政企业务安全状况分析报告 2017.4.25 概 要 据统计，2016 年因为业务安全问题给全球经济带来的损失高达 4450 亿美元，比上年增 加了 18%。全球 97%的 500 强企业发生过业务安全事件。业务安全事件的危害包括业务中 断、知识产权损失、数据泄露以及经济损失等，已给国内外的政企造成了巨大困扰。 关注业务安全问题已成为全球的热点与方向。在今年的 RSA 大会上，从 IT 安全转向业 务安全成为一大行业趋势。在边界防护模式乏力之际，对于散布各处、甚至不为人所知的业 务系统进行一体化的管理，成为解决数据泄露等安全问题的必然选择。 360 威胁情报中心发布政企业务安全状况分析报告，基于对全球业务安全事件的分析， 披露了危害业务安全的人员、产生的原因，并提供了业务安全的防护建议，以帮助国内政企 机构全面业务安全防护水平。 目 录 第一章 业务安全事件的危害 ....................................................................................................... 1 一、 二、 业务安全的定义 ....................................................................................................... 1 业务安全事件的危害 ............................................................................................... 1 第二章 危害业务安全的人员 ......................................................................................................... 5 一、 二、 三、 无意疏忽的内部人员 ............................................................................................... 5 心存恶意的内部人员 ............................................................................................... 5 外部侵入的黑客 ....................................................................................................... 5 第三章 业务安全产生的原因 ......................................................................................................... 7 一、 二、 三、 四、 五、 边界消失和内网防护薄弱 ....................................................................................... 7 管理制度不落实 ....................................................................................................... 7 应用开发厂商忽视安全管理 ................................................................................... 7 合法身份被滥用 ....................................................................................................... 7 孤岛式防护与影子 IT .............................................................................................. 7 第四章 业务安全的防护................................................................................................................. 8 一、 二、 三、 四、 五、 六、 制定和落实管理规章 ............................................................................................... 8 数据分级与最低授权原则 ....................................................................................... 8 部署业务与运维审计系统 ....................................................................................... 8 整体的安全策略 ....................................................................................................... 8 从关注系统到业务应用 ........................................................................................... 8 从基于规则到基于用户行为的防护 ....................................................................... 9 第五章 业务安全案例................................................................................................................... 10 全球 17 大业务安全事件 ....................................................................................................... 10 第一章 业务安全事件的危害 一、 业务安全的定义 所谓业务安全是指在企业内部业务系统中，由于人的违规或恶意操作引发的安全问题。 与过去大家熟知的 IT 基础设施安全不同，由于业务系统在开发过程中容易忽视安全问 题，企业对内部合法人员的异常行为更是缺乏足够的监管措施，因此企业高层、拥有超级权 限的 IT 管理员、供应商，甚至心怀恶意或无意疏忽的普通员工，都有可能给企业造成巨大 的危害。 二、 业务安全事件的危害 2016 年因为业务安全问题给全球经济带来的损失高达 4450 亿美元， 比上年增加了 18%。 全球 97%的 500 强企业发生过业务安全事件。 根据目前披露的全球业务安全事件，360 威胁情报中心对于业务安全事件的危害进行了 分类，主要包括敏感数据泄露、业务中断、知识产权损失、经济损失、金融欺诈、法律风险、 数据完整性等七大危害。 特别需要指出的是，由于业务安全很多是由内部人员无意或有意所为，除非媒体报道， 相关机构对所发生的业务安全事件一般习惯性地对外屏蔽，以免影响所在机构的声誉。 1）信息泄露 从业务安全事件的数量来看，信息泄露是业务安全最主要的危害。这种信息泄露既包括 公共服务行业的用户泄露，也包括商业企业的客户信息泄露。前者如，疾控中心员工贩卖医 疗信息，后者如电商巨头内鬼泄露客户信息，都会给相关机构的业务发展和声誉带来巨大负 面影响，更严重的是信息泄露并被黑产利用所引发的各类欺诈活动，产生了恶劣的社会影响。 上海疾控中心员工贩卖新生儿信息事件。 2017 年 2 月，上海市浦东新区人民法院对贩卖新生儿信息的案件做出一审判决，8 名参 1 与窃取、出售、收买信息的人员被判刑。上海疾控中心工作人员利用工作便利，进入他人账 户窃取上海疾控中心每月更新的全市新生婴儿信息。两年内 20 万条新生婴儿信息被窃取， 并被多次倒卖。 京东数据泄露内鬼被抓 涉案 50 亿条公民信息泄露 据央视报道，2017 年 3 月，京东协助公安部破获一起特大窃取贩卖公民个人信息案。 发现 2016 年 6 月底入职京东、尚处于试用期的网络工程师郑某鹏系黑产团伙的重要成员。 公安部调查则发现，郑某鹏利用京东网络安全部员工这一身份，长期监守自盗，与黑客相互 勾结，为黑客攻入网站提供重要信息。包括在京东、QQ 上的物流信息，交易信息、个人身 份等数据信息，为犯罪团伙实施违法犯罪活动提供了技术保障。 eBay 发生 1.28 亿用户数据泄露事件 2014 年 5 月，拍卖网站 eBay 要求 1.28 亿活跃用户全部重置密码。该公司称，在 2014 年 2 月末至 3 月初对其数据库的入侵中，黑客获取了几名员工的登录授权。黑客由此掌握了 1.28 亿 eBay 活跃用户的姓名、地址、电话号码、电子邮箱地址以及密码。eBay 试图淡化该 事件，它强调黑客仅获取了“少量”员工的登录授权——但仅仅盗取一套员工登录信息就可 危害到一家公司。 2）金融欺诈 金融欺诈主要是集中在金融行业，包括由于金融机构监管存在漏洞，使相关员工得以进 行各种违规交易，如最著名的流氓交易员现象。此外，还要利用信用卡信息进行欺诈，转账 或者误导消费者的行为。 美国 UMB 银行员工欺诈交易 2014 年 9 月，据报道 UMB 银行因某员工在四年时间里生成 377 张欺诈支票而损失超过 65 万美元。该员工负责在客户帐户关闭后生成退款支票，利用职务之便签发虚假退款支票 为个人牟利，在公司进行了欺诈调查后承认了对她的指控。由于她的犯罪活动与她正常的日 常职责相吻合，造成这些欺诈性交易在很长一段时间都没有被发现。 流氓交易员违规交易致 70 亿损失 2011 年，瑞银曝出违规交易事件：流氓交易员科维库•阿德波利，通过未授权交易造成 23 亿美元巨亏，而且他还成功将其欺诈行为隐瞒了 3 年。“流氓交易