个人信息安全

2024-08-08

个人信息安全(精选12篇)

个人信息安全 篇1

信息安全就是保证信息的安全, 是指个人或者公共信息以及相应的软硬件系统不受无意的或者恶意的损坏、修改、泄露, 以及信息内容不被非法控制、识别、篡改。同时, 信息具有保密性、完整性、可用性、真实性、不可抵赖性。其根本目的就是使内部信息不受内部、外部、自然等因素的威胁[1]。信息安全涉及3个层次:国家领域信息安全、企业领域信息安全、个人领域信息安全。

在当今社会我们的生活越来越离不开计算机、互联网、手机、微信、支付宝、网银等。这些新技术的应用, 给我们的生活带了方便, 提高了生活质量。但是, 这些新技术的应用也需要我们提供个人信息标识我们, 如此就涉及个人信息安全问题。

1 信息泄露的途径

1.1 主动泄露

在现实生活、工作中, 人们在就医、求职、购房、网购、快递、办理银行卡、办理手机SIM卡、办理各种会员卡等各种情况中, 一般需要用户填写个人基本信息, 包括姓名、性别、年龄、生日、身份证号码、住址、职业、电话等。在网上注册、问卷调查时, 有的也需要填写个人详细信息。

1.2 被动泄露

随着网络技术和信息技术的不断发展, 个人信息遍布网络空间, 个人信息的获取和处理越来越方便, 在个人信息的获取方式上, 多数是在个人不知情的情况下得到的。如通过监控网站访问者的行为, 获取访问者的IP地址、访问时间等信息。对于网络黑客, 向目标计算机植入木马程序是最常用的技术。木马程序在目标主机一旦被启动, 就会发送目标主机的信息到设定的源地址, 甚至可控制目标主机。

2 保护个人信息的措施

2.1 安全意识

信息安全意识就是人们在头脑中能够认识到各种潜在危害信息及系统的安全问题。也就是人们在使用信息的过程中, 对有可能对信息或信息软硬件系统造成损害的各种情况的一种戒备和警觉的心理状态。不要随意打开未知的或已知可疑的电子邮件;不要访问可能包含恶意内容的网站;不要从不可信来源下载应用程序;不要禁止防病毒软件;不要随意填写各种网上注册信息或者问卷调查等。

2.2 安全知识

掌握基本的信息及信息系统的安全维护常识, 熟知信息安全涉及的基本内容、计算机网络和信息及信息系统安全的基本威胁形式, 掌握基本的信息安全防护措施、黑客基本攻击形式、信息安全相关的法律法规等。

2.3 安全技能

掌握操作系统的基本安全设置, 浏览器安全设置, 网络安全设置, 无线路由安全设置, 手机安全设置, 加密技术, 防火墙等安全防护软件的应用等。

3 安全防护技能

我们访问互联网基本都是通过浏览器完成的, 浏览器把我们需要的页面呈现给我们。我们经常使用浏览器访问互联网就在系统留下上网痕迹, 这些痕迹可能会泄露隐私, 应该及时进行清除。清除上网痕迹, 以360浏览器为例。第1步:打开360浏览器, 点击右上方[工具]按钮。第2步:在弹出下拉菜单中, 单击[清除上网痕迹]选项, 如图1所示。

(1) 浏览器缓存的临时文件。在我们使用浏览器浏览信息的时候, 浏览器会把我们浏览的信息保存在d:/documents and settings/administrator/application data/360se6User DataDefault (可更改此路径) , 在访问同样信息的时候, 浏览器会调取临时文件内的内容, 显示在浏览器窗口, 这样既提高了浏览速度也提升了稳定性。但是浏览器缓存的临时文件中保留太多浏览记录, 这些记录很容易被黑客利用, 从中获取关于个人信息的记录。因此需要及时清除, 或者改变临时文件的默认保存目录和文件夹, 以便不被发现。

(2) Cookies。就是服务器暂存放在你的计算机里的资料 (.txt格式的文本文件) , 好让服务器用来辨认计算机。Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存, 或是从客户端的硬盘读取数据的一种技术[2]。通过对浏览器Cookies的设置, 可以个性地设定浏览网页时Cookie的规则, 更有效地保护自己的信息安全, 增加浏览器的安全性。Cookies是由网站开发的时候就做好了。对于IE浏览器, 打开“工具”中的“Internet选项”对话框, 切换隐私选项卡, 可以设置Cookies策略的6个级别, 从低到高分别是:接受所有Cookies、低、中、中高、高、阻止所有Cookie。默认级别为“中”。如图2所示, 对某些不安全网站可以自己编辑Cookie规则, 以便加强浏览器的安全性, 更好地保护信息安全。同时, 应该定期对Cookies数据进行清理, 这样不仅可以保护信息不泄露, 也可以提高系统运行速度。

(3) 注册表安全设置。注册表是Windows操作系统中计算机软硬件配置信息数据库, 其中存放计算机硬件、系统程序、应用软件的各种信息。是操作系统与硬件及驱动程序和应用软件沟通的配置数据库, 从而在整个系统中起着核心作用。下面列举几项网络安全有关的注册表设置:注册表的执行文件保存在C:WindowsSystem 32目录下, 有个名为regedt32.exe的文件, 它是注册表执行文件, 所以双击这个文件也可以打开注册表编辑器, 如图3所示。

(4) 禁止使用网上邻居。KEY_USERS.DEFAULTSof t wareMicrosof tWindowsCu r rent VersionPoliciesExplorer下在右边窗口中创建DWORD值“No Net Hood”, 并设为“1”。

(5) 禁止更改IE的连接设置。在HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerControl P a n e l下在右边的窗口中新建一个DWO R D项, 命名为“Connection Settings”, 将其设值为1。

(6) 禁止在”控制面板”中显示”网络”属性。HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCu r rent VersionPoliciesExplorer下在右边的窗口中新建DWORD值“No Net Setup”, 并设其值为“1”。

(7) 禁止在“网络”中显示“标识”属性。HKEY_U S E R S.D E FAU LTS o f t w a r eM i c r o s o f tW i n d o w sCu r rent VersionPolicies Net work下在右边的窗口中新建DWORD值“No Net Setup IDPage”, 并设其值为“1”。

(8) 禁止在“网络”中显示“整个网络”属性。HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCur rent VersionPoliciesNet work下在右边的窗口中新建DWORD值“No Entire Network”, 并设其值为“1”。

(9) 更改IE的缓冲的路径。HKEY_USERS.DEFAULTSof t wareMicrosof tWi ndowsCu r rent VersionExplorer User Shell Foldes下更改“Cache”的路径即可。

(10) 防止恶意代码修改注册表。HKEY_CURRENT_USERSof t wa reM ic r-osof tWi ndowsC u r rent Ve r sionPolicies System, 在该项下新建一个DWORD项, 其值名为“Disable Registry Tools”, 并将其值设置为“1”, 这样系统就禁止使用注册表编辑器。此时若再使用注册表编辑器, 系统会提示注册表编辑已被禁用的警告信息。

(11) 在局域网中隐藏自己的计算机。H K E Y_LOCAL_MACHINESYSTEMCurrent Control SetServicesL a n M a n S e r ve rPa r a m e t e r s, 在右侧窗口区域新建一个DWORD项, 并将其命名为“Hidden”。并设置项值数据为1。

如果此项存在, 直接设置项值为1即可。重新启动计算机, 修改生效。

4 无线路由安全

很多人都没有意识到自家无线路由器的安全, 一般都是直接连接无线网, 进行微信、QQ、支付宝、网银登录等操作, 但实际情况并非如此, 如果无线路由器不进行安全设置, 很容易被黑客窃用盗取个人信息, 甚至财产。一些不怀好意的人, 若使用手机登录了公共场所的无线网络, 或者破解了市民家里的无线路由密码后, 利用某些特殊功能软件, 就可以获取其他使用此无线路由用户的网络使用情况。浏览网页, 登录QQ、微信, 甚至网银账号, 这些账号的用户名很容易被人看到, 也就是说, 别有用心的人既可以看到对方的上网行为, 还能窃取个人账号密码, 甚至盗取钱财。

无线路由器密码破解的速度不仅取决于软件, 也取决于硬件, 虽然不容易破解, 但是多花一些时间破解也不是很困难。因此, 密码的设置一定要是够长、够复杂的、不易被破解的, 一般是数字、字母 (还可以使用大小写) 、特殊符号混合使用, 这样想要破解也绝不容易。除此之外, 还可以采用以下多种措施提高安全性。在浏览器地址栏输入168.1.1.1进入路由器设置界面, 无线安全设置界面, 如图4所示。

(1) 采用WPA/WPA2加密方式, 是一种基于标准的可互操作的WLAN安全性增强解决方案, 可大大增强现有及未来无线局域网系统的数据保护和访问控制水平[3]。 (2) 不要使用初始口令和密码, 密码设定的时候, 牢记选用长且复杂的密码, 如用数字字母和特殊字符混合设定密码, 增加破解难度。万万不可使用生日、电话号码、身份证号码等常见信息作为密码。要经常修改密码, 无线路由器后台管理的用户名和密码一般都是出厂前设置好的, 均默认为admin。首次使用路由器时, 要修改原始密码, 否则入侵者很容易进入并控制路由器。 (3) 关闭SSID广播服务。SSID广播对无线路由器的安全来说至关重要, SSID广播主要用途就是当你开启SSID广播的时候, 别人能通过Wi Fi搜索到你的路由器名字, 而如果关闭了SSID广播别人也就不能搜索到你的无线了, 也就无法被蹭网了。 (4) 禁用WPS功能, 现有的WPS功能存在安全漏洞, 使路由器的接入密码和后台管理密码有暴露可能。 (5) 启用MAC地址过滤功能, 绑定经常使用的设备。定期登录路由器管理后台, 查看有没有其他的设备连入了Wi Fi, 如果有的话切断并禁掉MAC地址。然后修改Wi Fi密码和路由器后台登陆密码。 (6) 关闭远程管理端口, 关闭路由器的DHCP功能, 启用固定IP地址, 禁止路由器动态分配IP地址。 (7) 定期固件升级。对于无线路由器存在的漏洞, 一定要到官方网站及时下载补丁升级或换成安全性更高的设备。如果用户不是经常使用网络, 在不使用的时候, 也可以将无线网络路由器关闭。

5 手机安全

手机在人们日常生活和工作中亦必不可少, 是存储个人信息的载体, 同时随着电子商务支付平台广泛应用, 手机作为支付工具越发方便, 如支付宝、微信付款、手机银行等。这就涉及安全隐私等问题的出现。为了保证手机安全以及个人信息的保密性和完整性, 应该注意一下防范措施。

(1) 慎重扫描阅读二维码, 黑客会利用二维码伪装, 利用二维码传播病毒。如果扫描二维码后, 链接的网站要求下载安装新应用程序, 则不要随便下载安装。 (2) 要有良好的密码使用习惯。手机必须要设置安全的开机密码, 在手机中安装安全防护等可以加密的软件, 如360手机卫士等。对移动手机支付软件要增加一层密码且设置要复杂, 这样, 手机开机密码被人破解以后, 支付软件仍可以有密码保护。登录密码和支付密码不要设置成同一密码。微信、支付宝等登录名和支付账户名相同时, 应该设置不相同的密码, 密码不要存储在手机里。定期清理使用记录, 不要设置记住密码自动登陆选项。不要用身份证号码、生日、手机号码等易被人获取的个人重要信息作为密码。 (3) 使用数字证书、宝令、支付盾、手机动态口令等安全必备产品。 (4) 尽量不要将手机与身份证、银行卡等涉及重要信息的物品放在同一个地方。一旦一起丢失, 他人便可以使用支付软件的密码找回功能重置密码, 如此存在极大的安全风险。因此, 丢失后应尽快挂失银行卡、补办手机号码。 (5) 安装一款或多款安全防护软件, 如360手机卫士等手机安全软件, 能够识别盗版网银、查杀木马病毒程序、实时监控网络环境、监控网络支付环境、网址安全扫描、二维码扫描监控和流量监控, 可以实时拦截最新的木马程序, 阻截木马程序读取短信等行为。 (6) 只浏览安全站点, 目前各种网站繁多, 内容多样复杂, 其中蕴藏着各种不安全元素。浏览不良网站是手机感染恶意软件及木马程序的最主要原因。对使用手机上网的用户而言, 浏览网站时, 对于弹出的各类页面及链接都要慎重点开, 否则会酿成大错。尤其是有些页面要求输入一些个人信息, 如手机号码, 身份证号等, 更是存在巨大的个人隐私安全隐患。所需要的应用程序尽可能地在具备安全检测能力的官网应用商店下载。 (7) 定期备份, 一般智能手机保存很多的个人数据, 如通讯录、备忘录、支付记录、确认短信、系统数据等, 应对这些数据定期进行备份。备份可以选择多种方式, 如移动存储、电脑、云盘等。

以上只是信息保护技术的冰山一角, 要做到信息的安全, 还有很多技能需要在平时的实践中不断学习。总之, 对于个人信息的保护不仅仅是在技术上有保障措施, 还有个人安全意识上的增强, 更要学会用法律手段保护个人信息的安全。

参考文献

[1]朱建明, 王秀利.信息安全导论[M].北京:清华大学出版社, 2015.

[2]李源.系统防护、网络安全与黑客攻防使用宝典[M].北京:中国铁道出版社, 2015.

[3]罗森林.信息安全与对抗实践基础[M].北京:电子工业出版社, 2015.

个人信息安全 篇2

个人信息的管理;包括那些人:①个人信息管理者基于特定、明确、合法的目的而进行的有关个人信息的收集、保存、管理、处理和利用等。是以占有、利用个人信息为目的的管理行为。②个人信息的管理者即基于特定的目的,经过个人信息主体明确同意、委托、授权、收集、占有、保存、管理、处理、利用个人信息的组织、机构或个人,如政府、机关、事业团体、企业等。

个人信息的安全及标准:①是对基于特定、明确和合法目的,收集、保存(存储)、管理、处理和使用个人信息采取相应的安全管理措施,并建立安全管理机制,监控个人信息安全管理错是的实施,不因偶然的或者恶意的原因,是个人信息受到损毁、泄露、丢失等不法侵害,保障个人信息的质量。②真实性;准确性;完整性;时效性;可用性;不可抵赖性;可控制性;可审查性。

个人信息的处理;后处理:①是收集、录入、加工、编辑、存储、检索、传输、交换等的自动或非自动个人信息处置活动,以及提供、委托、交易等其他利用个人信息的行为。②个人信息处理、利用之后的处理方式。个人信息应在处理、利用之后采取相应的安全措施,保证没有丢失、泄露、损毁、篡改、不当使用等。

信息资源及内容:①个人信息管理者逐步积累的信息、信息系统、生产、服务、人员、信誉等有价值的资产。与个人信息相关的信息资源涵盖了与个人信息相关的信息技术、信息设施、信息系统、信息内容、相关人员及其它支持和配套设施等。②信息资产;软件资产;硬件资产;物理资产;人员资产;无形资产;服务。

风险管理:是以可确定的管理成本代替不确定的风险成本,以最小的经济代价,实现最大的安全保障的科学管理方法,其核心是风险的识别、分析、评估和处理。

社会工程学;常用的攻击手段及如何防范:①是在人与人交往中,利用人性的弱点,如本能的反应、好奇心、信任、贪婪等,运用心理学知识,以交谈、欺骗、伤害等手段,获取利益的方式,是非传统的攻击行为。(是一门艺术或科学;是一门学科是因为社会工程学要遵循心理学的基本原理和人际交往的客观规律,利用人性的弱点,采取各种社会工程学惯用的手段,实现预期的目的。)②攻击方式:物理形式,心理形式;攻击形式:伪装,引诱,说服,友善,垃圾搜寻,肩窥,反向社会工程学。③以人为本,构建社会工程学防御体系:人员培训;完善管理制度;详细的工作制度;应急事件管理。

过程改进:是依据个人信息安全的目标,识别、分析个人信息保护体系已识别风险的变化、潜在风险、参与风险和可能的缺陷,采取相应的改进措施,保证体系的活力和可持续发展。直接收集个人信息时必需用书面形式通知主体的内容:个人信息收集的目的和范围;个人信息主体享有的相关权利;个人信息的安全承诺;个人信息主体拒绝提供相关个人信息可能会产生的后果;个人信息管理者的相关信息及权利和义务;其它需说明的事项。

OECD的八项原则:收集限制原则;信息质量原则;目的明确化原则;利用限制原则;安全保护原则;公开原则;个人参加原则;责任原则。

个人信息保护PDCA的基本内容:计划(构建个人信息保护体系);实施(实施和运行个人信息保护体系);监察(监控和内审个人信息保护体系);改进(完善和改进个人信息保护体系)。

个人信息保护的模式;内容及采取模式的原因:①美国保护模式——行业自律模式;②内容:采取政府引导下的行业自律,规范行业内个人信息处理行为,同时通过分散立法,辅助行业自律的实施;两个层次:建议性行业指导,网络隐私认证计划;③原因:美国政府既要保护个人隐私,又不希望切断信息的自由流动。通过适宜的相应立法,配合自律机制,有效实施个人隐私保护。①欧盟保护模式——立法模式;②内容:国家通过立法确定保证个人信息安全的各项基本原则和具体的法律规定等。③原因:基于保障基本的人个权益。①日本保护模式——政府立法和行业自律,参考了欧盟的立法模式,更多的采纳了美国的保护规制②内容:主要通过政府行政指导、行业自律或个别的某些规则自我规范、自主规制。③原因:源于电子政府推进过程。

个人信息处理必需遵循的原则:必须基于明确、合法的目的;必须经个人信息主体明确同意;便于个人信息主体识别;必须保证个人信息质量。

个人信息保护体系的构成:个人信息安全方针;个人信安全目标和基本原则;管理机制;实施过程;安全机制;跟踪与评估;过程模式;持续改进;

个人信息利用及形式:①是基于某种利益使用个人信息的行为或活动,即基于某种明确的目的,采用各种方式、方法,为获取个人信息的效能使用个人信息的行为或活动。②个人信息提供、个人信息委托、个人信息交易等

信息安全防护体系的基础平台:网络基础平台;系统平台;应用系统平台;系统安全平台。个人信息保护的现实意义:保护个人信息是保障个人生活安宁,是建设和谐社会、互联网健康发展、推动信息服务业发展的需要。

HR(人力资源管理)负责人所掌握的信息资源;用的地方;存在的风险及如何控制:①掌管人事档案、门禁信息、本部门职员的相关个人信息;②人事档案用于员工的招聘、聘用、培养、绩效、激励等管理;门禁信息用于在新员工进入公司,或者有员工离职时通知相关部门发放或者收回门禁卡;本部门相关职员的个人信息用于管理本部门职员的日常工作;③人事档案在使用、提供、保管、销毁时存在丢失、损毁、泄露、被非法盗用、社会工程学风险、行为性风险、业务性风险、管理性风险、环境性风险、心理性风险;门禁信息在信息在使用、提供、保管、销毁的过程中存在丢失,向第三方提供,权限不清,员工离职后未收回或者未销毁等风险;本部门相关职员信息存在行为性风险、社会工程学风险;④面对人事档案存在的风险,应明确责任人制度、提供必要的安全承诺、强化规章制度、加强员工的培训、宣传、教育,细化、明确工作流程、经个人信息主体同意,确认档案的使用、提供、保管、销毁措施;面对门禁信息面对的风险,应明确责任人制度,规定专卡专用、不得向第三方提供,根据需要分配不同的权限,员工离职后,立即通知相关部门及时收回并销毁,并根据规章制度采取相应的销毁措施;面对本部门职员的先关个人信息存在的风险,应强化管理,明确权限、责任人职能,加强宣传、教育、培训。现实生活中应该如何保护好自己的个人信息:1.通过正规途径办理银行信用卡。不要委托中介办理银行信用卡。2.妥善保管好涉及到个人信息的一切证件。同时做好网上个人信息安全防护:社保网、医保网、住房公积金网等账户密码也应妥善保管,切勿随意透露给他人。

应加快个人信息安全立法 篇3

本报讯 随着信息网络技术在社会各个领域的广泛应用,信息安全问题日益突出。在今年全国两会上,代表、委员纷纷针对当前的网络信息安全问题建言献策。

全国政协委员、神州数码董事局主席郭为指出,当前,美国等多个国家均已把立法保护信息安全列为推动互联网发展的一项重要内容。而我国现有的信息安全立法层级较低、没有形成体系,难以适应信息安全形势发展需要。加之,近期出现的一系列个人信息滥用和个人隐私泄漏的现象,促使个人信息安全问题再次成为社会关注的焦点。

郭为建议,为了保障个人信息的安全,国家应加快个人信息安全立法,促使相關机构及企业对用户的数据信息完整性保护、隐私权保护方面进行立法建设;而且,还应立法建立一套符合中国国情的网络公民身份体系,并逐步推动网络实名制的真正实施;此外,立法建立信息安全产品安全审查和管理制度,以及加大防御监管机制的建设并修订相关法律同样十分必要。

在多家知名网站遭遇“信息泄露门”后,尽快制定与电子支付的相关法律法规也显得尤为紧迫。全国人大代表、中国移动广东公司总经理徐龙建议,应加快制定《电子支付法》,通过提高电子支付的法律层次以保障交易安全。徐龙认为,只有从立法宗旨、适用范围、基本原则、电子支付定义、电子支付类型、监管部门、电子支付主体、电子支付审批与认证等方面分别作出规定,才能有效地规范电子支付活动,从而促进我国电子商务产业健康有序发展。

此外,与会代表们还就互联网信息发布实名制问题发表意见。全国人大代表广西北部湾银行党委书记汤世保认为,当前,在网络上发布信息,已经成为我国很多网民发表意见、表达诉求的重要途径。但是,由于我国现有的网络信息发布制为匿名制,这就引发了各种侵害他人隐私权、名誉权,甚至有人通过在网上发布虚假信息,损害了他人、集体、国家的利益与安全等现象的出现。针对这一现象,汤世保建议国家有关部门应尽快出台互联网信息发布实名制的规定。

(邹春蕾)

网络个人信息安全探析 篇4

“信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等, 以及由此带来的风险。具体的表现有:窃取商业机密;泄漏商业机密;篡改交易信息, 破坏信息的真实性和完整性;接收或发送虚假信息, 破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。”

目前, 一个突出问题是网络上个人信息的丢失和被非法窃取。2009年3月15日, 央视315晚会曝光了海量信息科技网盗窃个人信息的实录, 给国人极大震惊。“海量信息科技网, 全国各地的车主信息, 各大银行用户数据, 甚至股民信息等等, 这个网站一应俱全, 而且价格也极其低廉。我们仅仅花了100元就买到了1000条各种各样的信息, 上面详细记录了姓名、手机号码、身份证号码等等, 应有尽有。如果说上面这些信息你觉得还不够全面, 接下来的这个木马程序一定会让你心惊肉跳, 种了这种木马后, 电脑会在你毫不知情的情况下在网上随意任人摆布。”这个事件典型的反映在信息化时代高速发展的今天, 个人信息安全问题的解决提上日程已是刻不容缓。

其实, 在2007年12月17日的《瞭望新闻周刊》杂志的热点观察上, 就发表了一篇题为《解密网络黑色产业链》的文章, 指出“互联网的‘地下经济’已经组织化、规模化、公开化, 制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱, 分工明确, 形成了一个非常完善的流水性作业的程序。病毒制售传产业链上的每一环都有不同的牟利方式。据不完全统计, ‘灰鸽子’病毒程序直接售卖价值就达2000万元以上, 用于窃取账号等的幕后黑色利益可想而知。”

随着网上交易和电子商务的发展, 个人信息网上流通日益频繁, 加上“产业化的一个明显标志是病毒制造者从单纯的炫耀技术, 转变为以获利为目的。前者希望病毒尽量被更多人知道, 而后者希望最大程度地隐蔽以更多地获利”, 而且, 目前国内对于这方面并无专门的法律予以裁制, 因此, 网络上个人信息安全问题已经日益凸显。

2 应对措施

2.1 法律措施

据了解, 目前的《计算机信息网络国际联网安全保护管理办法》中规定, 制造和传播病毒是违法的, 但是对于木马、黑客程序等并没有清晰的界定, 这也是‘灰鸽子’等木马程序制造者敢于利用网络公开叫卖的根本原因。此外, 目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。黄澄清说, 面对黑色病毒产业链, 必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障网络安全, 建立网络安全国家应急体系, 加大对网络安全领域犯罪的打击, 完善立法。

从个人来说, 很多网络个人信息安全问题的产生, 一方面是利益的驱动, 但是另一个很重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁, 并且被侵权者也不能够借助法律的武器有效的保护自己的利益, 这就更加助长了侵权行为的发生。从我国经济发展趋势来说, 经济发展和信息发展联系愈益紧密, 必须加快法治建设水平, 使之适应我国经济快速发展的需要。

在实践层面上, “一是要准确界定利用网络技术犯罪案件的管辖范围, 这样有利于划清国家安全公安、检察、法院等单位的职责#打击违法犯罪!二是针对当前利用网络技术犯罪的独特特点和发展趋势, 制定一套完整的法律, 如制定《国家网络安全法》等, 并在实践中加以完善!三是对各类利用电脑犯罪的立案标准, 应有明确的司法解释, 以便于基层安全、司法部门操作, 保证查办工作的顺利进行!”

2.2 自我保护措施

防患于未然, 自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须输人个人信息才能登录的网址或完成操作时, 我们输人的个人数据必须限于最小的范围, 并且, 妥善保管自己的口令、帐号密码, 并不时修改。其次, 谨慎注意该网站是否有针对个人数据保护的声明和措施, 对那些可以匿名登录的网站要坚决匿名登录。最后, 对于移动存储设备, 因其传染病毒的可能性加大, 因此, 要选择相对比较保险的移动存储设备。如选用趋势维C片, 它“价格更加便宜, 更重要的趋势科技将独有的安全存储扫描引擎植入到U盘中, 而不只是将杀毒软件向U盘简单复制。也正因为此, 趋势维C片具备个人防火墙、防间谍软件防网络欺诈, 漏洞检查、垃圾邮件过滤、家长控制、专用网络控制、无线网络安全等其它所谓杀毒U盘产品所不具备的功能。”

2.3 技术保护措施

2.3.1 网络防火墙技术

防火墙主要是用来隔离内部网和外部网, 对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术, 它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器, 可针对特别的网络应用服务协议及数据过滤协议, 并且能够对数据包分析并形成相关的报告。

2.3.2 采用安全通信措施, 保障个人数据的传输安全

为保证数据传输线路的安全, 可将集中器和调制解调器放在受监视的地方, 定期检测是否有搭线窃听、外连或破坏行为。通过路由选择控制来限制某些不安全通路。也可采用鉴别技术来鉴别通信方的实体身份和特权, 常用的方法有报文鉴别, 数字签名和终端识别。此外, 还可以通过加密算法来实现数据的加密, 例如美国数据加密标准DES和因特网免费提供的PGP系统。

2.3.3 加强对用户的管理

在网上银行管理中, 身份验证和访问授权是网上管理用户的基本措施。口令、安全帐号和密码是最常用的验证, 可以通过采用加长口令, 使用较大字符集构造口令、限制用户键入口令次数及用户注册时间等方法来保证用户登录的安全性, 或通过采用访问授权来控制或限制用户对资源的利用。

2.3.4 加强对病毒的测控

网络个人信息主要是由病毒和木马进行窃取, 病毒对计算机系统的危害最大, 为防止计算机病毒和木马的危害, 可以通过限制软盘的拷贝进入;采用集中式防病毒管理模式, 对整个局域网中所有节点实行集中管理和控制, 通过各种检测方法 (特征码扫描、完整性检查、变形分析、推断分析等) 检测病毒, 自动进行特征码更新, 实时清除病毒。

摘要:网络的普及, 可以使人们更快捷地共享信息和利用信息, 但是, 随之而来的网络个人信息安全问题, 越来越引起人们的担忧和重视, 探析了网络个人信息安全的现状, 在此基础上, 提出了解决此问题的法律和技术措施。

关键词:网络,个人信息安全,信息窃取,“地下经济”

参考文献

[1]薛芊.今天你“人肉”了吗?———个人信息安全亟需加强[J].信息安全与通信保密, 2009, (1) :37-38.

[2]刘顺清.浅析我国电子商务安全问题的表现来源及对策[J].商场现代化, 2007, (524) :125-126.

[3]解密网络黑色产业链[J].瞭望新闻周刊, 2007, (51) :8-9.

[4]肖爱兰.高科技工具-网络技术犯罪的主要特点及预防对策[J].科技进步与对策, 2003, (5) :156-157.

[5]谢世诚.信息铺天盖地安全尽在掌握-“趁势维C片”个人安全解决方案亮相[J].微型机与应用, 2006, (5) :92.

[6]牛荣.电子商务信息安全[J].商场现代化, 2008, (527) :169-170.

浦发银行个人信息安全 篇5

作者:金投网

浦发银行个人信息安全:

个人信息是指能够进行个人身份辨识的信息,包括:姓名、生日、身份证号码、电话、地址、电子邮件地址、银行卡卡号、发卡日期、卡片有效期、指纹、婚姻状况、教育状况、职业等。您应妥善运用及保护自己的个人信息,避免因个人信息泄露而让诈骗分子有机可乘。

∴ 通过正当途径办卡,不要委托他人或非法中介机构代办信用卡,避免个人资料被盗用。∴ 提供个人身份证复印件申办信用卡时,建议在复印件上注明使用用途,例如“谨供申办**信用卡用”,以防身份证复印件被移作他用。

∴ 不要轻易向陌生人泄露个人信息,也不要随意在网络上留下个人信息。

∴ 警惕向您询问个人信息的电话及电子邮件,银行或公安机关是不会向您询问银行卡账户信息及密码的。

∴ 不要把您的身份证件、银行卡转借他人使用。

∴ 保管好记录着您银行卡账户信息的对账单、收银条、取款凭条等单据,或及时处理、销毁。

∴ 定期查看对账单,如发现不明支出,请立即联系发卡银行。

微信平台个人信息安全保障研究 篇6

摘 要:微信作为一种新型的即时通信工具,虽然方便快捷,但却引发了诸多安全问题。本文分析了在微信社交平台中购物及娱乐引发的个人信息安全风险,针对这些风险提出了相应的保护对策。

关键词:微信平台;个人信息安全;社交网络

中图分类号:G712 文献标识码:B 文章编号:1002-7661(2016)19-003-01

随着信息技术的不断发展, 移动互联网已经渗透到了人类生活的方方面面。微信作为一种新型的即时通信工具,是大数据时代移动互联网成为发展趋势的必然写照。它以操作简单,支持文字输入、 语音、 图片等特点,拥有了大量用户,这种新型的通信工具已然成为了人们的新宠。然而,微信就像是一把双刃剑,带给我们便利的同时也蕴藏着无限的危机,近几年,由于微信社交功能而造成的个人信息安全风险层出不穷。如何认清在虚拟网络下的安全风险及如何在新形势下加强个人信息安全保护,成为大数据时代首当其冲的问题。

一、微信平台下的个人信息安全风险

微信,作为一种全新的社交媒介,最大的成功之处在于传播技术的不断创新满足了受众追求新事物的好奇心理,改变了传统意义上的人际交往格局。用户通过使用 “附近的人”“摇一摇” 等社交功能, 从附近众多显示出来的用户中,结交自己想认识的朋友。虽然这种交友功能便于用户找到或结识具有吸引力的新朋友,但使用者的信息也会暴露于公众之中,加剧了个人信息的安全隐患。

1、查找附近的人。点击查找 “附近的人”功能后用户会看到 100 m~1 000 m 范围内同样使用过此功能的用户。一些不法分子对用户的图片等个人信息加以收集、 加工、 利用,得出有利于自己的信息,进行敲诈勒索行为。据统计,近几年仅国内媒体报道的利用微信引起的犯罪案件就多达 60 余起,其中强奸案高达半数。

2、摇一摇。“摇一摇” 是微信推出的一个随机交友程序。通过摇动手机可以匹配出同一时间使用此功能的用户,这种有筛选性的择友方式使得用户既张扬了个性,又满足了自己的需求。因此,“摇一摇”上线后很快便达到了每日多达 1 亿次的使用次数,它的简单、 便利,快速地帮助人们扩大了社交圈,然而这样的便捷也对个人信息安全构成了巨大的威胁。微型 “摇一摇” 的社交功能并没有信息控制及筛选功能,人们的交流具有极大的自由化、 开放性、 匿名性, “搖一摇” 的便捷使得人们对于微信另一端的使用者降低了警觉性。不法分子利用用户的这些心理,可以轻易地获得用户的个人信息。

二、微信购物和娱乐平台下的个人信息安全风险

微信原本是一款基于手机端的社交软件,在第三版更新后出现了微信 PC 端,于是社交形式由最初的微信好友和朋友圈扩展到微信公众平台,使群发消息给关注的用户得以实现。 无数的商家眼球被用户群吸引,更看到了隐含在人群之后的巨大商机。

1、微信购物。“微店”“微商城” 等购物方式,是基于微信平台而研发的一种电子商务系统,能够实现大多数个体的商业需求。消费者只要通过微信商城平台,就可以实现商品查询、 选购、 订购与支付的线上线下一体化服务。由于这些平台建立成本较低, 只需按照要求填写申请后便可以进行交易,没有相关的安全体系进行保障,因此易发生纠纷。

2、测试游戏。“测出你的前世今生”“测算基因看你未来开什么车” ,等等。近来,不少人通过朋友圈的信息共享玩一些游戏并随手转发。虽然这些只是名义上的测试游戏,但实际上却很可能是不法商家利用测试来吸引用户的眼球而随之盗取个人信息的方式。据了解,绝大多数游戏在进行测试时均需要输入姓名或手机号等个人信息,商家很容易全方位掌握用户的相关信息。此外,有网络安全人士指出,有的游戏或社交网络还会向手机软件植入木马程序,致使用户手机中的手机银行和支付宝等交易软件安全性降低。

三、微信平台下的个人信息安全保护对策

1、加强对微信平台的监督管理。不法分子屡用微信进行犯罪的最根本原因是由于我国未实行微信实名注册用户,不法分子可以用不同的手机号进行多个账户的注册,案件发生后若罪犯注销或停用账户我们就无法进行追踪。因此,应当在确保个人信息不会泄露的前提下实施微信后台实名制原则,减少不法分子运用这一漏洞而进行犯罪活动。与此同时,应该加大对微信的监管力度,对交流中可能出现的不法信息、 敏感话题予以提醒。

2、加强个人信息保护。在我国,人们对个人信息的认识比较模糊,重视不足。个人信息的随意传播、 公开、 泄露、 滥用的现象随处可见。微信的使用,朋友间的交流或朋友圈信息的公开、 共享使我们有意或无意地泄露了个人信息。开启定位系统、 打开测试网页,每一次社交程序的应用都可能将我们的个人信息输入商家预先设计的数据库中,成为商家日后获利的筹码。国家相关部门应当加快建立与个人信息安全相关的法律体系,对个人信息进行正规的管理和规范,以保证个人信息能够在合法、合理的状态下流动。

3、加强思想道德教育以提高道德风尚底线。面对网络信息纷繁复杂、 难以辨别真伪这一现象,腾讯公司应当在大力宣传推广微信产品的同时,定期推送具有加强思想道德教育的短文,开展网络伦理道德教育,并在道义上提醒广大微信用户可能存在的安全隐患。

4、提高自身防范意识。许多微信用户习惯于在朋友圈随意公开自己的状态及位置信息,同时晒出自己或与朋友、 家人的近照并伴随各种炫富行为,以渴求得到他人的赞美或崇拜。岂不知这样的行为容易使有些不法分子利用。因此,我们在朋友圈中应该少用真实照片或者在使用“附近的人” 后应当及时 “清除地理位置” 并退出,同时开启 “加我为好友需要验证” 功能。此外,在与陌生人进行交流时要随时保持警惕,尤其是女大学生,不要因为对方的花言巧语而放松警惕,泄露个人的重要信息。另外,面对网络上新兴起的代购行为,我们不能盲目地相信及追求,应该用怀疑的态度去辨别商品的真假性及卖家的信用,从而提高自身防范意识。

四、结束语

个人信息安全的刑法保护 篇7

一、个人信息刑法保护的必要性

首先, 个人信息作为一项基本人权, 在刑法中个人拥有充分的支配权, 有效保护个人信息不被滥用是我国人权保护的重要方面; 其次, 个人信息也属于公民的财产权利, 在信息化时代, 个人信息是无形财产, 有些不法份子借用营销手段在网上公开销售个人信息进行, 使得个人的手机号码、住址信息、姓名等诸多信息遭到泄漏, 这是侵犯个人财产安全的行为, 因此有必要进行刑法控制; 再次, 个人信息属于个人因素, 在我国[2], 个人隐私权受法律保护, 虽然公民在网络上会发布自己的个人信息, 但是通常是加密的, 往往不愿意让过多人知道, 而有些不法人员利用网络盗取的方式将公民个人信息公布于网络, 可能导致公民声誉遭受影响, 这严重侵害了个人隐私; 最后, 个人信息安全是公民人身安全的保障, 如果遭到泄漏可能给公民造成财产损失甚至是人身危害, 比如某淘宝买家因为不满淘宝店主的商品, 评论上给予差评, 卖家在反复交涉无果后, 沿着买家提供的收获地址竟然直接进到买家家中, 将买家打伤。我国一直以来呼吁国家完善《个人信息保护法》, 虽然相关部门已经开始了立法工作, 但是短时间内台完善的《个人信息保护法》是不现实的, 面对当前我国个人信息经常被滥用的情况, 应从信息保障方面着手, 在刑事法律中明确侵犯个人信息的处罚措施, 用刑法的威严震慑不法份子, 保障公民个人信息的安全。

二、我国个人信息安全刑法保护现状

( 一) 主体范围有待进一步扩大

目前, 公民因为生活的需要常常会与一些机构建立联系, 个人信息提供是必要的环节, 有的单位因为汇集了大量公民信息, 比如房地产公司、物业公司、中介公司等, 这些主体将公民信息标价出售的情况也屡见不鲜, 常给个人信息主体造成诸多困扰, 比如, 房地产公司会向多家装修公司明码标价业主个人信息, 使得业主经常遭到装修公司的电话轰炸, 这些主体机构将公民个人信息出售或者未经过个人同意提供给他人的行为会给信息主体带来重大的危害[3]。然而目前刑法在对这些主体机构的违法打击上并没有具体完善相应的法律规范, 使得个人信息刑法保护的作用大大折扣。

( 二) 犯罪对象有待进一步明确

个人信息违法范围与定义不明确, 势必会对司法实践造成影响, 在实际认定过程中经常会出现诸多障碍, 需要注意的是, 个人信息与个人隐私在概念界定上有所区别, 个人信息在广义上的概念是指个人生活中涉及到的所有信息, 包括家庭住址、姓名、电话号码、身高、年龄等一系列信息;而隐私的概念范围比个人信息要小的多, 通常是指个人“不愿透露或者不愿被窃取的信息”, 因此, 个人信息在刑法保护界定上是一个难点, 毕竟要想逐一对信息进行判定与保护是非常困难的, 至少目前刑法还没有对个人信息的保护制定具体的规范, 导致社会上出现大量出售或者非法窃取个人信息的行为不能得到刑法惩处[4]。另外, 由于个人信息是多种信息的集合, 目前刑法对于窃取个人信息的犯罪对象难以明确。

( 三) 犯罪情节程度的认定有待进一步规定

我国制定的《中华人民共和国个人信息保护法 ( 草案) 》中对于个人信息犯罪情节认定上只有达到“情节严重”才被认为构成犯罪行为, 但是至今为止, 相关司法仍然没有出台具体的“情节严重”判定标准, 这给刑法执行带来一定程度的困难, 笔者认为, 在个人信息犯罪情节严重的判定上, 必须从以下几个方面进行设定[5]: 1、出售或者未经当事人允许非法提供个人信息的数量是否巨大, 次数是否较多; 2、涉及的个人信息主体范围是否庞大, 非法获利数目是否巨大;3、是否对个人信息主体造成严重的生活困扰以及人身财产安全; 4、是否危害到国家及社会的安定和谐。在这几个方面的界定上, 当前的司法仍需进一步完善。

三、个人信息刑法保护完善建议

( 一) 建议扩大刑法的主体范围

笔者认为, 在个人信息犯罪主体的认定上应该逐渐扩大认定范围, 因此, 为了确保司法实践中的合理理解与适用, 有必要对犯罪主体机构进行明确的法律解释。原因在于, 一方面, 随着信息时代的快速发展, 个人信息搜索变得越来越简单, 国家机关、金融机构、教育机构、银行、医院等主体掌握大量的个人信息, 他们实施侵犯个人信息的可能性更大, 加上现代企业掌握公民个人信息越来越简单, 比如各种办理会员制的机构、美容院、股票交易所、网站等都能汇集大量的个人信息, 如果上述这些单位将个人信息非法出售或者非法提供给他人, 造成的实际危害并不低于侵权行为。因此, 在刑法主体范围界定上应该将能够收集公民信息的主体纳入到犯罪主体认定当中, 从而更好的保护公民的个人信息。另一方面, 从各国立法上来看, 多数国家并不将国家公共部门与社会私营部门加以区分, 在犯罪认定上只是强调对犯罪动机与信息来源进行界定, 很少对个人岗位及所属领域进行划分, 这不仅保证法律的绝对公平, 而且对公民的个人信息安全进行有效保护。例如, 欧盟指令、欧洲理事协会以及其他欧洲国家在相关法律规定上都统一了对个人信息的相关规定, 因此, 我国在对个人信息的主体范围界定上也要从主体实施犯罪的严重性上着手, 给予相应的刑法制裁, 只有这样, 才能符合社会发展的需要。

( 二) 建议对刑法保护的个人信息进行明确界定

个人信息所指的范围比较宽泛, 涉及面较广, 并且个人信息安全内容因人而异, 同一项个人信息或许有的人并不在乎, 有的人却被当成个人隐私, 不容窃取, 因此, 在立法上对个人信息边界界定上会有一定的困难。笔者认为, 个人信息的边界界定能够影响罪与非罪的判定与裁决, 在个人信息刑法界定上应从两个方面着手: 第一, 明确个人信息的立法目的。立法者将个人信息犯罪划归到刑法范畴, 进而通过保护的权益推断出立法者的价值取向, 并以此判断在《刑法》中界定“个人信息”保护范围以及犯罪对象的认定。第二, 对于一些对公民隐私以及个人安全影响较小的个人信息, 可以利用民事或者行政手段进行干预或者规范, 而对于一些涉及金融诈骗、危害公民财产及人身安全的个人信息侵犯事件应该纳入到刑法的规制范围中。因此, 在个人信息范围的界定上刑法应与民事、行政法律有所不同, 但是又不能两者之间又不能完全独立, 个人信息的刑法认定是以民事及行政认定为基础的, 通过刑法、民事与行政手段能够形成完整严密的个人信息安全保护圈, 有效打击犯罪行为, 因此, 笔者认为, 刑法上对个人信息的界定具体应该为:任何单独或者与其他信息向结合能够确定信息主体的真实信息或者涉及个人隐私的信息, 具体包括[6]: 年龄、姓名、住址、出生日期、身份证号码等均应列为刑法保护的范围。

( 三) 建议完善“情节严重”的认定规定

刑法属于国家最严厉的法律, 个人信息犯罪“情节严重”是构成犯罪的必要条件, 如何认定情节是否严重, 是刑法有效保障个人信息的关键, 在具体实践中, 实际上很难判断犯罪主体是否达到情节严重的程度, 同一种信息泄漏或者非法提供个人信息的行为对于不同的人会产生不同的影响。因此, 在法律上要想区别情节的严重程度, 仅仅依靠追求形究责任是不现实的, 对此, 笔者认为, 对于个人信息犯罪情节严重的判定中, 主要是一个司法裁量的过程, 具体可以通过判断违法者主观恶意深浅, 违法者是否对信息主体造成严重的影响, 影响是否恶劣等方面。侵犯个人信息安全“情节严重”考量因素包括: 单位或者个人是否恶意出售或者多次提供个人信息, 是否存在窃取、提供、出售个人信息的网络系统, 窃取、提供、出售的个人信息是否给信息主体带来严重的财产及人身危害等。并且, 在具体实践中, 为了便于司法的统一认定, 可以通过法律解释的方式进一步完善。

四、结语

综上所述, 要想使刑法最大程度的保护个人信息安全, 建立一个有效、全面、公正的法律体系是必不可少的。受当前我国个人信息法空缺的影响, 刑法实际上只能发挥最后的保障功能, 这与日益发展的社会下公民个人信息泄漏加快现状完全不符, 因而全面完善个人信息保护的法律体系才是个人信息安全的保障。

摘要:在互联网快速发展的今天, 个人信息安全逐渐被人们所重视, 对人们的生活产生重要影响, 在个人信息安全保障方面, 为了提高信息安全程度, 有必要将侵犯公民个人信息纳入到刑法处理的范围, 利用刑法的权威性来约束公民的行为以及保证公民个人信息安全。本文主要分析了个人信息刑法保护的必要性以及个人信息保护现状, 探讨实现个人信息安全刑法保护的有效对策。

关键词:个人信息,刑法保护,完善

参考文献

[1]翁孙哲.个人信息的刑法保护探析[J].犯罪研究, 2012 (01) :32-39.

[2]蔡文霞, 龚红卫.论个人信息的刑法保护[J].江苏广播电视大学学报, 2010 (01) :87-91.

[3]梁小龙.论公民个人信息的刑法保护[J].法制与社会, 2010 (17) :24-25.

[4]王格.论我国个人信息权的刑法保护[J].河南司法警官职业学院学报, 2010 (02) :83-85.

[5]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报, 2014 (01) :117-127.

网络个人信息的安全研究 篇8

随着计算机和互联网的迅速发展, 网络与人们的生活结合的越来越紧密, 网上办公、娱乐、购物等各种网络应用已充斥着我们每天的生活, 与此同时, 人们所拥有的个人信息被他人或非政府组织不正当利用甚至非法窃取的危险性也越来越高。垃圾短信、人肉搜索、电信诈骗等个人信息安全问题日益引起政府和社会各界的广泛关注。

个人信息的保护是一项系统工程, 不仅需要相关的法律法规进行保护, 而且需要所有与互联网相关的行业进行行业自律, 更需要个人在使用网络的时候进行自我保护。

1 网络个人信息面临的安全问题及其保护内容

1.1 网络个人信息泄露的危害

个人信息遭泄露的事件频频发生, 给许多人的生活造成严重困扰。个人信息遭泄露后的危害极大, 可概括为以下方面:垃圾短信源源不断、骚扰电话接二连三、垃圾邮件铺天盖地、冒名办卡透支欠款、案件事故从天而降、不法公司前来诈骗、冒充公安要求转帐、坑蒙拐骗乘虚而入、帐户钱款不翼而飞、个人名誉无端受毁和可能威胁到国家安全。

1.2 网络个人信息保护内容

网络个人信息主要是指存储于个人计算机、和网络上一切与个人利益有关的数字信息, 主要包括姓名、年龄、性别、生日、身份证号码等个人基本资料, 手机号码、固定电话、电子邮箱、通信地址、QQ、微信和MSN号码等个人联系方式, 网银账号、游戏账号、网上股票交易账号、支付宝账号等个人信息账户, 网页浏览记录、网上交易记录、论坛和聊天室发言记录等个人网络习惯, 记录、存储在网站数据库中的个人网络行为, 及其在虚拟空间中所有活动轨迹的描述等数据资料, 个人不愿被公开浏览、复制、传递的照片、录像、各类文档等个人文件数据。

2网络个人信息泄露的主要途径

个人信息的泄露途径主要分为以下几种途径:

2.1网站泄密

现在许多网站、论坛都需要用户注册账号后才能正常使用。因此, 每个网民拥有多个账号是很平常的事情。网站上的用户数据主要通过三种方式泄露:黑客利用网站存在的安全漏洞入侵网站盗取用户数据库、网站内部工作人员倒卖用户信息和通过撞库攻击窃取用户数据。

2.2社交、聊天工具泄密

现在许多人都热衷于使用社交网站和网络聊天工具, 并且在上面公布了自己的详细信息。如果权限设置不当, 个人信息很容易被别有用心的人窃取。

2.3利用钓鱼攻击窃取用户信息

钓鱼攻击是指网络不法分子通过钓鱼网站实施的一种网络欺诈行为, 它其实属于社会工程学的一种。这里把它单独列出来是因为近年来钓鱼攻击整体呈现上升趋势, 其危害已经超过此前肆虐的挂马网站, 很多用户都受到过钓鱼攻击的危害。

2.4通过木马、病毒窃取用户隐私信息

黑客利用木马盗取用户的账号、密码, 远程控制用户电脑窃取隐私早已不是什么新鲜事了, 如多年前的“灰鸽子”就是一款非常著名的远程控制木马, 利用它, 黑客可以完全控制对方的电脑, 这时用户在攻击者面前已经毫无隐私可言了。还有会偷个人信息资料的数据盗窃恶意程序, 包括:键盘记录程序、画面截取程序、间谍程序、广告程序、后门程序、Bot等等, 都属于这一类。

3 网络个人信息保护的技术手段

网络个人信息保护的技术手段多种多样, 并且随着技术的发展不断推陈出新, 不同的技术手段对用户的能力要求也是不一样的。站在为普通计算机用户服务的角度, 选取的技术手段适合普通计算机用户, 易于实现。

3.1 文件隐身加密

为文件赋予隐身功能几乎是一件非常简单的事情。因为大家只需在文件或文件夹的属性页面中勾选“隐藏”可选项, 单击“确定”按钮后, 再进入系统“文件夹选项”项目中, 将“隐藏受保护的操作系统文件”和“不显示隐藏的文件和文件夹”的选项选中, 就能够隐藏。

3.2 抹除电脑使用痕迹

个人计算机上的上网或使用某些文档记录有可能会被一些人或黑客有意或无意查看, 这就有可能泄露一些个人信息。为此, 我们不妨将这些记录逐一抹除, 以防范重要数据被窃取, 可采取如下几种方法:

3.2.1 让上网记录不再显现

依次打开IE主菜单“工具→Internet选项”, 在弹出的对话框中单击“常规”选项卡, 单击“历史记录”区域中的“清除历史记录”按钮。在弹出的对话框中单击“是”按钮, 即可将网址记录删除。

然后单击“内容”选项卡, 在“个人信息”区域中按下“自动完成”按钮, 分别在开启的“自动完成设置”对话框中按下“清除表单”和“清除密码”按钮, 即可删除诸如登录论坛时自动保存的用户名、密码等信息。

3.2.2 清理文档使用记录

开启操作系统中的“开始”菜单, 在“我最近的文档”中即可显现曾经打开过的文档历史记录。纵使存放文档记录的目录再深, 他人只需单击这些文档记录, 就能够直接浏览相关文件, 令泄密机会大增。为让使用记录消失, 现在可在“开始”菜单列表空白处单击鼠标右键, 选择快捷菜单上的“属性”命令。

单击对话框中的“‘开始’菜单”选项卡, 按下“自定义”按钮, 然后切换到“高级”页面, 单击“清除列表”按钮, 即可将所显示的最近打开的文档名称列表删除。

3.2.3为QQ消息记录加密

现今QQ聊天工具已成为网友的必备工具, 因此保护自己与好友在聊天时的悄悄话也成为一项很重要的事情。我们以QQ2013为例, 利用其内置的功能, 确保QQ本地聊天记录的安全。以鼠标左键单击QQ界面左下角的“打开系统设置”图标, 依次选择“安全设置→消息记录”选项, 勾选右侧“启用消息记录加密”, 为加密本地聊天记录输入密码。另外, 勾选“退出QQ时自动删除所有消息记录”, 在退出QQ时便会自动删除消息记录。

3.3需养成良好的操作规范

3.3.1设置各种密码时要充分考虑到其安全性

尽量设置不易识辨、较为复杂的密码, 如混合使用大小写字母、数字、下划线等字符设置, 密码不宜设置过短, 应定期更新密码。如果有多个账号, 请为这些账号设置不同的复杂密码。

3.3.2尽量不要在公共场所或他人电脑上登录网站

尤其是像网银、电子商务类网站这样非常重要的账号。

3.3.3使用聊天工具时应谨慎

尽量不要接收和访问陌生人发来的信息与文件, 聊天过程中不随意泄露自己的隐私信息。

3.3.4慎用共享软件

不随意从网上下载软件, 下载任何软件时都应仔细查看下载地址及路径等。

3.3.5定期做数据备份工作

坚持不把鸡蛋放在一个篮子里的原则。一定要把重要的数据存储在两个以上独立的设备或介质上。

3.3.6尽量不要把重要数据存在电脑硬盘的安装操作系统的分区

防止系统崩溃后重新安装时由于疏忽而误删了数据。

4结束语

随着网民规模的扩大和网上交易和电子商务的发展, 个人信息网上流通日益频繁, 加上产业化的一个明显标志是病毒制造者从单纯的炫耀技术, 转变为以获利为目的。因此, 网络上个人信息安全问题会日益凸显。同时复杂多变的网络环境也促使个人信息保护技术日新月异, 发展很快, 我们需要不断学习和总结, 继续对个人信息安全的研究。

摘要:网络技术已经普及到人类社会生活的各个方面, 网络使得人们的生活更加丰富多彩, 但同时也暴露出一个严重问题就是网络环境下个人的信息安全受到严重威胁。紧跟技术的发展, 普及个人信息保护的相关知识, 从中甄选出适合普通用户使用的、系统的和有效的个人信息保护技术, 方便普通用户构筑个人信息安全的第一道屏障。

关键词:个人信息,信息安全,技术手段

参考文献

[1]喻琳.网购中个人信息安全问题研究[D].华中师范大学, 2012.

[2]杨家兴.我国计算机网络安全现状及策略探讨[J].信息与电脑 (理论版) , 2012 (7) .

[3]赵子剑, 王淼.从网易cookies浅析网络个人信息安全发展[J].扬州职业大学学报, 2013 (3) :34-37.

谈个人电子健康档案信息安全建设 篇9

一、个人电子健康档案信息包含的法律问题

1. 个人电子健康档案的所有权。

个人电子健康档案主要是由医疗单位来制作和拥有的, 也就是说医疗单位掌管个人电子健康档案, 而作为其管理者, 理应对以下义务进行负责: (1) 合法取得。必须通过合法途径来获取个人电子健康档案, 这需要获得权利人的确切权限。在为他人创建个人电子健康档案前, 必须与其签订书面协议, 同时, 将个人电子健康档案的相关信息告知对方, 使其知晓形成个人电子健康档案的目的、管理方式和运用方式, 确切保障被生成者的知情权和选择权, 不可在被生成者不知情或对其故意隐瞒事实真相的情况下为其办理个人电子健康档案。 (2) 合理利用。管理个人电子健康档案的一方也需依照协议或权利人所赋予的权限来合法运用此信息, 若并非关系到病人的个人利益, 那么管理者不可对信息进行运用。管理个人电子健康档案者要严格对信息的运用和掌握情况进行保密, 要尽最大能力保障个人健康档案信息的安全与保密。

2. 个人电子健康档案的使用权。

个人电子健康档案信息主要通过以下方式生成:一是医疗单位根据病人看病的过程进行收集的资料;二是疾病预控单位等公共卫生安全单位在实施免费体检、流行病调查、预防接种等业务时所获取的病人相关信息。由于收集个人电子健康档案信息的途径较多, 管理者也较多, 因此发生信息泄露、乱用的情况也比较普遍, 所产生的危害极大, 所以必须对其运用权进行严格的约束。 (1) 当事人和家属。公民是被收集信息的对象, 理应具有查看、了解自身信息的权限, 知晓自己的身体状况;也能够给予他人查看和运用的权利。如被收集信息者的家人也可以通过授权书向医疗单位申请查看相关资料。在某些特殊环境下, 家人可代替签署知情许可书, 通过个人电子健康档案来了解病人病情。 (2) 医疗卫生单位。为实现个人电子健康档案信息在不同医疗单位之间的传输、存取、共享, 将会对其创建一个规模较大、可信度高、功能较全以及数据更新较快的医疗信息数据库。医疗单位为了能更好地服务于民, 需要对个人电子健康档案进行不断的学习和研究, 而在获得权限的情况下, 运用电子档案信息是合理的。 (3) 其他相关机构。另外, 有些医疗科研单位为了研究所需, 或许需要对电子健康档案信息进行反复查看和采集;而一些商业性单位为了盈利, 或许会想尽办法去获取电子健康档案信息。对此, 管理电子健康档案信息者应当加强对个人隐私的保护, 为获得拥有人的权限, 不能随意将其信息进行泄露。一旦有类似情况发生, 管理者需要承担相关责任。

二、个人电子健康档案信息安全建设的策略

1. 以技术手段保障信息安全。

一定要在具备相关技术措施的前提下, 才能实行对个人电子健康档案的推行。要想拥有一个安全的网络环境, 那就必定少不了先进的信息安全技术。如果相关的信息安全技术无法与计算机网络发展的速度同步, 那就必定会阻碍个人电子健康档案的推行。因此, 首先需要找出个人电子健康档案系统将会面临的安全隐患, 进而运用相应的安全措施, 采用较为先进的信息安全技术来支持个人电子健康档案的发展。

2. 规范信息安全管理制度。

管理个人电子健康档案者应当对此制定一些安全制度来填补实行过程中可能出现的安全缺陷。同时, 也要提高对其内部网络的管理力度, 构建监控内部网络安全体系, 由此来提高网络整体的安全性。此外, 由于在安全方面, 个人电子健康档案有着较高的要求, 应有相应的认证机构来保障其安全性和有效性。

三、推进制定个人电子健康档案信息法律规范

1. 明确法律地位和适用范围。

(1) 规定只要个人电子健康档案具有合法性, 那么其就等同于纸张式的健康档案, 这也是进一步对个人电子健康档案的法律效应进行了肯定。不得因为其本身是虚拟存在、虚拟传输和虚拟接受而不承认其法律效应。 (2) 对个人电子健康档案的合法性要求进行具体而明确的规定, 如应对医院工作者进行身份验证与权限分配, 严惩运用他人用户名及密钥来进入系统;构建个人电子健康档案的运用日志, 将运用人员、运用时间和运用情况进行登记;健全运用个人电子健康档案所需的制度与流程;规定在对个人电子健康档案进行修改后, 必须保留修改过程等。 (3) 对运用的个人电子健康档案信息系统进行规范。应当用符合法律要求的信息安全等级制度来保障电子健康信息系统的安全性, 并通过权威性安全机构检验和认可才能进行运用。

2. 确立档案信息共享机制。

个人信息安全问题的法律角度分析 篇10

一、个人信息的相关概念界定

纵观国际环境, “个人信息”在不同的社会领域中有着不同的称谓, 通常也会以个人隐私、个人数据等形式出现, 相关概念最早出现在上世纪七十年代, 最具有标志性的概念是1995年欧盟的《个人数据保护指令》中将个人信息定义为是有关一个被识别或可识别的自然人的任何信息。这个概念本身相对注重人作为数据主体的相关特征以及相关信息的可识别性, 即通过数据主体生理、经济以及文化等身份特征展开识别, 甚至加以预测。就我国而言, 也存在专门的《个人信息保护法》, 其中明确将个人信息圈定为个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。

就我国当前的个人信息安全状况看, 较大的信息泄露事件包括:程序员网站CSDN数据库被黑客攻击, 约600万用户信息被泄露;深圳15万名新生儿资料被泄露;天涯社区用户信息遭窃, 涉及4000万用户等。这些被泄露的信息会参与到社会的经济活动中, 通常是被用来推进销售以及非理性购买, 但是更为严重的是, 相关的个人信息泄露还有可能会造成隐性犯罪并且进一步激发犯罪行为。

基于个人信息泄露存在如此大的社会安全隐患, 必须就此类问题在法律层面上进行考虑。

二、管理个人信息安全的法律发展及实践

个人信息安全问题是与信息化共同发展的, 因此就个人信息安全问题在法律方面的建设状况而言, 国外的发展步伐也相对领先国内。

迄今为止, 世界上已经有超过五十个国家和地区制定出相应的针对个人信息实施保护的法律法规, 1970年德国黑森州颁布的《资料保护法》是最早诞生的个人信息保护法律。随后英国出台了《个人资料保护法》, 而日本也制定了《个人情报保护法》, 众多国家都纷纷出台相应的法律对个人信息的使用和获取行为进行了约束和规范。

我国法律在个人信息的保护方面起步较晚, 但是我国的国体决定了法律本身的严密态度。从本质上看, 我国对个人信息的保护工作主要是采用了相对间接的方式, 通过保护人格尊严等主体来进一步限制个人信息的获取和使用。《宪法》是规定了最为根本的总则, 其中明确指出公民的人格尊严、公民住宅不受侵犯, 并且确认公民享有通信自由和通信秘密的权利。在刑事法律体系中, 我国刑法第177条对窃取、收买以及非法提供信息卡信息, 第253条对私自开启、隐匿以及毁弃邮件、电报和随后增加的出售、非法提供和获取公民个人信息等, 都做出了相应的罪责规定。在民事法律体系中, 《民法通则》明确规定公民的人格尊严受法律保护, 并且以人格尊严作为起步点进一步对人格损伤以及精神损害等相关一干行为做出了规定, 并被明确列为禁止。除此以外, 我国的《政府信息公开条例》等法律对于掌握公民个人信息的相关主体行为做出了明确规定, 要求以保护公民人格尊严等方面作为基本考量, 慎重对待个人信息。从商业环境看, 《反不正当竞争法》《邮政法》《医疗机构病例管理规定》《银行管理暂行条例》《档案法》等多部法律, 也都针对于不同专业领域规定了相关信息的使用。

就目前的状况看, 我国对于个人信息安全问题, 在法律层面上已经初步具备了相对完整的体系。但是随着信息化进程的不断深入发展, 关于此类问题必然还会涌现出更多的相关行为, 除了加强法律建设以外, 还应当注意在社会范围内加强宣传, 引导合理的经济行为, 从个人信息的来源和中间市场等多个方面加以管理, 才能获得良好效果。

参考文献

[1]赵正群, 王进.盗用个人信息行为的违法性及其法律责任论析——对“罗彩霞案”的信息法解读[J].南开学报 (哲学社会科学版) , 2012 (4) .

个人信息安全 篇11

一、适应形势需要,构筑强大的人事信息安全网络

目前,人事档案中的某些数据已经实现了联网,如公安部门已经建立的覆盖人事档案的信息系统,将整合个人信息资源,提供高效、快捷的服务和应用。但在个人信息电子化的过程中,个人信息泄漏成为最突出的问题,由于网络的共享性而造成的个人信息泄漏事件往往给个人及单位造成麻烦及致命打击。而且随着网络规模的日益扩大及深入应用,各单位自身对网络依赖程度将越来越高,网络结构及使用日趋复杂,网络安全问题越来越突出。近几年,个人信息的泄露已成为较严重的问题。2013年2月28日广州日报刊登了这样一则消息——“中国人寿个人信息泄露,80万份保单可上网任意查”的消息,据消息称有的人莫名收到一份免费保单,或刚在银行办完业务就接到保险公司的推销电话。中国人寿相关负责人回应称此问题因系统升级操作失误所致。目前,发生问题的查询模块已关闭。公司就此事公开道歉。由此看来人事档案个人情况信息化是把“双刃剑”,一方面个人信息资源共享可以实行资源整合,方便快捷查询;另方面,若保密安全防范措施做的不到位,人为失误,那么个人信息就会泄露,后果则不堪设想。

当今单位网络所面临的威胁主要可以分为对网络中设备的威胁和对网络中数据的威胁。因此,信息系统的安全性可分为物理安全和信息安全。

网络中的物理威胁主要包括对硬件设施、网络本身以及其它能够被利用、被盗窃或者可能被破坏的设备的威胁。信息安全主要对信息系统及数据实施安全保护,保证在意外事故及恶意攻击下系统不会遭到破坏,个人及单位数据信息不会泄露,保证信息的保密性、完整性和可用性。信息安全主要面临有病毒及黑客的攻击、人为恶意攻击、非法将信息泄露。其中病毒可以借助文件、网页、移动介质等诸多方式在网络中迅速进行传播和蔓延,具有隐蔽性强、传播速度快,破坏力大的特点,单位内部网络一旦受感染,就会利用被控制的计算机,破坏数据信息,造成网络性能下降、系统瘫痪、数据丢失及个人信息泄露事件。但真正的威胁还是来自内部。人为的恶意攻击是计算机网络所面临的最大威胁。如,对网络未采取有效的防范措施,系统共享情况比较普遍,缺乏有效的访问权控制等。此外信息安全意识和认识不足,网络安全基础设施利用和资金投入不足等非技术层面购成的网络信息安全缺陷也严重威胁个人信息系统的安全保密性。

二、加强对个人信息安全保密管理的督查力度,建立个人信息安全泄密隐患预警机制

在政务公开的背景下,人事档案部门应该积极探索增加人事档案透明度的方法,既不违背党和国家人事档案管理的有关规定,确保人事档案的安全,又通过人力资源信息系统的平台中,达到权限范围内的人力资源信息共享。人事信息系统必须采取安全有效的防范措施,防范非法人员冒用授权用户合法身份登录信息系统,窃取敏感信息。如何有效地管理人事档案的个人信息系统平台,提高系统的安全保密性,确保单位人力资源信息资源利用能够更加可靠、正常、高效地运行?这是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。我认为主要应做好以下三点工作:

1.建立健全组织体系

单位应成立由法人代表或主要负责人担任组长的“人力资源信息系统安全保密工作领导小组,由人力资源处、保密办、信息化等有关部门人员共同组成,负责组织协调整个信息系统的安全工作,明确小组成员的具体职责和分工,形成层次清晰、职责明确的人力资源信息安全责任体系。

2.建立人事信息系统安全保密管控体制

在技术上采取隔离技术、鉴别技术、控制技术、加密技术、防漏技术等措施予以管控,防范个人信息泄漏;在管理上,建立健全“既满足单位实际需要,又符合国家有关人事信息系统安全保密管理策略和相关制度的要求。

3.加强对个人信息安全保密管理的督查力度

将人事信息系统安全保密工作执行情况纳入年底工作考核和评先评优的内容,设置考核标准,制定评分细则;建立相互关联的考核机制、奖惩机制、内审机制、日常检查机制、违规事件查处机制,个人信息泄露隐患预警机制,为在人事档案信息化进程中维护个人信息安全方面提供强有力的保障。

个人信息安全 篇12

科技的高速发展决定了单纯的互联网信息时代已经过去, 人们正在享受着互联网及移动网络带来的全新生活方式。然而近年来, 身处网络的人们正在遭受成为“透明人”的困扰。你的姓名、年龄、电话、职业、家庭住址等重要的个人隐私信息资料, 甚至你的收入、网购习惯、目前所处地理位置、银行存款、投资状况等在内的隐私信息被公然暴露在陌生人面前。从房产中介、银行、保险、医院、到电信部门等, 从CSDN等网站用户资料被盗, 到人寿保单、快递单信息、医院病人信息以及酒店住房信息等频遭泄露;各种“泄密”行为几乎无处不在。于是各种名目的商业推销和宣传, 垃圾短信、垃圾邮件源源不断;骚扰电话接二连三;身份证被他人冒名盗用办卡透支欠款;不法公司前来诈骗;冒充公安要求转账;坑蒙拐骗乘虚而入;账户钱款不翼而飞。信息泄露已经成为影响亿万群众生活新的民生问题。有人曾形容网络是个人隐私信息的终结者[1], 人人都有可能成为所谓的透明人, 甚至裸体化。此话虽有些骇人听闻, 却也揭示了当前大数据时代个人信息日益透明化的严峻事实。在当今一个日益崇尚自由、尊重个人权利的时代, 如何保证个人信息既能有效合理地利用, 又能有效保证其安全, 这是当前急需解决的问题。

现有云环境下的隐私保护方案多是面向用户可用数据的保护[2], 而对云存储环境的个人数据安全保护研究关注不多。本文基于云计算的大环境下, 对涉及个人隐私信息泄露的原因、途径进行分析, 提出了一种云计算环境下的个人信息安全保护的体系框架, 并重点探讨个人数据信息在云存储及其他存储介质安全的研究。

1 个人信息泄露的原因及途径

1.1 人信息泄露的原因

纵观近年来持续发生的一系列个人信息泄露事件, 其原因主要还在于:1网络自身原因造成的信息泄露, 主要在于网络具有虚拟性和匿名性、开放性, 尤其是网络自身的脆弱性, 因为网络操作系统及其它应用软件的漏洞而造成的信息泄露。比如由于Struts2漏洞的存在, 导致2000万条入住酒店的客户信息泄露。2不良商家对个人信息的滥用。网络已应用到各个行业中, 有些网站及数据库管理员、销售代表、手机营运商、酒店人员、医务工作者、保险公司员工等, 利用行业监管不力及法律制度的漏洞, 不顾职业道德和情操, 昧着良心将客户资料偷偷出卖。一些别有用心的人利用窃取或者购买的个人数据信息进行网上盗取用户银行账户和资金。3个人信息保护意识欠缺。几乎每个人都会关注现实生活中的人身安全, 却非常忽视与他相关的信息安全, 比如有些公司在街头利用免费小礼物的诱惑, 要你填写和自己相关的隐私资料信息等。此外由于个人的不良习惯, 在网络上注册邮箱、论坛、社交网站、电商网站等账户信息时, 会注册自己真实的信息, 并使用相同的用户名及密码;一旦一个账户信息被泄露, 相关的其他信息都会受到威胁。

1.2 个人信息泄露的途径

网络时代信息泄露的主要途径有:1通过数据存储终端泄露, 主要以数据存储介质、个人终端电脑系统、智能移动终端等渠道泄露个人信息。2通过社交网络泄露, 主要以移动社交平台、社交网站泄露、第三方应用, 以及被数据收集器所使用的跟踪cookies泄露风险等途径泄露。3搜索引擎泄露个人隐私信息, 主要通过网页快照、用户的注册信息、服务器日志、搜索的语义内容、利用高级操作符等带来的个人信息泄露。4利用数据挖掘技术泄露个人隐私信息, 虽然不占多大比例, 但也对人们的隐私和数据安全构成了威胁。5蓄意截获网络传输中的个人信息。黑客利用木马技术盗取网络传输中的信息, 并对信息来源进行敲诈、勒索、诈骗、诱拐、恐吓等, 严重影响了网络的安全和稳定。

2 云计算下的个人信息安全保护体系

云计算催生了很多如虚拟机隔离、多用户隔离、共享虚拟化资源池的数据保护和自销毁、远程接入云等信息安全技术[3], 针对上述个人信息泄露的原因和途径, 我们将这些信息安全技术融入到本文研究的个人信息安全保护体系中。如图1所示构建的是基于云环境下的个人信息安全保护体系。本文重点关注云计算环境下个人信息在存储载体上的安全研究, 将分别对个人信息在云存储、企业级存储和个人终端存储等三个层面上进行探讨研究。

2.1 基于云存储的个人数据信息安全保护

云存储在云计算概念上延伸和发展出来的一个新的概念, 它是指通过集群应用、网格技术或分布式文件系统等功能, 将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作, 共同对外提供数据存储和业务访问功能的一个系统[4]。当前已有越来越多的个人将自己的数据中心搬到了各种云上, 虽然云存储可以让用户很方便连上云进行存取数据, 但云存储这种模式目前还有一定的安全问题, 比如身份认证和访问控制、数据存储和传输保密以及数据隔离等问题。针对这些问题我们在云计算三类服务模式的基础上, 提出了几种云存储安全机制, 并构建一种新的云存储安全架构体系。

2.1.1 有关保护个人信息安全的云存储安全机制

主要涉及到有关系统安全、云存储安全管理以及云存储应用安全等机制:

1云平台系统安全机制。这是云存储平台是否安全的首要保障, 也是解决身份认证和访问控制问题的重要手段。通常主要对服务器操作系统内核进行加固, 及时进行账户安全管理, 禁用不必要的服务, 补丁管理, 病毒防护等;以及利用虚拟技术实现对服务器的访问保护, 并实现数据隔离;对系统内的所有对象操作实行透明加密技术;利用主动防御技术保证服务器系统的安全性等。

2云存储安全管理机制。要解决云服务器端安全存储问题, 优秀的企业网络管理员是关键, 并要不断加强企业网络管理员职业道德素质的培养, 尽量做到管理员之间相互独立、相互约束;他们还应当及时对外界的网络攻击做出提前预防并正确响应, 并及时了解各种新生的恶意程序等。管理员还必须经常对服务器进行基础防护、全面防护、备份防护、远程访问防护等, 并跳出常规思维的防护措施, 以确保增加黑客入侵企业数据的困难。

3云存储应用安全机制。主要包括对数据存储加密、备份加密、交换加密、身份认证和访问控制, 以及云端数据库的安全机制等。

在以上三种云存储安全机制基础上, 基于云存储的安全架构体系更是保障个人信息在云端安全存储的重要举措。本文基于目前国际上比较先进的Tru Privacy等云存储技术构建一种新的云存储安全架构, 即使在云系统平台不安全以及周边网络不太安全的环境中, 甚至有可能网络管理员也不可完全信赖的情况下, 可以确保在云服务器端个人隐私数据信息存储的安全。如图2所示。

其中云存储层是最最关键的。在数据存储中心, 我们利用Tru Privacy技术提供有关涉及到个人隐私信息的数据上传、下载、预览、搜索等操作的保护, 并且能够用户对个人隐私信息的私有访问, 即使服务器管理人员也无法有足够的权限看到;利用Sur Cloud软件定义存储技术对数据存储中心文档进行管理, 不需要过多的服务器硬件设备, 只需用软件就可实现智能的操作, 大大减少了机柜、耗电量等资本性支出以及运维成本等。利用Visi Doc技术可以实现用户在线清晰地浏览在云端存储的私有隐私文档等操作。

2.2 基于企业级存储的个人数据信息安全保护

对于企业级数据存储来讲, 其服务器云平台系统安全配置及安全管理是数据存储安全的前提, 在此基础上保证服务器端个人数据信息完整可靠而且不被泄密。采用企业级的数据存储加密技术在目前最安全的, 最大程度上保证了个人隐私数据的机密性。现有企业级对个人隐私信息的数据存储加密技术主要有文件级加密、数据库级加密、存储介质加密、嵌入式加密设备和应用加密等, 为了保证个人隐私数据的机密性, 防止他人窃取或篡改数据信息。我们在构建个人安全保护体系时重点对以下加密技术。

2.2.1 文件级加密

在论文[5]中我们曾设计了一种基于服务器操作系统过滤驱动的文件透明加密系统, 我们将它应用于企业服务器的数据存储安全保护中, 能够自动用指定的加密/解密算法及密钥, 对涉密的私有文件实行加密和解密操作, 起到有效保护私密数据文件。用户在访问自己的隐私数据操作过程中, 根本不用改变对信息的访问习惯, 整个加密/解密操作过程都是自动完成的, 加密中所用到的算法、密钥, 都是事先设定的、存在系统的环境变量中, 而不是在加密/解密过程中指定的。企业服务器系统会根据“加密策略”自动识别什么文件需要进行加密/解密操作, 哪些不需要。

2.2.2 存储介质加密。主要是保证和防止企业服务器上的个人隐私数据被窃取及篡改

1防止个人数据被窃取。当个人隐私信息从个人终端到企业服务器端的数据传输过程中, 企业要利用VPN+SSL协议的方式加密数据传输通道, 以防止个人数据信息在传输过程中被窃取。在企业服务器存储端, 通过采用磁带设备进行加密及备份, 服务器上的个人私密文档将通过SCSI接口备份到磁带设备上, 服务器通过SCSI命令, 控制隐私文档的加密密钥和状态。同时磁带设备会对个人隐私文档进行压缩并加密, 然后写回到磁带上。对于磁带加密设备, 其实就是在物理磁带库中接入具有加密功能的磁带机, 并配有相应的密钥管理工作站, 因此运维成本也无需太高。

2防止数据被篡改。有效防止企业服务器中存储的个人隐私数据被篡改, 目前最有效的方法是对存储介质采用基于磁带技术的WORM技术, 对于终端用户, 只能写入一次同样的个人隐私数据信息到企业服务器存储介质上, 更不能擦除或者再重新写入此数据, 但可以多次读取已写入到企业的, 因此保证了存储在服务器中已加密的数据信息是真正的原始数据, 而不是被篡改过的伪数据。

因此对于企业来讲, 不仅要有良好职业素养、经验丰富的网络数据管理人员, 同时还要拥有技术全面的存储产品线, 并具备先进的身份认证管理、数据加密及防篡改技术, 如果融合到层次化虚拟存储技术解决方案之中, 我们相信企业存储的个人数据信息一定会处于最安全的状态。

2.3 基于云客户端个人数据存储设备的安全保护

基于云客户端个人数据的安全离不开数据存储的终端设备安全, 主要从系统加固及存储介质加密等方面入手。

2.3.1 加固主机系统的安全

1设置账号口令策略, 将登录密码设置为三重加密机制, 即BIOS密码、系统启动密码、系统用户密码, 并且启用强密码策略 (如要求系统的登录密码必须包含大小写字母、数字键、非字母符号键等复杂的组合密码) , 并禁止从网络、光驱、USB存储设备等引导系统。2对系统账户进行优化, 删除不安全的登陆账户信息, 避免登陆账户越多, 漏洞就越大。3关闭非必需服务和信息资源的共享, 设置安全审计策略, 设置合理的日志文件大小, 屏蔽之前登录的用户信息, 关闭默认共享, 设置锁屏保护, 关闭外来设备自动播放功能, 卸载与工作无关的软件等。4禁止非授权用户非法操作:登录终端系统时, 使用电子钥匙验证用户身份;用户离开终端时拔走钥匙, 系统自动锁定;系统启动时禁止进入安全模式;禁止使用USB存储设备 (含U盘、移动硬盘) 、光驱、软驱等外部设备;系统禁止接入其他网络。

2.3.2 加密并隐藏重要存储介质分区及存储的文件 (夹)

根据需要, 对存储有重要信息的硬盘分区进行隐藏, 可以使用Windows组策略或者专用的隐藏工具软件进行隐藏;对重要的个人信息最好进行压缩并加密和隐藏保护 (更能防止有人破解不了而删除加密的信息) 。对于硬盘及U盘中不用的将要删除的文件 (夹) , 除了要加密之外, 还要确保信息的完全删除, 防止重要隐私信息不完全删除遗留硬盘上而被通过一些数据恢复工具进行恢复, 所以不安全。建议硬盘上的资料及时备份, 不需要的垃圾文件加密后使用如360强力删除工具真正删除, 防止被恢复、文件再生等。

3 结论

云计算下的个人信息安全泄露已经不只是一个技术问题, 依靠安全公司做技术上的进步去遏制信息泄露的发生也是不现实的;更需要靠行业自律、从业人员的职业操守以及个人信息安全防范意识的增强。更重要的在于唯有立法才能明确监管责任, 才能明晰处理个人信息的边界和责任, 才能让利用和贩卖个人信息的罪当其罚。立法的完善, 也能阻挡一些不法分子试图利用数据分析来谋取私利, 他们也将面临严惩, 并告诫大家大数据时代并非是盗取他人隐私者的天堂。

参考文献

[1]王芸.网络环境下的个人信息保护研究--以“人肉搜索”案为视角[D].杭州:浙江大学, 2011.

[2]王有刚, 徐勇, 王泽成, 周善英.云环境数据发布服务中隐私保护相关技术研究[J].现代情报.2012.12 (32) :3-7.

[3]姚永晖, 张韬.基于云计算平台设计的一种安全体系架构[J].广播与电视技术.2011.09.

[4]王会波.安全存储与云存储安全[J], 信息安全与通信保密, 2010.12:18-19.

上一篇:降低标准才能统一标准下一篇:课程改革就业指导