关于信息泄露及其安全的分析
在二十一世纪这个崭新的时代里,随着社会的不断发展,科技的不断进步,极大的满足了人们的各种需求。特别市互联网的广泛普及,不仅方便信息的交流,而且还可以通过其满足物质需求。但与此同时,也会产生许多问题,信息泄露就是一个亟待解决的问题。其中包括个人信息、政府信息和企业信息,甚至国家信息,都可能成为被泄露的对象。
近年来,国家加大力度打击非法买卖公民个人信息的行为。面对互联网的普及给公民个人信息安全的保护带来新的挑战,不久前在公安部统一部署指挥下,我国首次大规模集中打击侵害公民个人信息犯罪的专项行动取得显著成果,共抓获犯罪嫌疑人1700余名。但是,由于侵害公民个人信息的手段、方式不断翻新,公民信息安全保障的形式依然严峻。
对于个人信息泄露的途径,调查发现,银行、保险公司、商场等商业单位是民众认为最有可能泄露个人信息的机构,有1530名受访者对此表达了担心,占参与调查总人数的51%。此外,当前不少网站在用户注册、参与线下活动时要求用户提供个人信息,也被34%的受访者认为是可能造成个人信息泄露的重要途径。
调查显示,公众对个人信息安全的认知和重视程度还有待加强,38%的受访者日常并不注意保护个人信息,在网站需要提供个人信息时不清楚信息收集的目的。长期关注网络社会问题的中国传媒大学詹骞老师认为,网上个人信息频频被泄露的根源,一方面是由于公民个人的信息保护意识和能力还不够强,另一方面在于技术和商业利益裹挟在一起,不法分子通过各种技术手段盗取用户的个人信息,背后是商业利益的驱使。另外,人们在享受互联网便捷性的过程中,也不知不觉地将个人信息和隐私交换出去,如通过微博和交际网站晒个人的生活细节等,都存在信息泄露的隐患。
面对个人信息泄露可能给公民人身和财产安全造成的威胁,民众普遍呼吁出台保障个人信息安全的专门政策,加强立法。“保障个人在信息泄露后有获得补偿和救济的权利”“对盗取个人信息的行为予以法律制裁”“强调个人在信息收集时的权利,若所收集信息与办理的业务无关,个人可选择不提供信息”是网民呼声最高的三个选项,有近70%的受访者表达了这样的期待。
除了相关政策法规的完善,詹骞还认为,网站有义务从技术上为用户提供保护,以防止不法分子对网民个人信息的盗取和挖掘。“除了法律规定的一些机密信息,采集公民个人信息的机构、网站也应对用户个人隐私数据的保护承担更多责任。”詹骞说。以下将会介绍几则关于个人信息安全的实例。
(1)手机登录网站“领奖”聊城男子被骗1500元。“尊敬的用户您好:您的手机号被《快乐大本营》节目后台抽取为场外幸运号,您将获得由苹果公司赞助提供的79000元奖金与苹果笔记本电脑一台,请用电脑登录网站:www.xiexiebang.com及时领取,您的验证码为xxxx。”5月17日,聊城男子小周的手机上收到这样一条短信,结果他按对方的提示进行操作后被骗1500元。东昌府警方表示,现在骗子行骗的手段越来越高明,而且故意在短信中提示用电脑登录网站,从心理上误导大家,现在不少人都用手机直接登录,这样很容易上当受骗。因为在电脑上登录网站,会显示湖南快乐大本营官方网站的提醒。
(2)胡某是四川成都一家非法调查公司的主要犯罪嫌疑人。在近日落网之后,记者对他作了采访。“3年以下有期徒刑或者拘役”,这是胡某可能面临的刑罚,这还有一个前提——“情节严重的”。过低的违法犯罪成本和丰厚的获利,让不法分子不惜以身试法。
胡某的犯罪行为,只是侵害公民个人信息犯罪利益链条的一环。他所掌握的个人信息,来自于网上的众多“上家”。公安部刑侦局副局长廖进荣介绍,这种利益链条的构成为:泄露信息的源头→买卖信息的中介平台→从事非法调查、暴力讨债的犯罪组织,每一个环节均有利可图。
从案情上看,警方认为,只要堵住信息源头,这种“生意”就没法做了。廖进荣告诉记者,已被挖出的“源头”中,大都是掌握公民个人信息的单位和部门的“内鬼”,涉及电信、银行、工商、民政、保险等多个行业和部门。
还有证据显示,倒卖信息行为在一些行业内部已成“公开的秘密”。个别企业或机构的内部监管流于形式。(3)沃尔玛旗下山姆会员店被指买卖个人资料
网易财经5月21日讯昨日,网友“作家-天佑”称自己家里的每个人都接到了来自深圳星河时代沃尔玛山姆会员店的入会邀请信,并称其邻居也受到了类似的邀请信。他表示担忧自己个人信息被泄露并被用于买卖,并在其后深圳警方举报沃尔玛“买卖个人资料”。
沃尔玛中国公共关系高级总监李玲今日下午向网易财经表示,“山姆会员店的邮寄广告是由合作的广告公司通过邮政系统进行入户投递,邮政本身有这样的服务提供”,并强调沃尔玛并不是前述信息的收集主体。
网易财经编辑查询发现,中国邮政确实有较详细的名址信息服务。不过,中国邮政还有另一种仅提供投放的服务,由于网易财经未能联系上中国邮政,尚不能判定信息来自于何方。
(4)数据的价值删除无用数据可降低风险2012年05月21日00:00
【it168编译】
本月早些时候,一名美国密苏里州参议员阻挠议事,以阻止该州创建新的处方追踪数据库,因为一旦这个数据库发生数据泄露事故,有关公民的处方信息将会被泄露。这个事件说明大家都逐渐意识到保护敏感个人识别信息(pii)的最佳方式之一删除它。
针对各种个人信息泄露的事件,自然就要对其采取解决措施。以下将用具体的实例来说明。(1)近日,泰安工行岱岳支行根据省市行和《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》的要求,支行高度重视,强化制度执行力,采取有效措施,所辖部室网点扎实开展自查工作,将客户个人信息安全保护不泄露,确保万无一失。领导重视,强化责任心。支行成立客户个人金融信息保护工作领导小组,行长任小组长,负总责,分管内控行长为副组长亲自抓,所辖营业网点主任、内控副主任为成员,综合管理部上下协调,明确责任,各负其责,细化分工。
强化执行力,签订保密承诺。
1.针对2011年“个人客户信息安全大检查”中发现的问题,从机制、制度、流程等方面提出解决方案,落实改进措施。
2.与网点负责人和个人客户经理逐人签订了《保密承诺》。
3.对柜员办理业务过程中知晓的客户身份证信息,要求严格保密,身份证复印件随传票装订,不得遗留在柜台和个人物品中,身份证复印件要留存核查信息。
加强监督检查力度,保护好客户信息。
1.对包括个人客户信息系统(ecis)、个人客户营销管理系统(pbms)、个人客户信贷管理系统(pcm2003)等涉及个人客户信息管理的系统及其他个人金融业务应用中涉及的客户信息管理环节,重点关注各类数据库信息的安全,业务应用中对客户信息的查询、下载、保存等符合制度要求,不存在泄露客户信息情况。
2.对自查中发现的问题,认真分析原因,立即整改,深入查找制度缺陷及管理中存在的薄弱环节。
3.对所辖员工存在泄露个人客户信息嫌疑的,支行领导要采取与经办员工面谈、调阅监控录像等方式认真核实,属实泄露个人客户信息的,严格按照相关规定,采取对有关责任人当事人进行严肃处理,视为高压线,警钟长鸣。
积极开展客户个人金融信息保护培训。利用晨会、周会、省行网讯、led屏、宣传栏等多种形式积极开展客户个人金融信息保护的培训教育工作,使员工充分了解、认真贯彻相关法律、法规、规章和规范性文件的规定,明确个人金融信息泄露和滥用对本机构及员工个人带来的法律后果,落实各项内控制度,提升全体员工依法自我保护、防范风险防控意识。
(2)连日来,一些被曝光的单位、部门陆续开始采取整改措施。例如,中国移动(行情,资讯,评论)相关负责人日前表示,针对用户信息保护链条长和环节多的实际情况,中国移动已经成立专门机构强化管理,发布并实施了严禁泄露或交易客户信息等“五条禁令”,并制定了《客户信息安全保护管理规定》等10余项制度,对客户信息产生、传输、存储、处理、消除的各个环节进行严格监管。
对此,不少专家予以肯定。他们表示,对于个人信息保护来说,需要国家立法、有关单位和部门自我监管及与行业监管的协调配合。在法律尚未出台的情况下,相关单位和部门的自我监管及行业监管应该先行一步。
北京大学法学院教授储槐植表示,一是要增加非法获取信息的难度和成本。二是要增加信息泄露者被查处的风险。
相应的问责机制也应同时发力。北京市律师协会刑事诉讼业务委员会主任钱列阳建议,有必要在既有法律框架下,尽快建立一个完善的、具有可操作性的处罚体系,同时进一步明确行政处罚和刑事处罚这两部分的追责标准。
在如今的这个信息时代,网络安全技术也是维护信息安全的主要手段。
在网络安全领域,攻击随时可能发生,系统随时可能崩溃,因此必须一年365天、一天24小时地监视网络系统的状态这些工作仅靠人工完成是不可能的,所以,必须借助先进的技术和工具来帮助企业完成如此繁重的劳动,下面给大家介绍一些网络安全方面的内容。
杀毒软件
与一般单机的杀毒软件相比,杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在:
首先,杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现,并且60%的病毒均通过internet传播,病毒发展有日益跨越疆界的趋势,杀病毒企业的竞争也随之日益国际化。
其次,杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台,并实现软件安装、升级、配置的中央管理及自动化,要达到这样的要求需要大量工程师几年的技术积累。
第三,杀毒软件面临着internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口,也就是说要支持所有企业可能用到的internet协议及邮件系统,能适应并且及时跟上瞬息万变的internet时代步伐。现今60%以上的病毒是通过internet传播,可以说internet的防毒能力成为杀病毒软件的关键技术,在这方面,国际的杀毒软件如:norton、mcafee、熊猫卫士走到了前面,它们均可以支持所有的internet协议,辨识出其中病毒。
当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护,企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序,对技术、服务和管理的要求比较高。国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势,但在企业级的某些特殊性能上存在差距。例如管理方面,一个企业要管理1000台机器,norton的src有一台管理器就可以处理,它可以自动分发,自动安装到所有机器里,使管理人员节省很多时间,减少重复劳动。另外,企业级需要更安全的保护,现在政府上网、企业上网都会遇到很多国际病毒,国内部分厂商在这些方面尚待改进。
防火墙
网络安全中系统安全产品使用最广泛的技术就是防火墙技术,即在internet和内部网络之间设一个防火墙。目前在全球连入internet的计算机中约有三分之一是处于防火墙保护之下。
对企业网络用户来说,如果决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。
防火墙的技术实现通常是基于所谓”包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如tcp/ip等)以及服务请求的类型(如ftp、www等)等。
除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。
当然,网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍,因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且减慢了信息传递速率。针对这个问题,近期,美国网屏(netscreen)技术公司推出了第三代防火墙,其内置的专用asic处理器用于提供硬件的防火墙访问策略和数据加密算法的处理,使防火墙的性能大大提高。
需要说明的是,并不是所有网络用户都需要安装防火墙,一般而言,只有对个体网络安全有特别要求,而又需要和internet联网的企业网、公司网,才建议使用防火墙。另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。
加密技术
网络安全的另一个非常重要的手段就是加密技术,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理。加密的技术主要分两种:
单匙技术
这种技术无论加密还是解密都是用同一把钥匙(secretkey)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。
这种方法快捷简便,即使传输信息的网络不安全,被别人截走信息,加密后的信息也不易泄露。
但这种方法也存在一个问题,即如果收信者和发信者不在同一地理位置,那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道(如通过信差、长途电话等等),他们又何必需要加密呢。后来出现的双匙技术解决了这个难题。
双匙技术
此技术使用两个相关互补的钥匙。一个称为公用钥匙(publickey),另一个称为私人钥匙(secretkey)。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者,没有人–即使是发信者–能够将其解密。公用钥匙是公开的,可以通过网络告知发信人(即使网络不安全)。而只知道公用钥匙是无法导出私人钥匙的。现有软件如internet免费提供的pgp(prettygoodprivacy)可直接实现这些功能。
加密技术主要有两个用途,一是加密信息,正如上面介绍的;另一个是信息数字署名,即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙,才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动(因为只有发信者才知道自己的私人钥匙);另一方面也确保发信者对自己发出的消息负责,消息一旦发出并署了名,他就无法再否认这一事实。
如果既需要保密又希望署名,则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密,再发给对方。反过来收信者只需用自己的私人钥匙解密,再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐,实际上很多软件都可以只用一条命令实现这些功能,非常简便易行。
在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准des.近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。
除了上面介绍的几种之外,还有一些被广泛应用的网络安全技术,在此做一个简单介绍。
身份验证
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网上信息安全的第一道屏障。
存取控制
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。数据完整性
完整性证明是在数据传输过程中,验证收到的数据和原来数据之间保持完全一致的证明手段。检查是最早采用数据完整性验证的方法,它虽不能保证数据的完整性,只起到基本的验证作用,但由于它的实现非常简单(一般都由硬件实现),现在仍广泛应用于网络数据的传输和保护中。近几年来研究比较多的是数字签名等算法,它们虽可以保证数据的完整性,但由于实现起来比较复杂,系统开销比较大,一般只用于完整性要求较高的领域,特别是商业、金融业等领域。安全协议
安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。
需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等;在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术和产品。
1
第二篇:个人信息泄露成因及其对策个人信息泄露成因及其对策
1、现象描述
近几年,越来越多的个人信息泄露问题被曝光,引起了社会各界的广泛关注和广大民众的担忧。买了新车的朋友经常接到电话推销保险;孕妇也经常接到孕婴产品销售商的问候电话;买了新房钥匙还没到手,装修公司就电话询问是否需要装修。中国青年报社会调查中心有一份调查显示,86.5%的人表示自己有因为个人信息泄露而遭遇困扰的经历。尽管3年前,刑法修正案
(七)就特别增加了打击个人信息违法行为的条款,为打击此类犯罪活动提供了明确的法律依据。但是,时至今日还没有周密细致的法律规定足以执法,盗用个人信息泛滥的现象就难以遏止。那些泄露个人信息严重的部门,又该承担何种责任呢。看来中国对于个人信息的保护问题还有很长的一段路要走。
此处内容需要权限查看
会员免费查看记者调查。2011年2月14日,家住上海浦东陈小姐通过网银登陆帐户,原存有4000余元招商帐户,余额仅剩85元。陈小姐的这张银行卡一直随身携带,密码只有她一人知道,卡上的钱怎么会一夜之间不翼而飞。同样的事情降临在王小姐身上,原本存有1.5元招行卡上,莫名其妙仅剩下24元钱。类似储户失窃案屡屡发生,涉及银行招商银行、农业银行。银行卡转帐的时候都有短信通知,受害人为什么没有收到。警方发现作案人急其狡猾,进入网银把帐户的钱划走,利用银行不对水电费和煤气费不通知,先开通了水电煤气。要完成这样操作,除了银行卡号,必须要有帐号、密码,作案人又是怎么知道密码的。上海市闸北区公安分局在江西南仓将犯罪人抓获,期货赃物这个小小的u盘让警方大为震惊,里面储藏了50万个机动车信息,这么多如此详细的个人信息,他是从哪里获得的。他交代,他首先在网上从一个重庆人手里购买了大批上海市机动车车主信息,车主信息里面有的带身份证,有的不带,但是看你整理。依照车的到底档次,朱凯华整理出带有身份证卡车主名单,这些人成为他作案初步目标。如何获得这些人银行卡信息,朱凯华在网上寻找专门贩卖个人信息的人购买信息。朱凯华得到的信息,包括车主在浙江银行的银行卡卡号和帐户余额,而个人征信报告中包含更为相近个人信息,包括银行客户的收入,详细住址、手机号、家庭电话号码,甚至背后的职业和生日等等,正是因为这些信息,朱凯华筛选出最有可能的六位号码。之后朱凯华逐个进入网银,进行编辑。朱凯华被抓手,造成受害人损失3000多万元,究竟是什么人在出售这么详细的个人信息。
胡斌,招商银行信用卡中心风险管理部贷款审核员,向朱凯华出售个人信息300多份。他通过中间人拿到朱凯华要求查询的人员名单,打印出来以后再扫描好发给他。曹晓军,中国工商银行客户经理,仅他一人,通过中介向朱凯华高达2318恩份。在工行有一个跟银行接口征信查询系统,帮他查出来,查出来再通过邮箱传给他。向朱凯华出售信息还有农业银行、中国工商银行等员工。个人征信报告,银行卡信息,本属该被严格保密的个人信息,在这些银行工作人员手中,却被一份十元或几十元低廉价格大似兜售,这样的隐患值得关注。
主持人。在采访当中我们的一位记者问一位银行的工作人说,你觉得个人征信报告泄漏会有怎样的影响,怎样的危害,怎样的后果呢。这位工作人员轻描淡写的说,不会有什么后果,也没有什么影响,也不会有什么危害。现在我们来看一看。我国2009年通过刑法修正案,专门对个人信息保护个人条款,其中明确规定,国家机关,金融、电信、交通、教育、医疗等单位的工作人员,将获得公民个人信息出售,或者非法提供给他人,情节严重处三年以下有期徒刑,或拘役。另外,窃取,或者以其他方法非法获取上述信息,情节严重的处三年以下有期徒刑或者拘役。