笔记本电脑一台,请用电脑登录网站:www.xiexiebang.com及时领取,您的验证码为XXXX。”5月17日,聊城男子小周的手机上收到这样一条短信,结果他按对方的提示进行操作后被骗1500元。东昌府警方表示,现在骗子行骗的手段越来越高明,而且故意在短信中提示用电脑登录网站,从心理上误导大家,现在不少人都用手机直接登录,这样很容易上当受骗。因为在电脑上登录网站,会显示湖南快乐大本营官方网站的提醒。
(2)胡某是四川成都一家非法调查公司的主要犯罪嫌疑人。在近日落网之后,记者对他作了采访。“3年以下有期徒刑或者拘役”,这是胡某可能面临的刑罚,这还有一个前提——“情节严重的”。过低的违法犯罪成本和丰厚的获利,让不法分子不惜以身试法。
胡某的犯罪行为,只是侵害公民个人信息犯罪利益链条的一环。他所掌握的个人信息,来自于网上的众多“上家”。公安部刑侦局副局长廖进荣介绍,这种利益链条的构成为:泄露信息的源头→买卖信息的中介平台→从事非法调查、暴力讨债的犯罪组织,每一个环节均有利可图。
从案情上看,警方认为,只要堵住信息源头,这种“生意”就没法做了。廖进荣告诉记者,已被挖出的“源头”中,大都是掌握公民个人信息的单位和部门的“内鬼”,涉及电信、银行、工商、民政、保险等多个行业和部门。
还有证据显示,倒卖信息行为在一些行业内部已成“公开的秘密”。个别企业或机构的内部监管流于形式。(3)沃尔玛旗下山姆会员店被指买卖个人资料
网易财经5月21日讯 昨日,网友“作家-天佑”称自己家里的每个人都接到了来自深圳星河时代沃尔玛山姆会员店的入会邀请信,并称其邻居也受到了类似的邀请信。他表示担忧自己个人信息被泄露并被用于买卖,并在其后深圳警方举报沃尔玛“买卖个人资料”。
沃尔玛中国公共关系高级总监李玲今日下午向网易财经表示,“山姆会员店的邮寄广告是由合作的广告公司通过邮政系统进行入户投递,邮政本身有这样的服务提供”,并强调沃尔玛并不是前述信息的收集主体。
网易财经编辑查询发现,中国邮政确实有较详细的名址信息服务。不过,中国邮政还有另一种仅提供投放的服务,由于网易财经未能联系上中国邮政,尚不能判定信息来自于何方。
(4)数据的价值 删除无用数据可降低风险2012年05月21日00:00
【IT168 编译】本月早些时候,一名美国密苏里州参议员阻挠议事,以阻止该州创建新的处方追踪数据库,因为一旦这个数据库发生数据泄露事故,有关公民的处方信息将会被泄露。这个事件说明大家都逐渐意识到保护敏感个人识别信息(PII)的最佳方式之一删除它。
针对各种个人信息泄露的事件,自然就要对其采取解决措施。以下将用具体的实例来说明。(1)近日,泰安工行岱岳支行根据省市行和《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》的要求,支行高度重视,强化制度执行力,采取有效措施,所辖部室网点扎实开展自查工作,将客户个人信息安全保护不泄露,确保万无一失。领导重视,强化责任心。支行成立客户个人金融信息保护工作领导小组,行长任小组长,负总责,分管内控行长为副组长亲自抓,所辖营业网点主任、内控副主任为成员,综合管理部上下协调,明确责任,各负其责,细化分工。
强化执行力,签订保密承诺。1.针对2011年“个人客户信息安全大检查”中发现的问题,从机制、制度、流程等方面提出解决方案,落实改进措施。2.与网点负责人和个人客户经理逐人签订了《保密承诺》。3.对柜员办理业务过程中知晓的客户身份证信息,要求严格保密,身份证复印件随传票装订,不得遗留在柜台和个人物品中,身份证复印件要留存核查信息。
加强监督检查力度,保护好客户信息。1.对包括个人客户信息系统(ECIS)、个人客户营销管理系统(PBMS)、个人客户信贷管理系统(PCM2003)等涉及个人客户信息管理的系统及其他个人金融业务应用中涉及的客户信息管理环节,重点关注各类数据库信息的安全,业务应用中对客户信息的查询、下载、保存等符合制度要求,不存在泄露客户信息情况。2.对自查中发现的问题,认真分析原因,立即整改,深入查找制度缺陷及管理中存在的薄弱环节。3.对所辖员工存在泄露个人客户信息嫌疑的,支行领导要采取与经办员工面谈、调阅监控录像等方式认真核实,属实泄露个人客户信息的,严格按照相关规定,采取对有关责任人当事人进行严肃处理,视为高压线,警钟长鸣。
积极开展客户个人金融信息保护培训。利用晨会、周会、省行网讯、LED屏、宣传栏等多种形式积极开展客户个人金融信息保护的培训教育工作,使员工充分了解、认真贯彻相关法律、法规、规章和规范性文件的规定,明确个人金融信息泄露和滥用对本机构及员工个人带来的法律后果,落实各项内控制度,提升全体员工依法自我保护、防范风险防控意识。
(2)连日来,一些被曝光的单位、部门陆续开始采取整改措施。例如,中国移动(行情,资讯,评论)相关负责人日前表示,针对用户信息保护链条长和环节多的实际情况,中国移动已经成立专门机构强化管理,发布并实施了严禁泄露或交易客户信息等“五条禁令”,并制定了《客户信息安全保护管理规定》等10余项制度,对客户信息产生、传输、存储、处理、消除的各个环节进行严格监管。
对此,不少专家予以肯定。他们表示,对于个人信息保护来说,需要国家立法、有关单位和部门自我监管及与行业监管的协调配合。在法律尚未出台的情况下,相关单位和部门的自我监管及行业监管应该先行一步。
北京大学法学院教授储槐植表示,一是要增加非法获取信息的难度和成本。二是要增加信息泄露者被查处的风险。
相应的问责机制也应同时发力。北京市律师协会刑事诉讼业务委员会主任钱列阳建议,有必要在既有法律框架下,尽快建立一个完善的、具有可操作性的处罚体系,同时进一步明确行政处罚和刑事处罚这两部分的追责标准。
在如今的这个信息时代,网络安全技术也是维护信息安全的主要手段。
在网络安全领域,攻击随时可能发生,系统随时可能崩溃,因此必须一年365天、一天24小时地监视网络系统的状态这些工作仅靠人工完成是不可能的,所以,必须借助先进的技术和工具来帮助企业完成如此繁重的劳动,下面给大家介绍一些网络安全方面的内容。
杀毒软件
与一般单机的杀毒软件相比,杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在:
首先,杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现,并且60%的病毒均通过Internet传播,病毒发展有日益跨越疆界的趋势,杀病毒企业的竞争也随之日益国际化。
其次,杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台,并实现软件安装、升级、配置的中央管理及自动化,要达到这样的要求需要大量工程师几年的技术积累。
第三,杀毒软件面临着Internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口,也就是说要支持所有企业可能用到的 Internet协议及邮件系统,能适应并且及时跟上瞬息万变的Internet时代步伐。现今60%以上的病毒是通过Internet传播,可以说 Internet的防毒能力成为杀病毒软件的关键技术,在这方面,国际的杀毒软件如:Norton、McAfee、熊猫卫士走到了前面,它们均可以支持所有的Internet协议,辨识出其中病毒。
当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护,企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序,对技术、服务和管理的要求比较高。国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势,但在企业级的某些特殊性能上存在差距。例如管理方面,一个企业要管理1000台机器,Norton的SRC有一台管理器就可以处理,它可以自动分发,自动安装到所有机器里,使管理人员节省很多时间,减少重复劳动。另外,企业级需要更安全的保护,现在政府上网、企业上网都会遇到很多国际病毒,国内部分厂商在这些方面尚待改进。
防火墙
网络安全中系统安全产品使用最广泛的技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。
对企业网络用户来说,如果决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。
防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP 等)以及服务请求的类型(如ftp、www等)等。
除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。
当然,网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍,因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且减慢了信息传递速率。针对这个问题,近期,美国网屏(NetScreen)技术公司推出了第三代防火墙,其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理,使防火墙的性能大大提高。
需要说明的是,并不是所有网络用户都需要安装防火墙,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网、公司网,才建议使用防火墙。另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。
加密技术
网络安全的另一个非常重要的手段就是加密技术,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理。加密的技术主要分两种:
单匙技术
这种技术无论加密还是解密都是用同一把钥匙(secretkey)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。
这种方法快捷简便,即使传输信息的网络不安全,被别人截走信息,加密后的信息也不易泄露。
但这种方法也存在一个问题,即如果收信者和发信者不在同一地理位置,那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道(如通过信差、长途电话等等),他们又何必需要加密呢?后来出现的双匙技术解决了这个难题。
双匙技术
此技术使用两个相关互补的钥匙:一个称为公用钥匙(publickey),另一个称为私人钥匙(secretkey)。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者,没有人--即使是发信者--能够将其解密。公用钥匙是公开的,可以通过网络告知发信人(即使网络不安全)。而只知道公用钥匙是无法导出私人钥匙的。现有软件如Internet免费提供的PGP(PrettyGoodPrivacy)可直接实现这些功能。
加密技术主要有两个用途,一是加密信息,正如上面介绍的;另一个是信息数字署名,即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙,才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动(因为只有发信者才知道自己的私人钥匙);另一方面也确保发信者对自己发出的消息负责,消息一旦发出并署了名,他就无法再否认这一事实。
如果既需要保密又希望署名,则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密,再发给对方。反过来收信者只需用自己的私人钥匙解密,再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐,实际上很多软件都可以只用一条命令实现这些功能,非常简便易行。
在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES.近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。
除了上面介绍的几种之外,还有一些被广泛应用的网络安全技术,在此做一个简单介绍。
身份验证
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网上信息安全的第一道屏障。
存取控制
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。数据完整性
完整性证明是在数据传输过程中,验证收到的数据和原来数据之间保持完全一致的证明手段。检查是最早采用数据完整性验证的方法,它虽不能保证数据的完整性,只起到基本的验证作用,但由于它的实现非常简单(一般都由硬件实现),现在仍广泛应用于网络数据的传输和保护中。近几年来研究比较多的是数字签名等算法,它们虽可以保证数据的完整性,但由于实现起来比较复杂,系统开销比较大,一般只用于完整性要求较高的领域,特别是商业、金融业等领域。安全协议
安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。
需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等;在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术和产品。
第二篇:内幕信息泄露
内幕信息泄露的过失
钟日好
内容提要:如果不对过失泄露内幕信息行为进行处罚将不利于约束内幕信息知情人的行为,使其尽到最大程度的谨慎、诚实义务。由于过失泄露内幕信息行为在刑法中不列为犯罪,如果证券法也不处罚过失泄露内幕信息行为,将使得过失泄露内幕信息者为自己的过失行为付出的代价为零。由于现实中过失泄露内幕消息时有发生,为了严厉打击内幕交易行为,规范市场秩序,应当将过失作为泄露内幕消息的主观要件之一。
关键词:过失信息泄露内幕交易重大过失 内幕交易、泄露内幕信息罪是指证券、期货交易内幕信息的知情人员或者非法获取证券、期货交易内幕信息的人员,在涉及证券的发行,证券、期货交易或者其他对证券、期货交易价格有重大影响的信息尚未公开前,买入或者卖出证券,或者从事与该内幕信息有关的期货交易,或者泄露该信息,情节严重的行为。
一、对于我国首例过失泄露内幕信息案件
2007年10月,珠海格力集团准备将房地产业务借壳上市,格力集团副总裁、珠海格力房产有限公司董事长鲁某委托况勇联系寻找壳资源。况勇曾任格力集团财务部副部长、格力电器董事会秘书、格力集团投资部部长等职,2005年从格力集团辞职。况勇通过其同学黄某找到了西安海星现代科技股份有限公司总经理韩某,商谈海星科技卖壳事宜。但就在双方口头达成一致意见的当天(10月25日,两个神秘账户分别动用35万多元和25万多元,买入海星科技55000股和39600股,第二天海星科技就涨停了,随后股价一路飙涨。经查,两个神秘账户的主人一个叫徐琴,一个是李某,这是一对夫妻。特殊的是,徐琴是格力地产借壳上市谈判主要参与者况勇的外甥女,更特殊的是,况勇妻子张蜀渝是徐琴账户的全权代理人。在调查过程中,况勇否认他利用内幕信息买卖股票,而是表示自己与海星科技联系格力地产借壳一事时,妻子在电话里听到了,妻子张蜀渝也称是从丈夫打电话中听到此事,因而推荐徐琴买入海星科技股票,这次操作最终获利112346.05元。对于这种情况如何认定,最终证监会还是认定这是内幕交易,属于重大过失泄露内幕信息和意外被动获知、传递内幕信息案例,是我国证券市场第一起类似案件。
如何认定况勇这一“非故意”泄密行为的违法性。在证监会做出的行政处罚决定中,实际上已经对内幕信息知情人类似的违规行为做出界定:“(况勇)对相关并购重组事项的进展、 2012335720083
前景、细节有着全面、准确的了解,本应保持高度的注意与谨慎,认真做好相关信息的保密与管理,但却未采取必要的保密措施,将有关内幕信息泄露给其配偶”。
实际上,按照“非故意的重大过失”对泄露内幕信息行为进行认定,也是证监会首次做出的执法尝试。在先期调查中,由于没有证据表明况勇系故意泄露有关信息,因此对案件如
〔1〕何认定一度也让调查部门感到非常棘手。此前的很多执法实践也表明,在现实中,由于客
观条件制约,以行政手段证明故意泄露非常困难。通常情况下,当事人会以无意泄露来搪塞推脱。
相比较而言,过失泄露的举证难度相对较低。因此,将泄露者的责任扩展至“过失”,既有利于督促内幕信息知情人加强保密意识,完善保密措施,又可以堵住当事人“舍卒保帅”、规避法律制约的口子。从本案的情况看,况勇的一些行为已经构成了重大过失,应该承担法律责任。
二、关于泄露内幕信息罪的观点
关于内幕交易、泄露内幕信息罪的主观方面,学者们存在不同看法:一是直接故意说。认为本罪的主观方面是直接故意,即明知是内幕信息而故意利用该信息进行证券、期货交易,或故意将该信息泄露给他人进行证券、期货交易。二是故意说。认为本罪主观方面只能由故意构成,如果行为人在无意中泄露证券、期货内幕信息的,不构成本罪。三是分别说。认为内幕交易行为的主观方面只能是直接故意,并且是以为自己或者他人牟取非法利益为目的。泄露内幕信息行为的主观方面可以是故意,也可以是过失。四是故意、过失说。认为本罪主观上可以是故意,也可以是过失。中国证监会虽然在况勇案中首次对于过失泄露内幕信息开除了罚单,对于泄露内幕信息行为的主观方面是否包括过失这一问题目前尚存争议。赞同的观点认为,由于现实中过失泄露内幕消息时有发生,为了严厉打击内幕交易行为,规范市场秩序,应当将过失作为泄露内幕消息的主观要件之一,因此内幕信息知情人员过失泄露内幕
〔2〕信息应当承担责任。同时,由于《禁止证券欺诈行为暂行办法》钟并没有用“故意”来限
定泄露行为。然而反方的观点认为,由于内幕交易者的主观方面都要求明知,从中国证券法使用“知情人员”和“非法获知”的措辞可以推断内幕交易者在主观上是明知,即过失不构成内幕交易。
三、内幕信息泄露应当包括故意和过失
我国的内幕交易犯罪立法和理论及其不完善,随和证券市场的发展完善,内幕交易行为的日益增多和突显,市场和投资人越来越关注内幕交易行为,国家和理论界越来越关注这一新类型犯罪,立法和司法监管也正着手深入研究这一犯罪,以跟上新形势的需要。
我觉得内幕信息泄露的主观构成要件应当包括故意和过失,从根本意义上来讲,证券管理监督机构对内幕交易行为进行处罚实际上是一种行政处罚,过失泄露内幕消息是否应当受到行政处罚这一问题的本质就是行政处罚的主观要件是否包括过失。一般认为,行政处罚作为一种法律责任形式的具体形式,应当适用无过错既无责任原则,过错就应当同时包括主观上的故意和过失。而且通常行政法对于因为过失而实施的违法行为也给予处罚,除非法律、〔3〕法规中明确规定过时违法修改为可以免除处罚。我国证券法第76条禁止证券交易的知情
人和非法获取内幕消息的人,在内幕消息公开前泄露该消息就表明泄露内幕消息行为本身是违法的,同时并没有其他法律法规对于过失泄露内幕消息的行为应承担的法律责任给予免除。根据行政处罚的原则,在没有法律明确免除的情况下应当对违法行为给予处罚,所以中国证监会对于况勇过失泄露内幕消息给予处罚的决定符合行政处罚法的一般法理要求。〔1〕
〔2〕
〔3〕 参见于杨:《证券时报》,2010年9月14日。参见白建军:《证券欺诈及对策》,中国法制出版社1996年班,第38页。参见沈福俊、邹荣主编:《行政法与行政诉讼法学》,北京大学出版社2007年版,第198页。
《证券法》的颁布与实施,给我国证券市场的持续、健康发展提供了源源不断的动力,也为我国证券监管机构和司法机关行使职权、打击犯罪提供了非常重要的法律依据。在世界范围内,由于内幕交易存在着暴利引诱、行为隐蔽、司法机关调查取证难等主客观因素,犯罪发生率比较频繁,甚至牵涉到国家高级领导人,使法律不可能从根本上扑灭这类罪行,但有效地打击内幕交易罪,采取切实有效的措施把它控制在一个公众可以容忍的限度内,切实保护投资公众的合法权益,则是广大投资者的愿望,也是立法的目的。
四、对过失泄露内幕信息进行处罚的现实意义
近年来我国证券市场上的内幕交易行为不断存续,且发生着新的变化,如内幕交易群体化、隐蔽化越来越明显。其具体表现为,直接以内幕信息知情人自己的账户从事内幕交易的情形减少,代之以借助他人的账户私下建立代持关系从事证券交易。公司内部人、机构投资者、保荐人等市场主体利用内幕信息进行利益交换,建立隐性利益分成机制,形成庞大的内幕交易受益链条。由于内幕交易的表现形式的不断多样化,将过失泄露内幕信息行为纳人打击内幕交易范围的必要性是显而易见的。其一,如果不对过失泄露内幕信息行为进行处罚将构成证券法的一大漏洞,使证券法难以堵住内幕交易的源头。一方面,内幕信息知情人会利用这一漏洞,故意伪造事实和证据用于证明自己泄露内幕信息的行为是基于过失而非故意,〔4〕从而通过内幕交易隐蔽化的手段逃脱法律的制裁。另一方面,在我国证券市场内幕交易
呈现隐蔽化、群体化趋势的背景下,本已受制于执法成本等客观因素的证券市场监管面对内幕交易行为显得更加力不从心。如果要求监管机关在处罚泄露内幕信息行为的时候必须承担证明内幕信息泄露者主观故意的举证责任,那对于本已不堪重负的监管工作而言无疑是雪上加霜。监管机关将会面临内幕信息泄露行为肆意猖撅,却无法查处内幕信息泄露者的窘境。
其二,如果不对过失泄露内幕信息行为进行处罚将不利于约束内幕信息知情人的行为,〔5〕使其尽到最大程度的谨慎、诚实义务。由于过失泄露内幕信息行为在刑法中不列为犯罪,如果证券法也不处罚过失泄露内幕信息行为,将使得过失泄露内幕信息者为自己的过失行为付出的代价为零。内幕信息的知情人在这种情况下就不会在行为上约束自己,并不断警示自己要格守保密义务。内幕信息的泄露将成为证券市场上普遍的现象。
五、结语
有关法律专家表示,对于过失泄露,也不主张打击范围过广,所掌握的尺度一般限于“重大过失”,并非任何过失都能构成泄密。何种情形构成重大过失需要考虑如下因素:一是内幕信息的市场敏感程度及其对证券交易价格的影响程度;二是因泄露导致的信息扩散广度和深度;三是泄露者对内幕信息的了解与掌握程度;四是信息泄露的频度与清晰程度;五是泄露者所采取的加密与防护措施。
对于防止内幕信息的泄露,最应当加强的是监督制约机制。无论是上市公司本身的制度对于公司高管,知情人员的监督,防止其利用内幕信息犯罪,而对于证监会等有关部门,对于内幕交易行为的查处,应当加大力度,完善其制度,真正发挥证监会应有的作用。
〔4〕 参见方志桢:《惩罚的边界》,《公司法律评论》,2011年卷。
年卷。〔5〕参见方志桢:《惩罚的边界》,《公司法律评论》,2011
第三篇:学生信息再泄露 信息安全谁保证
学生信息再泄露 信息安全谁保证
随着我国经济快速发展和网络技术的广泛运用,非法买卖公民个人信息行为引发的恶性犯罪案件,已严重影响到人们的生命财产安全。近日,深圳三所重点高中发生学生信息泄露事件。校方再次对初三年级教师、学校中层以及有可能接触到信息系统平台的相关教师进行调查,学校负责人称,可以肯定的是,学生信息不是学校泄露出来的,但是学校信息系统管理确实存在漏洞。学校将在下周邀请信息安全专家,对校园内网相关系统加密,提高学生信息安全防范级别。
根据山丽信息安全专家的研究发现,校方可看到所有学生信息。区里统考,组织考试的教育部门可以看到各校学生成绩,需要对各校成绩进行对比分析。在这段时间内,学生的信息是共享资源。若学校自己组织考试,老师会将学生考试成绩统计输入电脑,对照学生成绩开分析会。便于老师对学生成绩长期跟踪,学校内网老师可以查看所有学生信息。山丽信息安全专家表示,校方信息系统管理存在漏洞,没有严格遵守国家重点强调的分级保护规定。此次泄露事件,对于学校来说,对学生信息没有尽到保护的义务,是一大教训!
山丽信息安全专家通过网络搜索发现,在2008年,该中学曾发生千余学生资料被泄露,多名家长接到诈骗电话。更让人惊讶的是,公布学生信息的网页居然属于区教育局的官方网站。事后,该区教育局公布的调查结果是,不是人为的,是系统操作中的失误。
如何防范学生信息再次泄露?山丽信息安全专家建议,使用专业的信息安全防护软件,以数据加密为基础,结合文档密级权限管理进行安全防护,全面保护学生个人信息,提高校方安全防护能力。
多模加密是信息安全防护的基础
在此次学生信息泄露的事件中,泄露的信息均以明文的形式存放。校方采用的信息管理系统并没有数据加密的防护措施,信息安全又从何谈起?多模加密作为领先的加密技术,从数据源头进行动态透明的防护。不仅保护了教师的课程资料,还对学生的个人信息进行安全防护。
密级管理为信息安全防护添砖加瓦
山丽信息安全推出文件密级管理模块,透过加密技术以及访问控制,确保学校的所有文件在可管理的范围内实现安全访问。通过添加对文件的签名和设置加密标识,保证密级文件的保密性、完整性和一致性。帮助学校完善信息管理系统,保证信息统一授权、控制和管理。信息安全防护问题不仅出现在学校,如今社会各行各业都存在信息泄露的问题。山丽信息安全呼吁企事业单位的管理人员,重视信息安全防护。信息安全,人人有责!
第四篇:内幕交易、泄露内幕信息罪
对内幕交易、泄露内幕信息罪及利用未公开信息交易罪的认定
撰稿人:崔洋洋
大家好,今天我们组讲的课题是内幕交易、泄露内幕信息罪以及利用未公开信息交易罪。
内幕交易、泄露内幕信息罪是随着市场经济的发展,融资市场的产生而出现的一种新型经济犯罪。刑法学界通说认为:内幕交易、泄露内幕信息罪,是指证券、期货交易内幕信息的知情人员或者非法获取证券、期货交易内幕信息的人员,在涉及证券的发行,证券、期货交易或者其他对证券、期货交易的价格有重大影响的信息尚未公开前,买人或者卖出该证券,或者从事与该内幕信息有关的期货交易,或者泄露该信息,情节严重的行为。这一新型罪名由于其诞生时间短,因此目前司法实践部门对这一罪名的理解和把握并不太准确,因而有必要对其认定问题进行深入的讨论。
一、对内幕交易、泄露内幕信息罪的客观方面进行考察
1、行为人进行内幕交易或者泄露内幕信息。进行内幕交易,即在涉及证券的发行,证券、期货交易价格或者其他对证券、期货交易价格有重大影响的信息尚未公开前,买入或者卖出该证券,或者从事与该内幕信息有关的期货交易。所谓内幕信息,指在证券、期货交易活动中,涉及公司的经营、财务或者对该公司证券、期货的市场价格有重大影响,尚未公开的信息。根据《中华人民共和国证券法》第75条规定,“证券交易活动中,涉及公司的经营、财务或者对该公司证券的市场价格有重大影响的尚未公开的信息,为内幕信息。下列信息皆属内幕信息:(一)本法第六十七条第二款所列重大事件;(二)公司分配股利或者增资的计划;(三)公司股权结构的重大变化;(四)公司债务担保的重大变更;(五)公司营业用主要资产的抵押、出售或者报废一次超过该资产的百分之三十;(六)公司的董事、监事、高级管理人员的行为可能依法承担重大损害赔偿责任;(七)上市公司收购的有关方案;(八)国务院证券监督管理机构认定的对证券交易价格有显着影响的其他重要信息。”内幕信息具有两个特征:
一、秘密性,即未公开性,二、重要性。如何认定犯罪嫌疑人利用或泄露的信息属于内幕信息,也应当从这两个方面进行考察。
内幕信息的秘密性,是指该信息尚未公开,尚未为证券、期货市场上的有关证券、期货投资者所获悉。对该信息未公开的认定,我国《股票发行与交易管理暂行条例》规定,公布和公开应以有关信息和文件刊登在中国证监会指定的报刊上为准。《证券法》第69条明文规定:“依照法律、行政法规规定必须作出的公告,应当在国家有关部门规定的报刊上或者在专项出版的公报上刊登,同时将其置备于公司住所、证券交易所,供社会公众查阅。”也就是说,只要证实行为人的交割单所载日期先于其交易行为所利用的信息的合法公开日期,就认定为利用的信息属于“未公开”的信息。内幕人员在该信息公开前,使用他人尚未掌握的信息进行相关证券、期货合约买卖或建议未知该信息的他人买卖相关证券、期货合约,为自己和他人牟取非法利益,应当认为是涉嫌内幕交易,泄露内幕信息罪。
对于内幕信息的重要性的评判标准,我们小组认为应当根据案件的实际情况进行分析。第一,该信息公开后是否对相关证券、期货合约价格形成了影响,一般不应该考虑该信息的内容最终是否被实际付诸实行。若该信息公开后对相关证券、期货的交易产生了重大影响,则应当认定该信息的重要性。第二,犯罪嫌疑人是否使用该信息未自己或者他人牟取了不法利益。若犯罪嫌疑人利用该内幕信息牟取了巨额不法利益,相应的就会造成他人合法利益的被侵犯,也从一方面说明了该内幕信息的重要性。
行为人有利用掌握的内幕信息操纵相关证券、期货交易市场,牟取非法利益,或者将内幕信息泄露给他人,使得他人牟取非法利益的行为。对内幕信息“利用”的认定,《刑法》第180条虽然没有明文规定“利用内幕信息”的文字,但其表述方法实际上包含有“利用内幕信息”之意。只要对内幕信息“知情”,或非法获悉内幕信息,又在信息未公开前买卖或使人买卖该证券,也就是利用内幕信息进行交易,而不需要再规定利用内幕信息,以免产生歧义。该行为具体体现在:
一、行为人利用内幕信息,直接参与证券、期货买卖,即行为人在涉及证券发行,证券、期货交易或者其他对证券、期货交易价格有重大影响的信息正式公开以前,本人利用自己所处的特殊位置而获悉的内幕信息,掌握有利的条件和时机,进行证券、期货的买入或卖出,从而使自己从中获利或减少损失;
二、行为人在涉及证券发行,证券、期货交易或者其他对证券、期货交易价格有重大影响的信息正式公开前,将自己所知悉的内幕信息故意予以泄露,主要是指行为人以明示或者暗示的方式透露、提供给与公司没有关系的第三人;
三、非内幕人员通过不正当的手段或者其他途径获得内幕信息,并根据该信息买卖证券、期货或者建议他人买卖证券、期货。行为人通过对已公开信息进行分析判断,利用自己的聪明才智掌握别人未掌握的信息对证券、期货进行买卖,牟取利益的行为,不应当认为是内幕交易、泄露内幕信息罪。当然,立法中也规定了内幕交易行为的例外情况。根据我国实际经验,下列行为不属于内幕交易行为:依法回购本公司股份的行为;买卖行为与内幕信息无关;行为人有理由相信内幕信息已经公开;事先不知道泄露内幕信息的人为内幕人或不知道该信息为内幕信息。
2、行为达到情节严重程度。所谓情节严重,在刑法理论上通常指内幕交易人非法获利数额巨大?或非法避免损失数额巨大?,给不知内幕信息的其他投资者造成严重损失或引起了其他严重后果,导致证券、期货市场动荡、紊乱等情况。
二、对内幕交易、泄露内幕信息罪的主体进行考察——是特殊主体还是一般主体。
1、有学者认为,内幕交易、泄露内幕信息罪的主体属特殊主体,即证券交易内幕信息的知情人员或者非法获取证券交易内幕信息的人员,具体来说包括两个方面的人员,一方面是证券交易内幕信息的知情人员,即内幕人员;另一方面是内幕知情人员之外的通过各种非法途径获取证券交易内幕信息的人员,即非内幕人员。粗看刑法第180条第1款的规定,内幕交易、泄露内幕信息罪的主体似乎是“特殊主体”只有“内幕知情人员”和“非法获取内幕信息的人员”才构成该罪。在刑法理论中,以主体是否要求以特定身份为要件,犯罪主体可以分为一般主体与特殊主体;刑法规定以特殊身份作为要件的主体,称为特殊主体。判断某一犯罪构成的主体是否为“特殊主体”,其关键之处即在于是否要求犯罪主体必须具备“特定身份”,非法获取证券交易内幕信息的人员”并不具有任何刑法意义上的特殊身份”某些学者之所以将“非法获取证券交易内幕信息的人员”视作“特殊主体”,其理由可能在于:一般人没有掌握证券交易内幕信息,当然也就不可能去实施内幕交易或泄露内幕信息;只有具备特殊身份即“非法获取了证券交易内幕信息”的人(以及通过职权掌握了内幕信息的人即内幕人员)才具备实施上述犯罪行为的条件。
2、非法获取证券交易内幕信息”并不是犯罪主体方面的特征,而是犯罪客观方面的表现,因为,社会中的任何一个人都有可能去实施“非法获取证券交易内幕信息”的行为。即只要同时具备“非法获取证券交易内幕信息”以及“内幕交易或泄露内幕信息”两个行为,实施该行为的主体就可以成为内幕交易、泄露内幕信息罪的主体,而这个主体可以是任何人,并不需要其拥有某种特定身份,因此,内幕交易、泄露内幕信息罪的主体是一般主体。
3、内幕交易的主体被称为内幕人员。从我国证券法73条的叙述中可以看出,我国内幕主体包括两大类:一是证券交易内幕信息的知情人;二是非法获取内幕信息的人员。我国《证券法》在第73、74条规定了内幕人员的范围。主要可以分为以下四类:(1)公司内幕人员。这主要包括证券法第74条所列的前四项,即发行人的董事、监事、高级管理人员;持有公司5%以上股份的股东及其董事、监事、高级管理人员;由于所任公司职务可以获取公司有关内幕信息的人员。(2)政府机构内幕人员。这主要是指政府机构中由于其监督、管理地位而能够接触获得证券交易内幕信息的人,这主要体现在《证券法》第74条第5项的规定,即证券监督管理机构工作人员以及由于法定职责对证券的发行、交易进行管理的其他人员。(3)市场内幕人员。这是指与公司没有隶属关系,但由于其业务或职业而获取有关公司内幕信息的人。《证券法》第74条第6项中规定的保荐人、承销的证券公司、证券交易所、证券登记结算机构、证券服务机构的有关人员等均属此类。(4)非法获取内幕交易信息的人员。这些人本身没有条件获取内幕信息,却采用不合法的方法获取内幕信息或没有法律上的根据而接受内幕信息。这类主体有两个要件:一是不属于前述三类有条件或职权获得内幕信息的人员;二是他们或得内幕信息的手段是非法的,实践中主要是窃取、骗取等方式。
三、对内幕交易、泄露内幕信息罪罪的主观方面进行考察——是否包括过失
1、内幕交易行为构成犯罪,其主观方面必须是故意,这基本上没有争议;但是,“过失”泄露内幕信息的行为是否构成犯罪,刑法第l5条第2款明确规定:“过失犯罪,法律有规定的才负刑事责任。”过失泄露国家秘密之所以构成犯罪,其根本原因就在于刑法第398条有明文规定。但足,我们不能简单地以此作类比,就认为“泄露内幕信息罪”的主观方面也包括“过失”。因为,刑法第180条并没有规定“过失”泄露证券交易内幕信息的行为构成犯罪。其他条款也没有相应的内容。因此,内幕交易、泄露内幕信息罪的主观方面只能是故意,不包括过失。
四、对利用未公开信息交易罪的理解
1、随着证券、期货市场在我国的兴起与发展,证券、期货交易领域利用职务便利获取的内幕信息以外的未公开其他的信息进行证券、期货交易或者泄露利用职务便利获取的内幕信息以外的未公开其他的信息明示、暗示他人从事相关交易的行为时有发生,这种行为被证券、期货业界称为“老鼠仓”。这些行为严重违反了证券、期货交易应当遵循的公开、公平、公正的原则,危害了证券、期货交易信息保密制度,侵害了投资者的利益,破坏了证券、期货市场秩序。刑法第一百八十条第四款:“证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员,利用因职务便利获取的内幕信息以外的其他未公开的信息,违反规定,从事与该信息相关的证券、期货交易活动,或者明示、暗示他人从事相关交易活动,情节严重的,依照第一款的规定处罚。
2、与内幕交易、泄露内幕信息罪不同的是,本罪属于特殊主体,即与证券、期货交易密切相关的金融机构从业人员以及监管人员或者行业协会人员,如证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员。只有这些人员才能成为该罪的犯罪主体,其他人员不能成为该罪的犯罪主体。另外,犯罪分子所利用的信息不属于内幕信息的范畴,即不受证券、期货管理方面的法律法规的约束如基金投资公司即将建仓、出仓的信息等。因为不属于法律规定的“内幕信息”,也未要求必须公开,故称“内幕信息以外的其他未公开的信息”。“内幕信息”主要是围绕上市公司本身的信息,如公司的重组计划、公司高管人员的变动、公司的重大合同、公司的盈利情况等对该公司证券、期货的市场价格有重大影响、按照有关规定应当及时向社会公开但是还尚未公开的信息;而“老鼠仓”所利用的信息一般属于单位内部的商业秘密,属于“内幕信息以外的其他未公开的信息”;二是从犯罪行为损害的利益看,内幕交易更多是损害不特定的社会公众投资者和股民的合法权益,“老鼠仓”交易更多是损害资产管理机构的客户的利益
3、利用未公开信息交易罪在客观方面主要表现为证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员,利用因职务便利获取的内幕信息以外的其他未公开的信息,违反规定,从事与该信息相关的证券、期货交易活动,或者明示、暗示他人从事相关交易活动的行为,必须发生在涉及证券的发行、证券交易、期货交易或者其他对证券、期货价格有重大影响的内幕信息以外的信息尚未公开前,这是构成利用未公开信息交易罪所必须具备的时间要件。但是,如果在涉及证券的发行,证券、期货交易或者其他对证券、期货的价格有重大影响的内幕信息以外的其他信息已经公开,由于该信息已不再是未公开性质,也就不存在利用未公开信息交易的问题,此时上述从业人员、工作人员即使买入或者卖出了该证券、进行了证券、期货交易也不构成该罪;即使将该信息告知别人,明示、暗示别人从事与该信息相关的交易也不构成符合该罪犯罪的客观方面的时间要素。
4、证券交易所、期货交易所、证券公司、期货经纪公司、基金管理公司、商业银行、保险公司等金融机构的从业人员以及有关监管部门或者行业协会的工作人员,利用因职务便利获取的内幕信息以外的其他未公开的信息,违反规定,从事与该信息相关的证券、期货交易活动,或者明示、暗示他人从事相关交易活动,必须达到情节严重的程度才能构成犯罪。否则虽然有上述两项行为,但是不属于情节严重,也不能以利用未公开信息交易罪论处。所谓“情节严重”,《关于刑事案件立案追诉标准的规定
(二)》规定:涉嫌下列情形之一的,应予立案追诉,1、证券交易成交额累计在五十万元以上的;
2、期货交易占用保证金数额累计在三十万元以上的;
3、获利或者避免损失数额累计在十五万元以上的;
4、多次利用内幕信息以外的其他未公开信息进行交易活动的;
5、其他情节严重的情节。我们认为,行为人利用未公开信息交易的主要动机就是在于获取非法利益,或者避免、转嫁自己的损失。因此,非法获取利益或者避免、转嫁自己的损失的多少应当也是情节严重的一个重要内容。所谓“获取非法利益”,是指行为人通过利用未公开信息交易非法获取利益的数额。在司法实践中,要注意不能将行为人利用未公开信息交易时买入或者卖出的证券,以及进行期货交易价值的全部计算为违法所得,后者显然包括成本在内和应得利益在内,不属于获取非法利益的范围。
5、利用未公开信息罪所侵害的客体是复杂客体,既包括国家证券、期货交易管理制度(或者秩序),又包括他人的财产权利。其犯罪对象为“利用因职务便利获取的内幕信息以外的其他未公开的信息”。对于“内幕信息”包含哪些内容,我们已在上文进行论述。
6、作为一种新型的市场经济犯罪,利用未公开信息交易罪的危害主要体现在:
1、对具体投资者的危害。当有人利用因职务便利获取的内幕信息以外的其他未公开的信息进行证券交易时,其他外部投资者整体利益将遭受损失,而且该投资者整体损失等于建立“老鼠仓”行为的收益。
2、对发行公司的危害。如果发行公司的管理人员可以利用利空消息来规避损失甚至牟利的话,这样管理人员谨慎经营、规避风险的经营技巧将被淡化,增加公司经营成本。
3、对为发行公司提供专业服务的中介机构及其他市场媒介的损害。如果上市公司的管理层从事利用未公开信息交易的话,不仅损害了一般投资者的利益,无形中也把为其提供专业服务的中介机构拖下水,从而对这些中介机构的声誉造成损害。四是对证券、期货市场乃至国民经济的危害。当其他投资者意识到有人利用未公开信息进行交易,就可能退出证券、期货市场,影响证券、期货市场的长期发展。可以说,利用未公开信息交易罪是一种投机取巧,违反市场交易竞争公平、公正、公开的交易欺诈行为。
利用未公开信息交易罪的立法,对于预防、打击“老鼠仓”的犯罪行为有着重要的现实意义,对此有还待进一步地深入研究。
第五篇:网站漏洞可泄露信息的分析与趋势
网站漏洞可泄露信息的分析与趋势
2017 年 3 月,多家新闻网站曝出“58同城陷数据泄露:700 元可采集网站全部简历信息”的新闻。2017 年 4 月,黑客“CosmicDark”在网上售卖从优酷窃取约1亿用户账号,售价约2000人民币。关于漏洞,下面这些内容可能会让你汗毛立起来。以下内容由360威胁情报中心提供。
一、网站漏洞可泄露信息的形势
网站存在安全漏洞成为个人信息以及政企机构信息泄露的主要原因。2017 年 1 月至 10 月,补天平台共收录可导致信息泄露的网站漏洞 251 个,较 2016 年的 359 个下降了 30.1%,约占补天平台全年漏洞收录总数(16427个)的 1.5%,涉及网站 150 个,共可能泄露信息 51.2 亿条。
统计显示,251 个可导致信息泄露的网站漏洞,总计可能泄露信息为 51.1 亿条,比 2016 年的 60.5 亿条下降了 15.5%;比 2015 年的 55.3 亿条下降了 7.6%。平均每个漏洞可导致 2035.9 万条个人信息泄露,单个漏洞的危害大大增加。
从危险等级看,2017年可能泄露信息的漏洞中,高危漏洞数量占97.6%,中危占比为2.4%。与高危漏洞相比,中危和低危漏洞的利用难度相对较小。
从漏洞的技术类型看,2017年可能泄露信息的漏洞中,命令执行(占比为63.7%)、代码执行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。下图给出了相关漏洞的技术类型详细分布情况。
从各月泄露信息规模来看,1月份曝出的可能泄露的信息数量达到最高峰,为 8.0 亿条信息。
统计显示,在 251 个可导致信息泄露的网站漏洞中,共有 24 个网站漏洞可能泄露的信息在 5000 万条以上,其中还有 11 个漏洞可能泄露的信息数量在 1 亿条以上。下图给出了 2017 年网站漏洞可能泄露信息的规模分析。
二、网站漏洞可泄露信息类型分析
补天平台收录的信息泄露相关漏洞中,有 85.3% 的相关漏洞泄露的属于个人信息,14.7% 相关漏洞泄露的属于机构机密信息。
按照数据的敏感度,可将泄露的个信息数据划分为四个基本类型:
1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。
2)保单信息:保单号、保险信息、车险信息等。
3)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。
4)行为记录:如聊天记录,购物记录、差旅信息等。
而相关漏洞可能泄露的机构机密信息中,根据潜在风险程度,依次主要包括以下几个大类:
1)财务信息
2)合同信息 3)企业资产
4)公司注册信息
统计显示,在 251 个可能泄露信息的网站漏洞中:约 85.7% 的网站漏洞可能泄露用户的实名信息,可能泄露实名信息数量多达 42.9 亿条;约 10.8% 的网站漏洞可能泄露用户的保单信息,可能泄露保单信息数量多达 4.5 亿条;约 14.7% 的网站漏洞可能泄露机构机密信息,可能泄露机构机密信息数量多达 5.6 亿条,具体如下图所示。
需要特别说明的是,由于网站数据形式的多样性,一个网站漏洞可能泄露的信息的类型未必是单一的,约有 1.6% 漏洞会同时泄露上述 3 种不同类型的信息,约 10.4% 的漏洞会同时泄露上述两种不同类型的信息。
三、可泄露信息网站的行业分析
根据工信部网站查询结果,一般网站备案的类型分为:军队、政府机构、事业单位、社会团体、企业、个人等类型。在 251 个补天平台收录的信息泄露漏洞中,其中有备案的网站漏洞有为 236 个,占比 94.0%。在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为 69.7%,其次为政府机构网站,占比为 19.5%,事业单位网站占比为 4.0%。从下图可以看出,企业和政府机构网站存在的信息泄露漏洞的情况明显多于其他。
从可泄露的信息数量来看,不同备案类型网站漏洞可能泄露信息数量的差异较大。从下图可以看出,企业网站漏洞可能泄露的信息数量最多,约为 43.9 亿条,约为全年可能泄露信息总量的 85.8%。另外,未备案,网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。
统计显示,金融网站(金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台,而银行等大型金融机构的安全性相对较高,问题较少)、政府机构及事业单位网站、通信运营商(含虚拟运营商)网站被报告的可泄露信息的漏洞最多,占比分别为 28.3%、26.7%、24.7%,三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的 79.7%。
从可能泄露信息数量来看,金融行业(22.1亿条)、通信运营商(18.9亿条)网站可能泄露的信息数量也是最多的,远高于其他行业。
四、网站信息泄露的原因与趋势
综合过去的监测与分析,可以看到造成重大信息泄露的漏洞数量每年都在大幅下降,但同时,单个漏洞可能造成的信息泄露数量却在大幅增加。
这一方面反应出国内网站在信息保护方面的建设在不断加强,整体形式明显好转;另一方面也反应出,信息泄露的风险正在逐步向少数领域集中,而且大型民用服务系统一旦出现安全问题,往往会给整个社会带来巨大的损失。实际上,信息泄露问题是政企机构数字化转型过程中普遍存在的安全问题。数字化转型较早,信息系统网络化程度相对较高的行业和领域,被暴露出来的问题也相对较多。如金融、通信、新兴互联网等领域。
但随着数字化转型的逐渐深入以及网络安全建设水平的不断提高,这些行业或领域在度过信息泄露的高峰期后,安全问题会逐渐缓和。
某些数字化转型相对较晚的行业或领域,如某些大型政府机构、制造业,以及某些传统实体经济,现在暴露出来的问题就相对较少,但在未来不可避免的数字化转型过程中,也必然会逐渐暴露出越来越多的安全问题,面临越来越大的信息泄露风险。
从另外一个角度来看,在消费互联网时代,聚集大量个人服务的信息系统,往往容易成为信息泄露的高发点。而在未来,随着智慧城市的建设,产业互联网的出现,传统的实体经济的互联网化,政务云和互联网+的普及,政府机构和实体经济将有可能面临更大的信息泄露风险,成为信息泄露新的高发领域。