网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

2011年8月5日，23名犯罪嫌疑人站上北京市第二中级人民法院的被告席。其中7名来自电信运营商的“内鬼”，交待了非法提供个人信息的层层内幕。长达40分钟的宣判，引爆了北京当年最大的倒卖公民信息案。

近十年过去，虽然各方的打击力度不断加大，信息黑产却依然在暗中野蛮生长，变得更加隐蔽化与精细化。肩负“拿料”重任的“内鬼”，悄无声息地侵入了各行各业。手握大量个人信息的企业甚至政府部门，面临着一场从技术到意识都亟待升级的持久战。

· 1 ·潜伏者与窗口期

银行、保险、卫生、交通、快递……信息时代到来，各行各业都跟数据产生紧密关联，黑产内鬼早已不再局限于通信行业。个人信息在企业的经营业务中层层流转，留下了诸多可供内鬼利用的漏洞。犹如一场猫鼠游戏，内鬼的嗅觉总是比企业管理者和安全人员敏锐。

跟外部攻击者相比，内鬼鲜少曝光于公众视野，但他们带来的危害，丝毫不亚于外部攻击者。据公安部统计，2016年至2017年5月，全国公安机关抓获了5000多个侵犯公民个人信息案的犯罪嫌疑人，其中450多人是各行业内部人员。公安部网络技术研发中心主任许剑卓出席相关发布会时表示，内鬼已经成为实施侵犯公民个人信息犯罪的重要主体。

某保险类企业安全人员乜远，曾亲身参与内鬼调查行动。他回忆，异常最初被发现，来自系统警报：保险销售员徐某的账号，在非工作时间内高频读取了客户资料信息，并通过技术手段向外传输信息。

“客户投保资料里包含详细的身份和财产信息，甚至连名下车辆和房产都很清楚。这样的信息在黑市上还是很值钱的。”乜远说，徐某窃取信息时使用了自动化的脚本程序，导致其窃取效率大大提高，就像从小农时代进入工业时代。“手工只能一条条地记录，换上脚本，一分钟可以抓取很多条。”

让乜远印象深刻的是，徐某对访问频次进行了有意识的控制。“短时间的大量访问会立即触发警报。这个人不是很集中地在某个时间去查，是断断续续地去查的。”乜远说。正因为此，徐某的窃取行为持续了一个多月才露出马脚。安全人员发现异常时，徐某已经离职。

在此后的调查中，乜远协助完成了数据取证工作，也曾跟同事一起去徐某的工作地点调取监控录像，以使证据能形成有效、完整的闭环。由于工作分工，调查的后续事项交由法务同事处理，徐某到底有没有被抓获归案，乜远并不知晓。

“很难立即发现内鬼的异常。”他无奈地表示，保险企业的销售业务员数量惊人，达到百万规模。业务员出于日常业务需要，本就有权访问部分客户信息。即便企业已经采取了数据分级管理，任何访问和传输都有记录，系统也需要积累足够多的非正常访问才能发出异常警报，这为内鬼提供了窗口期。

与保险企业类似，体量越大、业务拓展越迅速、人员流动性越高的企业，越容易给内鬼提供可乘之机。智能手机巨头苹果、快递企业顺丰、电商平台淘宝、生活服务平台美团，都曾曝出业务人员倒卖客户信息的案例。

这些企业并非没有数据安全管理措施，只是很多时候无法立即发现内鬼。裁判文书网公开案例显示，相当一部分内鬼案发，是因为企业遭受了更明显的损害。比如，泄露出去的信息引发了诈骗案件，受害人报警，警方顺藤摸瓜发现了内鬼的存在。此外，还有部分内鬼是主动投案。

天空卫士高级安全顾问宋威说，过去，企业发现数据泄露的时间是半年到一年左右，现在的用时已大大缩短，但平均也需要一到三个月。

· 2 ·金钱美色与侥幸心理

2017年夏，浙江苍南警方破获一起苹果“内鬼”售卖个人信息的特大案件。据统计，两次行动抓获的35名犯罪嫌疑人中，有32名为苹果公司国内分公司的在职员工或苹果外包公司的前员工。犯罪嫌疑人用非法所得购买了保时捷、奔驰等豪车，还有广州的一套房产。图自微信公众号“平安苍南”。

在整条个人信息贩卖的产业链中，肩负“拿料”重任的内鬼无疑是最关键的一环。与公众认知有出入的是，内鬼并非都是企业中收入不高的基层员工，手握更多信息的中层往往更有价值。为了“策反”内部人员充当内鬼，信息贩子往往使出浑身解数。

2017年7月，江苏常州市公安局牵头的专案组破获了一起侵犯公民个人信息大案。据媒体报道，48名内鬼中有一人梁某，是湖南长沙某银行信贷部主任。