绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇信息安全保护范文,希望它们能为您的写作提供参考和启发。
中图分类号:TP309 文献标识码:A 文章编号:1009-914X(2016)09-0247-01
一、前言
随着我国社会经济和科学技术的不断发展,云计算也有了长足的发展。在云计算发展基础之上而形成的云平台,也被各大中企业所应用,云平台已成为了互联网世界中最大的信息平台,本文就云平台信息安全保护策略进行探讨。
二、云计算概念
云计算是将分布式处理、并行处理、虚拟化和网格计算以及互联网相结合的一种先进的资源服务模式,它将计算工作分布在多个的服务器构成的资源池上,使用户能够按所需获取计算能力、存储空间和信息服务。一般由存储与计算机服务器、宽带资源等大型服务器的集群,通过专门的软件进行自动管理,同时也可以进行自我的维护,无需人工参与。云计算中,软件和硬件可以成为资源而提供给用户使用,用户可以动态申请所需资源,云计算对软件和硬件资源可以进行很好的分配,用户能够更加专注自己的业务,提高工作效率和降低成本。由于云计算具备动态扩展、伸缩特性,随着用户的不断增长,云计算可以根据不断对系统进行扩展。
云计算的主要特点有:稳定性:具备良好的容错能力,当某个节点发生故障时,云计算平台能快速找到故障并恢复;高扩展性:云计算平台具有高扩展性和灵活的弹性,能够动态地满足用户规模的增长和需要;虚拟化:云计算通过虚拟化技术将分布式的物理和数字资源进行虚拟化,统一存放在数据中心,用户可以在任何地方使用终端来获取服务;通用性:云计算环境下可以构造出各种功能的应用,满意用户的大部分需求成本低廉:云平台的特殊容错机制可以采用极其廉价物理资源,资源成本低。
三、云平台面临的安全问题
云平台是基于云计算的技术基础上发展起来的,建立安全的云平台,必须要有一个安全的运行构架来保证云平台的安全运行。
现今云平台间来所要面临的问题主要有:
1、安全边界不清晰:虚拟化技术是云计算的关键技术,服务器虚拟化,终端用户数量非常庞大,实现共享的数据存放分散,无法像传统网络那样清楚的定义安全边界和保护措施。
2、数据安全隐患:根据云计算概念的理解,云计算的操作模式是将用户数据和相应的计算任务交给全球运行的服务器网络和数据库系统,用户数据的存储、处理和保护等操作,都是在“云”中完成的,将有更多的业务数据、更详细的个人隐私信息曝露在网络上,也必然存在更大的泄露风险。
3、系统可靠性和稳定性的隐患:云中存储大量数据,很容易受到来自窃取服务或数据的恶意攻击者、滥用资源的云计算用户攻击,当遇到严重攻击时,云系统可能面临崩溃的危险,无法提供高可靠性、稳定的服务。
4、云平台遭受攻击的问题
云平台高度集中了用户、信息资源等一些重要信息,所以极易成为黑客攻击的目标。近几年来,世界各国频频出现黑客攻击各大公司和政府机关的平台,盗取信息和篡改安全信息的事件发生,例如2011年上半年,黑客就有四起“云攻击”事件,分别是索尼PSN遭系列攻击事件、Wordpress遭攻击事件、新浪微博蠕虫攻击。由于这些网站存储了大量用户的资料和相关的信息,黑客攻击这些网站,窃取用户信息,用于不法之途,极大的损害了云平台用户的个人利益。
云计算迅速发展的同时,也面临着信息安全的巨大挑战。目前安全问题已成为困扰云计算更大发展的一个最重要因素。某种程度上,关于云计算安全问题的解决与否及如何解决,将会直接决定云计算在未来的发展走势。目前云计算环境存在以下隐患。
四、云环境信息安全防护解决方案
1、云服务提供商
从云服务提供商角度,安全防护方案:
(一)、基础网络安全
基础网络是指地理位置不同的数据中心和用户终端的互联。采用可信网络连接机制,对检验连接到通信网络的设备进行可信,以防止非法接入设备。基础网络安全设备性能要满足与网络相匹配的性能的需求,可以实现随着业务发展需要,灵活的扩减防火墙、入侵防御、流量监管、负载均衡等安全功能,实现安全和网络设备高度融合。
(二)、虚拟化服务安全
“按需服务”是云计算平台的终极目标,只有借助虚拟化技术,才可能根据需求,提供个性化的应用服务和合理的资源分配。在云计算数据中心内部,采用VLAN和分布式虚拟交换机等技术,通过虚拟化实例间的逻辑划分,实现不同用户系统、网络和数据的安全隔离。采用虚拟防火墙和虚拟设备管理软件为虚拟机环境部署安全防护策略,采用防恶意软件,建立补丁管理和版本管理机制,及时防范因虚拟化带来的潜在安全隐患。
(三)、用户管理
实现用户分级管理和用户鉴权管理。每个虚拟设备都应具备独立的管理员权限,实现用户的分级管理,不同的级别具有不同的管理权限和访问权限。支持用户标识和用户鉴别,采用受安全管理中心控制的令牌、口令及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份的鉴别,对鉴别数据进行保密性和完整性保护。
(四)、数据传输安全
采用在云端部署SSLVPN网关的接入方案,避免云环境下用户的数据信息从终端到云计算环境的传输中,数据信息容易被截获的隐患,以保证用户端到云端数据的安全访问和接入。
2、云服务终端用户
从终端用户角度,安全防护方案:
(一)、选择信誉高的服务商
企业终端用户应做风险评估,清楚数据存在云中和存储在自己内部数据中心的潜在风险,比较各家云服务供应商,取得优选者的服务水平保证。企业终端用户应分清哪些服务和任务由公司内部的IT人员负责、哪些服务和任务交由云服务供应商负责,避免恶意操作带来的损失,也能保证服务的持久化。
(二)、安装防火墙
在用户的终端上部署安全软件,反恶意软件、防病毒、个人防火墙等软件。使用自动更新功能,定期完成浏览器打补丁和更新及杀毒工作,保证计算环境应用的安全。
(三)、应用过滤器
目的在于监视哪些数据离开了用户的网络,自动阻止敏感数据外泄。通过对过滤器系统进行安全配置,防止数据在用户不知情的状态下被泄露,避免用户自身数据的安全性降低。
3、云计算监管方
目前我国云计算已经发展到实质应用阶段,国家有必要建立健全相关法律法规,积极研发和推广具有自主技术的云产品,构建中国自己的云计算安全防御体系。
五、结束语
总之,网络安全保护是一项重要、复杂的工作,目前,云安全还只是在发展阶段,面对的问题较多,因此,我们应始终保持积极的态度,不断的努力,使我国云计算服务朝着可持续的方向健康发展。
对于电信运营商而言,保证其客户信息具有较高安全性,能够相应的提升自身的品牌价值,亦能够提高电信在行业内的核心竞争力。为此,电信运营商必须要明确其客户敏感信息,并且深入分析其客户信息安全保护当中存在的主要问题,由此方能够寻找针对性的有效措施予以积极应对,促使电信运营商获得更良好的发展。
一、客户敏感信息概述
客户敏感信息主要指一旦遭到泄露或者被修改,便会对个人信息主体造成严重不良影响的部分个人信息。各个行业的客户敏感信息,根据客户意愿、行业特点等存在相应差别。
二、电信运营商客户信息安全保护问题
1、敏感信息保护工作的重视程度缺失。虽然当前电信运营上已经认识到了客户信息安全存在威胁,但是却仍旧难以提高客户敏感信息保护工作的重视程度。可以说,虽然电信运营上在客户敏感信息安全保障方面已经作出了努力,但是却并不具有针对性,亦缺少完善的安全防护体系,难以解决其中存在的诸多安全隐患。主要表现为电信运营商在客户敏感信息保护当中的人员能力十分欠缺,其不能够对自身客户信息现状作出全面的了解,即便知道客户信息安全存在问题却难以明确问题的严重性。
2、敏感信息识别难。敏感信息的识别比较困难,主要原因在于电信运营商对客户敏感信息的具体分布并未清晰了解。虽然电信运营商能够进行文件加密、终端管控和账号管理,但是在客户敏感信息贯穿于整个运营商业务流的情况下,其原本所采用的,比较单一的信息安全防护措施并不能够起到良好的安全保障效果。同时,电信运营上当前并不能够对其所有业务流程当中所产生的客户敏感信息分布情况作出清晰的了解,难以作出系统性的、全面性的监控,因而难以识别业务流当中的敏感信息,亦难以发现敏感信息风险。
3、网络安全威胁。首先,在人们对信息安全越来越重视的情况下,IT建设却比较滞后,电信运营商对于客户敏感信息体系建设并不清晰,缺少充足的安全保障意识、人才支撑和技术保障。其次,IT网络的链接十分混乱,存在私搭乱建的现象,使得网络间的访问难以得到控制。随着互联网技术的发展,网络技术结构逐渐变得复杂,各个不同系统之间的关系十分混乱,接入访问需求时会出现越来越多的安全威胁,使得接入访问难以达到客户敏感信息安全规范需求。最后,由于客户敏感信息众多,必须要通过大数据进行分析。但是,大数据所需要分析的敏感信息存在信息量大,要求准确和变化快等特点,使得其对大数据分析具有了更高要求。
三、强化电信运营商客户信息安全保护效果的相关措施
3.1加强对客户敏感信息保护工作的重视
在此方面,电信运营商需要全面加强其对客户敏感信息保护工作的重视程度。首先,应该提升运维操作人员、技术人员等全体人员的信息安全保障意识,可以通过培训等弥补其安全意识以及技术方面存在的不足。其次,应该配备充足的专职安全岗位人员,明确各个岗位的职责,以便更加具有针对性的负责客户敏感信息保护。
3.2强化运营商对敏感信息的识别
电信运营商首先应该建立比较完善的客户信息安全管理系统,用以明确客户敏感信息安全管理责任和程序,有效的处理信息安全隐患。其次,应该对客户敏感信息分类作出明确,促使整个业务流当中各个业务所涉及到的客户敏感信息均能够被及时发现且纳入到信息安全管理系统中。通过全面的信息安全监控,及时发现信息安全风险,便于制定应对措施。据此,电信运营商将能够更加良好的加强客户敏感信息的安全保护,肩负起其不可推卸的信息安全保护社会责任。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)06-0248-02
传统信息安全保护技术只是实现了信息的“加密”,并未结合各项服务需求形成系统化、层次化的安全体系及安全层次,整体保护效果并不显著。电子商务时代信息安全保护要求对信息内容进行全面把握,在电子商务基础上形成针对性防范协议及服务层次,这是传统信息安全保护技术所无法实现的。因此,电子商务时代信息安全保护要引入新的技术,形成新的体系,从而实现保护水平的全面提升。
1 电子商务时代信息安全保护需求分析
电子商务时代信息安全保护的过程中要把握好保护层次,结合系统需求形成相应的人文安全环境、设置安全环境、逻辑实体安全环境、安全机制、安全服务、用户安全体系、商务应用安全结构等,这样才能够从根本上把握电子商务时代的信息内容,对其进行保护,降低信息泄露造成的经济损失,从根本上提升电子商务时代的信息安全效益。
基于新技术的信息安全体系需要能够在用户安全层满足用户需求,实现用户信息“加密”,形成相应的用户协议,对电子商务体系信息进行全面控制;电子商务应用安全层要能够实现应用控制,通过Telnet、FTP、SMTP、SNMP等协议簇构建相应的信息安全保护结构;传输层可以通过安全路由生成相应的访问控制机制,设置相应的密钥完成访问限制,防止不法分子窃取机密信息;网络层要在安全路由和访问机制上设置相应的IP协议,如ICMP协议、IGMP协议、ARP协议、RARP协议等;接口层主要控制链路安全,可以通过非低层网络定义的协议实现。
上述体系构建时要把握数据加密技术、安全协议、身份认证等方面内容,对上述方面技术进行合理选取,针对具体的服务体系及服务设备形成相应保护技术体系。要注重电子商务时代信息安全保护技术之间的关联,全面提升信息安全保护技术的配合效益,这样才能够从根本上提升电子商务时代信息安全保护质量,达到事半功倍的效果。
2 电子商务时代信息安全保护的主要技术
2.1 基础信息安全保护技术
访问控制技术是信息安全保护中的重要组成部分。电子商务时代信息安全访问控制技术应用的过程中要把握好传统入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等,在上述基础上设置好防火墙控制体系,对访问中的各项证书资源进行全面监控,加强基于计算机技术的筛选、甄别及控制,从而降低访问漏洞,提升访问控制效益。加密技术应用的过程中要对密钥进行合理筛选,结合具体加密需求设置私人密钥和公开密钥,实现数据的针对性保护。其中,私人密钥可以通过DSE算法进行构建,公开密钥可以通过RSA算法进行构建。入侵检测技术能够实现电子信息时代信息安全网络的监控,对其运行状态、参数状况、系统使用等进行全面分析,通过算法及入侵保护设备检测数据异常状况,确定是否存在入侵。一旦出现入侵后会立刻切断网络连接,对事件进行报警。虚拟专用网应用的过程中可以构建数据封装系统,通过虚拟网络完成数据传输。而在认证的过程中能够借助认证技术确定交易身份的真实性、合法性等。这些均是电子商务时代信息安全的主要保护技术,是信息安全保护工作落实的基础。
2.2 新型信息安全保护技术
在对电子商务时代信息安全保护体系进行构建的过程中人员要把握好新型信息安全保护技术,对安全服务中的各项内容进行全面分析,完善针对性电子商务信息安全保护体系,从而实现信息保护效益的全面优化。当前新型信息安全保护技术主要包括PKI技术、XML技术、P3P技术平台、数字化技术、智能卡中间件等。
KPI技术应用的过程中要把握好公钥理论,在该理论基础上形成相应的安全服务体系。该技术以电子商务中的关键知识与基础技术为核心,对信息安全进行全面把握,能够实现认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤销系统等功能模块的有机结合,最大限度提升电子商务时代信息安全服务质量。
XML技术应用的过程中要把握好XML加密、XML签名、XML密钥管理规范XKMS等内容,对上述信息交换过程中的各项机制进行完善,形成基于XML上的各项信息安全保护体系。当前XML技术在电子商务时代信息保护的过程中主要应用于B2C电子商务交易过程中,通过建立以XML安全标准为核心的安全传输机制,有效提升了信息的可靠性、完整性、机密性和可鉴别性。与此同时,该技术还对安全协议进行改善,借助KPI公钥形成了XML加密片段,完成了HTTP+SSL传输,从根本上改善了电子商务信息安全保护效益。
隐私偏好平台P3P技术迎合了电子商务时代的信息需求,能够有效提升用户对个人隐私的控制权,达到信息安全的全面保护,在当前电子商务时代信息安全保护中占据至关重要的地位。该技术应用的过程中要对动态交易过程中的隐藏传输保护进行强化,通过用户设置实现信息隐私、告示与通信保护,达到了信息隐私安全保护质量的全面优化。
数字化技术主要包括数字水印技术、数字识别技术。数字水印技术主要应用在电子商务时代身份认证过程中,能够通过数字水印实现认证访问控制,构成相应的密码,完成数字隐藏和信息保护;数字识别技术主要通过信息技术完成数字信息的认证,通过密钥确定数字信息是否与协议一致,实现智能化身份信息识别。上述数字化信息安全保护技术对提升电子商务信息身份识别效益具有至关重要的意义。
智能卡中间件技术主要是通过智能卡实现信息加密、身份认证和电子支付等。这种安全卡主要通过DES、RAS信息加密算法实现,针对不同的密钥形成相应的智能卡中间件设置。上述设置主要包括智能卡中间件功能的设置、智能卡中间件开发流程的设计、智能化中间件免攻击保护设计、智能卡中间件小额支付加密设计等。随着电子商务的不断发展和深入,人们与网络之间的关系越来越密切,各项网络交易日益频繁。在上述背景下,智能卡中间件小额支付加密已经成为电子商务时代信息安全保护中不可或缺的一部分,但当前该技术仍不成熟,需要进行进一步深化研究。
3 结束语
电子商务时代信息安全保护工作开展的过程中要对基本信息安全保护技术和新型信息安全保护技术进行全方位把握,在上述基础杀红构建针对性信息安全保护体系,完善信息安全保护内容,从而实现保护效益的全面改善。要构建相应的组织结构,对安全保护人员技能进行提升,不断引入新的元素,对保护工作进行优化,这样才能够实现信息安全保护的与时俱进,全面推进信息安全保护工作发展进程。
参考文献:
[1] 戈悦迎. 大数据时代信息安全与公民个人隐私保护――访中国电子商务协会政策法律委员会副主任 阿拉木斯[J]. 中国信息界, 2014(2): 51-55.
关键词:
个人数据;大数据;信息安全
随着目前互联网技术的不断进步,城市的智能化水平更加完善,移动设备功能上的健全使得人们的生活水平更加便利。往往足不出户就能够购买到想要的东西。通过移动智能设备,人们也能够完成基本的水电费的交付、社交等。同时通过互联网,人们将大量的个人信息上传到各种社交软件上与他人进行分享,在分享信息的过程中可能就潜移默化的增加了信息被窃取的概率,一些不法分子可能乘机提取有效的信息进而获得用户的核心数据,最终造成用户信息被盗取,影响到用户的正常生活。
1对大数据的看法
大数据的特点:当前大数据时代的主要特点就是数据信息量极大,类型较多并且运算效率高,能够产生一定的价值。就以一个最为常见的案例来说,当前大部分的移动设备,计算机设备的存储上限都由MB发展到了GB,再从GB发展到了TB,统计数据的信息量逐年上升。其次,大数据时代下,不仅数据信息的总量不断上升,数据的类型和样式也变的多样化。以前可能我们身边接触到的数据信息就以文字、图片为主要形式,但是当前视频、音频、电子邮件等的发展大大拓宽了大数据信息的类别。同时在大数据时代下运算的效率速度也明显上升,各种现代化的搜索引擎以及数据挖掘技术都为数据的处理奠定了坚实的基础。
2大数据时代下人们信息安全面临的挑战
前面我们对当前大数据时代的基本特征简单的分析和探究,大数据时代下人们的信息数据共享化,很容易在网络上泄露一些机密信息,从而影响到个人的生活。个人隐私的泄露:首先在跟前大数据时代下出现个人隐私的泄露现象是比较常见的,用户在进行一些软件的使用过程中一般都会与自己的手机号或者电子邮件绑定,一方面通过绑定电子邮件与手机能够非常便捷的进行相关操作,另一方面有的人认为绑定手机或电子邮件能够降低账号被盗的概率。其实不然,一旦黑客通过非法途径入侵到用户的计算机内部,将用户的信息数据盗取,很容易连带效应将用户的大量数据信息泄露。比如说,常常有人在浏览网页的时候进入一些不安全网页,网页中存在木马,而这些木马会入侵到计算机内部潜伏一段时间,一旦木马爆发,在短时间内计算机不会出现故障,但是用户的个人数据信息会黑客盗取,这种现象对用户来说会产生极大的损失。因此,目前来看,在大数据环境之下保护个人信息安全是非常重要而必要的。
3大数据环境下个人信息安全保护的途径
目前随着大数据时代的到来,人们对于个人信息的保护和控制程度远远不如过去,很多时候个人隐私在不知不觉中就会被暴露在网络上,这些数据对于一般人来说可能没有什么作用,但是有的人可能从其中找到一些非法的牟利手段,间接的影响到用户的财产安全。因此我希望能够提出一些有效的个人信息安全保护对策来提高用户对信息的重视思想。
3.1匿名保护
首先,目前大数据匿名技术应当得到更新和改善,在我看来,传统匿名技术根本无法有效的对用户的信息数据进行保护,用户在匿名发送相关信息数据的过程中依然会被黑客窃取。换句话说传统匿名技术往往无法有效的保护用户的信息来源,黑客能够通过发送的信息数据直接搜索到用户机上,再通过移植病毒和木马的方式对用户机进行入侵。因此,首要的保护个人信息安全的措施就是相关部门能够加强匿名保护装置的建立,使得匿名保护设施能够直接将用户发送数据的来源进行修改,使得黑客无法通过非法手段获取到用户机的具体IP地址,从而实现对用户的个人信息数据保护。
3.2个人提升一定的安全防护意识
第二点,现在很多人认为随着科学技术的不断进步,互联网技术的完善和发展,互联网安全已经逐渐完善了,但是实际上其中的暗流涌动现象还是非常普遍,很多潜在的危险无法辨别就容易使个人信息遭到窃取。因此对于用户个人来说,我们首先应当从自我做起,提升对互联网的警惕心理,提高个人安全防护意识,在建立相关账号的过程中能够仔细辨认出网站的安全性,同时不浏览具有安全隐患的网络。计算机定期的进行木马、病毒的查杀工作,安装杀毒软件,保证计算机的安全,从而实现对个人信息的安全防护。
3.3政府部门加强监管
第三,政府内部专门的网络监控部门应当实施对网络的有序监管,随着大数据时代的到来,数据信息的容量以及内容逐渐增加,政府部门实施有效的网络监控措施能够对个人信息安全保护起到积极的作用。政府部门可以通过政府专用网络实现对大部分公网、子网的监控和审核,对于存在安全隐患的网址予以严肃的处理,如果存在严重影响到社会安定,人们的财产安全的则应当追究一定的刑事责任,最大化的保证大数据时代下网络系统的安全,保证个人信息安全。
3.4国家构建全面的法律法规
第四,国家也应当逐渐重视大数据时代下的网络信息安全问题,通过构建有效的法律法规体系来避免黑客钻法律的空子。很多情况下黑客之所以敢去窃取用户的信息一方面认为警察无法追捕到自己,所产生的影响不至于受到刑事责任,另一方面非法分子认为即使被抓到,也只是简单的惩罚一些金钱,而不是负刑事责任。因此国家应当严肃处理网络非法事件,对于非法入侵他人用户机的黑客予以严肃处理,不仅应当惩罚金钱,还应当追究刑事责任。
4结束语
总而言之,目前在大数据环境下个人信息安全防护是非常重要的问题,黑客技术的不断上升以及互联网的不断推广和普及都影响到了人们的信息安全。个人应当逐渐提高对网络使用的警惕心理;政府有关部门则应当重视网络的监管,降低黑客入侵现象的发生;最后国家有关部门构建全面系统的法律法规体系,使得黑客不敢如此猖獗。从这三面来提高个人信息安全保护的效果,保证人们能够在一个稳定健康的网络环境中发展。
作者:任凯 单位:莱芜市莱城区凤城高级中学
参考文献
[1]雷善雨.浅析大数据环境下的个人信息安全保护[J].科技创新导报,2015,32:20-21+23.
1)对于网络系统的硬件通信设备进行保护,主要是对网络中实体的安全保护,包括机房、线路和主机的安全。
2)网络与信息安全,包括网络的畅通、准确以及网上信息的安全。而大多数情况下,网络安全主要指后者。
2计算机网络主要面临的安全威胁
计算机网络的发展,使信息的共享应用日益广泛与深入。但是信息在公共通信网络上存储、共享和传输,会被非法窃听、截取、篡改或毁坏,而导致不可量的损失。造成这些威胁的原因有多种。
1)电脑黑客,黑客原意为热衷于计算机程序的设计者,但随着黑客工具的开发与传播,许多电脑爱好者也可轻松地使用黑客工具对网络系统中的其它主机进行非法访问,所以黑客指利用通信软件,通过网络非法进入他人系统,截获或篡改计算机数据,危害信息安全的计算机入侵者。
2)木马程序,木马程序是指潜伏在电脑中,可受外部用户控制以窃取本机信息或控制权的程序。木马程序危害在于多数有恶意企图,例如占用系统资源,降低电脑效能危害本机信息安全(盗取QQ帐号,游戏帐号等)将本机作为工具来攻击其它设备等。
3)计算机病毒,在互联网广泛使用的条件下,通过网络传播计算机病毒,已成为网络安全面临的主要威胁之一。在恶意病毒的感染下,计算机网络中的程序和数据资源被篡改、窃取、破坏是造成信息资源损失的主要原因。
3基于网络安全技术的网络安全策略
针对计算机网络环境中信息安全面临的安全威胁,目前对于信息安全的保护技术主要有:
1)数据加密技术,为计算机网络中传输的数据及联接网络的计算机主机中的重要数据使用适当的加密算法进行加密,使试图窃取数据的目的难以达到。
2)防火墙技术,所谓防火墙指的是一个由软件和硬件设备组合、在内部网和外部网之间、专用网与公共网之间的界面上构造的屏障,是一种获取安全性方法的形象说法,intert-net和intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙可方便地将不合法的访问被拒绝,从而使内部网络设备中的数据不会遭到非法的修改,窃取和破坏。
3)入侵检测技术,入侵检测是对恶意对计算机和网络资源进行访问行为的识别技术。在网络环境中,所有对计算机的操作访问信息都会以文件形式保护在操作系统的工作日志中。使用工作日志查看所有网络操作发生的事件,可甄别出恶意操作的信息。当网络操作带有恶意企图时,应采用相应的措施,防止类似事件的发生,以达到保护计算机系统的目的。
4)网络防病毒技术,网络环境下,防病毒尤为重要,因为网络中病毒传播更加迅速,系统恢复更加困难。网络防病毒可有效地制止病毒的传播和保护计算机网络中的信息资源。为保护计算机网络中的信息资源,可采用以上网络安全技术制定针对计算机网络信息安全的有效策略。
3.1检测系统安全漏洞
及时检查计算机系统中的安全漏洞,设置多个类别的用户,为不同的用户授予不同权限。按权限逐一排除可能对系统资源造成损失的安全隐患。按照使用安全漏洞扫描技术,结合操作系统日志对权限设置进行及时调整,以防范由权限设置过低造成的信息资源的损失。
3.2防火墙的应用
防火墙可对访问起到控制限制的作用,过滤掉非法的入侵源,保护计算机网络,使其正常运行,对计算机网络及信息资源保护起到重要的作用。
3.3加密保护
对重要数据的存储、传输使用适当的加密算法进行保护。对于系统用户使用的账号、密码进行加密保护。系统用户的相关信息使用较为复杂的密码。可增加黑客用户使用暴力破解密码的难度。加密过的数据使被窃取信息资源变得无意义。
3.4网络防病毒
建立系统的网络防病毒系统。在网络中的各个工作站及服务器中建立病毒实时监测系统,对病毒的传播执行进行实时的监测,防范病毒的传播和对数据的破坏。服务器是计算机网络的核心,对计算机网络中信息的存储,网络服务的提供起到重要作用。建立基于服务器防病毒系统,使病毒失去传播途径,杜绝病毒在网络上蔓延。
3.5检测非法入侵入侵检测系统监控和检测整个网络系统所包含的各项数据。入侵源被检测到后,检测系统可采取相应的措施,保护信息数据的安全。
关键词:
大数据;个人信息;犯罪主体;刑法体系
0引言
随着云计算技术等新兴网络技术的迅猛发展,数据量呈现出爆炸式增长的趋势,大数据逐渐渗透到日常生活的方方面面,这也意味着大数据时代已经到来。大数据因其数据量极大、速度较快、种类多样、价值密度低等特点,所含信息量较高,就个人信息保护而言,传统的信息安全保护措施已经不能满足大数据时代信息安全保护的需要。据《中国网民权益保护调查报告(2015)》,网民个人身份信息及个人网上活动信息受侵害极为严重,高达78.2%的网民个人身份信息曾遭泄露,导致垃圾信息泛滥、非法诈骗猖獗等严重问题。大数据时代下,仅仅依靠民法、行政法对个人信息安全施以法律保护,已不足以遏制违法犯罪行为。如何有效预防及打击危害公民个人信息安全的犯罪,逐渐成为我国目前刑事立法的重要任务。
1大数据时代个人信息安全面临的问题
1.1受侵害风险增大
当今社会网络极为发达,日常生活中看似非常普遍的行为都会被“记录在案”,每一次浏览网页,查询相关信息等都会在网络上留下“印记”,极易被其他个人或组织、机构获取。其他个人或相关机构对数据进行收集、筛选、分析、提炼,从中获取相关信息为自己所用,甚至会获知涉及他人隐私的信息,如真实姓名、电话、家庭住址等,并将这些以数据化的形式予以留存。无论这些信息是否在网络上公开,是否以非法方式加以使用,都已成为“达摩克利斯之剑”,始终存在潜在的风险。
1.2受侵害途径增多
《2015年第一季度网络诈骗犯罪数据研究报告》显示,社交工具、电商网站、搜索引擎、分类信息及游戏网站是实施网络诈骗犯罪所使用的主要途径。恶意程序、钓鱼网站、诈骗短信、诈骗电话等网络违法犯罪手段屡禁不止,个人信息泄露情况非常严重,主要包括两个方面。
1)个人非法获取他人信息。黑客会使用一些新型的手段非法获取他人信息,最为常见的即为利用伪基站给手机用户发送诈骗短信,诱使其登录钓鱼网站,盗取他人相关信息,包括姓名、身份证号、银行卡号等。有些犯罪人在实施诈骗犯罪时,在对受害者个人信息十分了解的基础上,有针对性地实施诈骗行为,令人难以防范。
2)商业机构泄露他人信息。较多公司及相关机构如快递公司、大型商场、教育培训机构、保险公司等,需要登记详细个人信息,以便于为用户提供服务。部分公司将用户信息予以出卖获取利润,导致个人信息的泄露,侵害客户的隐私权。
1.3受侵害后果加重
首先,公民个人信息的泄露会导致即使公民并未与这些商家有过接触,也会接收到大量推广、营销类的垃圾短信及邮件,生活受到了严重的干扰。其次,公民个人信息的泄露会导致公民的有些信息被用于实现电信诈骗、虚假交易、信用卡套现等,使公民财物遭到损失,甚至会诱发敲诈勒索、绑架等侵害公民人身安全的刑事案件。犯罪分子在获知大量他人信息后,筛选出对自己有利的信息,以此确定犯罪目标,并实施具体犯罪。公民个人信息一旦泄露,会被反复倒卖、反复使用,公民会受到多次骚扰,公民的个人权利不断被侵害,侵害隐私权的后果只会不断加重,难以挽回。
2现行刑法对大数据时代个人信息安全的法律规制
刑法是我国保障人权、打击犯罪的基础性法律。由于公民个人信息安全的刑事案件频频发生,如何控制侵害公民个人信息安全的犯罪成为刑法需要考虑的重要课题。2009年通过的《中华人民共和国刑法修正案(七)》首次构建起防范个人信息安全犯罪的基本框架,填补法律空白;2015年通过的《刑法修正案(九)》对其进行了细致的调整,进一步完善了其基本体系。本文将以《刑法修正案(九)》为重点,探讨我国现行刑法对个人信息犯罪的法律规制。
2.1《刑法修正案(九)》中针对侵害公民个人信息犯罪的具体规定
1)扩大犯罪主体范围,加重处罚力度。《刑法修正案(九)》实施之前,我国刑法第253条规定,出售、非法提供公民个人信息犯罪及非法获取公民个人信息犯罪两种罪名的犯罪主体仅限于国家机关、金融、医疗等单位及其工作人员,即将其限定为特殊主体。这种限定虽然对非法获取公民个人信息的犯罪产生了一定的威慑作用,但是司法实践中,法律上的漏洞仍然存在。事实上,侵犯公民个人信息的犯罪主体不应限于特殊主体,日常生活中的网络账号注册、网上购物、办理会员卡等行为均有可能导致公民个人信息被侵犯。限定犯罪主体为特殊主体,使得一些犯罪分子逍遥法外,得不到应有的惩罚。《刑法修正案(九)》第十七条将其犯罪主体的范围进行了扩大,规定一般主体及单位也可以成为本罪的犯罪主体,应当依法追究刑事责任,进一步扩大了侵犯公民个人信息犯罪的主体范围。此外,特殊主体较一般主体而言拥有更多的资源及资金,渠道多样,更易获取公民个人信息,《刑法修正案(九)》对特殊主体犯罪规定了从重处罚情节,加重处罚力度,有利于对其产生威慑力,全面遏制泄露公民个人信息的行为,预防侵害公民个人信息犯罪的发生。
2)扩大犯罪对象范围,完善法律体系。我国原刑法将出售、非法提供公民个人信息的犯罪限定在国家机关或金融、电信、交通、教育、医疗等领域,而现实生活对公民个人信息的侵害不仅限于这些领域,其他领域也存在大量此类行为,也应当受到法律的规制。《刑法修正案(九)》使用“公民个人信息”一词,不再将其限定于特定领域。《刑法修正案(九)》在扩大犯罪主体及犯罪对象的同时,相应增加了对非法出售和提供公民个人信息行为的法律规定,弥补了法律空白,完善了规制侵害公民个人信息安全犯罪的法律体系。
2.2现行刑法规定侵害公民个人信息犯罪存在的瓶颈
1)相关条文设计有待修正。首先,《刑法修正案(九)》将侵犯公民个人信息罪根据犯罪情节严重或特别严重,分别规定了三年以下有期徒刑或拘役、三年以上七年以下有期徒刑,并对附加刑予以规定。虽然这种刑罚设计正视了侵害公民个人信息犯罪的严重社会危害性,但存在过于重视之嫌疑。对侵害公民个人信息犯罪的刑罚设计有些甚至高于一些危害公民人身权利的犯罪,比如侮辱罪、诽谤罪、非法拘禁罪等,刑罚配置过高,存在权利失衡的隐患。其次,《刑法修正案(九)》中的侵害公民个人信息犯罪的罪名设置较少,现如今新型犯罪频发,犯罪种类不断增多,已有的罪名不仅规定较为松散,而且不能涵盖需要被刑法所规制的犯罪行为,即使设置了侵犯公民个人信息罪,但是对何为“公民个人信息”的界定比较模糊,存在一定的局限性。再次,虽然《刑法修正案(九)》的条文使用了“情节严重”“情节特别严重”一词,但是并未对何为情节严重或特别严重作出解释,法律适用时存在障碍。
2)刑事立法模式较为单一。国外个人信息犯罪立法模式主要有五种类型:刑法典、单行刑法、附属刑法、刑法典与附属刑法相结合,特别刑法与附属刑法相结合。我国目前采用的是刑法典的模式,关于保护个人信息安全的刑法规定均存在于刑法典之中,方式较为单一,这种方式为司法适用提供了便利。此外,通过定期颁布刑法修正案对即存的刑法进行修改,可以使其符合时展的需要。但是,过于频繁地修改刑法典会损害刑法权威,降低刑法的公信力。虽说立法机关已经逐步将公民个人信息安全的保护置于重要地位,但是新型犯罪层出不穷,频繁修改刑法典,颁布刑法修正案只能解一时之渴,难以适应时代变化,我国目前的刑法体系仍需完善。
3加强公民个人信息安全刑法保护的对策建议
3.1明确相关概念,细化量刑标准
罪刑法定原则作为我国刑法所遵循的基本原则,要求实现犯罪和刑罚的法定化和明确化,不论是定罪量刑,都应当在法律中作出详备的明文规定,以此为司法机关的定罪量刑构建一个合理合法的标准。在设立侵害公民个人信息的犯罪时,首先应对相关概念予以界定,“公民”“个人信息”等概念,均应当进行明确的界定。例如,对“公民”概念在进行界定时,应当区分其法律含义和社会含义,侵犯“公民”个人信息的“公民”,不仅包括中国国民,还需要根据属地原则、属人原则等相关刑法的效力原则,具体界定此处“公民”的适用范围。“公民个人信息”等概念也同样如此,需要通过有关司法解释对其明确界定。其次,应当细化量刑标准,对“情节严重”“情节特别严重”应当进行明确规定,便于法官行使自由裁量权。否则将会导致司法实践中问题频发。
3.2改革立法模式,完善刑法体系
我国目前关于个人信息安全的刑法保护仍是以刑法典相关条文的方式来规定,条文设置较为松散,条文规定较为单一。因此,应当完善我国目前的刑法体系,采用附属刑法与刑法典相结合的方式,重视附属刑法的作用。如果不法分子实施了严重违反民商事法律、行政法的犯罪行为,立法机关可以在民商法、行政法等非刑事法律中规定相应的罪状及应当施行的刑罚。现如今犯罪日益复杂化,仅仅靠刑法典很难达到预防及惩罚犯罪、保障人权的目的。通过设立附属刑法,可以根据大数据时代瞬息万变的社会现状对个人信息犯罪进行及时地规制,对相关侵害公民个人信息的犯罪进行详细的规定,明确相关概念的内涵与外延,保证了刑法典的权威与公信力不会丧失。
作者:赵今 周阳 单位:中南财经政法大学
参考文献:
[1]陶雪娇,胡晓峰,刘洋.大数据研究综述[J].系统仿真学报,2013(S1):142-146.
[2]胡爱军,樊航.银行网络支付的潜在风险及防范[J].决策与信息(中旬刊),2013(4):138-139.
1.1相关软硬件设施不够完善
储存数字档案信息需要有足够匹配的硬件条件,比如说计算机和光盘质量,直接影响了信息能否长时间安全保存,所以为了档案信息可以被安全完整的保存,便于日后使用,就需要加大在软件和硬件方面的投入,有了高质量的设备和系统,可以提高信息的安全性,加强数字档案信息系统的建设。
1.2相关法律法规不够健全
由于数字信息档案是新兴技术,所以在这方面的我国仍然缺乏相应的健全的管理体制和法制法规。完善法律规定,建全惩罚机制,对于维护数字档案信息的安全具有重大的意义。把数字档案信息安全问题上升到法律高度,可以起到震慑不法分子的作用,现在仅仅依靠通用的计算机法律法规来维护档案信息化建设的安全,这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,早日建立专门的法规进行监管,可以保证信息的安全性,减少不必要的损失,促进新型数字信息体制的发展。
1.3人员素质和管理体制不够健全
把档案信息数字化,网络化,就需要从录入,管理,使用都形成良好的体系,所以要加强对于其体系的管理工作,比如说,建立专门的档案组织机构,可以协调档案数字化、信息化、网络化各部分间的工作,把技术部门和管理部门相联系,实现档案信息网络一体化的宏观管理。在统一的安全组织领导下,每个人都要明确自己的分工和责任,条理清晰,层层负责,建立由馆长为网络安全总负责人的体系,并根据各自安全管理的目标,建立相应的档案信息安全管理制度。在完善管理之后,就要提高技术人员的水平,针对数字档案方面的相关知识对人员进行培训,提高他们的专业能力和工作效率。现在这种专业的技术人员和管理人员都较为缺乏,所以数字信息的运行较为混乱。
2.应对信息安全问题的措施
2.1加强数字信息安全的高科技运用
数字档案作为信息时代应运而生的产物,就要采用更为高科技的手段进行管理。所以针对其安全问题,可以采用防火墙技术,入侵检测技术,防病毒技术,加密技术等。防火墙技包括计算机防火墙和网络防火墙。档案馆可以充分利用防火墙提供的功能自行设定符合本单位要求的安全策略,通过确定防火墙的信息类型,可以检查内部网络间的信息沟通交流,避免被黑客阻断破坏网络交流,篡改网络信息。防病毒必须从网络整体考虑,主动防御,改变被动劣势,通过网络环境管理网络上的所有机器,如利用查毒功能对客户进行扫描,检查病毒情况,还可以利用在线报警功能,当病毒侵入系统或者机器运转出现问题,网络管理人员可以及时了解,并采取一定的防范措施。档案信息具有非公开性,采用加密技术可以确保档案信息内容的非公开性。加密和解密使用不同的密钥,使得第三方很难从截获的密文中破解出原文,这对于传输中的档案信息具有很好的保护作用。这些高科技手段的应用,都可以有效的提高数字档案信息的安全性,避免档案发生泄漏等问题。
2.2提高重视,加强道德安全教育
档案信息化进程不断推进,对于网络的依赖性也日益提升,许多档案部门对档案信息安全的重要性、紧迫性仍认识不足。对档案信息安全则是淡然处之,由于缺乏必要的安全教育与培训,导致系统操作人员缺乏安全意识,网络信息违规操作的现象时有发生。所以要加强对于信息安全的重视,加强宣传教育,树立全面的系统的档案信息安全观,并且要端正态度,有良好的道德品质,不能利用网络从事一些违规违法的事情,要有职业的责任感,明确自己的职权范围和行业操守,严格按照规定做事,保护数字档案信息的安全。
2.3提高人员素质,加强能力培训
数字档案信息的管理追根究底还是得依靠人员的操作,所以对管理人员进行素质和能力培训是非常有必要的。要让他们学习先进的知识文化,通过培训班,讲座,与其他地区甚至国家进行交流等方式,让他们能够不断更新数字档案信息管理知识,掌握现代化的数字档案信息管理技术,进一步提升数字档案信息管理素养,这样才能跟上我国数字档案信息安全管理的发展步伐。还可以建立内部的奖罚和考核机制,提高大家对于专业知识技能学习的积极性,激发他们对于工作的热情,端正对于工作的态度。
2.4政府大力支持,完善体制
对于档案信息领域新的变革,要想让大家接受并逐步推广,就要政府大力支持,给予一定的资金技术支持,加强数字档案信息的宏观管理,完善各方面体制建设。人员方面包括安全审查制度、岗位安全考核制度、安全培训制度等。
引言:
网络技术的发展中产生了网络银行,网络银行的发展有赖于网络技术,但是与传统银行相比,网络银行有更多的风险和隐患。现阶段,银行网络信息安全系统还不够完善,其信息安全也得不到完善的法律保护,使得银行网络信息安全存在很大隐患,需要加强对银行网络信息安全保护,确保银行用户信息安全,促进银行健康稳定发展。
一、产生网络银行信息安全问题的原因
产生网络信息安全的原因主要有:
①银行借助于网络技术业务范围不断扩大,网络银行优势得到了充分发挥,但是银行信息管理系统不完善,使得银行信息安全出现问题。
②网络犯罪者攻击银行系统,窃取银行机密信息和资金,并且其攻击手段借助于网络技术在不断提高,银行信息安全技术出现了很多漏洞和弊端。
③很多网络银行用户信息安全意识不强,并且不重视安全知识,不懂得如何规避网络风险,这也是网络犯罪案件不断增多的原因。
二、银行网络信息安全保护措施
2.1要建立健全银行的信息管理系统
银行要定期进行隐患排查和入侵检测,目的在于确保交易网络和服务器的安全。银行要及时对数据进行备份,合理利用加密和访问控制技术,与客户签订网银安全协议证书,全面检测系统漏洞。针对网络病毒要建立网络病毒安全防御体系,并且在银行信息系统运行过程中,实时进行查杀病毒,以便随时应对。
2.2加强网络技术人员队伍的建设
着眼于长远可持续发展,增加网络技术安全工作人员的数量,提高网络运维技术人员的技术水平,以提高信息安全意识作为出发点,对其加强网络安全培训和新技术的学习,激发其的工作热情。
2.3建立一套完备的应急处置系统
银行应该在考虑自身网络环境的前提下,从自身实际出发,通过缜密的测试工作,形成一套操作性较强的应急处理系统,一旦银行内部管理系统遭到外部攻击,能够以最快的反应速度抵挡外来攻击,减少攻击带来的损失。
2.4建立健全有关法律法规
网络银行中存在较多交易凭据,如:电子账单、电子凭证、收支明细等资料,但是,目前该交易凭据的保护,暂时没有完整的法律保护体系,这是制约网络银行发展的一个重要因素。此外,我国在银行网络信息安全方面的立法还不够健全,因此,需要充分加强在保护银行网络信息安全方面的立法力度,确保银行网络信息安全。
三、银行网络安全问题优化策略
3.1解决系统漏洞
以光大银行-网上银行为例,广大银行的手机银行系统,设置了超时自动退出功能,如果在15分钟内不对手机银行进行任何操作,操作系统会自动退出手机银行客户端,客户要进行手机银行操作需要再次登录手机银行。此外,广大银行为了确保手机银行客户端的安全,还专门设置了阳光令牌动态密码,每分钟自动刷新一次,使得手机银行的使用更加安全可靠。
3.2解决手机银行漏洞
为了确保手机银行的安全,很多银行采用的方法是绑定客户信息与手机号,客户要想登录手机银行就必须使用开户时使用的银行预留手机号,同时还需要输入正确的登录密码,为了出现恶意探秘现象,手机银行一般会设置输错累积次数,一般手机银行错输三次密码就会自动锁定。
3.3双密码措施
很多银行为了避免恶意攻击,都设置了双密码功能。对此,建设银行的做法是设置登录密码以及交易密码两种控制方式,并且对错输次数进行限制,超出错输次数,当日就无法正常登录系统。首次登录网上银行,会提示用户设置交易密码,系统会对用户设置的交易密码进行自动检测,太简单的密码会提示重新设置,确保用户的账户安全。此外,部分银行在用户登录网银系统时,提供了附加码和小键盘服务,防止用户信息泄露。
社交网络平台是互联网应用中非常重要的组成部分,随着当前科技的发展,移动互联终端迅速普及,智能手机、移动电脑等设备充实人们的生活。社交平台为社会上的个人创建了一个平台,在这个平台上,用户可以逐渐发展自己的人脉关系,扩充自己的人脉网络,寻找曾经的朋友;用户还可以通过这个平台分享自己的照片等;还有就是近两年逐渐流行的朋友圈之间互发红包等等,通过该平台逐渐拉近了朋友间的友谊。但是,分享的同时,个人信息也被上传到网络平台,成为一些不法分子注意的对象,近年来,网络犯罪的比例日益变大,社交网络中个人信息安全的保护迫在眉睫。
一、社交网络安全性分析
社交网络是一种基于因特网的网络使用方式,它为用户提供了一个扩充人脉的平台,在这个平台上,用户相当于整个社交网络中的节点,用户之间通过交流与沟通,将节点与节点之间的连线越来越复杂,互联沟通面得到不断扩展,社交网络普及面越来越广阔。当前,Android系统和IOS系统中的聊天通讯应用更新频率不断加快,应用软件层出不穷,因此,为社交网络的进一步发展和普及提供了良好的条件基础。因此,未来社交网络的覆盖面将会更加广泛,用户活跃度将会更加高昂。但是,正是由于社交网络的开放性,使得网络上的虚拟人物良莠不齐,相关用户很难从表面上去进行辨伪,很容易上当受骗;此外,当前许多通讯聊天应用为了实现更加精准化的交友条件选择,对用户的个人信息完全透明化,虽然在一定程度上使得用户能够更加轻松的找到自己需要找的人,但是也为网络犯罪创造了绝佳的搜索平台;还有,当前许多人过分依赖网络,为了让别人相信自己的真实存在,对自己的信息毫无忌惮地展现在社交网络上,希望通过这种方法来提高自己的空间浏览量和关注度,用户在进行分享的同时,用户个人的信息有可能会被不法分子所关注,进而进行违法犯罪行为。据调查,2014年我国因网络犯罪造成的经济损失将近万亿元人民币,高达90%的互联网用户都受到过网络犯罪的攻击。因此,增强社交网络中用户个人信息安全保护势在必行。
二、隐私保护控制方法
为了在社交网络中保护用户个人信息安全,许多专家学者提出了许多理论研究,常见的有以下几种技术:①Sweeney专家提出的K-匿名技术,该技术将用户信息数据库的部分信息数据进行泛化处理,使得其中包含个人敏感信息的K个位置的信息数据形成匿名集,进而实现对用户隐私的保护;②Chen等人提出的生成虚假信息的隐私保护方法,在用户位置信息的服务器中形成多种不同位置信息,进而使得攻击者难以正确识别用户信息;③MatsuuraK和HuangL提出的基于区域划分的轨迹隐私保护理论,将用户的轨迹进行分析分类,对用户经过的敏感区域进行用户个人信息的保护,防止用户个人信息的泄漏;④Gabrial提出基于分布式协议的prive方法等等。
三、用户个人信息安全保护措施
3.1建立健全相关法律条文
在当前法制社会里,通过建立健全对用户个人信息保护的法律条文非常必要,通过法律保护社交网络中用户个人信息安全不受侵犯,是立法机构当前非常紧要的事务。对于当前有些不法分子通过非法手段搜集个人信息,然后通过各种渠道用于违法犯罪的行为,相关法律应该给予严惩,对于一些通过设计开发包含有非法搜集个人信息漏洞的应用软件,然后用于从事非法商业活动的商家个人,相关法律条文也应该严厉惩罚。
3.2社交网络企业加强用户信息保护管理
社交网络企业应用实名制注册,在一定程度上能够减少不法分子通过注册一些非法账号用于网络诈骗,防止个人信息的泄漏,但是,这种情况下,注册的用户需要填写的信息更为透明化,如果账号被盗泄漏的信息将会更严重。在这种矛盾下,这就需要社交网络企业加强对用户信息的保护和管理。通过不断优化相关软件应用,对其中的漏洞进行不断修复升级,提升系统稳定性,运用先进手段对网络攻击者进行拦截。
3.3提高社交网络用户安全意识
除了需要国家和相关企业提高对用户个人信息的保护以外,用户个人也需要了解一些保护个人信息的方法。虽然社交网络是一个开放性的社交平台,但相关用户也不能过于放开自己,将自己的全部信息全盘透露给好友,将自己的一举一动都分享给好友,这样就会存在许多安全隐患。所以,作为社交网络用户,需要时刻提防社交网络的局限性,及时对自己的软件进行升级,完善系统漏洞,对自己的一些敏感性信息有防范保护意识,对自己的信息安全负责。
四、结论
社交网络有利有弊,它在拉近朋友间距离的同时,也拉近了用户与网络犯罪的距离,为了保护社交网络中用户个人信息安全,立法机构、相关网络管理企业、用户本人都应该具备时刻保护用户个人信息安全的意识,通过相应的措施不断完善社交网络,使得社交网络平台更加安全、便捷、实用。
作者:刘伟彦 单位:武汉市第六中学
参考文献:
[1]郭祥.基于移动社交网络的隐私保护关键技术研究与应用[D].电子科技大学硕士学位论文,2015.6.
大数据在本质上是一种电子数据,它具有自身独特的特性。首先,数据处理规模大。现今社会,全球每天产生的数据就已经达到4. 5EB,这个数字仍然以惊人的速度高速增长。其次,数据信息快速化。信息产生的速度常常比数量更加重要,通过手机定位数据可以计算出一个商场当天的客流量,从而推断出该商家的当天营业额。最后,数据信息具有多样性。大数据的形态多样,包括了结构化、半结构化和非结构化数据。此外,现代互联网应用呈现出非结构化数据大幅增长的特点,来源形式多种多样,包括各种信息、应用更新、社交网络的图片、传感器读取的信息、手机的定位等,而且不少信息来源的重要方式都是新近才出现的。
一、个人信息安全面临的挑战
1.个人隐私安全风险增大。网络的浩瀚性意味着数据来源更加宽泛和多元,监控摄像头、交互平台、移动电话、电子档案、数据库等,大量的信息堆积,必然给个人的信息安全带来影响和破坏,增大了个人信息被泄露的可能。
2.大数据成为了网络攻击的主要目标。在互联网时代,大数据能够反馈出更多、更有价值的信息,信息的含金量不断提升,带来的丰厚利润不言而喻,因此遭到攻击和盗取的概率也就越大。同时,大数据的窃取能够是不法分子获得大量相关信息,一次获取,多重效益,必然让黑客垂涎欲滴。
3.不法分子利用大数据精确攻击。大数据对于企业来说是财富是影响,对于不法分子来说同样是金钱是价值。不法分子在获取大数据的同时,也会反其道而行之,利用大数据来检索、定位,为新一轮的攻击盗取提供更加快捷的技术手段和方式。为了提升攻击的效率和质量,黑客往往会尽最大可能的收集包括社交平台、微博微信、通话记录、电子邮件、消费记录等信息,并加以归档整理,方便下次调用,提高攻击的精确性和时效性。
二、个人信息安全保护的措施
1.加强舆论宣传,提高保护意识。国家网络相关部门要通过各种舆论宣传工具,对网络用户进行个人信息保护知识的宣传,提高公民对个人信息安全的认识和重视,树立公民保护个人信息、尊重他人个人信息的理念。个人在信息保护上是第一责任人,负有维护个人信息安全的当然义务。个人在进行网络行为时,尽量避免个人信息的泄露。同时,加强对个人电脑的安全防护,安装并及时升级杀毒软件与防火墙,提高个人上网设备的安全性能。
2.建立个人信息安全保护的法律法规。我国目前现有的法律法规对个人信息的保护虽然有所涉及,但这些规定都还只是零散地分布在各个法律之中,并未形成一个完整的个人信息安全保护的法律体系,而且没有一部明确保护个人信息的专门法律。立法保护个人信息,不仅突出了公民的信息自由权,彰显出以人为本的理念,回应了和谐社会权利有序化的诉求。同时还可保护网上消费者的个人信息安全,促使网络运营有序化,推动全国电子商务和电子政务的健康发展。
3.完善个人信息安全保护的技术措施。在互联网环境下,个人信息的泄露主要是由黑客等机构外部人员获取和网络传输过程中的问题造成的,因此要加强软硬件的技术保障,从而保护用户个人信息安全。在硬件方面主要通过安装防病毒硬盘等硬件设施进行保护。在软件方面主要通过个人隐私安全平台、加密软件、数据备份软件、自动删除个人资料软件等保护措施。针对网络上的个人信息易泄露的问题,网络营运商除了应向用户提供提示信息,还应该使用各种安全技术来保护网络用户的个人信息不被不法分子侵害。
4.建立健全个人信息安全保护与防范机制。个人信息安全的保护不仅要依靠法律,更需要网络主体从业人员的道德意识以及自律意识。加强网络道德建设,用道德标准约束人们在网络上的行为,要让网络道德成为人们在网络中实施行为时的一个标准。对网络运营商而言,除了要对网络从业人员进行道德教育并提高行业自律意识外。
许多网络运营企业掌握着客户大量的个人信息,如果没有很好的防范机制就很容易造成信息的丢失。无论是电信运营商、电子商务企业,还是信息安全企业都需要对外来的技术攻击加以防范。因此,企业必须加强自我约束力,提高保护客户信息的意识,同时提高技术手段,完善相关信息管理系统,并对用户个人信息安全管理制度和流程进行梳理和完善,建立健全侵犯用户个人信息的各项管理制度与规范,用户个人信息安全管理和保护机制、问题处理机制、监督机制和奖惩机制等。对侵犯用户个人信息的情况,要做到迅速和准确处理。
结束语
中图分类号:G250.76文献标识码:A文章编号:1003-1588(2018)01-0109-03
大数据环境下,包括社交网络、物联网以及移动网络在内的大型互联网让用户在使用过程中产生了大量数据足迹[1]。信息收集技术、筛选技术以及处理技术的应用让用户的隐性数据无法得到有效保护。在商业利益的诱惑下,社会上已经出现了大量用户私密信息(包括股民信息、房主信息、患者信息、车主信息以及商务人士信息等)的出售活动,并且已经形成了一条黑色产业链,用户私密信息的安全问题日益严重。用户信息不仅是数字图书馆管理的重要对象,而且是其进行服务升级的重要依据。因此,数字图书馆应该在用户信息数据安全方面负起责任。
1数字图书馆用户个人电子信息的内容
数字图书馆的用户个人信息是指用户在使用数字图书馆过程中产生的与用户有关的信息资源,这些信息资源是用户与数字图书馆之间的绝密信息,数字图书馆应该保证个人信息的安全,有效地保护用户的利益,从而获得他们的信任。
1.1用户的个人注册信息
当用户在数字图书馆上注册时,他们会被要求填写必需的个人信息,其中包括个人学历和身份信息等[2]。个人学历信息主要包括用户的职业、工作单位、学历水平、专业以及兴趣爱好等,个人身份信息主要包括用户姓名、性别、联系电话、年龄以及电子邮箱等。
1.2用户的个人使用记录
为了记录数字图书馆的服务情况和资源使用情况,数字图书馆利用Web服务器记录用户使用资源的情况,即以工作日志的方式记录用户的访问内容、访问时间、访问结果以及IP地址等[3]。数字图书馆可以将收集到的用户使用信息进行数据挖掘和数据分析,从而挖掘出用户的兴趣爱好、访问习惯以及研究方向等,这些被挖掘出来的数据也属于私密信息。
2数字图书馆用户个人信息面临的安全威胁
2.1网络层的安全威胁
网络层的路由系统、访问控制系统、远程接入系统、身份认证系统及域名系统都容易受到病毒或黑客攻击,网络层面临的安全威胁包括计算机病毒威胁、黑客攻击威胁、网络边界威胁以及数据传输错误威胁等[4]。用户私密信息在网络传输过程中有可能受到窃听、截获、破坏以及篡改等威胁,致使其信息的完整性和安全性无法得到有效保证。网络边界是数字图书馆与互联网联系的第一道防线,主要包括网络与用户终端之间的边界以及网络与网络之间的网关边界,其对应的网络安全问题主要有馆域网用户访问监管力度不足、非法侵入、用户终端能力下降以及非法应用软件安全控制不力等。黑客利用DDoS对网络层进行攻击,达到网络阻塞甚至瘫痪的目的。
2.2应用层的安全威胁
应用层面临的安全威胁主要有木马程序、蠕虫程序、拒绝服务攻击、网页篡改以及宽带占用等[5]。应用层的各种应用型软件在设计方面并沒有完全参考网络上存在的各种安全威胁,都会存在一定的设计缺陷。因此,数字图书馆会经常受到病毒或黑客的攻击,用户的私密信息也得不到充分的安全保证。目前,黑客大都采用木马、蠕虫、网络钓鱼等攻击方式,这些方式对应用层的安全威胁巨大。甚至有些黑客采用移动代码和电子邮件的复合型攻击方式,其攻击威胁程度更高。随着网络技术的不断推广,应用层的安全威胁已经成为数字图书馆最大的安全隐患,该隐患具有危害大、辐射范围广和发作时间快等特点。
2.3管理层的安全威胁
数字图书馆以信息资源为核心内容,以功能应用为服务手段,拥有较为复杂的安全体系,它的所有安全策略都需要管理人员制订,因此管理层在数字图书馆中起关键作用。管理层面临的安全威胁主要有管理人员权利和职责不明确、操作不规范、安全管理制度不完善等[6]。当系统受到黑客攻击或者其他恶意攻击时,数字图书馆的安全体系无法进行实时的监控、检测、警告、报告,也无法准确提供黑客攻击行为的追踪线索。另外,管理人员的安全防护意识淡薄,允许用户使用默认用户名和密码进行登录,致使安全防护体系很容易被黑客入侵。管理层的安全威胁可以使整个数字图书馆的安全防护体系形同虚设,它是用户私密信息安全的最大威胁。
3数字图书馆用户个人信息的安全保护策略
数字图书馆需要加强用户私密信息的安全保护力度,维护好“保护用户信息,维护用户利益”的良好形象。
3.1用户信息采集阶段
数字图书馆对用户信息进行资源化处理的第一步就是采集用户信息,这是非常重要的环节。但是,数字图书馆在采集用户信息方面存在一些问题,并没有形成规范的采集步骤。现阶段,数字图书馆主要借助计算机采集用户信息,有两种方式:用户主动提供私密信息或在用户知情的状况下被动提供私密信息,系统在用户不知情的状况下自动采集私密信息。在服务器帮助下,数字图书馆可以利用Cookie技术将少量用户信息自动存储到客户端缓存中,或者让服务器直接读取客户端的硬盘数据,这就给用户私密信息的安全性带来巨大威胁。因此,数字图书馆可以设立专门保护用户信息的资源化小组,该小组的主要任务就是负责制订用户信息采集规范和采集准则,提高管理人员保护用户信息的能力。采集用户信息的规范要根据国家相关法律法规制订,其主要内容有:①将用户个人信息进行分类,可分为一般性信息和私密性信息。②规定采集用户信息的手段和方式。③规定采集的具体内容和信息保存时间。④要在公告栏和网站上采集准则。如:中国科学院就专门公告隐私声明,并且会承诺“在未经过您的同意之前,本图书馆或者网站不会转载您的任何资料和信息”。中国科学院图书馆也制订了一些采集信息规则:尽量不采集用户敏感信息,如需采集,需要征得用户同意;不利用间接手段或者隐蔽手段采集用户个人信息;对于智能化和自动化的采集方式要严加考核,并保护个人信息;不允许管理人员私自采集和处理用户个人信息等。
3.2用户信息组织加工阶段
用户信息只有经过有序化和组织化处理后,才能够成为真正的资源,否则,不仅不能够得到有效利用,还会造成资源浪费和信息污染。用户信息每经过一次处理,就会增强其针对性,就会增大其应用价值,进而会涉及更多的私密信息。如:数字图书馆利用用户阅读和下载的信息资源类型,就可以获取他们的兴趣爱好、研究方向以及职业类型等。因此,数字图书馆对用户信息进行安全设定是很有必要的,可以在数据库中添加一个安全等级标识,不仅能为数据挖掘提供数据支持,还能为数据共享和提供必要的安全保护。用户的基本信息包括用户的姓名、性别、出生年月、联系方式、专业、登录密码等,显然这些信息不能够完全公开。因此,数字图书馆需要设定安全等级,主要分为四个等级:第一等级为可以完全公开的用户信息;第二等级为可以在个性化服务、用户满意度评估以及信息管理等模块中公开的用户信息;第三等级为仅供管理人员读取和管理的用户信息;第四等级为用户的安全凭证信息,这类信息一般不对外公开。
3.3用户信息利用阶段
数字图书馆采集用户信息的应用领域主要包括信息、学科服务、用户个性化服务以及与其他服务系统的共享等方面。信息的共享性和流动性直接决定了信息的应用价值,信息的共享性和流动性越强,信息的应用价值就越大。用户的信息共享模式主要有:①借助数字图书馆,用户可以方便地获取数字化信息资源和传统文献资源。但是,用户不能从数字图书馆中获取其他用户的资源,因为这涉及用户信息的隐私问题。②数字图书馆内的各个部门之间以及数字图书馆与其他部门(如网络中心、档案室、教务处和科研处等)之间需要实现信息共享。如:流通部门需要将接收的用户信息传送给系统部门,以便让这些用户获得访问权限。③数字图书馆可以采用联合资讯和馆际互传等方式与其他图书馆实现信息共享。数字图书馆如果无法解答用户提出的问题,就可以与其他图书馆进行资讯,以便为他们提供更好的服务。④数字图书馆可以与数据库提供商、软硬件提供商、书商、业务外包商及出版社等机构进行互动交流。如:数据库提供商、软硬件提供商和RFID软件供应商会根据自身需求访问数字图书馆的数据库或镜像数据库。数字图书馆与其他部门或者机构进行互动交流时,可以利用匿名化保护技术,管理用户的私密信息,进而避免用户私密信息的泄露。
數字图书馆集成服务系统是整个数字图书馆的主要业务系统,主要包括用户信息、业务管理信息和文献资料信息等[7]。数字图书馆可以根据用户的借阅记录和个人信息,对用户的兴趣爱好进行定位,从而更好地帮助用户获取所需的信息资源。数字图书馆还可以利用OLAP分析技术对用户的使用数据、系统日志和馆藏数据进行分析和挖掘,并将处理内容分为图书采购分析、用户需求分析和馆藏结构分析,为管理人员提供有效的决策参考。数字图书馆针对不同的应用目的,其数据属性也会显示不同的等级。
4结语
为了提供更好的信息服务,数字图书馆应该重视用户信息的采集、利用和处理环节。数字图书馆采集的用户信息越多,为用户提供信息服务时,就越有针对性。因此,数字图书馆处于一种尴尬境地,要想提供优质信息服务,就必须采集更多的用户信息;采集的用户信息越多,就越可能侵犯用户隐私。如何在为用户提供好的信息服务与保证用户隐私信息的安全性之间保持平衡是值得探究的课题,笔者提出了以上安全保护策略,它既能够采集足够多的用户信息,又能够保障用户的信息安全。
作者:林淑湘
参考文献:
[1]易斌.高校图书馆读者隐私保护现状实证研究[J].图书馆论坛,2013(3):65-68.
[2]王滢.境外图书馆个人信息保护政策对我国图书馆实践的启示[J].图书馆学研究,2012(5):63-67.
[3]徐敬宏,文利民.论电子商务消费者个人信息及其保护[J].图书情报工作,2009(8):130-133.
[4]程瑶,应凌云,焦四辈,等.移动社交应用的用户隐私泄漏问题研究[J].计算机学报,2014(1):87-99.