关于信息泄露及其安全的分析

关于信息泄露及其安全的分析在二十一世纪这个崭新的时代里，随着社会的不断发展，科技的不断进步，极大的满足了人们的各种需求。特别市互联网的广泛普及，不仅方便信息的交流，而且还可以通过其满足物质需求。但与此同时，也会产生许多问题，信息泄露就是一个亟待解决的问题。其中包括个人信息、政府信息和企业信息，甚至国家信息，都可能成为被泄露的对象。近年来，国家加大力度打击非法买卖公民个人信息的行为。面对互联网的普及给公民个人信息安全的保护带来新的挑战，不久前在公安部统一部署指挥下，我国首次大规模集中打击侵害公民个人信息犯罪的专项行动取得显著成果，共抓获犯罪嫌疑人1700余名。但是，由于侵害公民个人信息的手段、方式不断翻新，公民信息安全保障的形式依然严峻。对于个人信息泄露的途径，调查发现，银行、保险公司、商场等商业单位是民众认为最有可能泄露个人信息的机构，有1530名受访者对此表达了担心，占参与调查总人数的51％。此外，当前不少网站在用户注册、参与线下活动时要求用户提供个人信息，也被34％的受访者认为是可能造成个人信息泄露的重要途径。调查显示，公众对个人信息安全的认知和重视程度还有待加强，38％的受访者日常并不注意保护个人信息，在网站需要提供个人信息时不清楚信息收集的目的。长期关注网络社会问题的中国传媒大学詹骞老师认为，网上个人信息频频被泄露的根源，一方面是由于公民个人的信息保护意识和能力还不够强，另一方面在于技术和商业利益裹挟在一起，不法分子通过各种技术手段盗取用户的个人信息，背后是商业利益的驱使。另外，人们在享受互联网便捷性的过程中，也不知不觉地将个人信息和隐私交换出去，如通过微博和交际网站晒个人的生活细节等，都存在信息泄露的隐患。面对个人信息泄露可能给公民人身和财产安全造成的威胁，民众普遍呼吁出台保障个人信息安全的专门政策，加强立法。“保障个人在信息泄露后有获得补偿和救济的权利”“对盗取个人信息的行为予以法律制裁”“强调个人在信息收集时的权利，若所收集信息与办理的业务无关，个人可选择不提供信息”是网民呼声最高的三个选项，有近70％的受访者表达了这样的期待。除了相关政策法规的完善，詹骞还认为，网站有义务从技术上为用户提供保护，以防止不法分子对网民个人信息的盗取和挖掘。“除了法律规定的一些机密信息，采集公民个人信息的机构、网站也应对用户个人隐私数据的保护承担更多责任。”詹骞说。以下将会介绍几则关于个人信息安全的实例。（1）手机登录网站“领奖”聊城男子被骗1500元。“尊敬的用户您好：您的手机号被《快乐大本营》节目后台抽取为场外幸运号，您将获得由苹果公司赞助提供的79000元奖金与苹果笔记本电脑一台，请用电脑登录网站:及时领取，您的验证码为XXXX。”5月17日，聊城男子小周的手机上收到这样一条短信，结果他按对方的提示进行操作后被骗1500元。东昌府警方表示，现在骗子行骗的手段越来越高明，而且故意在短信中提示用电脑登录网站，从心理上误导大家，现在不少人都用手机直接登录，这样很容易上当受骗。因为在电脑上登录网站，会显示湖南快乐大本营官方网站的提醒。（2）胡某是四川成都一家非法调查公司的主要犯罪嫌疑人。在近日落网之后，记者对他作了采访。“3年以下有期徒刑或者拘役”，这是胡某可能面临的刑罚，这还有一个前提——“情节严重的”。过低的违法犯罪成本和丰厚的获利，让不法分子不惜以身试法。胡某的犯罪行为，只是侵害公民个人信息犯罪利益链条的一环。他所掌握的个人信息，来自于网上的众多“上家”。公安部刑侦局副局长廖进荣介绍，这种利益链条的构成为：泄露信息的源头→买卖信息的中介平台→从事非法调查、暴力讨债的犯罪组织，每一个环节均有利可图。从案情上看，警方认为，只要堵住信息源头，这种“生意”就没法做了。廖进荣告诉记者，已被挖出的“源头”中，大都是掌握公民个人信息的单位和部门的“内鬼”，涉及电信、银行、工商、民政、保险等多个行业和部门。还有证据显示，倒卖信息行为在一些行业内部已成“公开的秘密”。个别企业或机构的内部监管流于形式。(3)沃尔玛旗下山姆会员店被指买卖个人资料网易财经5月21日讯昨日，网友“作家-天佑”称自己家里的每个人都接到了来自深圳星河时代沃尔玛山姆会员店的入会邀请信，并称其邻居也受到了类似的邀请信。他表示担忧自己个人信息被泄露并被用于买卖，并在其后深圳警方举报沃尔玛“买卖个人资料”。沃尔玛中国公共关系高级总监李玲今日下午向网易财经表示，“山姆会员店的邮寄广告是由合作的广告公司通过邮政系统进行入户投递，邮政本身有这样的服务提供”，并强调沃尔玛并不是前述信息的收集主体。网易财经编辑查询发现，中国邮政确实有较详细的名址信息服务。不过，中国邮政还有另一种仅提供投放的服务，由于网易财经未能联系上中国邮政，尚不能判定信息来自于何方。(4)数据的价值删除无用数据可降低风险2012年05月21日00:00【IT168编译】本月早些时候，一名美国密苏里州参议员阻挠议事，以阻止该州创建新的处方追踪数据库，因为一旦这个数据库发生数据泄露事故，有关公民的处方信息将会被泄露。这个事件说明大家都逐渐意识到保护敏感个人识别信息(PII)的最佳方式之一删除它。针对各种个人信息泄露的事件，自然就要对其采取解决措施。以下将用具体的实例来说明。（1）近日，泰安工行岱岳支行根据省市行和《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》的要求，支行高度重视，强化制度执行力，采取有效措施，所辖部室网点扎实开展自查工作，将客户个人信息安全保护不泄露，确保万无一失。领导重视，强化责任心。支行成立客户个人金融信息保护工作领导小组，行长任小组长，负总责，分管内控行长为副组长亲自抓，所辖营业网点主任、内控副主任为成员，综合管理部上下协调，明确责任，各负其责，细化分工。强化执行力，签订保密承诺。1.针对2011年“个人客户信息安全大检查”中发现的问题，从机制、制度、流程等方面提出解决方案，落实改进措施。2.与网点负责人和个人客户经理逐人签订了《保密承诺》。3.对柜员办理业务过程中知晓的客户身份证信息，要求严格保密，身份证复印件随传票装订，不得遗留在柜台和个人物品中，身份证复印件要留存核查信息。加强监督检查力度，保护好客户信息。1.对包括个人客户信息系统（ECIS）、个人客户营销管理系统（PBMS）、个人客户信贷管理系统（PCM2003）等涉及个人客户信息管理的系统及其他个人金融业务应用中涉及的客户信息管理环节，重点关注各类数据库信息的安全，业务应用中对客户信息的查询、下载、保存等符合制度要求，不存在泄露客户信息情况。2.对自查中发现的问题，认真分析原因，立即整改，深入查找制度缺陷及管理中存在的薄弱环节。3.对所辖员工存在泄露个人客户信息嫌疑的，支行领导要采取与经办员工面谈、调阅监控录像等方式认真核实，属实泄露个人客户信息的，严格按照相关规定，采取对有关责任人当事人进行严肃处理，视为高压线，警钟长鸣。积极开展客户个人金融信息保护培训。利用晨会、周会、省行网讯、LED屏、宣传栏等多种形式积极开展客户个人金融信息保护的培训教育工作，使员工充分了解、认真贯彻相关法律、法规、规章和规范性文件的规定，明确个人金融信息泄露和滥用对本机构及员工个人带来的法律后果，落实各项内控制度，提升全体员工依法自我保护、防范风险防控意识。(2)连日来，一些被曝光的单位、部门陆续开始采取整改措施。例如，中国移动（行情,资讯,评论）相关负责人日前表示，针对用户信息保护链条长和环节多的实际情况，中国移动已经成立专门机构强化管理，发布并实施了严禁泄露或交易客户信息等“五条禁令”，并制定了《客户信息安全保护管理规定》等10余项制度，对客户信息产生、传输、存储、处理、消除的各个环节进行严格监管。对此，不少专家予以肯定。他们表示，对于个人信息保护来说，需要国家立法、有关单位和部门自我监管及与行业监管的协调配合。在法律尚未出台的情况下，相关单位和部门的自我监管及行业监管应该先行一步。北京大学法学院教授储槐植表示，一是要增加非法获取信息的难度和成本。二是要增加信息泄露者被查处的风险。相应的问责机制也应同时发力。北京市律师协会刑事诉讼业务委员会主任钱列阳建议，有必要在既有法律框架下，尽快建立一个完善的、具有可操作性的处罚体系，同时进一步明确行政处罚和刑事处罚这两部分的追责标准。在如今的这个信息时代，网络安全技术也是维护信息安全的主要手段。在网络安全领域，攻击随时可能发生，系统随时可能崩溃，因此必须一年365天、一天24小时地监视网络系统的状态这些工作仅靠人工完成是不可能的，所以，必须借助先进的技术和工具来帮助企业完成如此繁重的劳动，下面给大家介绍一些网络安全方面的内容。杀毒软件与一般单机的杀毒软件相比，杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在：首先，杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现，并且60%的病毒均通过Internet传播，病毒发展有日益跨越疆界的趋势，杀病毒企业的竞争也随之日益国际化。其次，杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台，并实现软件安装、升级、配置的中央管理及自动化，要达到这样的要求需要大量工程师几年的技术积累。第三，杀毒软件面临着Internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口，也就是说要支持所有企业可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐。现今60%以上的病毒是通过Internet传播，可以说Internet的防毒能力成为杀病毒软件的关键技术，在这方面，国际的杀毒软件如：Norton、McAfee、熊猫卫士走到了前面，它们均可以支持所有的Internet协议，辨识出其中病毒。当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护，企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序，对技术、服务和管理的要求比较高。国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势，但在企业级的某些特殊性能上存在差距。例如管理方面，一个企业要管理1000台机器，Norton的SRC有一台管理器就可以处理，它可以自动分发，自动安装到所有机器里，使管理人员节省很多时间，减少重复劳动。另外，企业级需要更安全的保护，现在政府上网、企业上网都会遇到很多国际病毒，国内部分厂商在这些方面尚待改进。防火墙网络安全中系统安全产品使用最广泛的技术就是防火墙技术，即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。对企业网络用户来说，如果决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略，即确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外。防火墙的技术实现通常是基于所谓包过滤技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向（连入或连出）、数据包协议（如TCP/IP等）以及服务请求的类型（如ftp、等）等。除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用，现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。当然，网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的，对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全，一方面却使内部网络与外部网络的信息系统交流受到阻碍，因此必须在防火墙上附加各种信息服务的代理软件来代理内