我的位置 首页  >  新闻动态  >  国内新闻

网络时代的个人信息安全

来源:科技成果转化中心时间:2018-07-07
      


互联网络高速发展的时代,个人信息与数据的交换日益频繁,网络资源共享与个人信息保护成为了矛盾的统一体。


据统计,现在大约有40亿人通过互联网进行快捷而又成本低廉的信息交换。也许某天,你打开网页搜索自己的名字会惊奇地发现,上面可以找到自己的电话、职位等等信息。而这些信息你从未自己在网上公布过。


“信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。具体的表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。”


在这其中,一个突出问题是网络上个人信息的丢失和被非法窃取。2009年3月15日,央视315晚会曝光了海量信息科技网盗窃个人信息的实录,给国人极大震惊。“海量信息科技网,国各地的车主信息,各大银行用户数据,甚至股民信息等等,这个网站一应俱全,而且价格也极其低廉。我们仅仅花了100元就买到了1000条各种各样的信息,上面详细记录了姓名、手机号码、身份证号码等等,应有尽有。如果说上面这些信息你觉得还不够全面,接下来的这个木马程序一定会让你心惊肉跳,种了这种木马后,电脑会在你毫不知情的情况下在网上随意任人摆布。”这个事件典型的反映在信息化时代高速发展的今天,个人信息时刻存在着泄露的风险。


以计算机为基础的互联网正在迅速改变和深刻影响社会的每一个方面。以互联网为代表的现代个人数据收集、处理、传输和利用,既促进了社会经济的发展,为人们的工作和生活提供了极大的便利,同时也给个人信息和数据的安全带来了前所未有的严重威胁。


一、个人信息与数据安全的重要性


所谓个人信息,是指一切可以识别本人的信息的所有数据资料,这些数据资料包括一个人的生理的、心理的,智力的、个体的、社会的、经济的、文化的、家庭的等等方面。即指有关个人的一切数据、资料。这些信息有些是其自身产生的,如年龄、收入、爱好等:有些是非自身产生的,如他人对该人的评价等。也可以根据其公开的程度将个人信息分为两类,一类是极其个人化、永远不能公开的个人信息,如信用卡号、财务状况等;另一类是在某些范围和一定程度上可以公开的个人信息,如姓名、性别等。


与“个人信息”相关的一个概念是“个人数据”( Personal Data)。所谓个人数据,是指标识个人基本情况的一组数据资料。


从广义上说,一切有关个人的数据都属于个人数据的范畴。根据信息与数据两者之间的关系,一般认为个人数据属于个人信息的范围,个人信息包含了个人数据;与“个人信息”相关的另一个概念是“隐私”,在《现代汉语词典》中,隐私是指不愿告人的或不愿公开的个人的事。严格按照法律的要求解释“隐私”,就是公民与公共利益无关的个人私生活秘密。它所包含的内容,就是私人信息、私人活动和私人空间。具体来说,诸如身高、体重、收入、生活经历、家庭电话号码、病患经历等等属于私人信息;私人活动是指个人的、与公共利益无关的活动,如日常生活、社会交往、夫妻之间的两性生活等;私人空间也称为私人领域,是指个人的隐秘范围,如身体的隐秘部位、个人居所、旅客行李、学生书包、日记、通信等。


从形式逻辑出发,“个人信息”和“个人隐私”是包含关系,即个人信息包含个人隐私,个人隐私是个人信息的下位概念,是个人信息的一部分。因此当与公共利益无关的个人信息,信息主体不愿公开时就成为隐私。之所以主张保护个人信息,也是因为其涉及到个人的隐私。


1967年, Alan F.westin博士在其成名作《隐私与自由》( Privacy and Freedom)中讨论了隐私的复杂性。 Westin博士认为,每个社会都有四种相互制约的隐私要素:

(1) 独处( solitude)。每个人都需要成就自我的空间,并因之不感觉到为他人所关注。

(2) 袒露( revelation)。每个人都愿意向他人祖露自己,但祖露的内容则取决于两者之间的关系。

(3) 好奇( curiosity),人们希望控制向他人的袒露,但同时对他人的袒露又感到好奇。

(4) 维持公共秩序的政府监控( public observation to maintain public order)。人们希望控制向他人的袒露,公共秩序也要求对祖露实施某种程度的政府监控。


Westin博士认为,以上四个要素存在于每个社会,从最简单的到最复杂的,无一例外。在这样一个社会当中,我们每个人的个人信息必然涉及到一个安全问题。


1.1 互联网的快速发展


互联网的快速发展给个人数据保护带来了棘手的难题。首先,互联网的存在是以计算机为基础的,个人利用计算机登陆互联网并在互联网上冲浪,该个人的个人信息和行为信息等将会被记录下来。这些被记录下来的信息如果被不正当的利用,就会成为个人数据保护的隐私,特别是在网民数量巨大的时候,这一隐患将更加突出。其次,互联网作为一种新兴的媒体,其特点是全球互联,接入方式简便。并且在该媒体上任何人都可以很方便的发表言论。由于全球网民数量巨大,这些言论在瞬间几乎就会传遍全球。所以一旦某些个人数据被公布到互联网上,那么该个人数据将会成为网民们轻易皆知的“秘密”了。


1.2 全球一体化的需求


在国际舞台上,个人信息保护不仅是一个基本人权问题,也极有可能成为某种新的贸易壁垒。实际上,这种趋势已经非常明显并且会进一步加速。在国际贸易层面上,随着新加入欧盟的国家逐步达到欧盟指令的要求,欧盟以及其他国家完全有可能根据对第三国个人信息保护水平的判断,对个人信息的跨国流动做出单方面的限制,进而影响到整个国际贸易的正常进行。尽管美国在个人信息保护问題上与欧盟有不同的看法,并且,美国正尽量利用其影响力在诸如经合组织、APEC等框架内推行其理念,但是,最终效果现在尚难预料。无论如何,个人信息保护法制不健全的国家肯定会在国际人权与国际贸易两方面腹背受敌,受到其他国家或国际组织的打压。


1.3 建设法制社会的需要


现在的银行等金融服务部门会在服务的过程中收集用户的姓名、性别、身份证号码、联系方式等数据;电信服务部门会在服务的过程中收集用户的姓名、住址、身份证号码、联系方式等数据;医疗服务机构则会在服务的过程中收集用户的姓名,性别、身体特征、既往病史等个人数据。除此之外,其他的政府部门和公共服务机构如税务部门、教育机构、保险公司等也会在行政管理和提供服务的过程中收集公民的诸如收入、教育、身体状况等数据。如果对这些收集数据的行为与收集的数据不加以规范,一旦与互联网传播相结合,将会导致严重的侵害个人权利的行为。


改革开放30年,中国的经济有了很大的发展,多数社会成员的物质生活条件有了较大改善,中国已从贫困型社会发展到温饱型社会,并进一步向小康型社会迈进。建设法制社会是我们既定的目标,个人数据的法律保护是法制社会建设的重要环节。如今,人们对精神世界的关注,对人格利益的保护比以往任何时候都更为迫切。与此同时,社会经济的发展又使得社会成员之间的交往比以往更加频繁,大量的个人数据在这些频繁的交往中有可能通过各种途径被频频泄漏出去,于是权利受到侵害的社会成员要求保护其个人权利的呼声也日益高涨。制定一部保护个人数据的法律,规范社会成员正确收集、利用、处理与保护个人数据就显得尤为关键。


二、个人信息安全现状


近年来,国内电信网络已由过去单一的语音交换网络,逐步演进为一个可提供语音、数据、多媒体业务的综合性网络。IP技术已成为电信网络的核心。


目前,IP技术的应用有助于电信业务的多样化发展,有利于降低网络建设成本、满足用户个性化需求。但基于IP技术的网络有其先天缺陷,开放的网络形式引入了IP技术特有的安全威胁,传统电信网封闭性受到破坏。


另一方面,为了实现灵活的网络配置、降低成本,电信设备功能逐渐趋于软件化,很多传统电信设备功能被移植到计算机系统中,一些专用板卡和设备的功能被软件系统所替代,设备软件化引入新的安全威胁,例如,病毒、木马、蠕虫具备了生存环境:复杂的操作系统影响到设备的稳定性和安全性;公开的操作系统安全漏洞以及开放的远程端口易被恶意人员利用等等。


随着移动端手机网络的普及,移动网络也将面临与互联网类似的安全性问题。特别是用户终端种类的多样化,手机、PDA、计算机等都可直接接入4G网络,给恶意攻击者提供了更多灵活的接入方式和强大的终端能力。另外,4G网络可提供更丰富的业务内容,用户能够灵活地上传和下载各种数据、语音、多媒体业务,基于业务内容的信息安全问题也将随之出现。


当前,电信网、互联网等信息网络融合度越来越高,信息技术、业务形式越来越丰富,安全隐患也随之增多,例如:电子商务、网上银行、手机支付等业务可能造成个人账号被窃和网上欺诈;网上社区、手机交友、虚拟世界可能引发虚拟犯罪、国家或商业机密泄露:而网络视频、个人博客等被广泛应用的同时,也为非法色情内容的大面积扩散提供了新的渠道。


三、技术保护措施


3.1 网络防火墙技术


防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代服务器,可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告。


3.2 采用安全通信措施,保障个人数据的传输安全


为保证数据传输线路的安全,可将集中器和调制解调器放在受监视的地方,定期检测是否搭线窃听、外连或破坏行为。通过路由选择控制来限制某些不安全通路。也可采用鉴别技术来鉴别通信方的实体身份和特权,常用的方法有报文鉴别,数字签名和终端识别。此外,可以通过加密算法来实现数据的加密,例如美国数据加密标准DES和因特网免费提供的PG系统。


3.3 加强对用户的管理


在用户信息管理中,身份验证和访问授杈是网上管理用户的基本措施。口令、安全帐号和密码是最常用的验证,我公司通过采用加长口令,使用较大字符集构造口令、限制用户键入口令次数及用户注册时间等方法来保证用户登录的安全性,或通过采用访问授权来控制或限制用户对资源的利用。如果用户想改密码等信息必须提供身份证号码才可以修改。员工在办理业务时不能看到客户的个人信息从而防止用户个人信息泄露。


3.4 加强对病毒的测控


网络个人信息主要是由病毒和木马进行窃取,病毒对计算机系统的危害最大,为防止计算机病毒和木马的危害,公司可以通过限制软盘的拷贝进入、采用集中式防病毒管理模式、对整个局域网中所有节点实行集中管理和控制、通过各种检测方法(特征码扫描、完整性检查、变形分析、推断分析等)检测病毒、自动进行特征码更新、实时清除病毒等方式构成一套完整严密的病毒测控防护网。


——END——


       (科技成果转化中心供稿)