最近，博主看到新聞上在報(bào)道：上海市公安局經(jīng)偵總隊(duì)偵破兩起特大個人信息外泄案，抓獲犯罪嫌疑人50余名，查獲各類公民個人信息近2億條。其中，泄露數(shù)十萬嬰兒信息的竟然是上海市衛(wèi)生局?jǐn)?shù)據(jù)庫的第三方維護(hù)人員。據(jù)介紹，犯罪嫌疑人是幫助衛(wèi)生局維護(hù)數(shù)據(jù)庫的某公司技術(shù)部經(jīng)理，他每個月都從家里訪問衛(wèi)生局新生兒數(shù)據(jù)庫，并從中下載私密信息……

于是，博主就上網(wǎng)搜索了一下，發(fā)現(xiàn)除了上海之外，全國各地的公安機(jī)關(guān)都在最近開展了打擊侵害個人隱私的專項(xiàng)行動，并抓獲相關(guān)犯罪嫌疑人1700余人。根據(jù)公安部相關(guān)負(fù)責(zé)人介紹：被買賣的公民個人信息包括金融、電信、工商等領(lǐng)域，這表明當(dāng)前侵犯公民個人隱私的犯罪非常嚴(yán)重，而且這些信息很大一部分跟前面提到的上海案例一樣，是由維護(hù)核心數(shù)據(jù)庫的第三方外包人員、臨時工等獲取并買賣的。

誠然，現(xiàn)在無紙化辦公、電子政務(wù)等技術(shù)逐步成熟，相關(guān)系統(tǒng)的用戶隱私數(shù)據(jù)越來越多地被應(yīng)用起來，導(dǎo)致用戶隱私外泄的危險性加大，使各類企業(yè)、單位、組織的核心數(shù)據(jù)庫都處于危險之中。同時，在傳統(tǒng)運(yùn)維模式下的第三方外包人員，在對數(shù)據(jù)庫進(jìn)行維護(hù)時，使用什么等級的賬號、擁有什么權(quán)限、操作的時候透不透明、過程可不可控，都是企業(yè)需要注意的問題。就此來說，企業(yè)IT運(yùn)維項(xiàng)目中通常存在四大安全風(fēng)險：

賬號管理混亂。在某些系統(tǒng)中，員工之間為方便公務(wù)操作會通用若干共用賬號，而這些為了一時方便的賬號可能給整個系統(tǒng)的安全帶來困擾。當(dāng)系統(tǒng)出現(xiàn)問題時，由于賬號共用，可能導(dǎo)致無法確定責(zé)任人，即使可以確定責(zé)任人也需要較長的時間進(jìn)行技術(shù)定位。

權(quán)限管理混亂。由于一些系統(tǒng)不支持細(xì)致的賬號分級，導(dǎo)致員工對于系統(tǒng)的管理權(quán)限十分混亂，這就有可能造成局域網(wǎng)內(nèi)重大的安全隱患。一旦系統(tǒng)中毒，黑客便可以運(yùn)用系統(tǒng)管理的高級權(quán)限在局域網(wǎng)內(nèi)操作，造成更大的威脅。

設(shè)備日志管理混亂。由于系統(tǒng)內(nèi)軟硬件設(shè)備的品牌差異、功能參差不齊，導(dǎo)致各設(shè)備之間不能有效協(xié)作，引發(fā)設(shè)備日志管理混亂，不能為管理者提供有價值的信息。

傳統(tǒng)安全審計(jì)問題。傳統(tǒng)安全審計(jì)對于加密協(xié)議的支持較少，無法審計(jì)網(wǎng)內(nèi)的加密內(nèi)容，也無法實(shí)現(xiàn)基于IP的安全審計(jì)，這就給整個系統(tǒng)審計(jì)造成盲區(qū)，無法發(fā)揮應(yīng)有的作用。

由以上就可以看出，用戶隱私泄露已成為嚴(yán)重困擾互聯(lián)網(wǎng)企業(yè)及網(wǎng)上政務(wù)運(yùn)維機(jī)構(gòu)的問題。國內(nèi)某著名網(wǎng)絡(luò)安全廠商指出：現(xiàn)在企業(yè)安全運(yùn)維已刻不容緩，并且需要軟硬結(jié)合才能收到良好的效果。從“軟件”上來說，企業(yè)想要將信息安全方面的風(fēng)險降至***，就需要一套分工明確，責(zé)任清晰的信息安全管理制度；而從“硬件”上來說，企業(yè)不但需要能夠?qū)\(yùn)維工作進(jìn)行監(jiān)管的信息安全產(chǎn)品，同時也需要能夠進(jìn)行細(xì)顆粒度授權(quán)，對運(yùn)維人員操作權(quán)限進(jìn)行明確分工、限制的設(shè)施。

可以這么說，在企業(yè)IT運(yùn)維中，網(wǎng)絡(luò)行為管理才是是重中之重。