近日,南京市鼓楼法院审理了一桩公职人员泄漏信息案件。在该案中,南京某机关单位主任科员朱某,在2010年4月至2016年9月,利用职务之便,越权下载了大量公民个人隐私信息,并提供给两位朋友使用。经统计,朱某泄漏的公民信息多达82万条。
本案向政府机关敲响了防范“内鬼”的警钟,同时,也突出了机关单位在网络安全方面存在的几个问题:
1.安全制度不健全:在6年多的时间里,朱某窃取共计数十万条公民信息,作案时间跨度长,窃取信息数量大,但机构很少甚至没有管理审核和操作记录,也没有及时有效地发现、解决相关网络安全问题;
2.账户职权混乱,导致内鬼有机可乘:朱某窃取公民信息的行为没有经过授权,却能一而再、再而三地越权下载。
随着国家快速推进互联网+政务服务工作,相关工作效率得到了极大提高,但与此同时,政府机关的信息安全也面临着“内忧外患”的威胁。
据统计,75%以上的安全问题都是由内部人员引起的,内忧已成最大的安全风险隐患。除了前文提到的员工越权操作之外,还有如下几个隐患:
①身份冒用:静态密码或传统令牌等方式不能确认到用户本人,使用户身份存在被盗用的风险,或事发后也无法证明是否为本人操作;
②账户密码安全等级低:由于跨地域、跨部门的大规模、分布式应用系统慢慢的变多,公务人需要记住大量的账号密码,增加了记忆困难,为便于记忆,密码复用和弱口令的现象十分普遍;
③IT管理难度大:因为缺乏统一的用户管理平台,管理员需要登录不同的平台管理用户,同时,随着员工角色的变动,有些账号不能及时增删,导致有时离职员工仍然拥有账号权限,导致信息泄漏。
电子政务系统账户易被恶意攻击:电子政务系统中的数据在黑产市场有着非常大的经济利益,吸引着黑客使劲浑身解数进行围攻,所以面临的风险远高于别的行业。根据2017年9月Positive Technologies发布的统计报告,在所有领域中,政府和IT是每天遭受攻击次数是最高的。
通过以上分析能够准确的看出,电子政务安全要解决的根本问题是用户的身份认证,确保只有用户本人才能访问相应系统,防止他人冒用身份。但在信息技术快速的提升之时,黑客的攻击手段也层出不穷,传统的身份认证方式已经没办法满足电子政务对安全的需求。
在AI & IoT时代,乘着AI和大数据日益火爆的东风,身份认证技术必定是AI、大数据和多种识别方式的结合,才能更好地解决身份认证的便捷性和安全性问题。锦佰安科技自主研发的SecID身份识别系统,即是基于这一理念的核心产品。
SecID能够最终靠手机传感器,多维度、多规则地收集用户日常登录系统的操作行为和使用习惯,然后基于卷积神经网络和循环神经网络等技术,在用户无感知状态下持续深度学习其行为特征并建立识别模型,再与用户本人进行相似度匹配,即可对用户身份进行精准确认。
这个过程是在用户无感知状态下完成的,也就是说,用户的操作行为本身就是身份认证的过程,也就完全无需改变操作习惯。因为每个人的行为特征有着非常明显差异性,所以即使输入同样的密码,系统也不会让用户本人之外的其他人登入。
当然,除了行为识别之外,政府机关还可采用多因素身份认证的方式:在单一账户密码的基础上,通过用户所持的手机等可新设备和个人特征(人脸、指纹等),完成一键确认、图片密码、指纹识别、人脸识别等身份认证。实现由以往单因子认证到多因素认证的转变,建立多层次的安全机制,确保可信身份访问。
总之,无论是通过AI行为识别,还是多因素身份认证,都可确保只有真实合法的用户访问应用系统,从而杜绝身份被冒用的可能。政府机关可通过你自己的需求,灵活地选择身份认证策略。
SecID 身份识别管理后台可记录管理员操作日志及用户登录认证日志,方便安全审计和追溯。
SecID智能后台支持用户分组管理模式,明确每个账户对应的权限,防止越权操作,避免公务人员因离职、职位变动、权限不明等带来的安全隐患。
SecID后台还提供一站式批量化管理,支持单个及批量用户的创建、修改、删除等操作,可实现账号统一管理,从而将运维人员从重复、枯燥的身份管理工作中解放出来。
在今年4月20日至21日召开的全国网络安全和信息化工作会议上,习指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。” 由于电子政务系统资源的特殊性,它的安全也关系到国家主权、安全和公众利益,所以保障电子政务安全异常重要。
作为国内领先的身份识别综合解决方案提供商,助力电子政务安全,锦佰安科技义不容辞。SecID身份识别系统,能够为电子政务提供可信身份认证、访问权限管理、安全审计综合解决方案,在保证电子政务系统安全性的同时,又不牺牲使用者真实的体验。我们将秉承创新和安全的理念,全力为电子政务系统的安全保驾护航。返回搜狐,查看更加多