去年3.15前夕,京东被曝出大量用户隐私信息遭到泄露。京东方面给予的回应是:该部分用户使用相同注册信息(用户名和密码),在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。当时有媒体质疑,如果真是“撞库”,那同一时间,其他电商网站没曝出用户信息被窃且遭到欺诈?原因只有一个,京东方面不愿意承认存在“安全漏洞”问题。现在事情被查明。并非“撞库”也并非“安全漏洞”,而是京东出现了“内鬼”:但据《法制晚报》报道,京东三名负责物流的员工通过QQ群联系买家,共出售了9313条客户信息。李军等3人都是负责物流的员工,而物流部门掌握着详细的客户资料,包括客户姓名、电话、地址、何时下单、所购货物等信息。从2014年12月至2015年1月,李军等3人通过登录北京京东世纪贸易有限公司ERP办公系统(服务器位于北京市大兴区亦庄),非法获取京东商城客户个人信息9313条,造成北京京东世纪贸易有限公司大量客户信息泄露,并将上述信息售予他人。虽然判决书中根据相关证据认定泄露京东商城客户个人信息9313条,但根据第‘’一被告人李军的自认,他们非法获取的京东商城客户个人信息大约有近3万条。据其交代,3人总共非法获利近4万元。李军说,初,他们是按3毛钱一条信息的价格卖,之后涨价到5毛,后涨到了1.5元一条。买主都有明确的要求——只要已经在京东商城下单付款,但还没有收到货的客户个人信息。从现在来看,已经可以明确这次信息泄露是由于京东方面的过失导致的,因此之前的消费者可以向其索赔。通过全面严格的第二重保护管控应用程序操作,防止信息通过U盘、Email等一切方式泄露,全面封堵可能泄密漏洞!文档操作管控控制用户对本地、网络等各种位置的文件甚至文件夹的操作权限,包括访问、复制、修改、删除等,防范非法的访问和操作,企业可以根据用户不同的部门和级别设置完善的文档操作权限。移动存储管控IP-guard能够授予移动存储设备在企业内部的使用权限。可以禁止外来U盘在企业内部使用,做到外盘外用;同时还可对内部的移动盘进行整盘加密,使其只能在企业内部使用,在外部则无法读取,做到内盘内用。终端设备规范能够限制USB设备、刻录、蓝牙等各类外部设备的使用,有效防止信息通过外部设备外泄出去。网络通讯控制能够控制用户经由QQ、MSN、飞信等即时通讯工具和E-mail等网络应用发送机密文档,同时还能防止通过上传下载和非法外联等方式泄露信息。网络准入控制及时检测并阻断外来计算机非法接入企业内网从而窃取内部信息,同时还能防止内网计算机脱离企业监管,避免信息外泄。桌面安全管理设置安全管理策略,关闭不必要的共享,禁止修改网络属性,设定登录用户的密码策略和账户策略。密文自动备份成为必备功能数据存储是个复杂的过程。透明加密软件对Windows操作系统的存储和读取进行干预,难免不会出现这样那样的问题,导致加解密过程失败,甚对文件造成无法挽回的损失。加密软件的其它bug客户可以接受,但对文件造成无法挽回的破坏、或经常出现需要对异常密文进行修复的情况,将直接影响客户的正常工作,客户是无法接受的。实际上,只要存在加密,就存在数据紊乱的风险。加密技术在传统应用领域――通讯加密――至今也没有完全克服。但是通讯加密产品都会将报文以冗余地方式进行发送。借鉴这一思路,文件加密也可以用冗余地方式降低数据紊乱风险,这就是密文的自动备份。所谓的密文自动备份,是指当有密态文件写入存储介质时,系统会自动地在位置(可以是本地,也可以是远程)中自动生成一份文件副本。一些有远见的厂商在不断加强自身软件稳定性的同时,也学习其它软件的自动备份功能,在密文保存过程中进行自动备份,以防不测。自动备份可以看作是一项预防措施,或保险措施。作为与存储密切相关的透明加密软件产品,自动备份功能应该成为一种标准功能。参考其它如office、AutoCAD等传统软件,加密软件应该还要有对异常密文自动修复的功能。
