12月8日，國家互聯(lián)網(wǎng)信息辦公室發(fā)了一個關于《網(wǎng)絡安全事件報告管理辦法(征求意見稿)》公開征求意見的通知，里面提到對重大、特別重大網(wǎng)絡安全事件都要求1小時內報告。從這個征求意見稿中可以看出，基本上等同于安全生產事故，避免謊報、瞞報，減少網(wǎng)絡安全事件造成的損失和危害，維護國家網(wǎng)絡安全。

在網(wǎng)絡安全事件分級指南中，重大、特別重大網(wǎng)絡安全事件里提到關于個人信息泄露的標準，分別是1000萬人和1億人以上，還有較大網(wǎng)絡安全事件是100萬人以上。通過這些描述，我想到如何來調查取證關于個人信息泄露，這個難度還是挺大的。因為信息被泄露了，也可能信息被分解或加工，這個就真的沒法取證了。特別在國內，個人信息泄露的太嚴重了。比如，今天有的學校要家長填個什么信息，明天就有相關機構給你打電話。特別是疫情這幾年，各種實名要求，信息泄露太嚴重了。那個人信息被泄露的傳播交易方式是怎樣的了，結合個人經(jīng)驗和調查，列舉了以下途徑。

小范圍同行傳播

特別是一些對獲客要求的服務行業(yè)，一般通過線下方式傳播，或網(wǎng)上分散交易傳播，并且規(guī)避相關法律法規(guī)中的下限要求，這種方式取證都沒辦法，也是主要的擴散辦法。

暗網(wǎng)傳播

通過在暗網(wǎng)上發(fā)布相關信息，比如某某省學生家長數(shù)據(jù)、某某省車主銷售數(shù)據(jù)等諸如此類的，然后通過比特幣交易，這種也有很大欺騙性，一般售賣者都會注水。一些安全公司會通過此方法購買一些數(shù)據(jù)，作為情報數(shù)據(jù)。

社群傳播

有的售賣者主要通過蝙蝠群、微博群、QQ群組、微信群等國內即時通訊工具發(fā)布售賣信息，然后通過其它方式進行交易躲避監(jiān)管。有的售賣者通過telegram、whatsapp、line、instagram、twitter等境外即時通訊工具發(fā)布售賣信息，再通過境外第三方平臺進行交易。

專門網(wǎng)站傳播

黑客組織有的會自建信息售賣網(wǎng)站，類似電商網(wǎng)站一樣，實現(xiàn)售賣信息展示和交易的一體化。

基于這些，也在思考如何調查取證，也看了一些外部攻擊面廠商、開源情報廠商相關宣傳和思路講解，其實還是停留在信息搜集層面，無法做到調查取證層面，沒法核實真實信息來源，即使售賣者說有1000萬數(shù)據(jù)，也不能光依靠這條售賣信息作為證據(jù)來作為發(fā)生重大安全事件的依據(jù)，所以說這些廠商獲取的情報信息只能作為基本情報數(shù)據(jù)參考。

那怎么才能證明數(shù)據(jù)泄露多少了，我覺得調查取證的關鍵在于數(shù)據(jù)安全這塊，就是針對數(shù)據(jù)泄露方面，審計日志是否完善，有沒有強大的數(shù)據(jù)審計日志系統(tǒng)，通過建立健全日志審計系統(tǒng)，為數(shù)據(jù)安全保駕。除了日志審計這塊，是否還有更好的取證辦法，這塊也值得深思，因為被攻擊造成信息泄露之后，一是立即修復安全問題，二是需要調查取證，追究責任。

說了這么多，在個人信息保護方面，特別是政府的信息系統(tǒng)、大型互聯(lián)網(wǎng)廠商的系統(tǒng)等如何保障個人信息非常重要。