用户隐私保护政策(通用5篇)
用户隐私保护政策 篇1
中小企业创新需求迫切,但经济实力和创新资源有限,实际上很少有创新活动,是创新中的“弱势群体”。因此,市场经济国家都把促进中小企业发展特别是中小企业创新,作为公共政策的重点。近年来,欧洲一些国家实施的创新券政策有效地带动了中小企业创新,值得借鉴。
创新券及其使用方法
创新券(Innovation Vouchers)政策是以中小企业创新需求为基础的一项政府创新投入政策。所谓创新券是针对本国中小企业经济实力不足、创新资源缺乏,高校和研发机构没有为中小企业服务的动力机制,而设计发行的一种“创新货币”。政府向企业发放创新券,企业用创新券向研发人员购买科研服务,科研服务人员持创新券到政府财政部门兑现。
2004年以来,欧洲的荷兰、意大利、比利时、爱尔兰、斯洛文尼亚、瑞典、瑞士、奥地利等国相继出台了创新券政策。荷兰作为最早实行创新券政策的国家,仅2008年至今已经发放了2万多张创新券。
创新券的类型
根据各国的不同情况和不同标准,创新券可以分为单一券、联合券、基本券、扩展券、一般券、专项券等类型。
单一券与联合券。荷兰、爱尔兰等国采用这种分类。单一券又称小额券,用来解决单个中小企业商业发展的技术问题。爱尔兰一份单一券的价值是5 000欧元,荷兰小额券的最高面值2 500欧元。联合券又称大额券,用来解决若干企业关注的共性问题。爱尔兰联合券采取若干单一券联合使用的方式,最多可将10家公司的单一券合并起来构成联合券,最高价值可达5万欧元。荷兰大额券则针对一个较大型项目,各参加企业联合填写一张表格申请补助金,其最高价值也为5万欧元。
基本券与扩展券。丹麦等国采用这种分类。基本券与扩展券是根据项目性质和政府出资比例而划分的。基本券用于以研究为基础的商业发展项目,确保知识从研究阶段转移到中小企业,40%由国家出资。扩展券提供给较大型的研发合作项目,用于找到现有问题的新的解决方法,25%由国家出资。
一般券与专项券。瑞士等国采用这种分类。一般券面向所有技术领域,专项券面向特定的技术领域。2009年,瑞士创新促进机构(CTI)推出中小企业创新券,面向所有技术领域,每张创新券7 500瑞士法郎。之后,鉴于企业的积极反应,为促进本国清洁技术发展,2010年,进一步推出了两个系列的创新券,第一个系列延续过去面向所有技术领域的形式,且面值保持不变;第二个系列则采用专项券的方式,专门给“清洁技术”领域的项目申请。
创新券的申报流程
申请资格。创新券是专门针对中小企业设立的,申请主体必须是中小企业,即雇员少于50人的企业。承接创新券项目的科研机构和高校一般仅限于公共或准公共科研机构与高校,以及一些大公司的研发机构。
申请方式。中小企业不需提供研究问题的详细项目计划,只需到指定网站填写申请表格,通过电子邮件提交管理部门审核。
管理部门。创新券的管理一般由主管创新的部门或非营利机构负责。荷兰由荷兰政府经济事务部下属的创新与可持续发展局负责,瑞士由瑞士创新促进机构(CTI)实施。
派发规则。创新券一般按照先到先得或随机方式分配。荷兰第一轮创新券的派发是在申请首日递交表格的1 044家企业中随机分派,类似抽奖或北京市汽车摇号机制。
报销规定。完成科技服务后,科研机构凭券及相关材料到财政部门兑现。相关材料包括项目活动基本信息,项目支出情况等。项目活动基本信息包括公司名称、提供服务的高校与科研机构名称、项目开始时间、执行期、项目联系学院、部门及提供的项目活动总结;项目相关支出材料包括国内外差旅费、材料费及其他必要的附件。
创新券的优势
实施创新券政策到现在只有五六年的时间,但效果较好,初步显现了这项政策的优势。创新券设立之初,提供创新服务的机构主要是公共科研服务机构。随着实施的深入,提供服务的领域和机构逐步扩展。荷兰在通过三轮试验后,实施领域已由工业向其他行业拓展,研究机构的选择范围也由公共科研机构放宽到准公共研究机构及一些有研究能力的大企业。创新券的优势主要体现在以下几方面。
发挥公共科技投入对中小企业创新的带动作用
在市场经济条件下,中小企业在公平竞争中往往面临不公平的结果,完全依靠市场无法解决创新资源的合理配置问题。中小企业是国民经济的基础,不仅解决了国家大部分的就业,而且是国家创新能力的支撑。这就要求政府财政资金投入鲜明地体现公共性,不仅关注大企业、大项目,更要关注量大面广的中小企业,在市场失灵的地方促进中小企业创新。创新券政策较好地发挥了政府公共投入对中小企业创新的带动作用。
我国是发展中国家,长期以来实行的是追赶型的政策,主要是集中财力、物力、人力解决“重点跨越问题”,这是完全必要的,也是非常有效的。但随着市场经济体制的建立和国力的增强,要注意从追赶型的特殊政策向创新券这种普惠型的公共政策转变,防止损害公平的竞争和垄断,解决自主创新中的“两极分化”问题。
引导高校、科研院所为中小企业服务
通过创新券政策,政府为中小企业降低了创新投入成本,为高校和科研院所增加了技术服务收益;而且在中小企业和高校、科研院所之间搭建了市场之桥,极大地调动了高校和科研院所服务企业的积极性。爱尔兰国家工艺设计学院为了吸引持券企业向该学院寻求合作,对创新券的具体使用给出更多优惠,提出企业可以通过若干接续性的创新券,获得高校为企业提供的持续改进方案,并在网上向企业展示其可以提供创新服务的具体领域,为中小企业寻求服务提供详细信息。荷兰代夫特科技大学、埃因霍芬科技大学则宣布,将为企业提供创新券面值一倍以上的科技服务。科研人员主动与企业联系,到生产一线寻找科研课题,并把科研资源导入企业创新活动。中小企业与高校、科研院所的关系由之前的求之不得,转变为高校和科研院所的主动推介与服务。
提高政府研发资金的使用效率
凡是创新券支持的项目,都是企业急需的开发与咨询、规划与评估、测试与认证等内容;项目实施的结果,都给企业带来了新技术和高附加值。这种研发,项目从用户需求中来,研究在企业生产中,不产生闲置的科研成果,更不存在成果产业化问题,这就从根本上消除了所谓科技成果转化问题,最大限度发挥了研发资金的使用效率。
创新券的投入和使用方式,使资金只能购买创新服务,避免了公共科技投入的流失;创新券在规定时间内如未使用,对公共科技投入不造成任何财务上的浪费;而且引导扩大了社会投资,增加了企业和高校、科研院所的创新收益,成倍放大了公共科技投入的效能。
我国具备设立创新券的条件
我国中小企业4 000多万家,占全国企业总数的99%,是国民经济的基本力量。但由于中小企业自身的经济能力、科研水平所限,大多数中小企业没有研发机构,对科技成果需求迫切但吸收能力有限。传统领域的中小企业创新能力不足问题更是突出。中小企业转变增长方式、实现创新驱动,迫切需要公共政策支持。
我国对中小企业创新的资助目前基本上集中在对科技型中小企业的技术创新活动的支持,支持方式主要以无偿资助、贷款贴息、资本金投入等方式开展。对数量众多的广大中小企业,特别是传统行业中小企业,还缺少有针对性的创新投入政策。创新券政策不失为一种好的选择。而且我国已经具备了实行创新券政策的良好条件。
我国已经拥有世界最丰富的科技人力资源
丰富的科技人力资源为实行创新券政策提供了充分的人才基础。2010年,我国科技人力资源总量达到5 700万人,本科及以上学历科技人力资源总量达到2 500万人,研发人员全时当量超过255万人年,3项指标均超过美国,位居世界第一位。出国留学人员是重要的人力资源,截至2010年底,以留学身份出国在外的人员超过127万人,我国已经成为世界上最大的留学生生源国。
在校本专科及以上学生是潜在人力资源。2010年,我国普通本专科在校生2 232万人,在读研究生154万人。
我国已经拥有众多的研发机构和科技中介机构
众多的高校、科研院所为实行创新券政策提供了系统的组织基础。2010年,我国有高校2 538个,科研机构3 696个,大中型工业企业研发机构16 717个。
截至2010年底,我国已成立技术交易服务机构2万余家,生产力促进中心2 032家,国家级技术转移示范机构134家,国家级科技企业孵化器346家。
我国已经拥有数量庞大的科技成果
大量的科技成果为实行创新券政策提供了深厚的技术基础。2010年,我国专利授权81.5万件,本国人发明专利授权量进入世界前三位;PCT专利达1.2万件,上升到世界第四位。2010年,我国科技论文被SCI数据库收录近13万篇,上升至世界第二位。
许多领域都取得重大突破。2010年,国家主体性计划实施12 610项,取得重大科技成果42 108项,国家级科技奖励356项。
我国已经具有充裕的公共财力
充裕的财力为实行创新券政策提供了坚实的经济基础。我国已经超过日本成为世界第二大经济体,2011年,在已公布数据的29个省(直辖市、自治区)中,有23个的地方总产值过万亿元,约占全国的2/3,而广东省则达到5.3万亿元。全国财政收入超过10万亿元。“十一五”期间,我国财政科技投入保持了年均25%以上的增长幅度,2010年,中央和地方财政科技拨款分别超过2 000亿元,全社会研发经费达到7 063亿元。
关于我国实施创新券的政策建议
建议我国“十二五”期间实行创新券政策,先开展试点,在总结经验的基础上全面推行。
设立创新券专项基金。创新券专项基金资助所有类型中小企业的创新活动。国家基金来源于中央财政专项;地方基金来源于各省(直辖市、自治区)财政专项。基金结构以地方基金为主。
在制度设计上注重地方资金与中央资金的配合,中央财政更多的是起到资金的引导作用,大量资金由地方通过多种方式筹集。在创新券类型上,中央资金可以联合券、扩展券为主,地方资金则可以覆盖全部券型。在创新券的使用上,各地可以根据实际情况,采取更灵活、更丰富的方式。
国家创新主管部门牵头组织。根据国际经验,该项工作均由国家科技或创新主管部门牵头组织。创新券的实施,欧洲虽然已有相对成熟的经验,但我国中小企业群体大、情况复杂、区域差异明显、技术承接能力弱,需要进行本地化设计,就资金支持规模、支持对象、支持方式、创新券形式、面值及资金筹措渠道等问题提出系统方案。
充分发挥科技服务机构的功能。我国中小企业量大面广,单纯依靠政府的服务不能满足千差万别的企业需求。必须大力发展创新服务业,充分发挥创新服务机构的功能,依托科技园、孵化器和各类生产力促进中心等创新服务机构实施创新券政策,由创新服务机构具体运作创新券基金,参与创新券设计、申请、审核、派发、评估、监管等全过程。
在中小企业密集、创新服务业发达地区先行试点。“十二五”前两年,可以在我国东部地区选择经济发展条件较好、中小企业市场化程度较高、企业较密集的省份,或创新服务业比较发达的地区先行试点,如广东省、浙江省等。在试行1~2年的基础上,对创新券政策进行评估、调整、完善,争取“十二五”末在全国铺开。
摘要:介绍了创新券及其使用方法,阐述了创新券的优势,分析了我国具备设立创新券的条件,提出了我国实施创新券的政策建议。
关键词:政府创新投入,创新券,中小企业
图书馆保护用户数据隐私权的策略 篇2
1.1间接立法,间接立法是指不是专门针对图书馆保护用户数据的立法,比如瑞典的《数据法》、法国的《数据处理、档案与自由法》、英国的《数据保护法》、美国的《电子通讯隐私法》、日本的《个人信息保护法》、韩国的《隐私法》等。我国至今没有对隐私权的专门立法,隐私权尚未取得作为一项独立人格权的法律地位,而是把隐私权涵盖于名誉权当中来对待,具体内容包含在《宪法》、《民法通则》、《银行管理暂行条例》、《商业银行法》、《执业医师法》、《刑法》、《人民检察院刑事诉讼规则》等法规之中。用户数据隐私在图书馆受到侵害时,只能依靠这些间接规定来主张权利。
1.2直接立法。直接立法是指专门针对图书馆保护用户隐私制定专门法律。1978年,在美国图书馆协会和其他几个专业协会的推动下,美国第一部州立法《图书馆记录机密法》在佛罗里达州通过。到目前为止,在美国除夏威夷州和肯塔基州外,其他48个州和哥伦比亚特区都有专门的图书馆记录保密法。这类法律有两种形式:一种是明确保护图书馆用户的隐私:另一种是豁免图书馆公开数据或不适用于信息自由法。按照法律规定,用户利用公共图书馆所产生的注册和流通记录信息是机密。除非满足法定条款,否则图书馆不能向任何要求检查的机构或个人公开。
2自律保护
2.1行业指南。美国图书馆学会在专业伦理守则中规定:“保护每位读者的隐私权,对其查寻或获取的信息,咨询、借阅、征集及传递的资源均应予以保密”:英国图书馆学会在专业行为守则规定:“不得泄露或默许他人泄露任何委托的保密资料、信息或行政档案给第三者:同时也不可超越用户最初使用授权范围,将信息运用于其他方面”,还制定了对违反此守则的当事人的处分条款:日本图书馆学会在图书馆伦理纲领指出:“图书馆不得泄露利用者的秘密”,VRD2003年版的网上参考咨询服务质量文件中关于隐私权的保护规定:用户和专家间的通信必须处于完全隐私的环境中。《中国图书馆员职业道德准则》也规定:“维护读者权益,保守读者秘密。”
2.2制定政策。图书馆要制定完善的用户数据隐私权保护政策,并通过一定方式公之于众,使社会广为了解。主要内容包括:其一,收集数据的内容和目的。对敏感数据不予收集,并限于具体、合法的目的,收集和使用个人信息必须征得本人同意。其二,收集个人数据的方法,明确告知用户收集其个人数据的技术手段及其特点,使用户能理解和配合,并主动采取防范措施。其三,用户的拒绝权和选择权。用户的选择权应该是主动的,应该是在用户向图书馆网站提供个人数据之时或图书馆网站向用户收集个人数据时行使的。其四,用户个人数据共享。未经用户明确同意,图书馆不能向第三方提供用户数据,更不能以商业目的与其他人或组织共享用户个人数据。其五,用户数据的变更。图书馆对用户要求修改其数据的申请应及时处理,对于不能按用户要求修改的,要将不能修改的决定及其理由通知用户个人,并告知用户享有进一步反映问题的权利和相关途径。其六,免责条款。
2.3开展认证。数据隐私认证是类似于商标的网上隐私标志,它使得用户更易于识别那些遵守了个人数据收集和利用行为的图书馆,同时便于对图书馆就个人数据隐私权的保护状况作出评估。认证合格的图书馆将会受颁一种标志,即隐私权保护标志,这个标志可以张贴在自己网站的主页上。认证和取消认证是对应的,如果监督管理机构在评估中发现某图书馆违反了个人数据收集和利用的相关规定或遭到用户的投诉,将被警告,或被取消认证。
2.4完善管理。对用户数据的保护,图书馆要有健全和完善的管理制度与监督机制。比如,控制用户数的传播范围,使数量有限的图书馆员在工作之必要范围内接触和使用。又比如,以敏感性为标准对用户数据进行类型上的划分,确定密级和使用规则。
2.5技术防范。近年来保护数据安全的技术有了较大发展,图书馆可以灵活选用。其一,控制接触用户数据的技术,比如,口令技术和问题化技术。其二,控制使用用户数据的技术,这类技术能够防止对用户数据的打印、传播等。其三,保护用户数据完整性的技术,使数据不被修改或篡改。现在,一些专门针对数据隐私保护的技术已得到实用。比如,P3P是一种网络隐私权保护平台,可以有效提高图书馆对用户数据的控制力。
用户隐私保护政策 篇3
移动互联网的快速发展, Ios和Andriod智能手机的普及,人们对生活质量的追求越来越高, 基于位置服务的市场份额也是逐年递增。尤其是外出旅游时, 使用手机地图查询附近酒店、餐馆、交通和使用手机导航服务在青年一族中是极为普遍的。中国互联网络信息中心2014年发布的《2013-2014年中国移动互联网调查研究报告》显示, 截至2014年6月,我国手机地图用户在手机网民中的渗透率达46.9%, 手机地图已经成为移动互联网发展的重要入口。其中, 用户在地图中结合生活服务和社交服务功能的使用也逐渐增多, 尤其是结合地理位置和团购的周边美食餐饮服务, 占比到了40.8%。基于位置的服务给人们的生活和出行带来了很大的便利, 与此同时, 随之而来的隐私泄露和安全隐患问题也逐渐暴露在公众的视野, 人们对于隐私保护的关注日盛。隐私泄露问题得不到解决, 人们对于隐私安全的担忧, 将会极大延缓基于位置服务发展的步伐。基于位置服务的隐私保护技术成为一个研究热点, 出现了许多位置隐私保护技术, 有些可以保护用户在当前或过去某一时刻在某一地点的位置隐私, 有些则可以保护用户在一段时间内的位置隐私。
2 基于位置服务中用户隐私泄露
2.1 单点位置隐私泄露
基于位置服务中, 用户在享受服务之前首先要使用定位技术向服务提供商提供自身的地理位置。比如使用 大众点评 、美团等团购周边美食时, 使用快的、滴滴打车服务进行租车时服务提供商都要获取用户的地理位置信息。如果不可信的服务提供商泄露用户的位置信息, 可能会带来意料不到的严重后果。
在使用位置服务时, 即使服务提供商没有故意泄露用户的位置隐私, 用户自身发布的一些数据也可能会暴漏自身的位置隐私, 像在享受美食的时候很多年轻人都喜欢拍照评论,照片和评论信息无疑会泄露用户的相关信息。
天气预报、手机导航几乎是每个智能手机用户必用的服务。2014年央视曝光了苹果手机涉嫌侵犯用户个人隐私; 在用户享受定位、基于位置的服务时, 他们的家庭住址、工作单位甚至每天去了什么地方呆了多长时间都会被精准地记录下来。如果这些信息被不法分子得到有可能会危及用户财产、人身安全。
2.2 轨迹隐私泄露
轨迹指某个移动对象按时间顺序排列的位置序列。基于位置服务中轨迹隐私有两个方面的含义。一是指用户个人运行轨迹本身包含的敏感位置信息; 二是通过用户运行位置轨迹推导出的其他个人敏感信息。随着移动智能设备和定位技术的发展, 用户频繁请求基于位置服务, 会产生大量时空运行轨迹数据, 这些轨迹中含有的敏感位置信息可能会被泄露。此外, 大数据时代, 看似毫无用处的数据经过分析可能会得出令人吃惊的结果。通过对这些含有丰富时空信息的轨迹数据进行分析和挖掘, 则可能会可以披露用户的家庭住址、工作单位, 甚至行为习惯、健康状况等更敏感的信息。
3 基于位置服务中位置隐私保护技术
用户在使用基于位置服务时, 需要使用定位服务提供自身的位置信息, 既面临着用户单点位置信息的泄露, 又存在用户轨迹隐私的泄露的风险, 更严重的是通过对用户轨迹数据的分析, 可能会泄露用户非常私密敏感的其他隐私 信息。因此, 位置隐私保护技术既要保护用户的单点敏感位置信息不泄露, 还要防止攻击者根据轨迹推导出其他的个人 信息。目前常用的位置隐私保护技术主要有两类: 密码学方法和非密码学方法。其中非密码学方法大多使用泛化技术达到保护位置隐私的目的。下面分别介绍这两类位置隐私保护技术。
3.1 非加密技术
目前常用的基于位置服务隐私保护技术中, 将用户身份泛化和将用户位置泛化都可以起到保护用户位置隐私的作用。用K-匿名技术实现用户泛化, 用位置模糊技术实现用户位置泛化。
(1) K-匿名技术 : 最早是应用于数据库中保护数据隐私的一种方法, 在基于位置服务中, 可以将请求位置服务的用户和其他K-1个假用户通过第三方或自身形成一个不可区分的请求位置服务用户集。比如查找附近餐馆时, 真用户和假用户同时发出请求, 服务提供商或者恶意攻击者即使能够获取这K个用户的地理位置信息, 也不能确切知道真实请求位置服务的用户到底是哪一个, 也就是说不能获知真实用户到底在哪个位置, 从而保护了用户的位置隐私。
(2) 位置模糊技术 : 也称为位置K-匿名技术 , 是指根据用户选取一个公共区域 (比如一个商场) 来代替其真实单点位置发起位置服务请求, 用假位置代替真实位置向服务提供商发起位置服务请求, 从而使攻击者无法获知用户的真实地理位置。
(3) 假轨迹法 : 以上两种方法保护的是用户在某一时刻的单点位置信息, 但是不一定能够保护用户的轨迹隐私信息。比如基于位置服务中使用位置K-匿名技术保护用户位置隐私时, 如果用户连续发出位置服务请求, 则把用户请求时各个时刻的匿名框连接起来, 就会得到用户的大致运行轨迹。因此, 在基于位置服务中还需要轨迹隐私保护技术。假轨迹法是指通过向用户轨迹数据添加假轨迹, 让真轨迹混入多个假轨迹之中, 来达到对原始数据进行干扰, 使攻击者无法区分出用户的真实轨迹。
(4) 轨迹K-匿名 : 是一种常见的保护用户轨迹隐私的一种泛化技术。该技术将轨迹上所有采样点都用一个对应的矩形或圆形匿名区域来代替, 同样可以达到保护用户轨迹隐私的目的。这和位置K-匿名不同, 轨迹K-匿名要求任一轨迹中的所有采样点位置都和其他k-1条轨迹是无法区分的。在基于位置服务中, 因为用户的请求服务的时空是变化的, 则产生的轨迹数据是动态变化的, 所以如何确定轨迹k-匿名集是一个富有挑战性的问题。
3.2 加密技术
移动互联网时代, 用户每天都会在手机软件、网络购物、社交网络、各种位置服务等地方留下大量的数据痕迹。大数据的挖掘技术结合机器学习等智能分析很容易就能够关联到用户的各种敏感信息, 比如用户发布里一张和朋友见面的照片, 如果攻击者拥有其朋友常在的位置知识, 结合照片背景等知识就可以推测出该用户当时所处位置。因此, 大数据时代仅仅依靠K-匿名、位置模糊等泛化技术保护位置隐私是不够的, 基于密码学位置隐私保护方法也是一个研究热点。用户请求位置服务时, 将自身的位置数据使用同态加密算法加密后提交给位置服务提供商, 服务提供商在密文空间下进行计算, 处理用户的查询请求, 这和在原始数据空间上进行运算的结果是一样的。这样, 用户的位置请求服务得到 满足 ,而服务提供商则既不能获取用户的当前位置, 也不知道其查询内容合查询结果, 从而保护了用户的隐私。
4 结语
基于位置服务越来越广泛, 攻击者的手段也越来越高明。如何在为用户提供高质量的位置服务的同时保护用户的敏感位置信息, 仍将是未来的一个研究方向。当然, 仅靠位置隐私保护技术来完全避免用户位置隐私泄露是不可能的。位置隐私保护技术发展的同时, 配套的法律法规也要进一步完善。更为重要的是, 用户在享受基于位置服务时, 自身就要注意一些安全防范, 保护个人隐私。必须知道信息会分享给哪些人, 这些人是不是可靠; 可以设定“匿踪”模式, 这样就不会对外广播用户的位置; 不要分享家庭住址。此外, 登录其他社交网站时, 也要注意保护个人隐私, 不要发含个人地理位置的信息等。
摘要:移动互联网、智能手持终端设备和车载终端设备的发展,使得基于位置的服务为越来越多的用户所熟知与使用。用户在享受便利服务的同时,也主动或被动地承担着隐私泄露的风险。近年来发生多起位置隐私泄露造成了人身安全事故,人们也越来越注重自身隐私的保护。介绍了基于位置服务中用户隐私泄露的方式,以及当前主流的位置隐私保护技术。
用户隐私保护政策 篇4
1月11日,“泄密门”发生的20天后,作为第一个被公开报道的受害者,中国软件开发联盟(以下简称CSDN)在北京宣布,将携手阿里云迈出建立网络安全体系的第一步——为开发者打造安全可信的平台,从隔离核心数据开始。同时,CSDN公开承认包括自己在内的国内诸多网站的安全意识薄弱问题是导致用户信息密集泄露的关键。
CSDN所做的一切被业内看作是其挽回不利影响的重要行动。
2011年12月21日,业界传出国内最大程序员网站CSDN被黑客“成功击败”的消息,其超过640万个注册用户的信息在网上公开。随后的一周内,天涯社区、人人网、开心网和多玩网等十余家国内知名网站近5000万用户的信息在网上被黑客公布。
由于遭泄露的网站覆盖社交、电子商务甚至个别政府部门的官网,一夜之间,“泄密门”成为互联网上一个引发广泛恐慌的“大事件”。
截至2011年12月29日,根据国家互联网应急中心(CNCERT)统计,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。其中,含有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
有分析指出,中国互联网十余年的发展中,快速扩张的互联网企业不知不觉地为自己埋下了安全隐患的种子。对安全投放的不重视,透露出这些企业没有把用户数据放在一个正常的位置,而这无疑是对用户信息安全的公然漠视。这样的现状为黑客提供了良好的获利环境,助长了一次次的黑客行动。而网企欠下的账,在未来必定要陆续埋单。
扩张种下毒瘤
泄密事件发生后,CSDN创始人、公司总裁蒋涛公开坦承此前并没有想到数据泄露会如此严重。在CSDN拥有不到100台服务器,注册信息只包括邮箱和密码的情况下,蒋涛一度认为,这些注册信息并不具备太大的隐私性,也不会引起黑客的兴趣。
但是,蒋涛和其他“中招”的所有网站都忽略了一个重要问题——黑客会将盗来的信息用于用户数据更为敏感的网站(如支付宝)进行密码刷库比对,如果密码是同一个,则意味着黑客们能够轻而易举地攻入这些网站,从而获取用户的敏感资料。
对于这种可能出现的后遗症,深圳大成天下公司网络安全技术专家吴鲁加认为,互联网用户的隐私短板,已经不再取决于单一企业,而是取决于所有这些握有大量用户信息的企业中的最短板。也就是说,网络信息的安全牵系每一个企业与个人。
而据蒋涛介绍,目前80%以上的互联网公司都存在安全漏洞,70%以上的加密算法密码库都可以通过高频碰撞破解,60%以上有安全策略的公司同样存在着漏洞。
根据杭州安恒信息技术公司给CSDN提供的审计报告显示,由于CSDN网站开源系统等第三方系统存在漏洞、应用程序存在跨站脚本漏洞等四大问题,使其网站存在安全风险,泄露了大量信息。
“不止CSDN一家网站这样”资深安全顾问张百川表示,许多网站设计之初就只考虑业务而不考虑安全性。在试运行期间只要功能满足就验收通过。在网站的规划、设计、实施、运维和废弃等五个阶段都没有一个安全保护的考虑。这样“凑合”用的系统,其安全性之低显而易见。
根据CNNIC《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿,占24.9%。而卡巴斯基亚太区产品部经理高祎玮对《IT时代周刊》表示,尽管近年来针对互联网的安全保护技术有了很大的提升,但是很多企业没有及时调整或升级后台系统。
有业内安全专家向本刊记者透露,国内大部分电子商务网站还停留在防护墙等传统的防御技术层面,对账户、密码等机密数据也没有明确的访问规定监控,甚至还采用明文存储或不安全的加密存储手段。
而某券商TMT研究部门公布的调研结果更能说明问题。该券商的研究数据显示了目前中国互联网公司的信息安全支出在整体IT支出中的比例还不到1%,安全性要求比较高的金融行业也仅在10%,而欧美互联网公司的安全支出普遍占到8%-10%。
在安全支出严重低于欧美同行的情形下,中国整个互联网的安全现状当然极不乐观。而业内人士普遍认为“泄密门”最根本的原因正是一些互联网企业没有建立完善的安全防护机制。同时,他们也认为由于网络环境竞争的激烈,互联网的发展一直以扩张效率为主导,导致了安全风险或隐患的存在成为一种必然。
国内资深网络安全专家肖新光就持有类似观点。他指出,一家网游企业投入100万元来加快游戏的开发速度或增加新的功能,收益就会提前看到,而如果把这笔钱花在安全防护上,短期内不仅看不到收益,还会影响开发的效率,甚至可能被对手甩在身后。
业内安全专家透露,大部分网企缺少安全维护团队及投入,更令人担忧的是,与网民隐私财产息息相关的国内电子商务网站少有安全部门,设立了的也不过1-2人。这样的现状,其风险不言而喻。
黑客的微妙之伤
中国网络安全现状堪忧,除了互联网公司对安全体系建设的不重视,另一主要原因还在于黑客从中觅到了灰色商机。于是,一个似乎可被忽视的问题,变得不容忽视。
近年来,由于金钱利益的驱动及非法地下交易市场不断扩大,黑客攻击目标从普通用户转向具有更多用户资料的企业数据库。数据库的安全防护也一直被列为企业IT部门的重要工作之一,但由于防范措施形同虚设,导致黑客经常“光临”。
仅在2011年7月,黑客对韩国SK通信发起精密攻击,就致3500万用户信息外泄,而这个国家的人口总数仅为5000万。另有安全厂商RSA被入侵,直接导致多家工业巨头遭遇连锁攻击,荷兰电子认证公司DigiNotar被入侵后宣告破产。
让人稍感庆幸的是,中国互联网仅是遭受了信誉损失,至今不见有公司声称经济上有所损失。“这一次,黑客是善意的,‘泄密门’爆出来的都是以前的库。”一位不愿具名的安全行业工程师透露,实际上,他们手里有最新的库,但出于对行业环境的考虑,没有把这些库爆出来。
而事实上,对于这样善意的“警告”,在事发前就有提醒,却并未被有关方面重视。
在这次事件中,一个名为“乌云漏洞平台”的网站从不为人熟知的专业平台一下跃入大众视野。该平台大批的黑客在发现企业漏洞时,已经将漏洞与补丁传到网上,但后来出事的多家企业中居然“无人问津”。
“民间的安全测试平台一直不受企业待见,他们扮演的黑客角色与企业之间多年来形成了微妙关系。”有业内人士指出,没有企业愿意总被人在国内常见的网络安全问题上“挑错”,也正因为如此,更有一些公司极端地认为,如果没有黑客,企业的漏洞在某种程度上来说就不存在,“只要不暴露,就可以视而不见”。
这样的愿景无疑是美好的,但部分黑客也有自己的游戏规则。“众多的‘黑客’潜伏在IT互联网公司。”一位不愿透露姓名的黑客表示,这些人可能白天是某企业的安全工程师,晚上就是黑客。另有传言,窃取CSDN用户数据也为某网企技术人员所为。而盗卖公司内部信息是公开的地下商业交易,监守自盗在中国互联网公司内部屡见不鲜。甚至有知情人士透露,一些大的互联网企业甚至直接“招安”黑客,将其纳入麾下。有的小网站每月给黑客上交1万元到2万元的“保护费”。
“如果企业愿意对黑客指出的漏洞给予相应的重视,并采取补救措施,危机可能还是会爆发,但肯定不会这么严重。”安全行业工程师表示,对于这次事件,落后的防护技术仅是诱因,本质还是对安全防范投入的态度问题,同样也是一个程序员的基本素养。
为此,高祎玮对《IT时代周刊》强调,名为Anonymous的黑客组织曾在去年7、8月攻击了美国多个警察部门,甚至美国国防部的信息安全咨询公司,所以无论多高级的安全设备,多专业的安全知识,如不能在工作中严格应用及遵守,企业网络安全都将是空中楼阁。
而就在本刊的截止发稿日,经过北京网警的调查,北京市公安局外宣处的工作人员表示,今年1月10日已有两名涉案黑客被抓,详情还在调查中。次日,有接近工信部通信保障局的人士透露,该部门对泄密事件的调查工作已经“告一段落”。
用户隐私保护政策 篇5
追查用户账号创建安全
如果win2008系统连接到局域网或Internet网络中的话,那么网络中的一些病毒或木马很容易通过网络传输通道,在Win2008系统中私下创建非法用户账号,日后病毒或木马就能利用该非法账号控制或监控Win2008系统的运行状态了。为了保护Win2008系统的安全,我们可以按照下面的操作方法,来追查用户账号的创建状态,日后一旦有用户账号私下创建时,我们能够在第一时间监控到:
首先打开Win2008系统的“开始”菜单,点选“运行”选项,弹出系统运行对话框,执行“secpo1.msc”命令,进入对应系统的安全策略控制台窗口,将鼠标定位于左侧显示窗格中的“本地策略”节点上,再选中目标节点下面的“审核策略”子项,双击“审核策略”子项右侧的“审核账户管理”组策略,打开如图1所示的设置对话框,选中其中的“成功”选项,同时单击“确定”按钮退出;
其次依次点选Win2008系统桌面上的“开始”“程序”“服务器管理器”选项,从弹出的服务器管理器窗口中依次展开“配置”“本地用户和组”“用户”选项,同时用鼠标右击“用户”选项,并执行快捷菜单中的“新建用户”命令,打开新建用户对话框,在其中任意创建一个用户帐号;
下面打开Win2008系统的控制面板窗口,逐一展开其中的“管理工具”“事件查看器”,弹出Win2008系统事件查看器界面,将鼠标定位于该界面左侧显示窗格中的“Windows日志”“安全”节点上,随后我们会在“安全”节点下面见到之前任意创建的用户帐号,用鼠标右键单击这个用户账号,从弹出的快捷菜单中点选“将任务附加到此事件”命令,此时系统屏幕上会弹出附加任务向导设置对话框,依照屏幕提示,依次设置好报警方式、报警内容,最后单击“完成”按钮,那样一来Win2008系统日后就能自动追查出用户账号的创建状态了,日后即使网络病毒或木马偷偷在Win2008系统中创建了非法用户账号,系统屏幕上会立即弹出相关警报提示,我们只要根据提示,就能判断出当前时刻有非法用户账号创建成功了。
善于备份保护账号安全
通常情况下,我们都会选用Win2008系统作为服务器系统,在这种情形下,服务器系统中可能同时保存有很多重要的用户账号信息,如果这些账号信息没有妥善保管好的话,那么一旦Win2008系统发生意外不能正常运行时,所有的用户账号信息可能会发生丢失现象,这种现象很容易给自己带来致命的损失。为了尽可能地避免这种损失,我们必须在Win2008系统运行状态正常的情况下,善于利用数据备份功能,将该系统中的所有用户账号信息备份下来,日后一旦发生用户账号丢失现象时,我们可以快速将账号信息还原成功,下面就是备份用户账号的具体操作步骤:
首先在Win2008系统桌面上依次点选“开始”“运行”选项,弹出系统运行对话框,在其中执行令“credwiz”命令,打开用户账号备份设置对话框,选中“备份存储的用户名和密码”选项,再单击“下一步”按钮,打开如图2所示的设置窗口;
其次单击该设置窗口中的“浏览”按钮,从弹出的文件夹浏览框中,选中保存备份文件的子文件夹,同时设置好具体的用户账号文件名,再单击“保存”按钮退出,如此一来Win2008系统就能自动把用户账号信息备份保存到指定位置了,为了稳妥起见,我们最好将账号备份文件转移到Win2008系统分区之外的其他普通分区中,或者将备份文件转移到其他计算机中;
完成用户账号的备份操作后,我们再也不用担心Win2008系统的用户账号信息会发生丢失了,日后Win2008系统即使发生瘫痪、重装的事件,我们也能快速将用户账号信息还原到正常状态,只要在对应系统的用户账号备份设置框中选择“还原存储的用户名和密码”选项,再导入指定的备份账号文件,就能完成用户账号信息的快速还原任务了。
限制密码控制连接安全
在局域网工作环境中,许多用户为了方便进行共享交流,往往想用空白密码快速完成共享登录或其他网络登录操作;尽管使用空白密码可以有效提高共享交流效率,不过空白密码也容易给网络连接带来安全威胁,例如非法用户不通过密码就能轻易破坏局域网中的共享资源了。有鉴于此,我们可以设置Win2008系统的组策略,限制用户账号的密码策略,确保用户必须使用密码才能正确进行共享访问操作:
首先依次点选Win2008系统桌面上的“开始”“运行”选项,执行字符串命令“gpedit.msc”,将鼠标定位于组策略控制台窗口中的“计算机配置”节点上,从目标节点下面依次展开“Windows设置”“安全设置”“本地策略”“安全选项”子项,双击“安全选项”子项下面的目标组策略“帐户:使用空白密码的本地帐户只允许进行控制台登录”,打开如图3所示的组策略设置对话框,选中“已禁用”选项,同时单击“确定”按钮退出,如此一来用户日后使用空白密码的话,就不能随意进行共享登录或其他网络连接操作了;
其次为了保证密码使用的安全性,我们还需要对密码策略进行设置,强制用户必须使用复杂的登录密码;在进行这种操作时,我们可以展开组策略控制台窗口中的“计算机配置”分支,从该分支下面依次点选“Windows设置”“安全设置”“帐户策略”“密码策略”子项,再双击“密码策略”子项下面的目标组策略“密码长度最小值”,在其后弹出的目标组策略属性设置对话框中输入数字“10”,同时单击“确定”按钮退出,那样一来用户日后访问Win2008系统中的共享资源时,就必须要使用至少10位的账号密码,这样复杂的密码会给黑客带来一定的破解难度。
控制帐户恶意连接安全
为了便于远程管理Win2008系统,不少朋友往往会启用终端服务功能,通过远程终端帐户来对Win2008系统进行管理、控制;不过,在利用远程终端服务功能登录连接Win2008系统时,我们常常会
遇到远程连接超过限制的错误提示,这么一来合法用户就不能正常对Win2008系统进行远程管理和控制了;出现这种情况,很可能是Win2008系统的最大并发连接数没有设置正确,为了避免这种现象,我们除了要正确设置最大并发连接数,还要控制用户帐户空闲会话时间,防止恶意用户账号连接成功之后,光占位不干活,下面就是具体的设置步骤:
首先从Win2008系统开始菜单中逐一单击“程序”“管理工具”“服务器管理器”选项,并将鼠标定位于服务器管理器编辑界面左侧显示窗格中的“配置”节点上,再依次展开目标节点下的“本地用户和组”“用户”子项,用鼠标双击“用户”子项下面的目标用户账号,弹出指定用户账户的属性设置对话框;
其次点选该对话框中的“会话”标签,进入如图4所示的标签设置页面,从“空闲会话限制”下拉列表中挑选一个适当的空闲时间,比方说为了保持用户远程连接效率,我们可以将空闲会话限制时间设置为“5”分钟或“10”分钟,再从“达到会话限制或连接被中断时”下拉列表中选择“从会话断开”选项,最后单击“确定”按钮退出。这么一来,普通用户通过自己的终端连接账户登录进Win2008系统后,要是该终端连接空闲的时间超过规定的时间,Win2008系统就会智能地认为该连接是恶意连接,于是会将目标会话连接强行断开,这个时候合法用户就能有效登录进Win2008系统了。
监控用户帐户登录安全
在公共场合下,自己的Win2008系统可能会被其他人登录,如果有恶意用户登录进来之后,做出一些对本地系统存在安全威胁的举动时,我们可能无法对此进行追查,这么一来Win2008系统日后的运行可能就会存在安全隐患。有鉴于此,我们可以利用Win2008系统的用户帐户登录监控功能,来对系统的用户登录安全信息进行及时追踪记录,下面就是具体的实现步骤:
首先从Win2008系统“开始”菜单中点选“运行”命令,在弹出的系统运行框中执行“gpedit.msc”命令,打开组策略编辑界面;将鼠标定位于该界面左侧显示窗格的“计算机配置”分支上;
其次逐一点选“计算机配置”分支下面的“管理模板”“Windows组件”“windows登录选项”,在目标子项右侧双击组策略“在用户登录期间显示有关以前登录的信息”,打开如图5所示的选项设置对话框,选中“已启动”选项,同时单击“确定”按钮退出,此时win2008系统的用户帐户登录监控功能就被成功启用起来了;日后,我们每次登录Win2008系统后,用户帐户登录监控功能就会把监控到用户账户登录信息自动显示在我们眼前,这样一来我们就能知道究竟是哪位用户曾经偷偷登录过Win2008系统了。
强输账号保护密码安全
为了让Win2008系统的登录效率更高一些,不少朋友总喜欢将自己的用户账号登录状态调整为自动登录,那样一来用户日后登录Win2008系统时就不要手工输入用户账号了;可是,我们在享受这种登录便捷服务的同时,也可能会遭遇一些安全威胁,例如不少支持模仿登录功能的木马程序,能够利用该功能轻松地窃取用户登录系统的帐号名称与密码信息,这样的话非法攻击者日后就能用窃取过来的用户账号来非法控制服务器系统了。为了避免这种现象发生,我们可以对Win2008系统进行如下设置操作,强制用户在登录Win2008系统时必须输入自己的用户账号:
首先依次点选Win2008系统桌面上的“开始”“运行”选项,在弹出的系统运行框中执行“Controluserpasswords2”命令,进入对应系统的用户账户设置对话框;
其次单击该设置对话框中的“用户”标签,选中这里的“要使用本机,用户必须输入用户名和密码”选项,同时点选“高级”标签,进入如图6所示的标签设置页面;