我记得有一次去一栋高端写字楼做安全检查,前台登记了一个访客信息,后面的人直接凑过来看了一眼,电脑屏幕上访客的姓名、电话、拜访部门和被访人全部暴露无遗。我说这是明显的信息泄漏,前台小姑娘还不以为然,说这些信息不是什么秘密。但正是这种"不以为然"的态度,说明很多人对访客系统的信息安全问题认知非常有限。
访客管理系统,在很多企业里被归入行政后勤的范畴,和安全部门没什么交集。但实际上,访客系统是企业的第一道对外接触界面,它收集了大量访客和内部人员的敏感信息。今天我们就来聊聊这个领域。
先说说访客系统收集了哪些信息。传统的访客登记就是小本子手写,姓名、电话、来访时间、找谁。现在都是电子化了,访客系统收集的信息就丰富多了。身份证号码、人脸照片、车牌号码、手机号码、公司名称、电子邮箱、拜访对象、拜访事由、停留时长、进出记录。有些还额外收集了实时照片、体温数据、是否去过疫情高风险地区等。还有的系统支持访客自己通过小程序或者网站提前预约,这些预约信息存储在云端。这些信息组合起来,就是访客和接待人员的完整画像。
那么风险点在哪里呢?我来逐一说。
第一个风险是访客数据库的安全性。访客系统把所有的访客信息集中存储在数据库中,可能是企业内部的服务器,也可能是厂商的云平台。这个数据库的价值可能比你想象的更高。它里面有大量真实的人名、手机号、身份证号、人脸照片。这些信息是精准的,因为访客在进入时经过比对验证过。对于数据贩子和诈骗团伙来说,这个数据库就是一座金矿。如果数据库的安全性不够,比如存在SQL注入漏洞、弱口令、未授权访问,攻击者可以直接拖库,拿到所有访客数据。
第二个风险是访客人脸数据的合规问题。很多高端写字楼和敏感企业采用了人脸识别访客系统。访客预约时上传人脸照片,现场刷脸通行。人脸数据属于生物特征信息,按相关法规属于敏感个人信息,收集和存储需要遵循严格的规定。但很多企业在部署人脸识别系统时,并没有认真考虑数据合规问题。人脸照片存储在哪里、存储期限是多久、谁有权访问、数据是否加密、企业是否有权长期保存、是否可以导出,这些问题很多企业一问三不知。去年某地的人脸识别信息泄露事件,就是访客系统的数据库被拖库,数十万人的面部信息被公开售卖。
第三个风险是访客系统自身的攻击面。访客系统是一个联网的系统,有Web管理后台、有访客自助终端、有手机小程序、有闸机控制器。这些组件各有各的漏洞。Web管理后台可能存在越权访问,一个低权限的访客账号通过修改URL参数就能访问其他访客的信息。访客自助终端可能默认密码没改,检修模式下可以进入后台系统。手机小程序也是常见的安全薄弱点,接口未授权访问、数据明文传输、会话令牌泄露等问题相当普遍。闸机控制器的网络通信如果没做加固,攻击者可以通过网络劫持伪造通行指令。
第四个风险是内部人员的数据滥用。访客系统记录了来访者和被访者的关系。来访者什么时候来了、什么时候走了、找谁了、谈了多久。这些信息如果被内部人员滥用,可以用来分析特定人员的拜访规律和社交关系。比如有人想知道某个部门负责人最近见了哪些人,只要他有访客系统的查询权限,就能查个一清二楚。更麻烦的是,内部人员把访客数据导出或者截图发给圈外的人。这种内部数据泄露,比外部攻击更难防御。
第五个风险是预约系统的数据隐私。很多访客系统支持访客通过手机预约。访客把自己的个人信息通过App或者小程序提交上去。但预约系统的数据传输和存储如果没有做加密,信息在传输过程中可能被截获。而且如果预约系统和访客系统之间的接口存在漏洞,攻击者可以通过构造请求拿到所有预约记录。这就形成了一个被动的数据收集点,访客在主动提供给企业信息,但企业没有保护好这些信息。
那企业应该怎么做好访客系统的信息安全防护?我按几个维度来说。
第一,系统选型和采购的时候做安全评估。在选访客系统的时候,不能只看功能价格,要考察系统的安全设计。数据存储在哪、是否有加密、是否符合国家合规要求、是否支持数据导出和销毁、厂商的安全资质怎么样。如果系统是云端部署的,要问清楚云服务商是谁、数据存在哪个地域、是否有数据跨境传输。最好在采购合同中加入数据安全和隐私保护的条款,明确厂商的安全责任。
第二,网络部署层面做隔离。访客系统应该部署在单独的VLAN或者子网里,不要和核心业务网络混在一起。闸机控制器的网络端口不要暴露在外网,只能通过内网管理端访问。访客自助终端的网络接入要受控,不能访问企业的其他业务系统。这样可以防止通过访客系统作为跳板攻击企业核心网络。
第三,权限管理做精细化。访客系统的管理权限要按照岗位最小化原则进行分配。前台的访客登记权限不要给导出数据的权限,安保人员的查询权限不要给修改访客信息的权限,IT运维的管理权限也要分级。所有敏感操作都要有审计日志,谁在什么时间查询了谁的访客记录、谁导出了数据,都要留下痕迹。定期审计日志,发现异常访问及时调查。
第四,数据安全策略做到位。访客信息存储必须加密,不管是数据库层面的加密还是文件层面的加密。数据保留期限要明确,超过保存期限的访客信息要自动删除或者匿名化处理。访客的人脸照片尤其要谨慎,建议访客通过闸机后,系统自动删除人脸照片,只保留经过匿名化处理的特征码用于通行验证。如果保留原始照片,要设置严格的访问控制并明确告知访客。
第五,访客的数据主体权利保障。按照相关法规要求,访客有权了解自己的个人信息被收集了什么、用在了哪里、保留了多久。企业应该提供访客数据查询和删除的渠道。访客在预约时应该通过隐私协议和数据收集告知,让访客知情并授权。如果访客要求删除自己的数据,企业应该有响应机制和流程,在规定时间内完成数据删除。
第六,定期做安全检测。访客系统的安全检测应该纳入企业整体的信息安全检测计划。检测内容包括Web应用安全扫描、接口安全测试、权限绕过测试、数据存储安全审计、终端设备安全评估。特别要关注访客自助终端的物理安全,检查终端是否可以通过USB口或者其他外部接口进入系统、是否有未授权的调试模式、操作系统的安全补丁是否更新。
最后说一个容易被忽视的场景。很多企业的访客系统是和电梯控制系统、门禁系统、食堂系统、停车场系统打通的。访客登记一次,系统自动授权访客在一定时间内使用对应的设施。这种打通在提升访客体验的同时,也扩大了数据流转范围。访客数据从访客系统流到了其他系统中,每个链路的安全性都需要评估。如果一个环节出了漏洞,访客数据就可能从那个环节泄露出去。对于打通多个系统的访客平台,企业需要做数据流转的安全评估,确保数据在每个环节都得到妥善保护。
总的来说,访客系统不是一个简单的行政工具,它直接关系到企业数据安全和合规问题。企业在建设或者升级访客系统时,建议把信息安全部门拉进来一起评估,从源头上解决安全问题,而不是等出了事再补救。
北京企密安信息安全技术有限公司 咨询热线:010-63711822
