发布时间:2023-10-10 17:15:03
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇个人信息安全管理,期待它们能激发您的灵感。
个人资料成为在网上贩卖的“商品”,莫名其妙接到推销人员的电话……个人信息频频受到侵犯的现象近年来已引起广大群众的极大反感,甚至有人因此受到诈骗、敲诈勒索等侵害。但人们对非法获取和提供自己资料的不法分子却无可奈何。
2011年深圳警方抓获了一名贩卖婴儿信息的女子,其贩卖的信息当中记载了深圳15万名新生婴儿的详细资料,还搜查出深圳楼盘业主、车主名单等数十万份个人信息。
2012年3月20日,北京警方宣布成功破获CSDN网站用户数据泄露案,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益。在2009年刑法修正案(七)中,虽然确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,但未明确该罪的具体界定标准,且追究的犯罪主体只是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,法律对信息泄露者的惩罚机制还远远不够。
据国家互联网应急中心《2011年我国互联网网络安全态势综述》显示,近年来以用户信息泄露为代表的与网民利益密切相关的事件频发高发,“轻伤”者被垃圾信息“攻击”,“重伤”者财物、名誉双双受损,引起公众对网络安全的广泛关注。
“三律”加强个人信息安全防御
面对垃圾短信和洗钱、诈骗等违法违规信息推送以及网络上办假身份证骗取银行信用卡恶意透资、盗取他人账户资金等种种乱象,如何全面加以防范和打击已经迫在眉睫。
针对个人信息泄露的三种主要渠道:一是用户的电脑或手机被木马软件劫持;二是个人信息在互联网传输的过程中,经过一些传输路由时被他人控制;三是网站运营或信息管理机构对个人信息没有尽到妥善保管的义务,在使用过程当中把个人信息泄露出去。与技术因素相比,网站运营或信息管理机构泄露用户信息已经成为侵犯个人信息安全更为重要的原因。必须从源头加以治理,坚持法律、他律与自律三律并施的原则,切实加强个人信息安全防护。
健全法律。工业和信息化部副部长杨学山日前在“2012中国个人信息保护大会”上指出:“个人信息安全已成为目前网络发展的重要问题,加强相关法律法规建设具有重要意义”、“个人信息安全是重要的问题,与网络秩序、社会的稳定与安定均息息相关,个人信息在网络上的集中度越来越高,法律建设的相关环节也就更加具有重要的地位”。立法保护个人信息,是国际上通常的做法。目前世界上已有50多个国家和组织制定了个人信息保护的相关法规和标准。而在我国,虽有近40部法律、30余部法规和近200部规章涉及个人信息保护,2009年《刑法》将泄露个人信息入罪,《民法通则》中也有关于个人隐私的条例,但这些法律法规条例零散、抽象,在现实中普遍缺乏可操作性。《个人信息保护法》初稿已出台6年,但至今未进入正式立法程序。加快推动个人信息保护立法进程,成为社会共识。
加强他律。掌握公民信息的,往往是具备政府管理职能和提供公共服务的机构及社会团体组织,他们掌握着80%以上的个人信息,80%以上的个人信息往往也经由他们泄露出去。因为单凭个人没有如此强大的信息收集能力,只有这些单位趁着工作上留存公民信息的需要而使工作人员有违规操作的可能。因此,各级信息安全工作主管部门必须切实加强对政府机关、公共事业单位和社会团体等组织的信息安全监管,督促其在做好信息系统等级保护和风险评估工作的基础上,切实加强对员工的信息安全管理,促其管束好工作人员遵守职业道德,不趁职务之便而谋利。
严格自律。网民在利用即时通讯工具聊天、在电子商城购物或在交友开博过程中,不知不觉中已经将个人信息存储在网站运营商的服务器中,这些个人信息不仅涉及个人姓名、性别、身份证、电话、邮箱等内容,甚至包括个人银行卡、支付密码、家庭住址等更为私密的内容,而公众所熟悉的杀毒软件重点在保护用户端的电脑安全,对于存储在运营商服务器上的数据安全鞭长莫及。新近提交审批的《信息安全技术、公共及商用服务信息系统个人信息保护指南》,提出个人信息在收集、加工、转移、删除4个主要环节中所要遵循的基本原则、注意事项,应引起个人信息提供者与使用者的高度重视并严格执行。作为个人,要做到不该上的网站不上、不该提供的信息不提供;作为机构,要做到不该征集的信息不征集、使用后不该存储的信息不留存。
“三建议”提升个人信息防护对策
个人信息安全防护是一项系统工程,政府部门作为公民个人信息最大的拥有者,首先应高度重视在个人信息应用方面的管理,为公民网上活动和互联网产业发展提供良好的法律环境。同时,相关企业要加强技术管理,条件成熟时还可设立企业首席隐私官,专门负责处理与用户隐私权相关事宜。而普通大众也要提高个人信息安全保护的意识和能力,防范网络行为可能带来的潜在风险。笔者结合从事信息化与信息安全工作的实践,提出以下建议:
加强学习,强化意识。首先要认真学习修订后的《保守国家秘密法》,深刻领会并全面掌握结果论为行为论的核心要义,严守12条禁令,不碰红线、高压线;按照“四个不得危及、三个不得公开”的原则,处理政务信息公开工作;其次要做好网络技术防范管理,严格遵照《江苏省信息化条例》要求,在信息化规划与建设、信息资源共享与开发利用、信息产业发展与技术推广应用、信息安全保障及其相关管理活动中,逐一落实到位。尤其是信息安全保障系统应当与信息化工程项目同步规划、同步建设、同步运行,使用财政性资金建设的信息网络和信息系统投入使用前,应当进行信息安全登基保护和信息安全风险评估。
加强管理,强化责任。推进党政机关和公共服务系统“网站域名、网络接入、网络终端、网站运维、网络安全”规范化建设,建章立制、层层落实、责任到人,公务人员个人工作电脑与IP地址、MAC地址实施捆绑且规定只允许处理公务;规范个人桌面终端管理,不得随意下载与工作无关的应用软件和文档资料,密级电脑禁止连接互联网,不在连接互联网的电脑上起草敏感重要材料;不同密级设备不混用,同密级移动U盘在同密级电脑间使用。
一、适应形势需要,构筑强大的人事信息安全网络
目前,人事档案中的某些数据已经实现了联网,如公安部门已经建立的覆盖人事档案的信息系统,将整合个人信息资源,提供高效、快捷的服务和应用。但在个人信息电子化的过程中,个人信息泄漏成为最突出的问题,由于网络的共享性而造成的个人信息泄漏事件往往给个人及单位造成麻烦及致命打击。而且随着网络规模的日益扩大及深入应用,各单位自身对网络依赖程度将越来越高,网络结构及使用日趋复杂,网络安全问题越来越突出。近几年,个人信息的泄露已成为较严重的问题。2013年2月28日广州日报刊登了这样一则消息——“中国人寿个人信息泄露,80万份保单可上网任意查”的消息,据消息称有的人莫名收到一份免费保单,或刚在银行办完业务就接到保险公司的推销电话。中国人寿相关负责人回应称此问题因系统升级操作失误所致。目前,发生问题的查询模块已关闭。公司就此事公开道歉。由此看来人事档案个人情况信息化是把“双刃剑”,一方面个人信息资源共享可以实行资源整合,方便快捷查询;另方面,若保密安全防范措施做的不到位,人为失误,那么个人信息就会泄露,后果则不堪设想。
当今单位网络所面临的威胁主要可以分为对网络中设备的威胁和对网络中数据的威胁。因此,信息系统的安全性可分为物理安全和信息安全。
网络中的物理威胁主要包括对硬件设施、网络本身以及其它能够被利用、被盗窃或者可能被破坏的设备的威胁。信息安全主要对信息系统及数据实施安全保护,保证在意外事故及恶意攻击下系统不会遭到破坏,个人及单位数据信息不会泄露,保证信息的保密性、完整性和可用性。信息安全主要面临有病毒及黑客的攻击、人为恶意攻击、非法将信息泄露。其中病毒可以借助文件、网页、移动介质等诸多方式在网络中迅速进行传播和蔓延,具有隐蔽性强、传播速度快,破坏力大的特点,单位内部网络一旦受感染,就会利用被控制的计算机,破坏数据信息,造成网络性能下降、系统瘫痪、数据丢失及个人信息泄露事件。但真正的威胁还是来自内部。人为的恶意攻击是计算机网络所面临的最大威胁。如,对网络未采取有效的防范措施,系统共享情况比较普遍,缺乏有效的访问权控制等。此外信息安全意识和认识不足,网络安全基础设施利用和资金投入不足等非技术层面购成的网络信息安全缺陷也严重威胁个人信息系统的安全保密性。
二、加强对个人信息安全保密管理的督查力度,建立个人信息安全泄密隐患预警机制
在政务公开的背景下,人事档案部门应该积极探索增加人事档案透明度的方法,既不违背党和国家人事档案管理的有关规定,确保人事档案的安全,又通过人力资源信息系统的平台中,达到权限范围内的人力资源信息共享。人事信息系统必须采取安全有效的防范措施,防范非法人员冒用授权用户合法身份登录信息系统,窃取敏感信息。如何有效地管理人事档案的个人信息系统平台,提高系统的安全保密性,确保单位人力资源信息资源利用能够更加可靠、正常、高效地运行?这是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。我认为主要应做好以下三点工作:
1.建立健全组织体系
单位应成立由法人代表或主要负责人担任组长的“人力资源信息系统安全保密工作领导小组,由人力资源处、保密办、信息化等有关部门人员共同组成,负责组织协调整个信息系统的安全工作,明确小组成员的具体职责和分工,形成层次清晰、职责明确的人力资源信息安全责任体系。
2.建立人事信息系统安全保密管控体制
在技术上采取隔离技术、鉴别技术、控制技术、加密技术、防漏技术等措施予以管控,防范个人信息泄漏;在管理上,建立健全“既满足单位实际需要,又符合国家有关人事信息系统安全保密管理策略和相关制度的要求。
3.加强对个人信息安全保密管理的督查力度
关键词:个人;金融信息;保护;法律体系
一、个人金融信息泄露的原因
(一)法律体系不完善,个人金融信息的保护规定不健全。目前,我国尚未制定一部专门的个人信息保护法,发挥个人金融信息保护功能的主要是中国人民银行出台的《个人信用信息基础数据库管理暂行办法》(2005)、《关于银行业金融机构做好个人金融信息保护工作的通知》(2011),这些只是部门性德规章制度和政策文件,两者虽对个人金融信息收集、保存、使用等做了相应规定,但前者属效力层级较低的部门规章,且只针对信贷领域的个人信用信息,后者为规范性文件,在实际工作中不具备正式法的效力,执行能力不强。
(二)银行业金融机构对个人信息安全保护的重要性缺乏充分认识,对个人信息缺乏统一的保护机制。银行业金融机构对客户的个人信息安全保护认识不足,缺乏个人信息安全管理制度,对客户个人信息保密责任不明晰,没有对信息实行有效的安全等级分类管理;对制度的执行监督检查、评估不够,对掌握重要信息的离岗人员的保密责任没有严格的约束措施。目前个人金融信息保护的相关规定只是散见于银行各类业务的管理制度中,无法保证个人金融信息的采集、保管和追踪等各个环节工作的统一性。同时,银行各个业务部门中涉及个人金融信息,没有统一的联系和管理机制,个人金融信息在银行内部没有形成互通互联,这给信息保护带来很大难度,是个人信息保护中的漏洞所在。内部监督检查力度较弱,没有对个人信息保护的专项检查制度,将该类检查纳入常规性检查定期进行的机构比例较低。
(三)监管部门不明确,监管手段欠缺。目前,人民银行从征信管理的角度加强了对个人客户信息保护工作的力度,印发了《关于银行业金融机构做好个人金融信息保护工作的通知》(2011),尽管对个人金融信息收集、保存、使用、对外提供等做了全面的规定,但由于缺乏明确的法律依据,人民银行履行该项职能缺乏必要的监管手段。囿于效力层次,不能设立行政检查检查权和处罚权,人民银行对违反个人金融信息保护规定的金融机构只能采取“核实、约见谈话、责令整改、通报”等柔性处理措施,约束力较弱,保护力度受限,效果不明显。
(四)银行业金融机构缺乏对风险防范意识的宣传和教育,客户对于个人信息保护的意识不强。由于银行金融机构在营销产品的过程中,对产品可能存在的风险没有做到全面告知,客户对个人信息保护虽有一定认识,但对个人信息的重要性及个人信息保护制度的相关细节却普遍缺乏深入的了解,个人信息保护意识不高,风险防范意识较为薄弱。
二、加强保护个人金融信息的建议
(一)制定专门法规,为保护个人金融信息提供法律依据。个人信息的保护法规需要多层次、系统化的制度作为保证,形成协调统一的法律体系。首先要明确个人金融信息的定义,明确银行收集个人金融信息的目的和范围;其次,规定银行保护、使用个人金融信息的法定义务,即要求银行必须按照法定的方式、途径来收集、保存和使用个人金融信息,并履行一定的告知义务;再次,就是侵害个人金融信息的认定办法和救济途径作出明确规定。
(二)银行业金融机构要切实提高客户个人信息安全保护意识。金融机构要加强对个人金融信息的保护工作,完善个人信息系统的建设。对个人金融信息的收集、使用等各个环节做出明确的规定,并建立有效的制度对各个环节面临的风险进行有效的防范。同时,明确保密和管理职责权限,落实责任制,与在岗员工签订安全保密责任书,与离岗人员签订安全保密承诺书;强化监管和问责,定期对信息安全状况进行评估、审计和检查监督,及时发现和纠正工作中存在的隐患和漏洞;加强对员工尤其是新员工的信息安全教育培训,使员工了解信息安全管理的内容、规定以及信息安全管理的重要性,增强信息安全风险意识,防范道德风险。
[基金项目]本文为国家社会科学基金(BSH031)阶段性成果。
一 、网络时代的个人信息安全危机
网络时代,随着信息产业的日益发达和互联网的迅猛发展,以计算机为基础的信息技术使得收集、储存、传输、处理和利用个人信息变得易如反掌,个人信息的收集与交换出现了爆炸式发展的态势。科学技术从来都是一把“双刃剑”,网络在使信息流动便捷的同时,也给个人信息安全带来挑战,提高了个人信息保护的难度。近年来,个人信息泄露事件频发,并呈现迅猛发展的态势,人们越来越强烈地感受到个人信息安全危机给生活带来的种种困扰。
网络时代的个人信息危机主要有如下表现:一是个人信息失控的危机。随着信息技术的发展,个人信息有可能在系统安全存在漏洞的情况下被不法访问、使用甚至篡改,信息自决权成为空谈[1]。2011年底中国互联网遭遇了史上最大规模的用户信息泄露事件,多家大型网站的用户数据被泄露,几千万个用户账号和密码被公开,给社会秩序和人民切身利益造成严重危害。二是个人隐私和尊严的危机。在网络环境下,人们越来越多地把自己的生产和生活移到了网络空间,这个空间是由“个人信息”组成的“数字人”的交往空间。大量个人信息在不知不觉中被收集,个体在社会生活中急速“被透明化”,现代人因此而成为“透明人”或“半透明人”,个人毫无隐私可言,尊严难以保证。三是信息利益的危机。个人信息主体的信息收益权被不法商家夺取,个人信息利益丧失,信息主体的财产权因此而受到侵害。更为严重的是,个人信息危机带来的“信息阴影”已经日渐扩散,正常的社会秩序正因此而面临严峻的考验。个人信息安全的危机,将破坏商业秩序,滋长犯罪、危害社会稳定,制约经济发展,甚至引发公共安全危机。鉴于此,公民的个人信息保护势在必行。
目前,我国在个人信息保护领域的行动主要体现在对泄露公民个人信息的行为和当事人进行追究和打击等补救措施上,这实际上属于一种“事后救济”的反馈控制,不仅已经泄露的个人信息“覆水难收”,而且个人维权成本非常之高,根本无法控制已经泄露信息的网络传播,既治不了标,更治不了本。如何应对网络时代对个人信息安全的挑战?我们建议对个人信息保护引入一种新的思想和机制——前馈控制。
二、 前馈控制与个人信息保护的关系
前馈控制(feedforward control)早期是一个工科领域的名词,后来被引申到管理学中,指通过观察情况、收集整理信息、掌握规律、预测趋势,正确预计未来可能出现的问题,提前采取措施,将可能发生的偏差消除在萌芽状态中,为避免在未来不同发展阶段可能出现的问题而事先采取的措施。简而言之,就是事先分析和评估即将输入系统的扰动因素对输出结果的影响,并将期望的管理目标同预测结果加以对照,在出现问题之前就发现问题,事先制订纠偏措施,预控不利扰动因素,将问题解决在萌芽或未萌状态[1]。由此可见,前馈控制是与反馈控制相对而言的。反馈控制是面对结果的控制,旨在亡羊补牢;前馈控制是面向未来的控制,旨在防患于未然。前馈控制的优势在于可以避免反馈控制的“时滞”缺陷。[2]
凡事预则立不预则废。前馈控制立足于“预控”,是对公民个人信息保护的一个新视角、新方法、新技术和新手段。前馈控制将事先分析和评估个人信息传播过程中可能出现的各种问题和困境并对其问题实施超前控制。比如说充分利用法律法规的前馈控制功能制定专门的《个人信息保护法》,对个人信息的收集和使用过程中的违法违规行为进行预测,并做出详细的处罚规定,从而有效防止违法行为的出现。对掌握公民个人信息的单位进行全方位监管,对个人信息的收集、利用、提供和删除等各环节进行严格排查,尽量避免任何环节的纰漏。提高安全管理技术和全民的个人信息保护意识,都能在很大程度上防止个人信息安全危机的发生,使个人信息保护更有效,进步更显著。
总之,前馈控制能使我们在网络时代个人信息保护的过程中掌握更大的主动权,只有前馈控制做好了,才能真正保护好公民个人信息安全。
三、 对个人信息安全保护实施前馈控制的若干建议
对个人信息安全保护实施前馈控制所包含的内容非常广泛,限于目前的认识水平和篇幅,我们主要提出以下建议。
1.建立和完善个人信息安全保护的法律法规
法律是一种社会规范,具有规范作用,法的规范作用表现为指引、评价、教育、预测和强制五个方面。其中,教育作用是指通过法的实施使法律对一般人的行为产生影响。这种作用又具体表现为示警作用和示范作用。预测作用是指凭借法律的存在,可以预先估计到人们相互之间会如何行为,对行为的预期是社会秩序的基础。完善法律法规是对公民个人信息安全危机进行前馈控制的关键环节,充分发挥法律法规“令人知事,明其法禁”[3]的前馈控制功能,用有强制力的条文明确各方的权利与义务关系,能够在很大程度上对个人行为起到规范作用。大多数发达国家都制定了关于个人信息保护的法律,如美国有《信息自由法》和《隐私法》,德国有《联邦资料保护法》,日本和韩国都有专门的《个人信息保护法》,我国香港地区有《个人资料(隐私)条例》等。然而,我国大陆在个人信息立法上却处于滞后状态,专门的个人信息保护法律历经多年却仍然难产。近期通过的《关于加强网络信息保护的决定》(以下简称“决定”)对于我国网络信息保护具有突破性的意义,重点解决了我国网络信息安全立法滞后的问题,体现了国家对于网络信息安全的高度重视,但是《决定》更多的带有宣示性意味,后续仍需要细化工作。
个人信息牵涉每一个人,网络时代最大的特点就是信息的汇聚性,当所有人的信息汇集的时候,信息保护就不是哪个部门的事了,而是在国家层面上需要考虑的战略性问题。从现实看,当前最需要的是加紧推动《个人信息安全保护法》的研究和制订,明确买卖个人信息罪名的界定标准并加大惩罚力度,对擅自披露他人个人信息和未经许可的二次开发利用者给予严厉打击。除了刑事责任外,其他相关的行政责任、民事责任等还应当及时跟进、完善。要保障个人在信息泄露后有获得补偿和救济的权利,明确机构对公民个人信息流失所造成损失的赔偿责任和责任划分原则,比如银行信息泄露后个人账户中的钱被盗,银行需对个人损失进行补偿。继续细化《决定》中的规定,对与《决定》有关的行政法规进行清理,对有些不一致、有冲突的地方,还要进一步加以衔接,同时抓紧制订相关的配套法规。通过法律法规的制订,将公民个人信息保护过程中可能出现的问题进行合理预测,让规定走在行动前面。但是保护个人信息本不应该牺牲信息的流动性,好的立法应该在保证个人信息的合理流动与个人信息的全面保护之间寻找到平衡点,选择吸收各种立法模式的有益经验并结合本国的法律传统和具体国情做出合理的制度设计。
2.建立个人信息安全保护的监管机构
网络时代个人信息泄露的形式多样、手法灵活,应对网络时代的个人信息安全危机,单靠法律不足以解决所有问题,要做到有法必依、执法必严,否则法律不过是纸上谈兵。强有力的行业监管是实施前馈控制的重要手段和有效途径。新通过的《关于加强网络信息保护的决定》明确规定,有关主管部门应当在各自职权范围内依法履行职责,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。在我们国家,个人信息保护目前仍然处于各自为政的状态,某种程度上说,管理者和被管理者并没有严格地区分开,管理部门和被管理对象处在同一个行业,很难完全客观、公正地进行执法。机动车销售、房产中介、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息。这些行业虽然有内部系统出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见等,但由于部分从业人员法律意识不强,企业管理、执行不到位等情况,存在制度漏洞。因此,这些行业成为个人信息泄露的“重灾区”。 从其他各国情况来看,建立一个独立、统一、权威、有效的监管机构是普遍经验,比如英国的网络自律协会IWF(Internet Watch Foundation),它能够超出行业的局限,独立公正地执法。公民个人信息安全保护,在法律法规之下,需要政府强化监管,只有完善和加强监管才能让无良者无处遁形。应该设立专门的个人信息保护监管执法机构,加强对信息持有单位的监管,进一步加大监督检查力度,建立预警和预控相结合的前馈控制机制,强化对个人信息的事前管理,包括个人信息的获得、收集、持有和使用各个环节全面监管,不要等信息泄露,危机发生之后才补救。充分重视自律机制在个人信息保护中的作用,拥有个人信息采集权的部门和单位要加强行业管理,用行业制度规范个人信息的处理行为,通过行政执法、刑事执法、民事救济手段配合建立政府引导下的行业自律机制和模式,从源头上预防和遏制对个人信息的侵害行为。拓宽公民监督举报渠道,进一步畅通举报受理机制,鼓励公民个人参与个人信息泄露的监督。
此外,尊重网络用户的个人选择权利。就是说,个人角色选择及隐私设置,想匿名还是实名应该由网络用户自己决定。可以提倡有些商业网站的做法,对用户信息采取“分级查看”的权限设置,除了必要的管理员,一般员工无权从后台查看用户的注册信息,倘若确有必要查看,必须按照严格的程序报批。在互联网上,必要时应明确限制政府的权力,有些数据政府必须得到合法的授权才可以看。
3.建立个人信息安全保护的前馈控制技术支撑体系
前馈控制不仅是方法,某种程度上更是一种技术和手段。对个人信息进行保护,除了法律和监管,还需要安全管理技术的提高。“黑客”的攻击,是一些网站数据库失陷的原因。一些网站的疏于防范,给“黑客”造成了不少可趁之机。通过技术手段可落实安全保障,要加强网络安全防护,依据分区域、按等级、多层次的防护思路进行安全规划、安全评估、安全加固与安全维护,并且对已有的安全技术进行改进与完善。建立信息安全管理体系(ISMS),通过系统、全局的信息安全管理整体规划,确保用户所有信息资源和业务的安全与正常运行[1]。网站要在安全建设方面加大资金投入力度,网络运营商应该尽到自己的保密义务,改变数据库存放策略,在当前技术范围内最大限度保证信息安全。比如我们可以设计一种软件,如果我们把自己的个人信息输入到某个网站之后,该网站三个月之后会自动删除我们输入的信息,不会把我们的个人信息留下,这样的话在技术层面上能够保证个人信息的保护。还可构建信息安全平台,为用户提供保护信息安全的产品。
建立个人信息安全前馈控制系统。研究个人信息所处环境中可能存在的缺陷、漏洞及面临的威胁,通过安全风险评估技术,观察、测试、收集、评估、分析个人信息存在风险的不确定性和可能性等因素,构建预警体系,制订预控策略和方法,最大限度地避免和减少可能的损失。
4.提高公民的个人信息安全保护意识
关键词:大数据时代;信息安全保障
一、个人信息泄露及滥用危机
据统计,2014年全国发案40余万起,群众损失107亿元;2015年全国电信诈骗发案59.9万起,造成经济损失222亿元;2016年仅1月至7月,全国共立电信诈骗案件35.5万起,同比上升36.4%,造成损失114.2亿元,而且连续发生数起引起全国关注的因诈骗致死恶性案件。而这一切都源于个人信息被故意泄露。
(一)智能设备数据采集引起的个人信息泄露。以智能手机、穿戴设备等为主的智能移动终端现在已经作为每个人的贴身物品,其数据采集手段主要是通过通信网络与互联网交互。用户在上网过程中的每一次点击、录入行为都会在某个网络供应商的服务器上留下相应的记录,每一个人的数据都可以完全勾勒出这个人所有一切的行动轨迹、健康信息、通信信息等几乎所有隐私。
(二)数据存储安全问题引起的用户信息泄露。大规模的数据存储需要严格的访问控制和身份认证管理,却并未引起大部分网络服务商和政府网站的重视。CSDN网站被爆出了600万个人信息被泄露,就是属于明文密码的范畴,危害极大。作为IT业界有一定影响力的互联网服务商,竟然能够出现如此低级的问题,就可以反映出国内整个互联网服务商的安全管理意识和管理水平。
(三)数据使用过程中引起的信息泄露。各类互联网网站的生存环境非常不理想,经营网站可以获取的利润途径有限,网站运营者将用户个人信息数据经过挖掘和分析,用户在网站上的每一个行为,都会被数据公司所重视,这种行为数据分析方式,不仅可以精准地了解用户喜好,还可以细化到具体用户的个人信息上。然而利用用户行为信息的商业运作,在享受便利的同时,用户个人信息被滥用或倒卖就变成了巨大的隐忧。
(四)数据管理不善引起信息泄露。这类情形多出现于政府与银行等国家企事业单位内部,由于其掌握的用户信息准确、全面,部分人员在利益驱使下,故意贩卖个人信息,而这类个人信息泄露造成的社会危害最为巨大,造成的损失也最为严重。
二、大数据时代下信息安全保障体系
(一)提升个人信息保护意识,从国家层面重视个人信息保护。智慧城市建设大大加速了大数据的生产,由于城市公共信息平台汇集了城市的地理空间信息、人口信息、经济信息、信用信息、政务信息等各种信息资源,因此,这些大数据无疑已成为国家重要的战略资源。
(二)加强个人信息安全的立法保护工作。网络时代和大数据的使用在很大程度上加大了隐私泄露的风险,更容易侵犯个人隐私权。建立起一个完善的、具有较强可操作性的个人信息法律保护体系。尽快出台统一的个人信息保护法,以明确个人信息的权利边界,个人信息收集及使用者的责任、义务,及侵权救济等问题。
(三)加强对个人信息的安全管理及技术防护。应该注意的是安全工作的工作对象及主体都是人,必须要走出“重技术、轻管理”的误区,信息安全防护在重要性上首先是对体系制度的规范,其次才是技术的支撑,所谓“三分技术、七分管理”。并且充分重视信息技术的创新开发,培养技术人才,提高我国信息技术水平从而为个人信息保护提供保障。
(四)建立健康的信息安全生态环境。政府、企业、用户都是数据的生产者、采集者和使用者,要从根本上保障信息安全,应该群策群力,政府、企业、用户分别承担起相应的保护信息安全的责任,加强行业监管,提高信息安全监管水平,并在保证个人隐私安全和数据库安全的前提下,推动政府数据公开。大数据时代的到来极大地促进整个社会的发展。大数据在各行各业中的应用,使我们全面、深刻地认识了这个社会,从而更进一步掌握社会变化趋势。
参考文献
[1]李欲晓.云计算大数据时代个人隐私保护刻不容缓[J].理论导报,2013(7).
>> 议大数据时代下的个人信息安全 大数据时代个人信息安全保护对策 大数据时代社交网络个人信息安全问题研究 大数据时代网络环境下个人信息的安全保护 大数据时代下的个人信息安全的重要性探讨 移动化、大数据时代,个人信息怎么保护? 大数据时代,别让个人信息“裸奔” 个人信息安全将从产品步入服务时代 国家智能终端软件产品质量监督检验中心:APP检测认证是信息安全保障 大数据时代政府对个人信息的保护问题 我国大数据时代个人信息保护研究综述 大数据时代下刑法对个人信息的保护 大数据时代,如何织密个人信息“保护网” 大数据与云计算环境下个人信息安全协同保护研究 浅析大数据环境下的个人信息安全保护 大数据背景下大学生个人信息安全风险研究 大数据背景下的个人信息安全问题 强化个人信息安全管理,构建网络时代信息安全基础 大数据背景下个人信息权的研究 浅谈APP注册视角下大学生于大数据时代下保护个人信息的方法 常见问题解答 当前所在位置:.
[2]齐爱民.拯救信息社会中的人格――个人信息保护法总论[M].北京:北京大学出版社,2009:20.
[3]刁胜先.个人信息网络侵权责任形式的分类与构成要件[J].重庆邮电大学学报(社会科学版),2014(2):2835.
[4]刘东升,陈宇杰.政治经济学原理[M].北京:对外经济贸易大学出版社,1999:52.
[5]梁慧星,陈华彬.物权法[M].北京:法律出版社,1997:67.
[6]吴汉东,胡开忠.无形财产权制度研究[M].北京:法律出版社,2001:33.
[7]赵相林,曹俊.国际产品责任法[M].北京:中国政法大学出版社,2000:46.
[8]张娟,李仪.电子商务环境下消费者个人信息保护危机与应对――以新制度经济学为视角[J].重庆邮电大学学报(社会科学版),2015(3):3943.
[9]PIPA介绍[EB/OL].(20131028)[20150128].http:///NewsDetail.asp?ID=273.
为了准确掌握我校学生网络信息安全意识现状,为分析原因、加强防范、堵塞漏洞提供依据,我们在部分学生中专题开展了网络信息安全意识问卷调查。从调查反馈的情况来看,我校学生网络信息安全意识相对有一定的基础,但总体仍不够强,值得我们深入分析研究并采取有效对策,及时全面提高学生的防范意识和防范能力,在充分享受互联网和信息社会带来好处的同时,严防网络信息违法犯罪现象和受骗受害现象的发生。具体报告如下:
一、调查概况
本次调查对象为东校区学生,采取随机确定的方式,共发放问卷300份,收回291份,回收率达97%。调查的主要方式是实际接触被调查者,交谈了解基本情况,要求被调查者独立填写不记名调查问卷。调查得到了同学们的积极支持,大家普遍比较认真地回答了每一个问题,并且比较真实地表述了自己的情况、表达了自己的想法。
二、数据分析
本次问卷调查共15道题目,以多选题为主,占三分之二;另有单选题5道。内容主要涉及大学生网络信息安全知识的掌握、对本人及他人信息安全的认知态度等多个方面,具体分析如下:
1)网络信息安全知识了解情况。291名被调查大学生中,有93人表示经常有意识地了解网络信息安全知识,占31.96%;有84人表示非常少;有65人表示偶尔了解;有49人表示从来没有了解。说明大学生普遍还没有及时掌握必要的网络信息安全知识。
2)个人信息安全的认知情况。291名被调查大学生中,有98人次认为个人信息安全是指在使用计算机时个人信息不泄露或不会被他人获取;有74人次认为是信息网络的硬件、软件及其系统中的个人数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断;有63人次认为是日常生活中个人信息不被他人知道和窃取;有80人次认为是一切与个人有关的信息的保护。可见相当一部分大学生对个人信息安全的概念仍不清楚,不知道个人信息安全与计算机技术、网络技术发展密切相关。
3)利用网络搜索他人信息情况。291名被调查大学生中,有110人表示经常会利用网络搜索他人信息,因为想解他人;有145人表示仅在有需要的时候偶尔会利用网络搜索他人信息;有36人表示从不这样,因为很无聊。三者比例分别占37.80%、49.83%和12.37%,说明大学生网搜他人信息行为总体正常。
4)网络安全问题认知情况。291名被调查大学生中,有53人次认为破坏分子作伪装绕过安全检查属于网络安全问题,有128人认为网络服务器因断电停机属于网络安全问题,有83人认为因病毒导致系统瘫痪属于网络安全问题,有61人次认为伪造IP地址骗取其口令获取对计算机的访问权限属于网络安全问题。说明有近一半的大学生对网络安全问题内涵不太清楚。
5)遭遇过哪些网络安全问题。291名被调查大学生中,有121人次反映遭遇过垃圾邮件侵扰,有89人次表示受到过病毒攻击,有119人次表示信息曾经被盗,有76人次表示遇到过其它形式的网络安全问题。说明侵犯网络信息安全的现象已经较多地影响到大学生。
6)个人信息泄露原因。291名被调查大学生中,有83人认为个人信息泄露最主要的原因是网络普及管理不规范,有112人认为是法律不健全,存在个人信息买卖市场,有72人认为是学生个人信息安全意识薄弱,有69人认为是电脑病毒、木马横行。总体上表明大学生对个人信息泄露原因是有思考的。
7)对校内个人信息安全建设的满意度。291名被调查大学生中,有182人对校内的个人信息安全建设表示满意,有109人表示不满意。说明校园个人信息安全建设尽管得到大部分大学生的认可,但仍有值得加强的地方。
8)对学校信息安全保障的期待。291名被调查大学生中,关于学校应当采取哪些措施保障个人信息安全,有114人次提出应该建设个人信息安全平台并绑定个人,137人次提出应该加强后续处理监督,121人次提出应该加强对于学生信息安全教育。应该说学生们的期待是建立在关心信息安全基础上的合理要求。
9)网络安全信息技术了解情况。291名被调查大学生中,了解网络信息安全技术的情况不太乐观,有97人次表示知道密匙管理技术,有103人次表示知道数字签名和认证技术,有141人次表示知道网络入侵检测和防火墙技术,有107人次表示了解电子商务安全技术。
10)获取网络信息安全知识的途径。291名被调查大学生中,有131人表示从网络获得相关知识,107人表示从书籍上获得,146人表示从课堂上获得,123人次表示从新闻媒体上获得。应该说大学生获取信息安全知识的途径是多方面的,基本上不存在获取不到的困难,主要是看不看的问题。
11)提高大学生网络安全意识的办法。291名被调查大学生中,有121人次建议开设讲座,97人次建议开主题班会,27人次提出发宣传单,101人次提出通过网络视频。应该说,大家对提高网络安全意识是有期待的,也希望有更多的渠道来加强个人信息安全保障。
综合以上数据进行分析,调研组认为,我校大学生信息安全意识有待提高,尽管越来越多地利用网络、自媒体进行交流、娱乐和学习,但主要精力花在如何从网上得到信息, 较少考虑如何在网络环境下保护自己的信息。交谈得知,不少学生会将自己的真实材料到网上, 碰到过QQ 密码会被盗, 登录口令过于简单等现象。大学生信息安全防范知识和操作能力有待加强,尽管因为新闻宣传、课堂教育等因素对防火墙、病毒等基本知识比较了解,但比较完全的网络信息安全管理和防范知识知之不多,一些学生不会安装操作系统、配置防火墙,不知道需要定期升级病毒防治产品, 不懂得如何更好的配置自己的计算机,也没有掌握保护自身信息安全的基本防范技能。
三、对策建议
大学生的学习、生活和准备就业已经越来越离不开网络,网络的发展对当代大学生的思维方式、行为模式、心理发展、价值观念和政治趋向等都产生了深远的影响。在越来越多地参与网上购物,使用网上银行等网上商务活动的过程中,涉世不深的大学生也日渐成为网络信息盗取和网络诈骗、网络盗窃等违法犯罪行为的猎物,一些不良商家也通过盗取信息来达到不正当竞争的目的。作为学校要重视和提高大学生的网络综合素质,加强学生的网络素质、网络技能、实践运用网络综合能力和网络安全意识的培养,督促提高安全上网意识,学会使用杀毒软件及防火墙,学会为别人也为自己提供一个安全和谐的网络空间。具体有四个方面的建议:
1)加强大学生网络法制教育。网络安全教育一个不可忽视的方面是思想教育,这其中最重要的是法制教育。目前网络犯罪是十分常见的包括网络欺诈、网络谣言的散播等。网络的匿名性特点给了许多人一种“漠视法律的理由”,认为没有具体监管就不算犯罪,其实不然。这体现的是网络法制教育的缺失,所以教育学生们什么在网络上是可以做的、是合法的,什么是不可以做的、是违法的是十分重要的,对维护网络安全运行也是有重要作用的。
2)充分利用课堂教育普及网络安全知识和技能。建议在计算机普及课程中除讲授常用软件知识外,增加计算机网络安全知识,让学生了解系统管理用户、文件和其他硬件资源的安全机制。对网络安全的基本理论知识和系统安全策略,如加密解密算法、防火墙的工作原理与作用、系统漏洞及修补方法、硬盘保护卡的工作原理与使用方法也要多加讲授。同时,要加强对大学生的网络安全法制教育,提高学生的网上自我约束能力、自控能力,不利用网络散播其它同学和老师的私密信息,不参与网络信息违法活动。
3)积极拓展课外空间,开展形式多样的网络信息安全防范活动。可以定期开设网络安全知识专题讲座,就课堂教学中不能深入讲解的问题或薄弱环节,如网络行为规范、个人计算机安全策略、计算机病毒的新动向、病毒查杀软件的使用,引导有兴趣、有需要的大学生深入学习并积极参与防范。 建议每年举办网络安全知识大赛、网络安全知识调查、网络安全主题漫画比赛等,丰富大学生的业余生活,实现以生教生,在校园中普及网络安全知识,构建网络安全防范的群防群治机制。
4)建议成立校级的信息安全管理机构。主要负责校园网的日常安全与管理工作,及时了解本校学生的网络使用情况;定期最新的网络安全信息,让大学生及时了解网络不安全因素的动态。现代大学生作为国家未来的接班人,有责任与义务充分意识到网络安全隐患,在经济全球化,网络快捷化的浪潮里,不被外界因素迷失本心,努力做到规范上网,不触犯法律法规,提高网络安全意识,做一名合格的大学生。
关键词:云计算;个人信息;安全风险
一、云计算及其潜在风险概述
云计算是继分布式计算、网格计算、对等计算之后的一种新型计算方式,通过互联网上异构、自治的服务,为用户提供定制化的计算。云计算是将网络储存技术、虚拟化技术、网格计算技术、并行处理技术、分布式处理技术等软硬件技术融合发展的集大成者,也是集合了网络、服务器、计算、储存、应用软件等资源并提供快速便捷、即需即取服务的共享平台。云计算具有按需服务、广泛的网络接入、资源池化、快速弹性以及按使用量计费等5个特点;涵盖私有云、社区云、公有云、混合云等4种开发模式]。云计算有3大优势:
一是具有强大的存储和计算能力,能提供即需即取的服务。最大的云计算平台的服务器数量达到百万级别,一般的云计算企业的服务器数量在几十万台,比较小的企业私有云服务器数量也要数百上千台。另外,云计算还能够弹性配置、动态伸缩,以满足用户规模和计算量增长的需要。二是具有开放性,能实现资源共享。云计算将虚拟化技术、分布式计算技术、效用计算技术和定制、计量、租用的商业模式相结合,最大效率地利用了随时连接、随时访问、分布存取的各个服务器,实现了资源的共享。三是具有管理成本最小化以及与服务供应商的交互最小化的优势,能降低使用成本。云计算具有规模效应和网络效应,在硬件成本、管理成本、电力成本、资源利用率方面都有极大的成本优势,企业和个人也省去了服务器的磨损、闲置和管理成本,只需按需要使用相应功能、按服务量支付费用。云计算潜在的安全风险与云计算的技术优势和经济效益总是如影随形。用户对于个人信息安全的担忧是云计算服务推广应用的首要障碍,云计算的理念是开放和共享,而个人信息安全注重封闭和私权,两者之间存在一定的矛盾。个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可识别特定个人的信息[5]。个人信息涉及用户的人身自由、人格尊严、财产权利等基本权利,事关重大,一般具有极高的敏感性。用户在决定是否使用云计算之前会对云计算的安全风险加以衡量。使用云计算功能在线存储的文档、图片、视频等文件大量涉及个人信息,一旦云计算的安全体系被攻破,则可能发生个人信息泄露、贩卖等事件,严重危及用户的人身财产安全,甚至会造成社会恐慌。与传统的互联网技术相比,云计算环境下保护个人信息的必要性更加突出。一是因为云计算下个人信息脱离了用户的控制范围,一旦云计算服务商的数据中心发生事故,用户无法知悉,也无法及时采取措施,只能被动挨打。
二是因为云计算的交互式、参与性、网络化的特点,用户几乎将所有个人信息被动或者主动地全部暴露在云计算服务商平台上,存在信息不对称和能力不对称的问题,一旦发生侵权事件,用户损失巨大,而且难以维权。
三是因云计算的普及性和规模性,小的漏洞都会造成巨大的破坏,损害具有连锁反应。比如,2011年亚马逊的EC2业务由于出现一点小的漏洞,整个云计算数据中心出现全范围宕机;2012年微软的WindowsAzure平台由于个人服务的设置问题,导致所有集群的功能不能使用。目前,研究云计算时代个人信息安全保护的学者大多从国家立法、行业立规的角度展开。针对个人信息保护的建章立法固然重要,特别是构建规制云计算环境下个人信息保护问题的法律规范和行业标准正当其时,法律的具体执行,特别是建立个人信息安全风险的防控机制和措施更是迫在眉睫,本文拟从这一角度进行探析。
二、云计算中的个人信息安全体系与技术风险
云计算架构分为基础设施层、平台层和软件服务层3个层次,分别对应简称IaaS、PaaS和SaaS3个服务类型。IaaS是由政府或者企业建立的大规模服务器和网络传输连接装置等基础设施,同时采用虚拟技术将分散到各个数据中心的服务器集中起来。PaaS包括基本硬件、基础软件、储存设备等,起到应用支持的作用。SaaS的作用是制定一系列标准和协议,构建公共平台,提供最终的应用服务。分层是横向的、纵向的管理系统将这些资源进行统一的配置和统一运行,实现一站式的服务。不同的云计算服务模式意味着不同的个人信息安全体系,目前大多数个人信息安全体系就是基于云计算服务模型构建的。
(一)IaaS层的个人信息安全体系与技术风险IaaS服务提供商将基础设施,包括服务器、储存、网络等IT设施进行组合,形成不同规模、不同用途的服务产品,大到集网络、数据计算、数据处理于一体的应用系统,小到一台处理简单业务的服务器,然后以套餐的形式提供给用户。用户可以像在麦当劳点餐一样,租用产品目录上的IT基础设施服务套餐,将自己的应用部署在上面,开展各种业务。使用IaaS服务的信息安全风险比较大,无论是物理设施、虚拟化技术、接口设施、还是应用程序,如果发生自然灾害或者操作错误,将会对信息安全造成釜底抽薪般的巨大影响。其中,虚拟化安全风险是防范重点。一方面是虚拟机自身存在的安全风险,包括可能面临用户劫持、脆弱的防火墙等;另一方面是虚拟化软件带来的安全风险,包括未经授权的访问、非法删除、非法添加等[6]。在传统计算机技术下,对于个人信息的保护已经有比较成熟的技术,包括加密和密钥管理、身份识别和访问控制、安全事件管理等。云计算环境更加复杂,更加开放。云计算环境下的IaaS个人信息安全体系的关键是将这些技术进行融合,按照一定的技术标准,形成兼容的、完备的安全闭环,确保物理安全、网络安全、虚拟化安全、接口安全。一是要加入安全防护技术,利用防火墙、病毒防护墙等对整个IaaS进行防护;二是要加入访问控制技术,利用加密和解密管理、身份识别等技术为用户提供用户登录管理、用户认证、数字签名等安全管理服务;三是要加入审计技术,对用户的登录和使用情况进行统计分析,按照不同的风险级别区分不同的安全域,实施不同等级的安全干预[7]。
(二)PaaS层的个人信息安全体系与技术风险
PaaS层处在云计算的中间层,具有承上启下的作用,其对于个人信息的整体安全具有重要作用。PaaS服务商提供的是应用基础设施服务,即中间件服务。PaaS用户可以将其应用系统布置到PaaS平台上,应用系统服务器、网络、操作系统、信息管理等应用系统运行的环境,由PaaS服务商提供保障。所有PaaS服务商不仅提供平台,还提供安全服务。他们的职责是提供安全可靠的运行环境,保证用户的信息安全。PaaS个人信息安全体系要求数据处理符合国家法律法规的要求,主要包括:数据存放位置、数据删除或持久性、数据备份和恢复重建、数据发现;同时禁止一些不当的个人信息处理行为,比如:不同客户数据的混合、数据聚合和推理。PaaS个人信息安全体系重点在于对价值较高的个人信息的保护,尤其是防范对个人信息的交叉查询。
(三)SaaS层的个人信息安全体系与技术风险
与等软件服务模式类似。在SaaS平台上,用户不用购买软件,也不用维护管理,只需要按照服务类型和服务时间支付费用,就可以选择使用符合自己需求的软件。SaaS服务商不仅要管理维护自身的软件,而且要将用户的个人信息储存在自己的服务器上,以便用户随时随地可以接着使用软件。个人信息违法犯罪的概率总是与管理权限成正比。特别是在SaaS层下,存在一个基本的矛盾,一方面,SaaS需要将用户的个人信息进行备份,保存在多个不同位置的服务器上,防止数据丢失、数据删除,提供及时的数据恢复服务;另一方面,SaaS可能涉嫌秘密保存和永久保存用户的个人信息,在用户不知情或者已经删除软件上的个人信息的情况下,仍然保留电子痕迹并随时可以恢复数据。所以SaaS应该提供给用户透明的个人信息储存、删除和保护方案。当然,由于SaaS的共享性,用户的个人信息安全风险主要来自第三方的攻击、窃取和篡改等。SaaS层的个人信息安全体系应该包括以下4个方面内容:
一是应用的安全,软件运行的环境安全可靠,软件能够及时更新换代,确保没有漏洞;
二是个人信息数据库的安全,数据库与应用软件数据应该隔离分开,多个服务器进行分别储存,并使用防火墙、密钥管理等技术进行数据库的保护;
三是个人信息的传输安全,采用加密的传输协议,确保用户在客户端和云计算服务器之间传输个人信息时不被截留;四是访问控制机制,由于多个用户共用云计算服务器,需要对个人信息进行分块隔离,采用身份识别、数字签名和访问控制技术对访问登录进行严格管理。上述分析是着眼于云计算平台3个层次本身的技术漏洞,除此之外,云计算用户的服务终端也是个人信息安全风险的重要源头。一方面,云计算环境下,服务终端与云计算平台连为一体,构成一个统一的系统,具有极强传染性和破坏性的病毒很可能从服务终端侵入到整个云平台,导致整个云的崩溃或者瘫痪。特别是现在手机服务端日益普及,APP使用率日益增高,手机病毒的传播更加猖獗,也极易侵入云计算网络。另一方面,黑客也很可能通过云计算网络对服务端发起攻击,即使用户的计算机采取防火墙、杀毒软件等安全措施,但毕竟防范投入和水平有限,未必能阻挡病毒的侵袭。恶意代码制作者、病毒邮件发送者以及其他恶意攻击者可能直接窃取用户服务端的个人信息,这种窃取采取各个击破、蚂蚁搬家的形式,更加难以觉察和防范。他们也可能破解或者盗取用户在云计算平台上的登录名称和登录密码,盗取用户储存在云计算数据中心上的海量个人信息。
三、云计算中的个人信息安全管理风险
除了云计算技术风险,云计算的管理不善也可能带来个人信息的安全风险。天灾易避,人祸难防,云计算时代个人信息安全管理风险更大,后果也更为严重。技术风险多为概率事件,偶然性较强,而管理风险存在主观故意,发生的可能性更高。技术风险可能造成个人信息的破坏或者丢失,但不一定立即引起直接损失,而管理风险一般伴随着恶意商业目的,紧接着就可能造成用户财产的损失或者人格权利的侵害。技术风险可以由云计算服务商通过技术改进进行补漏,通过人工操作进行补救,但是,在信息不对称的现状下,道德缺失造成的云计算服务商监守自盗所带来的风险几乎是难以防范的。下面笔者将从个人信息的收集、利用、处理3个方面归纳总结各种安全风险。
(一)道德的失范导致的个人信息收集风险
在云计算产业巨大利益的驱使下,云计算服务商可能有意或者无意地大量收集用户的个人信息。云计算的主要商业模式是由云计算服务商运用数据挖掘技术,海量收集各类政府机关、企事业单位、个人用户的信息,进行储存、信息交换、个、定向营销等。信息量越大,服务功能越强,商业价值就越大,这直接激发了云计算服务商收集个人信息的动力。首先,用户在使用云计算上的软件时,并不知悉个人信息已经被计算服务商获取。虽然法律规定服务商必须履行告知义务,但是软件的告知明细往往过于复杂,用户如果不仔细阅读一般都难以发现。特别是信息收集技术的不断进步,云计算服务商的信息收集能力不断增强,信息收集的种类和数量往往超出了用户能够知晓的范围。有时候,云计算服务商秘密收集或者备份用户的个人信息,但有时用户知道自己的个人信息要被收集,为了享有便利的服务,不得不放弃个人信息权。其次,由于数据挖掘、数据比对等众多信息收集技术的出现,云计算服务商具备了强大的信息比对、分析、归纳、推理、整理能力,能够将用户在不同平台不同服务中的碎片化个人信息整理成完整的个人信息图谱,能够掌握用户完整的特征和清晰的活动轨迹。虽然这些个人信息能够更方便地为用户提供优质的个性化服务,但这些脱离信息主体的个人信息,往往处于事实上的权利失控状态,信息主体并不知道谁收集、处理和利用了他们的信息,以及以何种手段收集、处理和利用他们的信息,这构成了巨大的个人信息收集风险[8]。第三,不同云计算平台之间可能存在不正当的个人信息交换,秘密签订个人信息共享协议,实现云计算服务商的商业利益最大化。特别是在云计算不区分国界的情况下,个人信息的跨境传输更难以管控。斯诺登事件就曝光了一些云计算企业在国家力量的支持下,收集其他国家公民的个人信息。这样的跨境收集个人信息的行为,不仅侵害了公民的民事权利,还侵害了一个国家的信息。
(二)规则的缺失导致的个人信息利用风险
云计算产业发展迅猛,但是云计算领域的规则和标准的建构与完善却相对滞后,这种不对称的发展造成了个人信息安全领域的无序状况,容易造成个人信息利用的违法和犯罪。首先,云计算安全技术标准还有待强化和细化。没有统一的云安全技术标准,无法强制要求云计算服务商布设有关安全技术措施,导致一些服务商重视能够带来盈利的商业技术,而忽视了不能带来直接利益的安全技术。没有安全技术标准的约束,一些云计算服务提供商还可能在云计算系统中插入秘密收集个人信息的软件,比如等等。其次,云计算行业的制度规范也尚未制定。云计算产业需要一套关于个人信息保护的完整的行为准则,确立个人信息数据库的管理制度,明确个人信息处理人员、安全管理人员、系统开发人员和系统操作人员的职责范围和操作规程。云安全规则的缺失极其容易造成个人信息的滥用。云计算服务商可能将个人信息应用于定向推送广告、不断骚扰下的强迫交易、信息销售等。在现实生活中,用户将身份证复印件提供给服务商时,往往在身份证上注明“仅限用作……”等字样,确保身份证复印件的有限使用和特定用途使用。但是电子数据形式的个人信息极易被复制,很难保证服务商不将其挪作他用。第三,由于个人信息相关法律不够健全,云计算环境下个人信息的保护法更是少之又少,个人信息缺乏有力的司法强制力的保护。云计算用户在个人信息遭受侵犯时,往往难以获得有效的救济。云计算没有地域性,个人信息案件的管辖难以明确,造成立案难;云计算具有虚拟性,电子数据极易篡改,造成个人信息案件的取证难;另外,个人信息具有非物质性,其价值难以计量,造成个人信息案件的赔偿难。
(三)管理的失位引发的个人信息处理风险
我国云计算产业刚刚起步,无论是监管机构还是云计算企业,都尚未建立完整有效的管理机制。一方面,政府监管力度不够。目前,我国云计算的监管部门是国家工信部,由于其职能主要是促进产业发展,因此往往重发展而轻安全。个人信息的违法犯罪涉及司法权和行政执法权,信息化管理部门还无法行使调查取证、强制措施、搜查冻结、罚款没收等权力。另外,由于条件的限制,信息化管理部门进行个人信息安全执法的力量较为薄弱。另一方面,企业管理动力不足。云计算服务商利用个人信息的利益和用户保护个人信息的权利存在一定的矛盾,企业没有足够的动力投入更多的人力物力进行个人信息的管理。云计算企业对于能够产生经济价值的个人信息的利用较为重视,而对于不能直接产生经济效益,甚至有可能产生负效益的个人信息的管理重视不够。云计算服务提供商如果不加强内部操作人员的管理,不加强个人信息保护内部控制的建设,操作人员违规处理个人信息的现象将不断出现。云计算时代,所有IT设备或数据被放到一起集中管理,内部人员拥有的权限让其能轻易获取重要个人信息甚至得到整个云服务平台的完全控制权。用人失察或监管缺位都会给个人信息安全带来灾难性的损失。
四、云计算下的个人信息安全防控措施
云计算下的个人信息安全已经不是一个纯技术问题,仅仅依靠云计算企业采用先进的云安全技术去遏制个人信息的违法犯罪是不够的。唯有法律才能明确管理责任,才能明晰处理个人信息的权限,才能惩罚和防范一些犯罪分子利用个人信息谋取私利。违法收集、利用、处理行为主要承担民事责任、行政责任和刑事责任[9]。个人信息相关法律法规的制定非常重要,而且迫在眉睫。但是个人信息安全防控机制的构建、个人信息安全防范措施的完善同样非常重要。作为以保障公共安全、保护人民生命财产安全为职能的公安机关,在防范和控制个人信息安全违法犯罪中,具有得天独厚的优势。我国应该构建以公安机关为主,信息化管理部门协调配合,法律规制与行业管理相结合的个人信息安全防控体系,构建并完善云计算下的个人信息安全监控机制、侦查机制和应急机制。
(一)云计算下的个人信息安全监控机制
信息的公开具有不可逆性,云计算个人信息安全事故一旦发生,造成的损害无法恢复原状。因而个人信息的保护不能依赖事后的被动处理,而应该着重于监控与预警,从事后救济、被动维护向事前设计、事中报告、主动监控转移,形成常态的监控机制[10]。首先,应该制定统一的技术标准,要求云计算服务商在系统中植入安全监控技术;制定统一的行业规范,要求云计算服务商建立完善的内部控制制度。利用安全监控技术,公安机关、信息化管理部门和云计算服务商都能及时了解云计算系统运行状态。监控技术不仅起到预警作用,也为云计算安全的内部控制提供数据支撑。其次,应该建立常态的个人信息安全报告机制,要求云计算服务商及时报告个人信息流动的异常情况。个人信息安全的报告机制可以借鉴我国《反洗钱法》中的“大额交易和可疑交易监控与报告”制度,要求云计算服务商将可疑的个人信息流动报告给公安机关和信息化管理部门。可疑的个人信息流动是指个人信息流动在数量、频率、流向和性质等方面表现异常,或与客户身份、登录状况、活动规律不符,存有个人信息违法犯罪嫌疑的流动。
(二)云计算下的个人信息安全侦查机制
严格的侦查机制和过硬的侦查能力是个人信息安全保护的根本保障。要整合公安机关、信息化管理部门、行业自律组织的资源,司法、行政与行业之间无缝对接,协调配合,共同执法。在行政和刑事执法过程中,取证难严重降低了打击违法犯罪行为的力度。在云计算环境下,某些电子证据依靠目前的侦查技术,还难以充分侦测与提取。如在云应用服务中,有许多服务通过运行的虚拟专用网络(VPA)访问,现有侦查技术几乎检测不到[11]。对此,可以采用面向取证的现场迁移技术等进行侦查,采取迁移取证监管来调度和监控镜像证据提取层的每一次迁移操作,并记录下全部的迁移过程信息,保证取证数据符合证据法要求的可靠性和完整性[12]。
(三)云计算下的个人信息安全应急机制
云计算服务提供商应当设置个人信息安全监控中心,负责系统安全的全面维护、个人信息安全的总体监控、个人信息安全情况报告和个人信息安全事件的处置等[13]。公安机关和信息化管理部门要根据云计算服务商提交的可疑个人信息流动报告,进行认真研判、仔细甄别。对筛选出来的违反法律规定的个人信息安全事件,要根据严重程度,启动个人信息安全应急机制。应急机制分为轻微、一般、重大、特别重大等不同等级。不同等级的警报对应不同级别的应急方案。应急方案包括提醒客户、数据隔离、数据恢复、停止运行等。其中数据隔离可以保证用户的个人信息运行于封闭且安全的范围内,防止进一步地泄露,避免用户间的相互影响,减少用户错误操作或受到计算机病毒攻击时对整个系统带来的安全风险。数据恢复是针对计算机病毒攻击的重要应急措施,包括恢复个人信息和遭受病毒侵害的软件等。数据恢复是典型的事后应急措施,可以保证云计算服务可靠性和可用性。
五、结语
技术的进步必然引起法律制度的变革,产业的发展必须依赖法律机制的完善。云计算时代,个人信息安全的法律规制迫在眉睫。随着云计算成为人类基本的工作、生活环境,个人信息都无法避免地集中到云上,海量个人信息的安全问题是公安机关必须面对的难题。个人信息安全监控机制旨在防范犯罪,个人信息安全侦查机制旨在打击犯罪,个人信息安全应急机制则是处理已经发生的犯罪。建立系统的个人信息安全防控机制,多方位协同发挥效力,方能最大程度确保个人信息安全可控和云计算产业健康发展。
参考文献:
[1]周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006:3.
[2]姜茸,张秋瑾,李彤,等.电子政务云安全风险分析[J].现代情报,2014(12):14-15.
[3]李连,朱爱红.云计算安全技术研究综述[J].信息安全与技术,2013(5):44-45.
[4]齐爱民,陈星.云计算时代的个人信息安全危机与法律对策[J].中国信息安全,2012(11):83-84.
[5]何培育.个人信息盗窃的技术路径与法律规制问题研究[J].重庆理工大学学报(社会科学),2015(2):159-162.
[6]林闯,苏文博,孟坤,等.云计算安全:架构、机制与模型评价[J].计算机学报,2013(9):1775-1776.
[7]丁秋峰,孙国梓.云计算环境下取证技术研究[J].信息网络安全,2011(11):36-38.
[8]周刚.云计算环境中面向取证的现场迁移技术研究[D].武汉:华中科技大学,2011:29.
个人计算机网络用户存储在计算机当中的个人隐私信息一般包括:①计算机中与用户隐私紧密相关的所有音、视频文件、图片、文档以及其它可能包含用户单位、工作相关信息的机密文件;②用户存储在计算机中的系统或网络应用程序的用户名和密码;③使用互联网时产生的浏览器历史记录、临时文件以及用户计算机当中的COOKIE文档;④计算机用户的网上银行用户名、登陆密码、支付密码、安全证书以及其它通过网上支付的用户名和密码;⑤计算机用户的最近操作痕迹,如最近打开过的文档及其最近的编辑记录,音、视频的播放记录,图片编辑软件最近的浏览记录及打开图片文件的记录等;⑥计算机用户上网的用户名和密码、IP地址、DNS地址和主机名等网络信息;⑦用户计算机操作系统的类型,主机的硬件信息,所安装的软件信息及系统中已启动的服务、端口,使用的安全措施、存在的安全漏洞等信息。
2个人私密信息被窃取的危害
每个人的生存和发展都需要拥有一定的私人空间,需要有一个固定的空间存放内心不希望轻易透露给外界和他人的信息,如个人的具体身份信息、生活习性、兴趣喜好和社会经历等。这些信息不光关系到个人的声誉,影响社会及他人对自己的客观评价,还关系到个人日常社交活动的开展及正常稳定生活状态的维持。个人信息一旦泄露,极易造成个人隐私被曝光、日常生活被骚扰等不良后果,严重时还可能发生财产遭窃、个人形象及名誉受到诋毁与侵害等情况。
对于从事保密工作或的人员而言,考虑到工作性!质的特殊性,个人信息泄露的后果则更不堪设想。黑客一旦窃取了这些敏感信息,就能有机可趁,以此为突破口深加利用,制造出一系列问题,甚至导致恶性泄密事件的发生。具体来说,被黑客窃取信息可能导致以下几个方面的安全隐患:①计算机用户的IP地址遭泄露,该机成为黑客攻击的重点目标的可能性增大;②电话号码、生日、年龄等个人信息泄露,黑客破解计算机用户许多重要密码的线索增多,破解成功的几率增大;③社会关系、职业身份等信息泄露,黑客成功实施网络诈骗的可能性增大;④私人生活录像、照片等信息泄露,导致用户更多深层隐私信息被挖掘曝光。
以上列举的仅是几种典型的可能情况,用以说明个人计算机信息泄露可能带来的潜在危害。在实际生活中,黑客窃取、利用个人信息的手法多种多样、变化多端、层出不穷,许多甚至被划分为高智商罪犯的作案手段,可谓是令人防不胜防。
3计算机信息安全隐患的根源
3.1计算机系统的安全漏洞
随着计算机软件系统的规模不断壮大,程序开发员的任意一个小疏忽,系统软件自身的复杂性,都可能导致所设计出的软件系统存在缺陷,留下漏洞,将有漏洞的计算机接入互联网无异于开门揖盗,给计算机系统安全留下巨大隐患,因而计算机系统的安全漏洞是信息系统安全隐患的主要根源之一。
3.2病毒与木马的危害
网络病毒继承了传统病毒破坏性大的特点,另外还具有网络特性,它的传播途径更广、速度更快、危害更大。主要类型有宏病毒、网页脚本病毒、蠕虫病毒等。计算机系统所存在的网络缺陷、漏洞,都可能使计算机病毒见缝插针,有机可趁,入侵计算机致使计算机系统瘫痪,严重破坏程序、数据;占用网络资源,降低网络速率与使用效率;令许多功能无法正常使用。木马是一个独立运行的程序,一般由客户端与服务器端构成,服务器端常安装在受害者的计算机上,并经过注册成为“服务”,远程控制受害者的计算机,其危害性并不亚于病毒。
3.3黑客的攻击
黑客的恶意攻击可说是计算机网络面临的最大威胁,其使用网络上大肆传播的黑客程序,实现对他人计算机系统的攻击。黑客攻击不管是哪种类型,主动或被动,都可能对计算机网络造成极大破坏,并可能导致机密数据信息泄露。
3.4信息泄露
信息泄露是指信息被泄露给未授权的实体,信息泄露的主要形式为窃听、接受、侧信道攻击、人员疏忽等。
3.5非授权访问
蓄意非法获取访问权限、篡改网页内容、窃取机密文件和数据、攻击办公室电脑等即是非授权访问的典型例子,它是对网络设备、信息资源进行非正常或是越权的使用。
3.6个人原因
人为无意失误、人为恶意攻击、人对计算机的管理方法等都可能造成信息安全问题,人的因素实质上是信息安全隐患的最主要因素。计算机的操作运行终归是受制于人的,人既是信息系统安全的主体,亦是系统安全管理的对象。
4个人计算机信息安全防护措施
4.1计算机信息安全管理层面的防护措施
保证信息的传输安全、使用安全和载体安全是信息安全管理的主要任务。它能使各种安全技术发挥出最大效用,实现安全策略的安全管理,是安全防护体系能够正常维持运行的保障。
(1)加强信息安全管理意识。安全是每个人的责任,应尽早强化信息安全意识,正是因为许多计算机用户欠缺基本网络信息安全常识,才使得黑客趁机侵入计算机。所以强化信息安全管理意识非常重要。
(2)加强计算机管理。强化计算机管理可采取建立多级安全层次、安全级别和分层管理;建立入网访问权限与控制;建立网络权限控制模块,分级计算机用户操作权限;建立信息加密制;设定网络服务器锁定控制、防火墙安装、登陆时间控制等措施,建立健全信息安全防护体系。
关键词数字化环境;医院信息;安全建设
1数字化医院信息安全建设与管理存在问题及分析
1.1信息安全建设投入成本有限
数字化医院信息安全建设与管理并不是一朝一夕就能完成的,它在整体建设上非常繁杂的,需要专业的、系统的筹备才能完成的。在网络信息技术数字化的时代下,要想充分保障信息的安全性,足够快的更新换代医院的新设备,就需要大量的资金投入,才能保证。然而很多时候,由于发展的限制,医院在资金的投入使用中都有很大的限制,这就意味着信息安全建设和管理维护工作的投入资金过低,并不能更优先的发展[1]。
1.2信息安全管理体系尚未成熟
医院的信息安全管理体系是在应用风险管控的方式管理医疗数据的基础上进行改进的工作体系。但是,部分数字化医院仍然没有成熟的信息安全管理体系,在安全防范方面能力较为薄弱。
1.3操作方面的因素
在医院信息系统的应用过程中,由于操作人员主观失误、不按规定操作等行为都会出现数据输入输出错误等现象,或者泄露了本应该保密的口令,进而影响到系统运行的稳定性。
1.4系统管理方面的因素
数字化医院信息管理系统还处于不断完善的过程中,相关的安全管理制度建立不够完善,管理人员的技术水平也没有达到相关的标准。而且在安全事故预案建设方面也不够完善,导致安全事故发生之后无法高效地应对。
2数字化下医院信息安全建设的策略
2.1完善信息安全体系
首先要加强人员对信息安全的重视度。医院应对全体医务人员进行培训,并在医院各个工作环节加强信息安全系统管理。各科室要有专业信息技术人员来执行信息安全系统的维护工作[2]。根据《网络安全法》规定:“网络产品、服务具有收集用户信息功能的,其提供者应向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息。”医院信息安全等级保护制度中关于用户管理制度中提到信息科对员工的账号与密码不得向任何人透露,具体规定如下:①信息科对新员工配置账号与密码;在其离院时账号与密码均应注销;人事科凭借‘已注销账号和密码’为依据批准员工离院并支付其相关费用。②员工不得将自己的账号与密码告知他人,定期修改密码。③任何人员不可以登录他人的账号与密码,在未得到授权的情况下不得将任何数据告知他人。④密码应是字母与数字的组合。信息技术人员充分的了解医院信息安全系统后,应制定科学、合理的安全管理制度,对相关的工作人员进行培训,确保其能够按照医院信息安全等级保护制度以及操作规范,并对实践中出现的问题进行总结与改进,将信息安全管理制度落实到位[3]。
2.2对基础的软硬件设备进行优化配置
数字化医院信息安全系統是医院信息系统管理的重要方式,对基础的硬件与软件设备进行优化,是建设数字化医院信息安全系统的本质所在,以此来保证系统运行的高效性与稳定性。首先,基础软件层的建设。在购买操作类与数据库类的软件上必须要进行综合地考虑。其次,在终端设备层上。在采购方面也要进行全方面的分析与考虑,在能够满足基本的业务需求的基础上,还要考虑到系统自身的升级问题,以此来确保设备的使用性能。再次,在服务层上。服务是整个系统的核心,直接地影响着系统的总能。所以要根据所应用系统的特性设备与之相匹配的服务器。而在存储上也要达到一定的要求。最后,在网络设备层上。要利用星型拓扑结构进行处理。核心层要与不同的楼宇进行连接,这样能够提高路由的交换效率。汇聚层也可以与接入层的设备进行网络直连,以此来对虚拟的局域网进行划分,避免出现网络风暴等现象,促进实际工作效率的提升。
2.3信息安全人才管理体系建设
数字化医院信息安全建设与管理说到底就是人才的建设,人与人之间的管理。信息技术本身就是服务于信息安全建设与管理的,所以医院要做到来制定符合医院具体情况的信息安全,建立一支专业的、负责任的信息安全队伍,长期规划,制定战略实施目标,根据医院的具体网络安全事态来调整原本的信息安全策略措施。在空余时间举办培训班,引进先进的人才为战略目标,加强内部员工的信息安全意识和信息安全教育的培养与提高[4]。
2.4加强数字化医院信息安全技术
首先应对信息安全系统的环境进行改善,中心机房避免建设在地下室、存在大型供电、供水设备的隔壁,机房应具有防水、防震的能力。其次,在安装设备时,要确保其安全性与稳定性,对设备要进行有效的安全管理。第三,应加强防范网络威胁,建立安全性较高的访问路径,当医院网络出现病毒、黑客入侵等不安全因素时,能够及时对服务器与客户端进行安全连接,提高信息系统的安全性。
关键词:信息时代;信息安全;信息管理
1引言
国民经济的发展,带来的是科技的进步,得益于科技发展,信息技术在我国得到大范围的普及,如今我国已进入全民信息时代。信息时代下,大数据技术、云技术等信息交互技术成为时展弄潮儿。通过网络的搜索引擎、自媒体、电子商务等途径,个人的学习工作日趋方便,企业的生产和经营效率日趋提升。此外伴随“互联网+”在各行各业的深化应用,个人信息直接开始参与到社交、医疗等多个领域,在信息时代为人们带来便利的同时,人们的个人信息也推动了社会的信息化发展。基于以上背景,个人信息在网络中的传递,为不法分子提供了可乘之机,因此在信息时代下进行信息安全管理相关分析便显得尤为重要。通过分析,找寻提升信息安全的有效策略,提升人们在网络上的个人信息和企业信息安全,这也是当下信息时代应用互联网的人们的共同企求。
2信息安全的概念
信息安全是指信息网络的硬件、软件及系统内数据受到保护,不受恶意攻击和行为的破坏而损坏,保障系统正常持续运行,保障其内的信息传输不中断。PC端、移动端等载体的发展,进一步激发了互联网的深化发展。人与人之间的交互借助互联网突破了时间和空间的限制,沟通和交流变得前所未有的方便和快捷。信息传递的速度也是光速抵达,往往前一分钟黑龙江发生的大事件,后一分钟北京的人民便会知晓。信息时代下,除了人们获取信息的速度加快外,人们对信息获取的范围也极具提升。“两足不往门外迈,一眼看尽天下闻”成为现实,不用出门便可了解天下大事,可以知道远方纽约的天气状况,可以了解降息等相关的民生政策,许多疑问也可快速通过搜索引擎获取答案,信息技术正以不同的方式方便和改变着人们的生活。在人们使用信息技术获取信息的过程中,不可避免的会使用到个人信息进行授权,或者经由其他途径将自己的个人信息置于互联网之上,由于各种原因引发的个人和企业信息泄露,对个人和企业造成的损失是巨大的,因此需要通过宏观的策略和微观的技术手段来提升人们使用互联网的安全性,保障信息安全。
3推进信息安全工作的意义
3.1维持网络秩序的稳定与安全
人们使用互联网,从网络上获取各种各样需求的信息,人们也将个人的信息反馈到互联网上进行保存、传递、分享等。互联网的建设发展并非能够一直保持客观安全,互联网的维护工作由人来完成,网络安全工作需要进行实时维护,定期通过技更新术、补丁内容等维系互联网的稳定,不断的填补互联网中的漏洞,以防被有心人乘机而入,传播病毒或者窃取信息。推进信息安全工作,保障互联网秩序的稳定和安全,能够使互联网中存留的个人和企业信息不致泄露或者遗失,能够使互联网更好的为人们和企业服务,充分发挥互联网的便利性和快捷性。
3.2提升用户对信息安全的认知
开展和推进信息安全工作,通过网络宣传渠道等提醒人们对信息安全环境和信息安全传播加以重视。能够有效提升用户对信息安全的认知。通过宣传或科普,使人们能够基本了解信息在互联网中传播的规律,以及互联网当中存有的漏洞会对个人和企业信息造成泄露,从而对自己造成损失,由此加强个人和企业的互联网使用规范,能够有意识的去以规范个人信息安全行为带动全网的信息安全。
3.3维系社会安定,保障国民经济稳定
随着“互联网+”的深入发展,互联网与其承载的海量信息资源已经改变了各行各业的传统经营生态。一方面个人和企业经济收益与信息化时代挂钩,个人的知识产出、企业的消息传递、消息获取、技术革新等离不开信息安全,另一方面个人与企业的财务信息等同样处于互联网之中,存在于海量的信息之中,保障信息安全,就是切实保障个人和企业的财产安全不受侵犯。从以上两点来看,信息安全能够保障国民经济的可持续发展,也能够保障社会的稳定。
4信息安全面临的威胁
互联网以及大数据等技术的深化发展与应用,在为人们学习、生活、工作、生产等带来便利的同时,基于信息的传播原理,个人和企业的信息同样处在互联网和大数据的范畴之内,由于互联网技术存在的一些问题以及大数据技术的不够完善,信息技术的发展也带来了对个人隐私安全问题的威胁。具体来看,当今信息安全面临的威胁具体如下:
4.1个人隐私泄露
互联网和大数据时代,人们通过各种各样的信息平台进行信息资源的获取和交互操作,在这样的过程中,人们不可避免的会在这些平台上以个人信息录入的方式进行注册,便是在这样一次次操作的过程中,个人的身份证、银行卡、家庭住址、联系方式等信息代表的隐私,会由于平台信息的泄露而发生泄露,从而影响到个人隐私的安全,为个人带来极大的生活及财产安全隐患。这也是当今信息时代下,信息安全面临的最为普遍的一个问题,未来互联网和大数据等技术的发展,也要集中处理个人隐私泄露问题,通过不断及时填补互联网漏洞和完善大数据等技术来强化信息安全,确保个人隐私泄露的几率逐步下降。
4.2大数据技术的安全风险
大数据技术的应用,能够随时记录人们的阅读、购物、出行等喜好,省去了人们大量的选择时间,极大的方便了人们生活。同时大数据技术的使用还能帮助企业完成数据筛选、分析以及存储等多方面的需求,以便企业能够基于算法下的结果回馈,及时掌握市场动态和客户群体喜好,针对性的推出更加符合市场需求的产品和服务。大数据的技术应用广泛,但其存储技术却较为简单,通常采用的云端服务器存储模式一般为逐级分步法,这种存储方式在为个人和企业调用方面带来便利的同时,也由于结构简单而容易遭致黑客的轻击攻破,使内部存储的信息泄露,总的来说该主流存储方式方便由于,安全性不足。此外,当前大数据技术起步较晚,发展还不够完善,在信息采集的过程中往往无法一步到位,需要经过多个环节进行节点式的信息收集,收集环节的增多造成大数据技术使用的不便,同时提升了用户信息安全的风险。综上,大数据技术的使用,从目前来看无论是内部管理还是外部防御体系,在信息安全方面均有较明显的漏洞。
4.3智能终端的信息安全威胁
相比日趋成熟的PC端信息安全防护体系,信息时代下移动端的强势崛起,信息传递重心逐渐由PC端转向移动端,而移动端的安全防护体系比之PC端的信息安全防护体系要远远不如。移动端上有诸如微信、钉钉、QQ、地图、美团等一系列关乎着每一个个体身份、家庭住址、办公信息、联系方式等绝对隐私的应用。这些应用平台发生的信息泄露或者是由个人操作不当造成的信息泄露均会给个人的生活带来极大困扰。此外,移动端当中存储的信息、照片、视频等数据,同样容易发生泄露,因此人们需要加强对智能终端的信息安全防护。
5信息时代下信息安全防护策略
信息时代下,信息安全防护的工作不仅仅是信息安全管理人员应当重视的问题,它同我们每一个人都息息相关。信息技术因提供信息的便捷和信息的丰富为人们学习、生活、工作、生产等带去了极大便利的同时,因云端服务器结构、系统漏洞的客观问题会导致人们的信息发生泄露,因大数据技术发展不完善、防护措施体系不健全等外部人为管理原因会导致人们的信息发生泄露,最后因为个人信息安全意识薄弱和部分不法分子的存在同样会加大我们信息安全的风险。因此信息安全的防护策略要从以下几个方面着手:
5.1建立健全相关法规
信息时代下,基于互联网用户的增多,互联网相关的企业也在逐步的扩张。信息时代的快速发展,对经济建设的发展提供了有力帮助,同时也对人们的生活造成了深刻的影响,个人信息同互联网行业间的交互每时每刻都在发生着,包含个人的身份信息、联系方式、家庭住址、消费能力、收入水平、朋友圈等的个人信息,互联网企业的获取难度较低,因此有些不良企业以及外部的一些黑客通过出卖用户个人信息进行牟利或直接应用个人信息进行诈骗的事件层出不穷。相应的国家立法层面,当前的相关法律对危害他人信息安全行为的法律法规不够健全,法律完善的速度远远不及信息时展信息安全受侵害事件类型的增长速度。因此需要国家在未来的日子中,在深入了解网络行业发展现状以及危害信息安全典型事件后,并针对未来可能产生的新的一系列危害信息安全的行为进行法律的完善,同时也需要监督部门加强监督执法,从而保障个人和企业的信息安全。
5.2技术完善
人们通过信息技术进行信息内容的获取,同时也借助网络平台,实现的信息内容的传递和交互,通过网络平台将分布在不同时间和空间的人们连接到了一起,实现了零距离的沟通和交流,同时实现了零等待的信息传输,从而为人们的生活带去了便利。就在这样一个共享网络平台的使用过程中,发生的某些信息传递行为,不经意间自身包含身份、联系方式、银行账号等隐私信息会随之泄露,引发信息安全问题。此外,受限于互联网技术的不够成熟以及大数据等技术的不够完善,在信息传递和交互的过程中,部分不法分子会通过技术手段,找寻平台当中的技术漏洞,有目的的窃取用户和企业的隐私信息用以牟利。因此需要从技术层面加强信息安全,具体包含以下几个方面:
5.2.1加固网络节点,保障数据安全针对信息传递和交互在互联网中的各个节点进行防护,重点对服务器、交换机等进行加固,根本防护目的在于保障信息在传输过程中能够不会泄密。此外,大数据的长期传输会对网络中的各个节点造成严重的数据负担,因此要适时的更换或进阶各个节点的软硬件设施,提升各节点的数据处理能力。保护信息安全,保护数据不被窃取的首要前提是数据传输的效率能够保障。
5.2.2革新防火墙技术加强防护信息数据的传递均为虚拟数据的传输,对这些虚拟数据的传输和过滤,需要在本地网络中设置网络防火墙,以防火墙来阻隔那些网路中的不良信息和可能隐藏着的病毒文件。此外,防火墙还能够针对计算机本身防止端口泄密,以及当计算机发生被恶意攻击时能够迅速的启动防护程序,组织不良程序对计算机信息内容的窃取,保障核心数据不至泄露。新一代的防火墙技术的应用,可以针对应用识别、应用策略、网络安全策略、终端识别与审计这四个方面的内容进行提升。加强各项协议的理解,可以准确高效解析各式协议;更加高效的行为检测,可以精准识别网络流量的应用类型以及行为,由此规避黑客应用程序的攻击。
5.2.3建立额外的云备份数据建立额外的云备份数据适用于信息时代下的大数据技术应用层面,通过及时的检查和定期的备份本地存储在云端的数据,在数据被盗用的预警信息发出警报后,如果采取防卫措施无法有效组织个人信息的泄露,便要及时通过数据重置的操作强制停止不良程序和文件对计算机及网络系统的侵害。此外,云备份数据还能够对存储系统本身引发的存储障碍造成的信息遗失进行弥补。
5.3用户要加强个人信息保护意识
信息时代下保障信息安全,除了要依托外部的保障措施,用户也需要加强个人信息保护意识。目前的信息平台中,信息内容鱼龙混杂,网站品质良莠不齐,不乏有一些恶意钓鱼网站的存在。用户在信息获取的过程中,对这些恶意钓鱼网站和非法网站要具备基本的鉴别意识和能力,避免登入这类网站引发个人信息的泄露。同时应用杀毒软件定期对个人电脑、办公电脑等进行病毒查杀,尤其是在需要输入账号和密码前更应保障网络环境的安全。通过日常规范的互联网操作,可以有效规避信息获取和互动过程中可能遭遇的信息安全风险。
.DOCX
【珍惜当下,不负遇见】
(本文档共
【
3
】页/【
1010
】字)
单位
姓名
20XX年X月
教育信息安全与防护培训心得体会
——单位
姓名
20XX年X月
20XX年X月,我通过国培智慧云平台学习了《教育信息安全与防护》系列课程,课程有《教育信息安全管理与防护-教育现代化与教育信息化》《中小学教师网络信息安全防护案例分析-网络信息安全防护案例》《常用信息安全防护技术与实践-教育网络安全分析》等。通过聆听专家的精彩讲解,我感触颇深。
维护教育信息安全,是每个教育工作者的责任。和平年代网络信息安全关乎国家与人民的利益,如何为网络筑起一道“安全门”。需要人民群众上下一心主动投身到网络安全事业中去,全心全意为国家网络安全拉起一道“防火墙”。
互联网虽然是虚拟的,但使用互联网的人都在现实中。鉴于网络安全的形式日益严峻,对付网络安全要有非常行之有效的方式,就是让社会上的每一个分子都成为参与者,都能积极贡献自己的一份力量。
通过学习教育信息安全与防护,使我更加深刻的理解网络信息安全的重要性。网络信息安全是保护个人信息的完整性和保密性的重要条件,只有明白了网络信息安全的基础知识,我们才能更加的了解网络信息安全在如今信息化时代的重要性!
【关键词】网络环境下;计算机信息安全;维护;技术;分析
1网络环境下计算机信息安全隐患
以实际情况分析,其实多数计算机运用软件均存在一些安全隐患,不少不法分子窃取他人隐私时,都是通过软件来进行不法操作的。如若软件中存有漏洞,那么不法人员就可攻击网络,进而就会致使计算机用户的个人信息遭到泄露,更甚也会严重影响到用户的生活安全及其他安全问题,造成难以挽回的局面[1]。计算机极易受病毒干扰,一些网络黑客操手以网络环境为主要载体,通过传递电子邮件亦或者相关网页等方式来传播木马病毒,致使计算机用户在运用计算机时,很容易受到病毒的感染,在此情况下,计算机用户的个人信息就会受到黑客的窃取或篡改,严重影响到计算机用户的个人权益安全。安全管理水平滞后,也是致使计算机信息安全出现隐患的主要因素之一。细致分析,信息安全管理一般涵盖信息数据的安全性、风险评估以及完整性方面,现阶段,很多发达国家均已建设了较为完善的信息安全管理系统,而以我国目前的实际状况来说,在此方面却还不够健全,未能制定统一、规范、适用的安全管理系统,这无疑给信息管理相关工作的开展带来了很大困难。同时,以现阶段信息安全管理状况来看,在管理期间还较为缺失专业的安全管理机构,且也难以科学开展信息管理工作,这种管理不利的状态就会在很大程度上,致使安全隐患的产生。个别计算机用户很少用正版软件,而若运用盗版软件,则会致使安全隐患的出现。再者,还有一些计算机用户在运用计算机时,未能够认识到安装杀毒软件的作用,因而也会导致安全隐患的出现。
2网络环境下计算机信息安全与维护措施
网络环境下计算机信息安全与维护技术分析,详细内容体现如下:
2.1提高操作人员安全意识
若想在根源上解决计算机信息安全问题,增强计算机信息安全性,则应提高操作人员的安全意识,唯有如此,才能够在根源之处控制安全隐患,使计算机信息能够处于安全、可靠的状态下。对此,就应对相关计算机操作人员加以培训,来学习诸多技能,不断提高自身安全意识,强化自身应对安全隐患的能力,使相关计算机操作人员的个人能力与专业素质能够充分获得提高。在培训过程中,还应向相关操作人员普及网络安全知识以及相关法律法规,以增强其法律意识,让其在开展相关工作时,能够更具客观性与合法性,从而保障计算机用户的合法权益[2]。再者,还需要求相关操作人员删除陌生信息与邮件,在未经允许的情况下,不可擅自核实程序,对于外部消息来说,还应利用服务器中转,防止在网络环境中任意下载不良程序,从而真正提高相关操作人员的安全意识,强化相关操作人员的安全操作水平。
2.2借助科技进行安全管理
随着时代的不断进步,各类新型技术的不断出现,为更好的保障计算机信息安全,对相关科技的运用也愈发普遍,通过借助相关科技,实施安全管理,不但有利于提高安全管理质量,也有利于严格控制安全隐患的出现,从而提升用户计算机信息安全性,保障广大计算机用户的切身权益。一方面,应善于运用防火墙,防火墙是外部和内部网络二者之间的一项安全系统,根据其特征设置,能够允许通过数据,且防火墙自身的防护水平非常良好,也是不同网域之间的一项隔离技术。针对相关用户的设定,来明确阻止入侵的相关数据,以及能够允许通过的数据,运用防火墙还能够及时过滤掉网络环境中的各项不安全因素,以保护其安全性。另一方面,则为加密数据,加密技术为现阶段较为普遍的安全管理技术,其主要是运用加密设备,来加密相关信息,而后借助信息的传达作用在另一方接收,收到信息之后再利用相关软件来对其进行解密,这样即使不法分子窃取了用户信息,也不能运用这份信息,如此就能够有效保障计算机信息的可靠性与安全性[3]。除此之外,还可积极运用防病毒技术,防病毒技术自身所具备的优势非常多,其能够对病毒影响进行分类,有效防范病毒。以防病毒技术本身而言,其包含病毒清除、检测以及预防等诸多方面。先说病毒预防,其主要是运用相关手段,科学防范计算机病毒对系统的感染与破坏,为一项动态技术。在防范病毒时,会先分类病毒,针对相似运动规律这种进程的存在,明显为病毒,需防范病毒。病毒技术主要有保护磁盘、保护引导区、读写控制、以及程序加密等。病毒检测一般是运用相应技术来判断病毒。较为典型的检测方式为:针对病毒的主要特征、传播形式以及文件长度等来进行检测分类。还有一种方式是运用某文件或数据段来检验与计算,之后存储检验和计算结果,在日后多加检查这一文件及数据段,若检查结果相较之前存在不同之处,那么这段文件及数据段就感染了病毒,受到了破坏[4]。以病毒清除来说,现阶段,很多清除的病毒均为研究与分析新病毒而发现的,并根据这一病毒,研究出最为适合的杀毒软件,这种软件普遍存在波动因素,同时因杀毒软件自身具备一定限制性,所以难以清除变种病毒[5]。
2.3制定健全网络安全协议
在进行计算机信息安全管理时,需制定健全的网络安全协议,如此才便于开展网络安全管理,提升计算机网络的安全性。网络安全协议为建设网络安全的重要因素,在信息安全管理期间,可运用网络安全协议,来解决网络传输时所存在的各项问题,做到及时止损。在制定网络安全协议时,也需制定合理的运用制度,要求相关人员管理网络资源的访问,同时需强化相关人员掌握信息安全知识,让其在工作实践中能够更为科学、合理的开展相关工作,以保障计算机信息安全[6]。
【关键词】 传统行业 信息安全建设 问题 策略
【作者简介】 胡鹏,中石化湖北石油分公司工程师,研究方向:网络安全。
【中图分类号】 X913.2 【文献标识码】 A 【文章编号】 2095-5103(2015)04-0051-02
信息安全建设包括三大部分,即人员、管理和技术,尤其是信息安全管理,已经越发受到各界的广泛关注,并以此为核心来打造信息安全保障体系。信息安全对于各行各业来说,均具有极其重要的地位,其不仅关乎企业自身信息安全,也关乎普通消费者信息安全。因此构建信息安全体系,是企业未来发展的重点工作。
一、传统行业信息安全建设现状分析
(一)对信息安全建设缺乏足够认识。就目前国内实际情况来说,传统行业对于信息安全建设尚没有足够的认识,导致信息安全建设难以切实施行。具体来说,这主要表现在三个方面。一是传统行业的领导者对信息安全建设缺少必要的认识,在面对信息化浪潮的冲击时,其最先想到的是提升行业品质来面对新挑战,却忽视了通过信息安全建设保护行业核心信息资源,导致行业信息被逐渐泄露,无法与新行业相抗衡,以致逐渐失去竞争力。最典型的就是传统出版行业,在数字化刊物逐渐普及的情况下,传统出版行业已经显得捉襟见肘,出版物印刷量与销售量逐年下降。二是行业内部员工缺少对信息安全的认识,在日常工作中,会在不经意间泄露行业信息。更有甚者为了一己私利出卖行业信息。这些举动都对传统行业造成了极其恶劣的影响。三是普通消费者缺少对信息安全的认识,在某些需要消费者个人信息资料的行业中,消费者往往没有考虑个人信息资料是否安全,是否存在泄露的风险以及相应的后果。忽视这些的结果就是消费者缺少对相关企业信息安全的要求,在发生意外情况后无法挽回。
(二)信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识,但也并非没有进行信息安全建设,只是其信息安全建设技术水平较低,无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低,一个体系架构的技术高低,决定了该体系所能发挥的功能高低。越先进越高端的技术,其对信息安全的保护也就越安全,反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施,其技术相对一些新行业而言较为落后,无法符合不断更新的计算机技术,更无法有效弥补信息安全漏洞,只能说是徒有其表。二是人员管理技术水平较低,人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息,只有加强对员工的管理,建立科学人性的管理体系,才能确保企业人员不会因为失误或利益泄露行业信息。
(三)信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面,一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言,已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料,传统行业中完成或进行中的信息安全建设的企业,尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低,还需要加强相关理念的宣传,引导更多的传统企业进行信息安全建设。在行业内部,信息安全建设集中在企业核心机密,即企业相关财务数据、产品数据和市场数据等,忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益,却无法保证企业正常良性的运转。
二、传统行业信息安全建设中的问题及原因
(一)缺少完善的法律法规。在信息安全方面,我国尚缺少有效完善的法律法规来加强信息安全建设,这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识,再加之缺少必须的法律法规,就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规,近年来随着信息技术发展迅猛,各种信息安全犯罪层出不穷,犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件,急需出台相应的信息安全法律法规来加以制约。
(二)传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系,一套完整的管理体系,应当从上至下,由内而外,将方方面面的信息安全包罗其中,以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度,通过确实的规章制度,对企业员工形成约束,避免其出现一些不利企业信息安全的行为。人员管理主要是加强对企业员工的信息安全意识教育,让其树立起保护信息安全的基本意识。
(三)基础信息安全建设设施缺乏。基础信息安全建设设施缺乏,是摆在传统行业面前的关键问题,这主要包括两个方面的问题。一是技术基础缺乏,目前我国信息安全建设的技术基础基本源自国外,这从信息安全的角度来说本身就是一种不安全的行为。只有创建完全自主的信息安全技术,才能杜绝国外技术可能存在的技术后门。二是硬件基础缺乏,这与技术基础缺乏对信息安全的不利影响是一致的。总的来说,硬软件的缺乏,是传统行业信息安全建设的最大问题。
三、传统行业信息安全建设策略分析
(一)完善信息安全法律法规。要做好传统行业信息安全建设,最首要的就是完善相应的信息安全法律法规,从法律层面对信息安全建设进行定性。首先是明确传统行业信息安全建设的义务,通过法律规定强制传统行业进行信息安全建设,迫使其领导层重视信息安全建设,进而在行业全局决策中增加对信息安全建设的思考与倾斜。其次是对信息安全犯罪作出全面的定性与量刑,加强对信息安全犯罪的打击力度,通过法律手段减少信息安全威胁。
(二)加强行业内部信息安全管理。加强行业内部信息安全管理,是信息安全建设的重要环节,其可以从三个方面来进行。第一是构建企业员工信息梯度,针对企业不同部门以及不同职位,制定不同的信息等级制度,以此改善员工功能与信息的不对等关系。第二是构建信息管理制度,针对企业类型、企业所包含信息的类型以及其机密程度,制定合理的信息管理制度,加强对内部员工的约束。第三是加强对企业员工的信息安全建设培训,使企业员工具有一定的信息安全建设意识,能够从一些小事上进行信息安全建设。
(三)自主化信息安全建设基础设施。自主化信息安全建设基础设施应当从基础技术与基础硬件两个方面进行。就基础技术而言,传统行业应该大量参考国外相关技术,博采众长,创建不依赖于国外技术的信息安全建设技术,真正实现信息安全建设技术国产化,从根源上排除国外技术对传统行业信息安全可能存在的技术风险。在基础硬件方面,传统行业可以加强与国内硬件厂商的合作,共同研发具有行业特点的信息安全建设硬件,减少国外硬件的引入与应用。总的来说,信息安全建设应该在国外硬软件的基础上,开发自主的硬软件设备,使信息安全建设完全实现国产化。
(四)综合采取多种有效措施构建信息安全大环境。信息安全建设并非企业一己之力就能够做好,还需要多方协作,构建信息安全大环境,如此才能在整个行业中进行信息安全建设。第一,加强企业之间的信息交流与合作管理。对于同一行业而言,企业的核心信息在一定程度上来说相似甚至相同,即企业的信息安全建设在一定程度上形成了交集。同类型企业可以加强信息交流,合作构建信息安全管理体系,加强信息安全管理。第二,构建企业信息安全评级制度,由国家相关部门牵头,联合行业内的优秀企业,组建企业信息安全评级机构,对行业内企业进行信息安全评级,并将评级结果公布于众,让消费者能够清楚认识到企业的信息安全等级以选择能够保障自身信息安全的企业。此举还可以加强企业对信息安全建设的重视程度,促使企业进行信息安全建设。第三,构建信息安全犯罪打击网络,由公安部牵头,联合国内优秀的信息安全商构建信息安全犯罪打击平台,加强对信息安全的监管及信息安全犯罪的打击。
参考文献: