信息泄露论文合集12篇
信息泄露论文篇1
[3] 中国市场报告网.2010年中国互联网络发展状况深度研究及统计分析报告.编号:0626508.[2011-03-30]. .
【参考文献】
[1] 齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6)2.
[2] 郎庆斌等.个人信息保护概论[M].人民出版社,2008.11-12.
[3] 齐爱民.论个人信息的法律保护[J].苏州大学学报,2005(2)32-35.
[4] 罗力.社交网络中用户个人信息安全研究[J].图书馆学研究,2012(14)36-40.
[5] 田桂兰.网络环境下个人信息安全问题及其保护[J].信息化建设,2007(6)42-44.
信息泄露论文篇2
实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。
一、供应链信息泄露的概念
信息泄露最早见诸于经济学文献,Grossman和Stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在R&D的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在R&D过程中研发信息的无意传播,因为从R&D中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。Baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。
在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirect effect),也被称为“泄露效应”(leakage effect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。
综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。
从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。
二、供应链信息泄露的途径
(一)独立于供应链之外的第三方企业泄露信息
在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年Wal-Mart宣布不再和Information Resources Inc.和ACNielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了Wal-Mart的竞争对手,从而使Walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。Dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。
(二)供应链上游企业泄露信息
供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于Baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由supplychainaccess.com进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是SoundScan,还有Newbury Comic的上游供应商——唱片公司。
另外,从supplychainaccess.com的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。
(三)供应链下游企业泄露信息
在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。
福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,GM公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在Ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。
(四)供应链管理系统泄露信息
供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于Internet网络体系构建的。Internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用Internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从Internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。
三、供应链信息泄露的防范措施
为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为代理人。在供应链信息共享过程中,代理人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。
(一)建立信息泄露识别机制
信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。
(二)签订保密协议
供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和代理人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,代理人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于代理人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。
保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦代理人违反保密协议就给出相应的惩罚。
除了和代理人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。
(三)建立激励机制
信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使代理人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对代理人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。
(四)加强网络安全
构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网VPN来构架信息安全框架。VPN可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。
(五)建立应急处理机制
企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。
四、结论
众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。
参考文献
[1] Grossman S J, Stiglitz J E. On the Impossibility of Informationally Efficient Markets[J].American Economic Review, 1980, 70(3):393-408.
[2] Baccara M. Outsourcing, information leakage, and consulting firms[J].RAND Journal of Economics, 2007, 38(1):269-289.
[3] Li L. Information sharing in a supply chain with horizontal competition[J].Management Science, 2002, 48(9):1196-1212.
[4] Hays C L. What Wal-Mart Knows About Customers′ Habits[N].The NewYork Times, 2004.
信息泄露论文篇3
据工信部数据显示,我国从2104年至今的废旧手机存量累计约18.3亿台,且预测2018年和2019年手机淘汰量将分别达到4.61亿台和4.99亿台,而此数字还在不断增加。调研机构赛诺预估数据显示,2017年C2B(不包括个体回收、用户私下交易)端回收的手机约为3000万台。
据新京报记者调查多家手机维修商户了解到,多数二手手机在信息删除、恢复出厂设置后,依然能恢复照片、电话簿等隐私数据。不仅一些维修商户能恢复数据,网上还存在不少网络软件销售商兜售数据恢复软件。可见,二手手机的泄露个人信息的范围之广,已不仅仅局限在一些维修店里。
多年从事手机维修的一个维修商称,“恢复数据不是难事,不到一小时就能搞定。”记者还发现,有收售二手手机的贩子在网上以一毛钱一条的价格打包出售机主信息,导致机主信息泄露问题严重,甚至被发到网上来“贱卖”,此种现象不免让人感到唏嘘。
信息泄露论文篇4
小张是大四学生,为了找到好工作,前段时间在多个人才网站注册了自己的求职信息,在网站留下包括个人手机、住址、邮编、身份证等隐私信息。令人想不到的是,没有接到几个真正招聘企业的电话,倒是收到一大堆骚扰电话。
有理财服务商打来的,说是看到小张简历中有参加模拟期货的介绍,询问他是否需要他们公司提供的理财服务。有电信客服发来的催款短信,说是他在从来没去过的某地购买的手机卡已经欠费了,请及时缴费,否则后果自负(想都不要想,是有人借自己身份证号码盗办了电话卡)。有XX公司发到自己家庭地址的中奖信件,说小张抽到了大奖,请速汇2000元领奖。
诸如此类的骚扰信息让小张烦不胜烦,到底是谁泄露的呢?思来想去,小张最近只是在人才网站留下了这些信息,显然隐私就是从这里泄露的。其实类似这样的隐私无故泄露案例,在我们生活中随处可见。那么在日常的生活中,有哪些操作容易泄露我们的隐私,又该如何进行防范?
日常电脑操作带来隐私泄露
在日常电脑操作中,很容易留下各种隐私,比如你浏览的网站记录、本地文件搜索记录等,一不小心,这些隐私就可能被使用我们电脑的人截取。
防范措施:借助History Sweeper(历史清道夫,试用下载:)定期清理。History Sweeper可以清除计算机中的无用文件和历史记录,如注册表无用项、文档、运行、查找记录等。只要定期启动程序,然后勾选需要扫描的选项,扫描完成后点击“确定”清除即可。
电脑送修带来隐私泄露
几年前冠希同学的电脑维修带来的烦恼想必路人皆知,随着笔记本电脑的普及,如何在电脑送修时保护个人隐私成了大家关注的话题。
防范措施:Windows 7用户,可使用系统自带的“BitLocker加密”。首先将个人隐私文件全部保存在一个分区,假设为D驱动器,打开资源管理器,右击D盘选择“启用BitLocker”即可激活BitLocker加密,然后按照加密向导选择“使用密码解锁驱动器”即可。成功完成驱动器的加密并重启后,BitLocker加密就自动激活了,下次如果要访问加密分区,系统则会弹出BitLocker解密窗口,要求我们输入指定的密码才能访问该驱动器,只要自己密码不泄露,即使本本在他人手中(比如送修),也可有效保护隐私的安全(图1)。
网上求职带来隐私泄露
就像上述介绍的实例,由于我们(特别是当前大四学生)求职时需要在人才网站填写详细的个人信息,这样那些规模小、不正规的人才网站经常会将我们的个人信息贩卖给他人,导致自己隐私的泄露,造成不必要的麻烦。
防范措施
1.填写个人信息时,关键的个人信息要保留。求职信息主要是自己的教育、工作经历等招聘企业感兴趣的信息,对于类似家庭婚姻状况、身份证号码、家庭住址等信息尽量不要留在网站,因为这些信息对招聘企业来说是无关紧要的,填写了反而容易泄露,给自己带来不必要的麻烦。
2.选择正规、大型的人才网站。比如中华英才网()、前程无忧()、智联招聘()、中国国家人才网(.cn)等权威性的招聘网站。
3.过期简历及时删除或者更改。正规的人才网站大多提供简历删除或者编辑功能,因此在找到一份稳定的工作后,可以登录人才网删除自己的简历,减小隐私泄露的风险。以中华英才网为例,登录之后,点击“编辑”按钮,将自己的隐私信息删除即可(图2)。
网购带来的隐私泄露
现在越来越多的朋友使用网络购物,不过每一次的购物活动都可能带来隐私的泄露。比如被打着低价、低折扣、抢购的钓鱼网站欺诈,泄露自己的网银账号;贪图便宜,被免费试用吸引,通过收货地址泄露自己的实际家庭住址等。怎么防范网络购物带来的风险?
防范措施
1.专款专用,为网购设置专用账户。为了自己资金的安全,为网络支付设置一个专用银行卡账户是必需的。现在网络支付大多支持工、中、农、建四大银行,我们可以在这些银行开立一个专用账户,然后根据自己的网络购物消费,定期存入适当的金额。当然还可以设置限定的支付限额,比如中行用户登录自己的账户后,切换到“电子支付网上支付交易限额设置”,根据自己的需要设置合适的支付额度(图3)。
2.加强支付账户的安全措施。现在很多支付账户都提供强大的安全措施,我们应该尽可能使用。比如支付宝提供数字证书,申请数字证书之后,如果在当前的电脑中没有导入数字证书,那么只能进行账户的查询,而无法进行支付等操作,即使他人进入我们支付宝账户也无法窃取财物。
为了保证账户的安全,一定要为自己的账户设置强劲的密码。可以参考防盗密码七原则:密码不得少于8位数原则;密码采用各种符号穿插原则;密码采用无意义组合原则,避免使用易被获取的个人信息;密码避免使用单词、派生词、衍生词原则;不同账户使用不同密码原则;建立规范定期更新个人密码原则;切勿将密码立档保存并告知他人原则。
3.设置合适的收货地址。网购大多需要留下详细的收货地址,为了防止泄露自己的家庭地址,对于有固定单位的用户,强烈建议使用公司地址作为收货地址。
论坛、博客文章泄露隐私
现在很多朋友都喜欢在论坛或者博客发表自己的文章,为了增强文章的可读性,常常在文章里图文并茂,很多截图一不小心就容易泄露自己的QQ、银行账号、邮箱等隐私信息。
防范措施:使用画图工具遮掩敏感信息。在每次发表文章之前,详细检查图片是否包含隐私信息,如果有,先将其在画图中打开,然后点选橡皮擦工具,在隐私信息上擦除这些信息即可(图4)。
信息泄露论文篇5
这条微博似乎成了中国互联网2011年度的预言――48小时后,中国互联网泄密事件发生。
自12月21日开始,在不到10天的时间中,由技术网站CSDN、知名论坛天涯开始,大量网站被爆存在用户数据泄露,据CNCERT(国家互联网应急中心)公布的不完全统计,截至12月29日,被外界怀疑泄露的数据库已达26个,涉及账号、密码2.78亿条。
12月27日晚,中国计算机学会青年计算机科技论坛广州分会(下称“CCF广州”)召开了 “互联网用户资料泄露事件紧急会议”。16名与会专家一致认为,这次事件是迄今为止“中国互联网史上最大信息泄露事件。”
当天,工信部通信管理局和国家计算机网络应急技术处理协调中心也在北京紧急召集多家互联网企业、信息安全企业和多位网络安全专家,了解核实事件情况,评估事件影响和危害,研究提出应对措施。据不愿具名的消息人士透露,公安部门也已对此次事件立案侦查。
在业界看来,此次恐慌事件后,互联网信息安全可能由一个甚至不受行业重视的技术问题,变成如同药品、食品、教育一般受到社会广泛重视的问题。
破而后立,这或将成为中国信息安全生态进化的宝贵契机。
网站利益局中局
此次泄露风暴最终影响了多少中国网民,目前无法确切统计。
国家互联网应急中心的通报认为,此前能够确认数据泄露的只有CSDN与天涯两个网站,其他的数据库被公布的“泄露信息”只有部分属实,部分数据则被证伪。
“在业内看来,类似的事情早已多到近乎麻木。”信息安全公司启明星辰(001439.SZ)首席战略官潘柱廷说,其实每年都有多起重大的用户数据库被盗事件(黑客们习惯称为刷库或拖库),国外类似事件的规模更大,且因涉及信用卡账号等关键信息,危害普遍大于国内的泄露事件。比如,2011年已被证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,就包括索尼、世嘉等大型游戏设备厂商、花旗银行等金融机构及RSA等安全厂商巨头,仅日本索尼4月被黑客窃取的客户信息就高达7700万,其中还包括信用卡账号。
业内人士告诉记者,此次事件之所以影响大,是利益驱动下“搅浑水”的互联网江湖众生百态。
“关于密码泄密后的事情:1、某上市公司忙着造假库往外扔。栽赃其他公司,想摆脱被曝明文库的证据;2、有网站通知所有用户修改密码,乘机激活用户;3、还有网站把这些公开库的数据直接导入自己用户库,也发通知给用户改密码;4、钓鱼的、垃圾邮件的也都活跃起来。”12月27日,CSDN创始人蒋涛微博说。
“其实,很多用户根本就记不清自己在哪些网站注册过用户名与密码,”一位网站负责人说,以前,他们发展用户需要花钱做广告、群发邮件,而且效果并不理想,但这一次有现成的用户资料,而且这些已经泄露密码的网民非常恐慌,收到邮件后会积极的“改密码”,这让很多中小网站一夜之间就发展了大量“老用户”。
“这反过来又加剧了公众的恐慌,因为有越来越多的网站说数据泄露了,快来改密码吧,一夜之间仿佛整个互联网都变得不可信任。”该负责人说。
一位黑客说,与之对应的是,也有发现数据库泄露的网站不动声色,悄悄地给用户发邮件,让用户“防患于未然,避免受到其他网站数据库泄露影响”。
在业内人士看来,此次泄露事件对网民造成的直接损失其实小于外界想象。
“破而后立,从长远来看,对中国互联网来说,这或许反而是一件好事。”一位安全厂商负责人认为,经过恐慌的放大效应,事件虽然没有带来重大的经济或社会损失,但却让互联网企业和公众意识到信息安全面临的风险,这有助于中国互联网的安全生态得以进化。
或转化产业契机
“网络安全其实可以分成两个层次。”潘柱廷说,一个层次是政府、军事乃至电力、通信、金融等事关国家安全的关键基础网络,在这个层次上,中国一直非常重视,有相对严格的安全保护机制,此次事件中也没有受到影响;另一个层次则是以商业、社会公用为主的互联网络,这一层次则相对脆弱,比如大量的中小网站,就普遍缺乏信息安全的意识及投入。
潘柱廷同时也表示,这一问题全球皆然。
“用户的安全防范能力永远滞后于黑客的技术能力,因此仅靠用户自己的话,数据泄露问题是‘无解’的。”国家网络信息安全技术研究所所长杜跃进说,如同世界上总会有小偷一样,数据泄密事件在互联网领域也无法杜绝。杜跃进认为,互联网的信息安全防护水平其实一直在不断提高,比如现在攻击一个网站的难度,已经远大于以前,只是因为互联网不断发展,应用更加深入,吸引攻击者的“有价值目标”不断增长,需求产生市场,导致了黑客等地下产业链日益繁荣。
在2011年6月的中国计算机学会YOCSEF特别论坛上,中科院软件所副研究员蒋建春就曾对互联网的攻击演变进行回顾总结:在上世纪七十年代,网络攻击是一件难以想象的事情;八十年代出现了学术攻击;九十年代出现非利益性攻击;二十一世纪则演变为面向价值攻击。
“不过,目前国内地下产业中相对更多的还是信息倒卖,真正直接在网上损失财产的还相对较少。”陈睿说,“就目前而言,中国自行车被偷的人,还比在互联网上丢了东西的人多。”
不过,也有一些安全厂商负责人认为,中国过去的网络安全风险不可小视。
“中国互联网的竞争相对更加激烈,中小网站可能有100个原因死亡,其中最小的可能就是安全问题,所以安全意识一直相对淡薄。”该负责人说,在成本一定的前提下,安全与方便性是矛盾的,比如增加验证码手段,在提升安全性同时,却会影响用户体验的方便性,可能会流失部分潜在用户,所以网站经营者往往先把安全放一边,投入先集中在吸引和发展用户。
甚至一些大中型网站也并不重视网站安全。“比如每年的互联网行业会议,安全分论坛都放到最后,而且到开会时网站的老总甚至CTO(首席技术官)都全走光了,只留下一堆没有决策权的技术员。”该负责人说,在此之前,我国信息安全占IT投资的比例只有1%,而西方发达国家是8%到12%。
此次泄露事件的爆发,则让很多网站开始反省安全问题。
潘柱廷说,最近已经有很多网站开始主动联络安全厂商讨论提高网站安全防护能力,“对整个中国互联网来说,这是一个良好的信号。”
陈睿表示,在网络技术到了一定层次后,个人的力量将越来越弱化,网络信息安全的对抗更多将趋向投入的对比、资源的对比、设备的对比。
业内人士认为,经过此次事件之后,无论是信息安全投入、还是信息安全的行业自律和流程规范,都将得到强化。像以前网站使用明文存放密码、用户使用简单密码等安全业屡次提醒、互联网站和公众一直未予重视的问题有望缓解,这些都将有助于互联网络的信息安全提高。
催生政策与商业模式变革
信息安全业界认为,此次事件的深远影响将在2012年以后逐渐显现,将可能在立法、政策、商业模式及格局等环节带来变革。
杜跃进说,其实中国的信息安全的很多领域在国际上并不落后,甚至领先,比如中国是最早出台国家层面的信息安全协调机制、部级网络应急响应组织的国家,国家互联网应急中心从2003年就开始了对互联网络的病毒与木马全面监测,而在此次事件后,公众网络信息安全的防护或许还会得到进一步提升。
“在2008年以前,中国针对网络犯罪的立法曾相对滞后,但在过去两三年,尤其是2010年以来的法律修订过程中,已经有较大的完善,比如对制作病毒、木马,盗窃虚拟资产等行为,都已经有执法依据,此前也已有犯罪分子因为涉及触犯条例被刑事处罚。”陈睿说,“但在公民的网络信息安全、网络财产等权益保障环节,立法仍有一定空白,这在此次事件后可能会有所加速。”
很多安全人士则呼吁政府,对涉及用户信息保存与使用的网站,出台新的规范,以相对硬性的规定,约束网站达到一定的安全规范。
一位政府人士向《财经国家周刊》记者透露,未来政府可能会对互联网企业进行评估,社会影响较大的网站或服务将会进行强制性的安全要求,“增值电信领域的尝试近期就将开始。”
与此同时,互联网自身的市场竞争,也正在催生提高用户信息安全的新商业模式出现。
比如OPEN ID(通用账号)。互联网企业人士透露,目前新浪、腾讯、支付宝等大网站都已经在各自联合大量合作伙伴推广OPEN ID。通过这一服务,用户只需要记住一个统一的账号和密码,就可以同时登陆多家网站,而其账号、密码等信息,只存储于核心企业数据库中,这既减少了用户记忆密码的难度,也因为可以集中保护,减低了数据泄露的风险。
而在2011年8月,金山网络也推出了新的业务“网购敢赔”,承诺只要金山毒霸2012用户开启网购“敢赔模式”,如果网购仍感染木马或登录钓鱼网站遭遇财产被盗,金山网络将进行上限500元的现金赔付。在业内人士看来,在目前中国仍未出现虚拟财产保险的情况下,这一商业模式也正是迎合了信息安全风险不断加大的网络生态,在增加用户安全保障同时为企业吸引用户。
潘柱廷则认为,未来面向中小企业的信息安全防护业务也可能得到迅速发展。因为中小企业往往难以单独进行大量的信息安全投入,但地方政府、数据中心、运营商、云计算服务商等平台可能在服务中整合信息安全功能,在自身获得业务增值同时,也让整个互联网产业的信息安全也得以提升。
网络保护的法理求解
文/《财经国家周刊》记者 雍忠玮
用户数据库泄密事件之后,无论是数据库已经泄密的CSDN和天涯等社区网站,还是被用户担心和疑虑的新浪、腾讯等门户网站,无一例外地采取了“低调”或“沉默”的应对方式,而数以亿计的用户此时发现,保护自身信息安全,除了修改密码之外几乎无计可施。
还没有单独立法
在CSDN和天涯用户数据库泄密之后,大量的普通互联网用户在担忧自己的注册信息是否泄密的同时,也参与到泄密数据库的下载和转发过程中。
“需要提醒的是,普通用户得到这些数据库密码信息,再进行传播,也是违法的。” 中国政法大学知识产权中心研究员、法律专家赵占领对《财经国家周刊》记者表示。他进一步提出,“政府和法律界应更为重视类似事件的处理,从法理和法规上,对互联网信息安全进行政策和法律的制定。”
根据赵占领的介绍,围绕互联网个人信息保护的法律法规,中国当前的主要参照依据,仍然是刑法的相关规定,“相关的判例也有,但那些都是涉及到明确的主体、明确的资金,在民事赔偿和行政处罚领域,仍然缺乏明确依据。”
由此不难理解,为何CSDN和天涯两大泄密网站一方面分别在北京和海南向公安机关报案,而另一方面绝口不提对用户的任何赔偿方案,仅以道歉作为终结事件的底线。
CSDN相关负责人告诉《财经国家周刊》记者,公司内部对于如何处理此次注册用户数据库泄密事件已有结论,“一方面通过各种方式,包括和其他网站合作,通知用户修改密码;另一方面我们也对存在安全隐患的用户,进行临时的密码锁定,敦促用户在登录过程中修改密码。”
该人士多次强调,CSDN早于2009年4月开始,就已经使用加密密码保存用户数据库,“已泄密数据属于早前数据,甚至相当一部分密码用户已经修改过,但业界媒体和很多用户对此并不了解。”在谈及是否已有对涉及泄密的用户提供赔偿方案或者弥补措施时,该人士表示,通知密码修改和临时锁定就是弥补措施,对于赔偿方案,对方拒绝讨论,并称“这个事情甚至不是我们公司所能决定。”
天涯网站一位副总裁则私下对《财经国家周刊》表示,“国内在用户赔偿方面,还没有什么具体可依据的标准,而且用户的损失究竟如何界定,也不是很清楚。”该人士透露,天涯内部证据显示,有些用户数据库泄密,其原因并不是因为天涯网站,而在于用户在其他网站使用了同样的ID和密码,“那些网站发生泄密后,我们发现了极少数用户在天涯也使用了同样的ID和密码。这种泄密,天涯根本无法预防。”同样,该副总裁也对记者表示,虽然并不具体负责技术部门,但也明确知晓公司至2009年以来,就一直采用的是非明文密码数据库。
包括CSDN、天涯、网易等网站在内的超过2亿个账户及密码泄密事件,所涉及的金额数量目前仍然难以估计。在《财经国家周刊》调查过程中,无论是网站主体,还是普通用户,都认为大部分网站注册用户的相关数据“是免费的,没有太多实际资金的损失。”
“其实从法律的角度,虽然没有单独立法,但从多个法律条款已经对用户信息保障有所规定,难点仍然是在执法上,这个问题从全球看都是一样的,就如同美国和欧洲也有黑客盗取信息。”互联网领域的知名律师于国富对《财经国家周刊》表示,“例如中国的法律就规定了,对于非法入侵他人电脑获取信息,可以判处三年或以下拘役徒刑,但年轻的黑客们甚至都不知道这个法律条文,他们精通互联网技术,却在法律方面面临大片的盲区。”
同样,发生于2011年底的互联网用户数据库泄密事件,并非中国互联网发展过程中的第一次规模性安全事件。2005年底,中国互联网曾爆发了第一次大规模个人信息泄密事件,即“9000万人信息泄露”事件,该次事件将“优库网Ucloo”和“中国同学录”直接推至浪尖。
立法纠结之处
1994年由国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,但这一条例更多的是从计算机病毒和国家信息安全的角度,对计算机信息领域安全进行了规范,而这之后,随着中国互联网的发展,有关个人信息保护的立法,多年来一直是让法律界和政府主管部门纠结的环节之一。
2002年,国务院信息化办公室联合中国社科院,开始了“个人数据法律法规比较课题”的研究,并于2005年在此基础上形成了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。此后没有更进一步立法进展。
在过去近十年中,试图牵头个人信息保护领域立法工作的部委,分别包括了国务院信息化办公室、原信息产业部(现为工业和信息化部)、商务部等多个部委,然而,缺乏统一的牵头单位,成为中国个人信息领域尤其是互联网个人信息领域立法推进缓慢的核心原因。
“就目前而言,中国政府目前甚至没有专门的信息资源主管部门。如果无法从源头厘清这一现状,制定个人信息保护的法律法规,就无从谈起,即便制定出这一法律,也无法得到有效实施和规范。”北京邮电大学教授、法律专家谢明敦对《财经国家周刊》说。
信息泄露论文篇6
马克昌认为,正确认识内幕交易、泄露内幕信息罪首先应从客观方面考察着手:
1.行为人进行内幕交易,或者泄露内幕信息。进行内幕交易,即在涉及证券的发行,证券、期货交易价格或者其他对证券、期货交易价格有重大影响的信息尚未公开前,买入或者卖出该证券,或者从事与该内幕信息有关的期货交易。所谓内幕信息,指在证券、期货交易活动中,涉及公司的经营、财务或者对该公司证券、期货的市场价格有重大影响,尚未公开的信息。内幕信息具有两个特征:其一是重要性,即不论该项信息所涉及的事件是否真会实现,该信息公布后会对证券、期货的交易价格产生重大影响;其二是未公开性,即这些重要信息尚未为证券、期货市场上的投资人所获悉并用以进行证券、期货买卖。有学者主张,从内幕交易信息的公布时起,到市场消化、分析信息,从而引起股票、期货交易价格变动这一时间,都应视为信息尚未公布。对此,马克昌教授认为,信息公开应以市场消化了该信息为标准,由于各个公司对于信息的市场消化有所不同,对于不同公司的内幕信息公开性的认定标准也应该予以区别。
针对有学者否认利用内幕信息进行交易是本罪的成立要件,马克昌教授认为,我国刑法第一百八十条虽然没有明文规定利用内幕信息的文字,但表述方法实际上包含利用内幕信息之意。只要对内幕信息知情或非法获悉内幕信息,又在信息未公开前买卖或使人买卖该证券、期货,也就是利用内幕信息进行证券、期货交易,而不需要再规定利用内幕信息,以免产生歧义。在司法实践中,应以其买卖的证券、期货与其所知情的内幕信息间是否有关系,是否涉及该证券、期货的发行、交易和交易价格为标准进行判断。泄露内幕信息,是指知道内幕信息的人,将内幕信息透露给不应知悉内幕信息的人。泄露者仅仅泄露了内幕信息,并未使他人利用该信息进行内幕交易。但内幕信息既经泄露,一传十,十传百,可能导致很多人进行证券买卖,使其他投资者或公司遭受严重损失。因而对泄露内幕信息,构成犯罪的,规定了刑事责任。如果内幕人员向他人泄露内幕信息,使他人利用该信息进行内幕交易的,应依内幕交易罪论处。
2.行为达到情节严重程度。所谓情节严重,在刑法理论上通常指内幕交易人非法获利数额巨大?或非法避免损失数额巨大?,给不知内幕信息的其他投资者造成严重损失或引起了其他严重后果,导致证券、期货市场动荡、紊乱等情况。
在内幕交易、泄露内幕信息罪的主体问题上,有学者认为是一般主体,既可以是自然人,也可以是单位。对此,马克昌教授认为,本罪并非任何自然人或者单位都可能构成,只有具备法定条件的个人或单位才可能构成本罪。因此,本罪的主体为特殊主体,即证券、期货内幕信息的知情人员或者非法获取证券、期货内幕信息的人员,个人和单位均可以构成。具体而言,包括两类:一类是内幕信息知情人员。即发行股票或者公司债券、期货的公司董事、监事、经理、副经理及有关的高级管理人员,或者由于其管理地位、监督地位和职业地位,或者作为雇员、专业顾问履行职务,能够接触或者获得内幕信息的人员。另一类是非法获取内幕信息的人员,即非内幕人员,指上述内幕人员以外,通过非法方法从内幕人员处获取内幕信息的人员。所谓非法方法?可以是盗窃、骗取信息资料或者通过偷听、监听手段获取内幕信息,也可能采取私下交易、套取等手法取得内幕信息。
信息泄露论文篇7
中图分类号:G64 文献标识码:A 文章编号:1003-9082(2016)08-0205-01
随着我国高等教育的发展,越来越多的学子步入了大学的殿堂,更多的人享受到了文化的熏陶,体验到了信息社会带来的便捷。信息时代的到来使社会对信息的依赖越来越强,高校学生的个人信息在无形中也就变成了一种资源,大学生个人信息的价值也日益凸显出来。近年来大学生个人信息被侵犯的现象屡见不鲜,面对高校学生个人信息泄露日益严重的状况,如何有效防止大学生的个人信息泄露成为了我们急需解决的问题。
一、高校学生个人信息泄露的研究背景
而作为21世纪最有价值的个人信息,也逐渐发挥着它的作用。随着社会信息化速度的加快,个人信息资源的存在价值变高,高校学生个人信息的利用也变得简单、快捷。个人信息的网络化传播更是让不法分子有了可乘之机,存在着巨大的安全风险。截止目前,我国还没有制定一部高校学生个人信息保护的法律,对学生个人信息保护问题的研究还处于初级水平阶段。
二、我国大学生个人信息保护的现状
近年来我国高校学生信息被泄露、学生信息被冒用办理信用卡、被骗等事件时有发生。这些被不法分子利用学生信息的事件,无一不展示着我国高校学生个人信息被泄露的现状令人堪忧:一是,高校收集了学生大量的真实信息,但是对学生个人信息的保护意识淡薄,有时候甚至出现倒卖学生信息的行为;二是,高校保护学生信息的规定很少,这很难让高校学生对自己的个人信息产生保护意识;三是,部分高校的学生个人信息管理系统存在安全隐患;四是,学生的自我个人信息保护意识淡薄,在网络上经常泄露自己的信息,网路时代的今天保护学生信息就更难了;五是,部分学生在好奇心和求知欲的驱动下成为了黑客,造成了我们学生个人信息的不安全性。
三、高校学生个人信息泄露的原因分析
1.思想意识方面原因
高校信息管理者不了解学生个人信息被泄露的途径,不关注如何有效保护学生个人信息。更有甚者忽视对学生个人信息的保护,经常会出现学生个人信息被泄露的现象。而作为学生,他们更是没有个人信息保护意识,为了获得一些小恩小惠,去参加不良商家的促销让利活动并按照商家的要求留下自己的信息,造成自己的信息泄露。
2.学生个人信息买卖的不当得利原因
在我国市场经济中,学生个人信息领域已经潜藏着一个巨大的利益链条。高校各个管理部门手中掌握着大量的学生信息,犯罪分子专门通过学校的秘密渠道购买学生信息,进而对学生家长进行诈骗。部分高校还利用学生身份信息在银行办理信用卡谋取利益。从管理者看来,在学生个人信息保护方面存在管理漏洞,通过售卖学生个人信息不容易被发现,还能获得经济收益,何乐而不为呢?
3.学生个人信息管理部门的监管
高校收集学生信息可以极大地提高工作效率,但是没有成立专门的机构来监管学生信息管理部门。在学校学生个人信息安全保护方面缺乏统一的行为标准,对部分管理者倒卖学生个人信息的行为起不到约束和惩戒的作用。学生作为受害者,个人信息被泄露但是举报无路,投诉无门,这样只会让更多的学生利益受到侵害。
四、高校学生个人信息泄露的方式及其危害
1.学生个人信息泄露的方式
学生信息被泄露的方式有很多:一是学校学生个人信息管理部门非法向他人提供学生个人信息;二是现在每个大学生都会进行网络活动,学生在登陆各种网站的时候都会被要求填写各种信息,这些信息就会被网站收集整理,还有学生网上购物后快递单也会泄露学生个人的信息;三是学生个人信息被倒卖,一些不法分子会在网络上购买学生个人信息,然后选取部分学生家长作为诈骗对象,严重危害学生的个人利益;四是不良电商的霸王绑定条款,当学生登陆这些电商的注册的时候就会被要求同意授予运营商独家永久使用权;五是滥用网络技术造成学生个人信息泄露,比如黑客行为、钓鱼网站木马、网络监控软件等网络设备。
2.学生个人信息的危害
学生个人信息被泄露后会造成很大的危害:一是被定向推送广告,打扰学生正常的学习生活,而且很多广告都具有欺骗性,甚至还有手机病毒网址,影响极大;二是被传播违法信息,包括小额贷款、发票办理、手机卡复制、枪支贩卖等;三是电话诈骗直销,通过透露一些真实信息取得学生和家长的信任,实时诈骗行为;四是冒用学生个人身份信息,学生的个人信息多被用在信用贷款领域,常见的是信用卡盗刷和学生网贷;五是学生银行卡资金丢失,这种极端行为是通过给学生的手机发送网址短信,点击后植入盗取用户银行卡账号和密码,从而导致资金丢失;六是让学生对社会产生不信任感,在这样一个信息随时会被泄露的环境中,学生很容易产生心里恐慌。
五、高校学生个人信息保护的对策
要想有效地保护高校学生的个人信息,需要多方面力量的介入,从国家立法、学校管理部门监管、学生个人意识等方面着手,从根本上封堵信息泄露犯罪的途径,给高校学生信息保护打造一个好的社会环境。
1.完善高校学生个人信息保护的法律法规
目前,我国在关于高校学生个人信息保护方面的专门立法一直是空白,学生作为社会的弱势群体,权利受到侵害而得不到赔偿,也得不到法律的帮助。不法分子的侵权行为如果得不到制裁会让学生个人信息泄露变得更严重。在法律法规的建设上一定要对学生个人的信息泄露具有完整的应急预案,比如冻结和注销学生的个人信息账号等,只有这样才能给高校学生营造一个良好的个人信息保护环境。
2.加强学校信息管理部门的监管
学校要规范学生信息的管理,制定管理制度,把学生信息泄露的责任划分到人。学校要设立专门的信息投诉举报渠道,对于反应的信息泄露情况要及时调查跟进,对泄露学生个人信息的行为进行严惩。学校要保护学生信息安全必须要建立完整的信息监管制度,利用各种有效措施保护好学生个人信息。
3.提高学生个人信息保护意识
学生一定要提高防范意识和维权意识,一定不要将个人信息随意地留个黑心商家,上网时一定要进正规网站,做好电脑的软件防护措施,网上购物消费时一定要保护好自己的密码,购物完成后要安全退出网页,不给不法分子留下可乘之机。
4.倡导信息伦理和行业道德自律
学生的很多信息都是被学校的信息管理部门所掌握,部分部门管理人员利用管理制度的漏洞,在利益的诱惑下,泄露学生的个人信息。管理人员作为学生信赖的人,应该严格要求自己,将保护学生个人信息的行为作为良好职业道德的要求。作为学生个人信息的管理者,工作人员一定要禁得住诱惑,不能将自己手头掌握的学生个人信息卖给有需求的个人和机构,从而对学生导致更大的伤害。
5.强化网络安全防护工作
很多学校网站开发人员技术水平缺乏,在网站建设和维护中存在很多的漏洞,这就为不法分子窃取学生个人信息创造了机会。学生个人信息的保护一定要从预防着手,不能等出了问题再来处理,要做好学校网站的防护工作,在技术层面杜绝黑客的侵害,使学生的信息安全得到保护。
学生是国家的未来,他们信息的保护必须要重视,国家有关部门应该尽快出台相关法律,我相信在我国法制建设日趋完善的今天,只要大家共同努力,学生的个人信息保护问题就不会是空谈,学生的个人信息安全将得到极大的保护。
参考文献
[1]冯持.裸奔的个人信息-信息时代个人信息泄露问题分析[J].河南:情报探索,2011.
[2]张友梅.高校大学生个人信息保护[D].安徽:安徽大学硕士学位论文,2010.
[3]游清泉.高校学生隐私权保护中存在的问题与对策探析[D].福建:福建师范大学,2013.
[4]田芳芳.个人信息泄露及防护对策浅析[J].天津:政治与法律,2013.
信息泄露论文篇8
一时间,各种消息真假难辨,人人自危。
2011年12月28日,国家工业和信息化部(下称工信部)发表声明称,已经启动应急预案。其下属国家互联网应急中心(CNCERT)30日发布数据显示,截至2011年12月29日,已通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。
2012年开年后,中国正式进入“5亿网民”时代,网络又传出新浪7000多万用户信息可被攻破,网络信息安全显现出前所未有的脆弱。
2012年1月10日晚间,国家互联网信息办(下称国信办)就连环泄密事件所做的情况调查通报,却显得风平浪静。通报披露,近期查处的五起信息泄露事件中,最终确认被黑客入侵并遭泄露者仅CSDN和天涯社区两家网站,被入侵均为2009年前的陈年往事;其余数据泄露或为公司内部职员监守自盗,或是“一些人编造或炒作网站用户信息被大规模泄露的消息”。
国信办称,“其中既有出于个人进行炫耀或骗取钱财的目的,也有一些网络安全公司销售人员想以此提高知名度、推销自己的产品,还有个别人借机企图干扰和贬损北京等城市正在开展的微博客用户用真实身份信息注册工作。”
1月11日,“泄密门”中第一个登场的CSDN在北京召开媒体发布会称,将与阿里云计算有限公司合作,联手为开发者打造一个安全可信的服务平台。闪光灯频照,频受泄密诘问的CSDN以“受害者”形象出现。其余相关信息被泄露的网站亦作出类似反应。
同日,一位接近工信部通信保障局的人士向《财经》记者表示,该部门对泄密事件的调查工作已经“告一段落”。
泄密风暴来得迅猛,淡化也快,在这背后,国内网络信息安全现状仍然脆弱,这意味着反思不够却刻不容缓:黑客产业链如何存在、当如何应对,用户信息泄露如何追责,互联网法制建设仍待健全。
哪些信息丢了:“泄密”实与虚
依据国信办2012年1月10日的通告,此次泄密事件中,最终被判定确实发生了网站、论坛用户数据泄露事件的,仅有CSDN、天涯社区以及广东“YY”语音聊天网站三起。其中除后者属公司员工利用职务之便监守自盗外,前二者皆因2009年以前被黑客入侵致信息泄露。
事件最早披露是在2011年12月4日,黑客“臭小子”(网名)在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。
2010年5月上线的乌云网,定位为“自由平等的”漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。截至2011年11月,已有接近4000个安全问题得到反馈和处理。
随后半个多月内,事情并未引发公众关注。直到2011年12月21日,金山毒霸产品经理韩正奇在微博爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露。一份名为“CSDN-中文IT社区-600万.rar”的文件在网上疯传。
四天后,12月25日,一份大小为386M的泄露文件“天涯数据.kz”让“泄密门”升级,该文件保存了天涯社区的用户名、密码、邮箱三个数据。经网友验证,大部分数据可登录成功。
事后,CSDN与天涯的回应时机、措辞如出一辙,均称被盗并遭泄露的明文密码数据系2009年前的备份数据,升级后已采取加密保护措施,但并未对泄露规模予以确认。两者亦已在第一时间向当地公安局报案。不过,有用户质疑,2009年后注册的账号也被泄露。
“此次信息泄露并无任何商业目的。”天涯市场部公关经理初蒙向《财经》记者表示不解。据了解,数据为何泄露,为何在年底集中爆发,是公安机关侦查的重点。CSDN董事长蒋涛则告诉《财经》记者,北京市公安局已抓获涉嫌入侵CSDN的黑客。据了解,这两名黑客或为互联网公司的技术人员。
依据国信办通报,其他多起网络传播的社交网站及电子商务网站泄密事件,公众不必多虑:新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵,网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。
但与上述说法矛盾的是,在2011年12月28日时,当当网官方已就“当当网1200万用户信息遭泄露”发出公告称,该数据系2011年6月之前的老数据,是由于之前遭到网络黑客攻击被盗取;2012年1月4日,游侠安全网创始人张百川在其网站上发布了新浪微博的漏洞:新浪iask站点存在SQL注入漏洞,利用该漏洞可以读取iask数据库内容,并利用该漏洞成功登录魔术师刘谦的微博进行验证。该帖子称,这涉及到包括明文密码在内的7000多万新浪用户信息。新浪iask官方微博对此回应,在发现该漏洞后已立即进行紧急修复,受影响的账号在30万左右。
国信办通报还称,犯罪嫌疑人要某(网名“我心飞翔”)入侵京东商城网站后,在乌云网发帖称掌握京东商城漏洞,后以公布该安全漏洞要挟京东商城支付270万元。但要某并未窃取、泄露该网站相关数据,因涉嫌敲诈勒索,现被刑事拘留。
而对于“泄密门”高潮,交通银行、民生银行被传泄露数以千万计的用户信息,及卡号、密码、姓名的截图传播,国信办表示,这纯属24岁青年王鹏辉(网名“挨踢客”)凭空捏造,是为提高所在网站知名度的自我炒作,公安机关已对其予以训诫。
通报发布当晚,王鹏辉向《财经》记者表达了委屈,他坚持自己并非捏造者,只是从一个IT交流QQ群里看到信息,出于善意提醒发布到个人网站,并非信息源头。
此外,包括支付宝账户信息在内的更多在网络流传的数据包问题,国信办并未提及。
被“忽略”的还包括广东省公安厅出入境政务服务网网上申请数据泄露问题:2011年6月24日至12月29日期间,在广东申请出入境的用户信息包括真实姓名、出生年月、电话、护照号码、港澳通行证号码等在内的个人信息遭到泄露。该事件已为广东省公安厅证实。网友估计泄露总信息量超过444万条。
令人担忧的是,即便如通报所言,仅有CSDN与天涯社区发生大规模数据泄露,这些账号信息也会对用户关联账户产生巨大危害,并为恶意黑客用做建设密码破解数据库。
有网民由此认为:“CSDN明文储存密码,不是技术问题,而是道德问题。”
“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码。”专业IT博客“月光博客”撰文表示,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,最简单的MD5(密码+随机字符串),一般类似UCenter这样的论坛还会将这个信息再MD5一次,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情。”
对此质疑,CSDN与天涯社区的官方回应表示,早就放弃明文密码这种不负责任的存储方式,所泄露部分只是网站早期账号密码数据库,因历史原因并未及时清理。
蒋涛承认,过去安全意识薄弱:“从来没想过在安全上要做一些什么样的工作。”他回忆,早在2005年,CSDN与国外一家公司谈投资合作,对方的第一个问题就让他大吃一惊,“你的数据是怎么保存的,谁能获得它?”
“因为自认为CSDN是以论坛用户为主的社区,数据并不属于敏感数据,技术网站可能也没有太多商业利益给黑客挖掘。”蒋涛解释。
用户信息泄露后,CSDN请杭州安恒信息技术有限公司对其进行安全审计,结果表明主要有四方面问题:第三方系统漏洞;已停用的老系统;应用程序漏洞;系统后台认证。蒋涛对此表示,“我们有100台服务器,但是只有三名运维人员。”
窃密者为什么:“黑产业”演进
在网络安全圈内,CSDN和天涯网站被“拖库”的消息早有流传。“一年前就听说过了。”张百川告诉《财经》记者。
“拖库”在业内被戏称为“脱裤”,即黑客入侵有价值的网络社区,把会员资料数据库全部盗走,之后再利用这些数据库信息,或开展定点攻击,或利用用户在不同网站通用一套账号和密码的特点来“撞库”,扩大战果。
“拖库”成功后,可以直接将数据整库出售,如卖给被“脱裤”网站的竞争对手,也可以按照数据所蕴含的价值进行“洗库”,即将各种含有虚拟货币、游戏装备和QQ号等账户洗出来,直接或间接变现,几番“洗库”之后,数据库还能卖给产业链的下游利用账号信息来发送广告、垃圾短信和垃圾邮件的推销公司。
其时,网络信息地下黑色产业链的两大牟利手段“挂马”和“钓鱼”正发生着截然相反的变化。
所谓“挂马”,是指不法分子在网页中嵌入恶意代码,当用户访问这些网页时,会自动下载、激活木马程序,变成受控的“肉鸡”,通过弹出广告、推广流氓软件等方式为远程控制者赚钱;而“钓鱼”则是不法分子模仿银行、购物网站、炒股网站、彩票网站等建立网站,将钓鱼网站和线下诈骗广泛结合,使得诈骗者的犯罪成本急剧下降,跨地区、甚至跨国性犯罪呈上升趋势。
根据瑞星互联网安全报告,2011年上半年截获的“挂马”网站总数目为236万个,比上年同期下降了91.2%,这也是连续第二年以90%以上的幅度下降。原因在于,“挂马”受到各大网络安全公司严重打击,免费杀毒软件在个人终端的普及程度也大幅上升,这种网络攻击手段越来越无利可图。
与之相反,网络“钓鱼”的危害程度达到新高,2011年上半年瑞星截获钓鱼网站218万个,逾1亿零53万人次网民遭钓鱼网站侵袭。按照此类诈骗的平均金额计算,造成直接经济损失至少在百亿元以上。
与此同时,“拖库”作为一种网络犯罪形式日渐流行。在国际上,“拖库”已造成多起重大网络安全事件。例如2011年4月开始,索尼旗下的多个网站陆续被黑客攻陷,约1亿用户个人信息被黑客盗走,该事件导致索尼的直接经济损失超过千万美元,对其声誉和业务的影响更是巨大。
一位不愿具名的某“网络安全俱乐部”组织者透露,在国外一些需要熟人推荐才能加入的地下站点,论坛里会列出求购的网站及相应悬赏报价。“在黑客眼中,库不在大,而在于精。”该组织者对《财经》记者称,曾有个非常小众的国外站点一个高尔夫球俱乐部社区,“整个库的数据量也就几百M,却卖到了100多万元人民币”。
实际上,“很多人不敢去深度开发,将数据库转手卖掉是最好的获利方式。”游侠安全网创始人张百川说。
根据自2011年9月1日起生效的最高法院、最高检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取支付结算、证券交易、期货交易等网络金融服务的账号、口令、密码、数字证书等信息十组以上;获取其他如账号、口令等身份认证信息500组以上;非法控制计算机信息系统20台以上;违法所得5000元以上或者造成经济损失1万元以上,即可判处三年以下有期徒刑等刑罚。如达到上述标准的5倍以上,可处三年以上七年以下有期徒刑。
在纽约证券交易所一家美国上市公司就职的一位企业架构师分析,黑客凭借自身网络技术,找一份体面的工作并不难,大部分人不会去实施犯罪行为,而是游走在边缘地带。从理论上说,黑客的入侵行为都会在网站日志里留下痕迹,一旦犯事,这些蛛丝马迹就会成为破案线索。
然而,数据库所蕴藏的价值极具诱惑,部分黑客依然会实施深度发掘,只不过会主动控制风险。该企业架构师透露,最常见的手法是严格执行对被盗账户的小额操作即使单个账户中的虚拟货币很多,也只转出一部分,让账户主人很难察觉;即使被发现,由于每个孤立的窃取行为被控制在立案标准以外,账户主人也难以申诉。而且,要立案必然涉及跨地域问题,大大增加了追查成本。
这样,尽管对每个账户攫取的价值不高,但汇集起来就是一个很大的规模。
你安全吗:信息安全家底
安天实验室首席架构师肖新光(网名江海客)告诉《财经》记者,攻击者在此前较长的时间里,获取了大量资源,应是这次泄密事件的前提。而后期的心理跟随效应、一些厂商各有初衷的推动、一些假库和假消息各怀目的的传播,起到了推波助澜的效果,这些影响也会慢慢消散。
然而,“攻击者群体手中还有更多的库是完全有可能的”。肖新光说。
北京神州绿盟信息安全科技股份有限公司(下称绿盟科技)一位网络安全专家甚至称,“几乎所有国内互联网大站都出现过大批量的信息泄露问题”,只是碍于声誉不愿公开。
多位网络安全专家向《财经》记者表示,目前国内网站安全整体现状不容乐观。
这背后的原因,首先是安全意识淡薄。1月6日,在中国计算机学会青年计算机科技论坛上,国家计算机网络应急技术处理协调中心副总工程师杜跃进指出,国内很多网站都是“编程好了就完了,口令写在程序里面,直接在电信运营企业那里跑”,很少有人重视代码安全。
此外,国内网站在信息安全方面的资金投入严重不足,中国的安全市场占全球的比例仅为个位数,安全投入在信息系统建设投入中的比例,与先进国家有太大差距。根据国际数据公司(IDC)数据,2010年全球信息安全市场的总额达到1188亿美元,同期中国信息安全市场的规模仅为12.48亿美元。IDC对12个国家2850家公司开展的一项调查结果显示,目前国外信息安全投入占整体IT信息投入的比例为14.5%,但在中国这一数字仅为6.5%。
本已捉襟见肘的信息安全投入,还面临着贫富不均的尴尬。在肖新光看来,“如果没有对安全价值的共识,安全厂商一般很难和网站形成很紧密的合作。”互联网巨头建立了较大的安全运维团队,甚至会和安全厂商争抢人才;但在多数中小型网站,安全投入普遍很低,甚至没有独立的安全人员。此外,网站应用比较复杂,编程人员安全编码能力较差,也是很普遍的现象。
360网站安全检测平台的数据显示,目前国内约83%的网站存在各种安全漏洞,其中34%为高危漏洞。这些漏洞导致最严重的后果就是用户数据库泄露。
不过,如果采取了适当的加密方式,即使被“拖库”也不等于密码泄露,当“拖库”与不正确的加密方式同时发生时,才会导致密码泄露。
此次泄密风波中,最让公众震惊的是交通银行等金融机构数据泄露的网络传言。北京宇信易诚科技有限公司网银产品部副总经理梁强认为:“对网银用户,传言造成的主要是心理上的影响。”
与其他互联网服务将用户体验放在第一位不同,网银和第三方支付平台如支付宝等,在网站架构时就把安全性放在首位,宁可牺牲一些用户体验。
网银系统的安全保障大致来自三个方面。在客户端,通过增加专用密码输入键盘、U盾等措施,降低安全风险。
而在通信网络上,目前所有网银都是使用HTTPS通道。与网络常用的HTTP通道的直观区别在于,网络地址栏的开头显示为“”,而非“”。它相当于在HTTP通道构建了一个秘密安全通道,保证了用户与银行终端间信息传输的安全,提高侵入难度。
为什么大多数网络社区不用这种更安全的传输方式呢?一个最关键的问题是成本的增加,如购买设备、后期维护及证书等,证书还要数年更换一次。同时,这也不利于有关机构对网络信息的监管。
功夫下得最多的还是在银行的服务器端,包括网络架构安全、系统设计安全、Web应用安全、数据安全等方面,都有远胜普通网站的严格规范。仅以防火墙为例,一般网银系统至少设置三道防火墙,且在采购时,一定会选择不是同一家同一型号的产品。
据梁强所知,在业内,网银安全事件曾有发生,但整体比例很小。“多数原因是内部的管理疏忽和内部程序逻辑等,外部攻击的案例极少;直接攻破服务器的案例,则几乎没有。”
2010年1月28日,中国人民银行发布《网上银行系统信息安全通用规范(试行)》,对网银业务的发展提出了更多具体的保障要求,如明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作;强调客户端的安全性;对硬件数字证书的应用提出规范要求;交易机制的规范化基于客户计算机终端不安全的假定;关注Web应用安全等。
梁强认为,对普通用户来说,过分担心网银和支付宝的安全问题意义不大,更应该注意的是,将在网银使用的用户名和密码与在普通论坛、网站使用的加以严格区分。
实际上,多位受访专家均表示,此次泄露出的数据,受伤最重的是网民的隐私。一个直接的后果就是,你可能会接到更多的垃圾邮件、垃圾广告和推销电话。
泄密的成本:无奈的用户
黑客入侵的刑事案件进展备受关注。据国信办披露,截至目前,公安机关此次已查处入侵、窃取、倒卖数据案件九起,编造并炒作信息泄露案件三起,刑事拘留四人,予以治安处罚八人。
在现有法律框架内,《刑法修正案(七)》规定,“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”,并增加了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息等三项罪名。
“信息泄露要制源头,要打‘老虎’,而不是打‘苍蝇’。”中国社会科学院法学研究所研究员周汉华表示。
为何“苍蝇”难打?广东佛山网监支队一位警察向《财经》记者解释,黑客操作会被记录在被入侵方服务器日志上,网警通过电信部门查看路由日志查找入侵者IP地址。但很多时候,黑客往往几经兜转,连到国外服务器上去了,给其查找工作带来困难。
CSDN等网络服务提供者,既是黑客入侵受害者,对用户而言,也是密码泄露责任者之一,用户能否追责?在国外,2011年4月索尼PlayStation游戏网络遭黑客入侵事件中,索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息被窃取,包括姓名、住址、生日、登录名和密码等,受影响用户多达7700万人,涉及57个国家和地区。之后一个月内,美国各级联邦法院就收到至少40起集团诉讼,指控索尼未能充分保护玩家个人数据和信用卡信息。
这类案件通常遵循统一的模式:用户隐私信息被泄露引发大规模诉讼,企业为了维护信誉支付巨额赔偿金。最终索尼正式道歉并对用户做出补偿。2004年,日本雅虎约有460万用户的个人信息外露,日本雅虎向每位用户“赔偿”6美元购物券。
中国网络法律网首席法律顾问赵占领认为,国内用户也可以依据侵权责任法和民法,起诉泄密网站;但最大的操作难点在于,用户如何证明自己曾注册该网站,且拥有被泄露的账户信息;经济损失界定亦是难点。
接近工信部通信保障局的人士向《财经》记者表示,目前并没有计划也缺乏明文依据对此次泄密的网站做出惩罚。
上述接近工信部通信保障局的人士称,下一阶段的工作重点是,依据工信部2009年12月发布的《通信网络安全防护管理办法》(下称11号令)通知各企业加强网络信息安全保障。
11号令是目前监管部门针对网络安全问题的主要处理依据,根据各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高划分为五级,实行分级管理。
杜跃进向《财经》记者解释,自11号令实施以来,依照定级结果,工信部对通信行业网络单元展开了大量的安全评测和检查工作。2011年8月又启动了包括网站、论坛等在内的增值电信业务的安全防护试点工作。
“本次用户数据泄露事件后,工信部加快了这方面的工作,目前已经完成了对一些试点网站业务的定级工作,下一步就需要进一步完善标准和实施安全评估、符合性评测以及安全检查等工作了。”蒋涛向记者表示,CSDN正在申请第二级等级保护。
网络“裸奔”隐忧:法制待健全
“网站的安全是不可信任的,无论是国内的还是国外的,你只能尽量控制信息的源头,一旦流出去了就基本脱离了你的控制。”绿盟科技上述网络安全专家说。
用户名、密码及其他用户信息,是网站最大的价值所在。前述企业架构师说,做网站安全体系架构时,有一个重要原则,“永远不要保存无法保证安全的数据”。
在这方面,韩国推行了四年有余的网络实名制面临尴尬。
2007年7月,韩国正式开始实施网络实名制,成为世界上当时唯一实行这一监管政策的国家。该政策最初要求,每天访问人数超过30万的35家主要网站实行真实姓名和身份证号注册,网民只有通过网站的身份验证后才能进行留言。从2009年4月起,这项制度进一步扩大,每天访问人数超过10万的153家主要网站亦被划入。
但是,随着时间的推移,网民个人信息遭泄露的情况时有发生。2011年7月,韩国SK通讯公司承认,旗下门户网站Nate和社交网站Cyworld被黑客攻击,不计算两家网站的用户重合部分,被盗取信息的用户数达3500万,而韩国总人口数为4900万。由于实行实名制,被盗取的用户信息非常详尽,包括电话号码、身份证号、生日、电子邮箱地址,甚至血型。
在向韩国总统李明博提交的2012年业务计划中,韩国互联网监管机构广播通信委员会提出了有关重新检讨网络实名制的方案。韩国部分媒体认为,虽然该方案是“重新检讨”,但事实上更侧重于取消这一制度。
“泄密门”发生后一周内,2011年12月29日,工信部发布调研一年之久的《互联网信息服务市场秩序管理若干规定》,以部门规章的形式强调“互联网信息服务提供者应当妥善保管用户个人信息”。
《财经》记者获得的一份由工信部信息安全协调司指导、全国信息安全标准化技术委员会秘书处组织起草的《信息安全技术信息系统个人信息保护指南》(送审稿)中,对上述“妥善保管义务”作出解读,即“保护个人信息不为处理目的之外的任何个人或机构所知,采取门禁、数据加密、数据完整性检验等方式防止对个人信息处理场所和个人信息存储介质的未授权访问、损害和干扰”。
该指南何时最终出台尚未可知,而且,“这只是一个推荐实施的国家标准,违反了也没有后果”。周汉华并不乐观。
工信部电信研究院法律专家蔡雄山指出,在国内立法上,对个人数据控制者未尽妥善保管义务的法律后果规定得并不完善,惩罚力度也不够。
关于个人信息保护条款散见于《刑法修正案(七)》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等法律法规中;在监管机关层面,国内也缺乏明确的专职的个人信息保护机构,而以欧盟为例,27个成员国每个国家都有一个专门的信息保护机构。
据了解,《个人信息保护法》的立法工作在2003年曾一度启动,如今仍处于搁置中。
信息泄露论文篇9
引言
随着现代计算机技术与教育技术的迅猛发展,多媒体教学因其生动直接、互动性强、共享资源丰富等特点,在各级院校特别是高等院校得到了迅速推广和普及,结合计算机等多媒体设备辅助教学已经成为了现代教育领域的主要模式,与此同时教师的信息安全也不得不承受着多媒体设备,尤其是计算机、USB存储设备带来的不同程度的危害,如计算机病毒、黑客木马、不当操作带来的危害等。因此,教师在使用这些多媒体设备时,提高个人信息安全意识、采取措施保护个人信息显得尤为重要。
1教师信息安全分析
信息安全是指计算机硬件、软件及其系统中的个人信息受到保护,不受因偶然的或恶意的原因导致的破坏、更改、泄露。这里的教师信息不光指教师个人信息,还包括个人数据。信息安全与信息失安全相对,信息失安全事故发生后,给教师的身心、生活、学习、工作等方面带来的伤害是无法估计的。多媒体设备是教师与学生进行知识共享的载体,常用的多媒体教学设备包括计算机、投影机、银幕、音响、展示台、其他设备如USB存储设备等,这些公共设备,具有使用量大、流动性强、使用人员复杂的特点,这就导致了多媒体设备尤其是计算机、USB存储设备具有潜在的信息失安全隐患,特别是教师在应用多媒体教学时不得不接触这些公共设备,面临的信息安全问题也越来越普遍。在笔者从事的高校机房管理的实际工作中,就常常发生教师在使用多媒体设备辅助教学时遭受信息失安全的事故,部分教师会请笔者找回个人教学U盘的数据,也有教师因其手机号码、家庭住址不知何时泄露给了学生,导致学生打扰到自身的生活,甚至教师的私人照被学生PS整蛊后到处群发传看等。这些信息失安全事故的发生在于教师在使用多媒体设备时无信息安全意识、未掌握保障信息安全的基本措施。
2教师信息安全面临的威胁
教师使用多媒体计算机及教学U盘辅助教学的实际应用过程中,个人信息安全面临的危险主要有两大类:信息泄露,信息破坏。
2.1信息泄露
信息泄露是指个人信息通过计算机、网络或其他存储设备被未授权的用户获得,造成个人的损失。教师个人信息泄露主要包括隐私泄露、敏感内容泄露、身份信息泄露、联系方式泄露、账号密码泄露、著作成果泄露等。教师个人信息泄露事故发生后,危害往往是多样性的、致命的、无法估计的,如:(1)危害生活。来自全国各地各类各样的垃圾信息、广告通过泄露的联系电话、住址骚扰着个人平静的生活,不法分子根据获取的个人信息编造比如车祸、被绑架、钱包丢失等理由诈骗教师本人或者其朋友、亲人,冒用泄露的个人信息办假身份证,补办信用卡或银行卡恶意消费透支,或者以受害者身份违法犯罪等,给受害者生活带来无法想象的危害。(2)危害工作。对于教师而言,个人信息泄露后在工作上最大的危害便是个人著作权受到侵害,比如论文、研究报告等泄露后被他人冒用,以及由此造成的对工作一系列的影响。(3)危害身心。源源不断的骚扰、诈骗、冒用等,给受害者的身心带来严重的伤害,不仅给受害者带来各个方面的压力,还会对受害人的神经、心智、自尊产生影响,导致其身心的完全崩溃。
2.2信息破坏
信息破坏即数据破坏,是指计算机在使用过程中,由于偶然或恶意的软件、硬件、网络等原因,造成其中的存储数据完全或部分丢失、修改、伪造、添加、删除的现象。对于教师来说,数据破坏的危害主要有:课件或论文等著作丢失、文档打开后部分或全部乱码、双击文档无法打开等。数据破坏带来的危害概括便是教师付出辛苦的工作成果丢失,以及由此带来的对工作、生活、身心上的影响。造成数据破坏的原因主要可分为以下几类:(1)软件原因:病毒感染、误格式化、误删除或覆盖、误分区、误克隆、系统错误或瘫痪造成的文件丢失或破坏等。(2)硬件原因:磁组损坏、硬盘划伤、芯片及其他原件烧坏、操作时断电等。(3)网络原因:黑客通过远程网络造成的数据破坏、木马病毒等。
3保障教师信息安全
虽然辅助教学的多媒体计算机有专业的工作人员进行维护,但他们的维护方式只能是最基础的,比如提供安装还原卡、安装杀毒软件等保障性措施,并不能涉及到方方面面,这就要求教师要掌握一定的信息安全知识,采取正确的措施进行自我保护,以便在教学中既能保证个人信息安全,又能完成自己的教学内容。
3.1安装杀毒软件及安全卫士
多媒体计算机属于公共设备,其使用量大、流动性强、使用人员复杂的特点,使得这些公共设备容易成为计算机木马病毒的温床,且计算机木马病毒具有破坏性强、隐蔽性强、自我复制能力强的三强特性,一旦防治不到位,就会造成计算机病毒的迅速传播,导致计算机与计算机、计算机与U盘的相互感染,后果不堪设想。而教师作为多媒体计算机的使用者,不得不面临这样的威胁,若遭受计算机病毒木马的攻击,不仅会造成个人隐私信息泄漏、数据破坏,甚至会导致多媒体系统崩溃不能使用,影响正常教学等。杀毒软件及安全卫士可以清除各种病毒、木马,修复系统漏洞,开启防火墙防止信息遭受远程攻击等,将可能导致教师信息失安全事故的因素隔绝在大门外。保障教师信息安全的第一步便是安装杀毒软件及安全卫士,监控防御各种来源、种类不同的危害。
3.2正确操作是保障教师信息安全的关键
多媒体计算机系统安装杀毒软件、安全卫士对于保障教师信息安全并非万无一失,教师在使用多媒体计算机辅助教学时的正确操作是保障信息安全的关键,这要求教师从物理,网络,系统三方面做好基础的信息安全防护措施。
3.2.1物理安全多媒体计算机、教学U盘是教师信息数据的载体,设备正常时信息数据才能正常写入、读取,正确操作设备防止设备物理损坏是避免教师信息损坏的基础。这就要求教师在使用多媒体设备辅助教学时除了正确开关多媒体计算机、正确插拔U盘外,还要避免抖动摔打使用或未使用中的多媒体设备,不要随意插拔设备连线、打开多媒体设备内部等。将多媒体设备人为的物理损坏几率降到最低,以防教师信息失安全事故的发生。
3.2.2系统安全教师在使用多媒体计算机、U盘辅助教学的过程中,正确操作计算机系统、软件对于防止教师信息泄露、防止教师信息破坏非常重要。除了教师按照多媒体计算机系统、软件,U盘使用说明进行正确操作外,本文针对教师使用多媒体设备常遇到的一些问题以及多媒体计算机的特点,结合实际应用总结了几点保障教师信息安全的操作意见与建议:(1)投影开启或广播开启时计算机界面为教师学生同步状态,教师操作多媒体计算机时应避免打开涉及个人隐私信息的内容,以防个人信息通过投影或广播泄露。(2)多媒体计算机属于公共设备,教师在使用时不要将涉及个人隐私信息的敏感文件保存在多媒体计算机中,避免信息泄露带来危害。(3)课后删除个人文件,删除网页浏览记录,清空回收站。(4)不在U盘上直接编辑操作文件,避免U盘因突然不工作导致数据丢失,最好复制到计算机上,编辑保存后再传输到U盘中。(5)定时备份个人重要文件数据,防止数据丢失带来不必要的麻烦。(6)多媒体计算机一般都装有还原卡,所以文件数据操作后要及时保存,最好保存至U盘或移动硬盘中。(7)离开前重启计算机。
3.2.3网络安全网络世界多姿多彩、信息资源丰富,教师在应用网络资源教学的同时,也面临网络带来的各种危害,做好网络信息安全防护很重要。在使用多媒体教学的过程中,教师应尽量做到以下几点:(1)若教学不需要网络,课前最好先将网络关闭,阻绝一切通过网络带来的信息危害,涉及个人敏感信息的内容不在网页上输入,不在多媒体计算机上使用网上银行,登录QQ、百度文库等账户输入密码时不要勾选保存密码或自动登录。(2)不乱打开网站,进入网站前留意网址,避免进入山寨网站。(3)不乱接收、打开陌生人发来的文件、网址和电子邮箱,下载网络资源时要看清,避免将来路不明的网络资源存储在个人U盘中。
3.3信息失安全事故处理要得当
3.3.1采取措施恢复数据当教师重要数据遭到破坏后,可以采取某些措施进行恢复,不仅能恢复计算机硬盘中的数据、还能恢复U盘等USB存储设备中的重要数据。发现数据遭受破坏时,应立即停止所有写入操作,以防数据再次破坏。由软件原因或网络原因导致的数据破坏,可用一些软件恢复数据即可:如R-Studio、EasyRecovery、FinalData等,也可采用杀毒软件,如360安全卫士的文件恢复功能来进行恢复,或交由专业人员进行恢复。若是硬件原因造成的数据破坏,应送至专业数据恢复公司进行恢复。
信息泄露论文篇10
[中图分类号]D923 [文献标识码]A [文章编号]1009-5349(2012)02-0201-03
一、研究背景
网络的普及,可以使人们更快捷地共享信息和利用信息,但是,随之而来的网络个人信息安全问题,越来越引起人们的担忧和重视。通过网络侵害隐私权,利用个人信息泄露进行的不道德行为和计算机犯罪逐年攀升。近年来,骚扰电话、骚扰短信以及垃圾邮件对人们来说已经屡见不鲜,利用网上个人信息泄漏进行诈骗的案例亦不在少数,轻则骗取钱财,更有甚者利用他人个人信息进行刑事犯罪。
事实上,在许多行业,个人信息倒卖甚至形成了“黑金产业链”。在调查过程中我们了解到,在电信、银行、保险、互联网等诸多行业,都有不少专门收集和出售个人信息的机构。在这里,个人信息成了这些人明码标价的“摇钱树”。只要肯掏钱,就能得到相关人员的姓名、年龄、住址、联系方式、银行账号等信息。①
大学生是网络使用重要主体之一,网上个人信息泄露给大学生生活带来诸多不便甚至威胁。2007年6月,沪上某高校数千名学生和老师的电子学籍管理系统账号和密码外泄,用这些账号,不仅可以查看在校学生的学籍、个人和家庭信息,部分权限大的账号甚至还可以对学生的个人信息进行修改。②另外,西安某大学共有一万多学生在毫不知情的情况下被校方冒用个人信息办理了信用卡。高校大学生通过网络求职,将个人资料在互联网上公开,并将手机、寝室电话同时公布,被骗的案例也时常发生。
增强网上个人信息保护意识对于网上个人信息保护具有至关重要的作用,为了解大学生网上个人信息保护意识的现状,我们小组通过调查问卷、访谈等方式对长春十所高校大学生进行了调研,并凭借网络对全国其他地方的大学生进行了网上调研。
二、研究意义
(一)理论价值
1.行政管理学价值:网络时代的到来,意味着政府的管理不再局限于现实的问题,也要进军网络,而网上个人信息保护又是网络管理的一个重要分支,此课题的研究将为政府有关部门搜集基础数据和信息,为政府进行网上个人信息保护的管理提供一定的建议。
2.社会学价值:网上个人信息作为识别本人的所有数据资料,包括一个人生理、心理、智力、个体、社会、经济、文化、家庭等方面。而个人信息泄露带来了各种各样的社会问题,诸如,网络诈骗、网银被盗等,给人们生活带来诸多不便。此课题将网上个人信息放入社会学角度进行分析,能够将社会学理论进一步深化。
3.法学价值:我国关于个人信息保护的法律很不完善,此课题研究为法律研究的深入、立法的进行提供更多的细节,为立法提供更多依据。
4.伦理学价值:此课题将揭露许多网上信息窃取的行为渠道和方式,网上社会公德伦理道德成为伦理学又一个关注的焦点。
(二)现实意义
个人信息是个人隐私的一部分,应征得个人信息的主体同意,才可在限定的目的范围内使用。由于我国缺乏保护个人信息的法律,公民和社会普遍缺乏个人信息保护意识,个人信息一度被不合理地公开甚至滥用。像人人网、腾讯QQ、网易邮箱、会员注册、网游注册等都是大学生网络生活的重要部分,在使用这些网站的时候大学生是否有强烈的个人信息保护意识与大学生个人信息泄露息息相关。我们旨在通过这次调研对大学生个人信息保护意识现状有所了解,找出相关问题,并予以对策,增强大学生个人信息保护意识。
三、研究现状
网络信息技术的飞速发展,给人类社会带来巨大的便捷和商业机遇,但是一系列的由网络产生的问题也随之产生,个人信息通过网络泄露便是其中重要的问题之一。随着这一问题的加剧,国内外学者研究机构也都在这一方面展开了一系列的研究。
(一)国外的研究状况
国外对这一问题的重视要早于国内,Warren和Brandeisy在1890年,于“哈佛法学评论”提出的“隐私权”(The Right to Privacy)论文,开启了后世对于隐私权的讨论。1997年,克林顿政府公布了《全球电子商务发展框架》报告,其中,把保护网络隐私权作为一项基本原则提了出来。除此之外,国外还有对整体公民的个人信息情况进行调查研究,有些调查研究主要针对某一群体进行的,例如美国的Jerry Finn《A Survey of Online Harassment at a University Campus》研究是针对在校大学生个人信息保护的现状进行的,主要从网络在大学生中的普及率、大学生个人信息泄露的途径、个人信息的公开程度以及什么原因造成信息泄露等方面系统地分析了大学生网上个人信息泄露以及问题解决措施。《Determinants of Online Privacy Concern and Its Influence on Privacy Protection BehaviorsAmong Young Adolescents》从青少年的保护意识来分析网络安全问题。
(二)国内的研究情况
国内对个人信息的研究情况,相对落后于国外,还没有像国外那样不仅从宏观上把握对个人信息进行立法保护,更没有像国外一些研究报告那样具体到某一个群体,比如大学生。
国内对个人信息方面的研究主要集中在以下几个方面:
1.网络时代个人信息保护的必要性和意义。例如李沫的《个人信息保护的法律解析》中指出了个人信息保护亟待解决以及各国解决的方法和作用。
2.个人信息保护的途径主要从技术和法律方面来进行防范。例如罗冰眉的《网上个人隐私信息保护策略》提出了个人信息保护直接保护方法和间接保护方法,但是这些方法存在例如成本过高等因素无法实施。
3.对个人信息应该保护的内容进行分析以及对现行法律的不完善进行立法建议。如李娜的《论网上隐私权的法律保护问题》探讨了法律保护过程中存在的问题及相关对策。
4.对信息泄露的途径进行分析归类。例如李大章,刘洋《我国高校学生个人信息保护的现状探究》对大学生个人信息泄漏的途径进行了归类并且提出来了一些相关的建议。文章中也有关于大学生个人信息保护意识的分析,但是还不够系统完善。
5.针对一些网络现象和政策进行的理论研究。如:《记者部落•茶座》中关于网络实名制之前思后想的采访和观点的发表。
6.对于保护隐私信息和正常流通信息界限的研究,像李晓秋的《“需要知道”与“合理期待”――多伦多大学保护学生个人信息的实践及启示》中通过对多伦多大学保护大学生个人信息的方式来分析个人隐私与必要的信息流通之间的关系。
四、调研过程
在项目审批下来的第一个月,我们小组成员通过书籍、杂志了解在校大学生网上个人信息保护意识问题的相关信息,另外我们充分利用网络资源、各种资料库查阅收集与课题有关的最新资料,了解有关大学生网上个人信息保护意识方面的最新动态。通过文献法,我们对所要调研的内容有了初步的了解。
从2010年5月到9月,我们小组成员利用星期天和节假日开始了全面的问卷调查阶段。首先是问卷设计,我们在专业老师指导下,设计出炉了“关于大学生网上个人信息保护意识问题调查”的问卷。在发放前,我们先在身边同学进行试发,由同学们提出意见又进行了修改。第二批网上问卷和实地问卷的发放是在中期评估后,根据调查的现状和中期评估汇总老师提出的建议,我们对问卷进行了修改完善。第一阶段在长春10所高校进行了500份问卷的发放。主要在每所高校的食堂和教室进行随机发放。问卷的填写者从本科一年级到研究生。第二阶段,我们通过网上问卷对全国各地的高校进行了网上问卷的发放。然后,我们对回收的问卷进行了统计和分析。
在2010年9月到12月之间,我们主要的调研是实地访谈和网上访谈,实地访谈主要是在长春各大高校,在实地访谈的基础上,我们又通过校内网、QQ以及邮件的形式进行了网上访谈。
在调研的最后阶段,我们将查阅到的和访谈过程中的各种关于网上个人信息泄露的真实案例进行剖析,深刻了解网上个人信息泄露的各个方面。
五、存在问题、原因及影响
(一)在校大学生网上个人信息保护意识存在的问题
在校大学生网上个人信息面临的现状令人担忧。从问卷来看,67%的同学都在网上注册过个人信息。问卷调查中,约52%的同学有过一次以上的网上信息被盗情况;从访谈来看,约一半同学都对于网上个人信息持有不在乎的态度,觉得网上个人信息无关紧要,没有必要因为怕信息泄露而担心,即使泄露也没有什么严重后果;从案例分析看,有些大学生因为网上个人信息保护意识的薄弱,造成了身心不同程度的危害。
(二)在校大学生网上个人信息保护意识存在问题的原因
1.从上网行为来看,大学生在上网过程中,填写的个人信息大部分都是真实的,26.51%的同学会在注册会员、找工作、QQ等网站使用自己真实的信息,而58.87%的同学填写的信息大部分真实。大量真实的信息暴露在网络空间里。
2.从上网习惯看,40%的同学在公共场所,如网吧等,登陆有自己真实信息的网站之后,退出时从不或偶尔检查自己的账号是否退出,这给盗取信息的不法分子有机可乘。这也反映出上网过程没有保护个人信息的意识习惯问题。
3.从网上个人信息保护自我评价上看,54.46%的同学认为自己的网上个人信息保护意识一般,11.01%的同学认为自己网上个人信息保护意识不强。另外,将近50%的同学会对有可能会泄漏自己个人信息的网络调查进行不同程度的填写。从信息泄露后采取措施方面来看,60%的同学觉得不需要理睬。可见,大学生网上个人信息保护意识并不够强烈,亟待增强。
(三)网上个人信息泄露对大学生的影响
网上个人信息泄露给大学生带来了诸多的危害,从问卷看,57%的同学因为网上个人信息泄露收到电话骚扰,80%的同学因为网上个人信息泄露收到垃圾短信、垃圾邮件,19%的同学因为网上个人信息泄露而内心担心受怕,另外还有少部分同学受到登门推销和家人受到骚扰的危害;从访谈看,和问卷情况相似,有些同学曾经因为网上个人信息泄露遭受到陌生人的短信或电话威胁,造成心神不宁,担心受怕。
“社会物质文明愈发达,交际手段和传播媒介愈现代化,人们就愈觉得有必要保留只属于自己的内心世界的安宁,以及与纷繁复杂的外界相对隔离的安宁居所或独处环境。遗憾的是,在物质文明现代化的进程中,人们的这种精神需求往往被忽视。”③在个人信息被泄露后,经常受到各种骚扰,不仅使个人的生活安宁遭到破坏,更会给信息主体带来精神方面的痛苦。通过分析我们可以看出,网上个人信息泄漏已经严重影响到大学生的日常生活,不仅使其在物质上受到危害,更严重的是给其带来心理和精神上的损害。
我们可以看出,目前大学生已经认识到个人信息对自己的重要意义。为了维护自己生活的安宁,免受不必要的骚扰,都在有意识地对自己的个人信息予以保护。但是,当个人信息被不当泄露之后,大部分大学生却采取消极的应对方式。
(四)大学生认为能有效提高自身网上个人信息保护意识的途径
60%的同学认为我国关于网上个人信息保护的法律欠缺。在采取措施方面,80.24%的同学认为网上个人信息保护最主要靠提高个人信息保护意识。28.48%的同学认为网上个人信息保护需要靠法律的维护。18.5%的同学认为应该减少泄露个人信息的行为。在访谈过程中,同学们就提高网上个人信息保护意识提出了更加具体的方法:如,在正规网站注册信息,政府宣传提高大学生保护个人信息意识,建设完善法律法规,学校集中教育,国家严厉打击盗窃个人信息行为,对需要注册身份的网站,国家进行统一排查,政府发放统一合法注册网站标志,提高大学生对合法与非法网站的辨别。
综上所述,可以看出大学生一方面有保护信息的意识,但是这是非常不完善的保护意识,大部分大学生对个人信息泄漏的途径了解甚少,所以在具体行为上的保护程度和效果并不理想。
六、解决措施
大学生群体是网络大军之一,在日常生活中处处都依赖网络,针对在校大学生网上个人信息保护意识不足的情况和调研得出的结果,我们提出以下建议:
(一)国家方面
1.国家应该加强网上个人信息保护的宣传力度,让不论是大学生还是普通公众都能在意识上重视网上个人信息保护的问题。让网上个人信息保护成为网络使用者的共识。
2.制定与时俱进的网上个人信息保护意识法律法规,并且加大法律法规的宣传力度,让网络使用者都能知法用法守法,使信息受到损害的人能通过法律渠道获得赔偿,使盗用信息的违法者受到应有的惩罚。
3.统一设计开展全国高校网上信息管理和保护课程,使大学生能够系统地了解网上个人信息泄漏的途径,全面掌握网上个人信息管理和保护等方面的知识。
(二)学校方面
1.设立网上个人信息管理和保护等网上个人信息保护的相关课程。利用各种渠道宣传网上个人信息保护等知识。
2.设立专门的网上个人信息保护咨询机构。使大学生可以随时找到渠道了解相关信息,同时,如果遇到信息泄漏的威胁,可以有触手可及的求助渠道,避免盲目慌张。
(三)大学生自身方面
1.对于需要填写自己真实信息的网站要提高警惕,对于不正规网站要谨慎填写或者不予填写;必须要填写的真实信息做好保密工作,比如QQ、人人网、博客等要设置访问权限,避免不法分子信息盗取的行为。
2.对于自己的关键信息,更要保持高度的谨慎,不要有侥幸心理,对获奖等信息轻信,不要轻易去填写自己的银行卡号及相关信息,以免造成严重的后果。
3.公共场合,如网吧、电子阅览室等上网要做好自己的信息保护工作,例如使用软键盘,结束时关闭所有有自己个人信息的网站。
4.提高个人信息保护意识。首先要积极地了解网上个人信息泄露的最新动态和途径。其次,要学习避免信息泄露的方法,提高个人信息保护意识。再次,对于信息泄露后要采取有效的措施,不能采取不予理睬的态度。
注释:
①拿什么保护个人信息.工人日报(第007版,法治•望),2009.1.5.
②李大章.我国高校学生个人信息保护的现状探究.消费导刊,2009.5.
③张新宝.隐私权的法律保护.群众出版社,2004年版,第2页.
【参考文献】
[1]Jerry Finn.A Survey of Online Harassment at a University Campus[R].J Interpers Violence 2004.19:468.
[2]朱峰.论我国个人信息保护的现状及对策[J].金卡工程•经济与法,2010(2).
[3]卢艳宁.网络中个人信息隐私权及其法律保护[J].经济与社会发展,2009(4).
[4]王虎,李宁.大学生个人信息安全课程内容探析[J].当代教育理论与实践,2010(1).
[5]李大章,刘洋.我国高校学生个人信息保护的现状探究[N].消费导刊管理视野,2009(5).
[6]李沫.个人信息保护的法律解析[J].法制与社会,2009(4).
[7]赵金.网络实名制之前思后想[N].青年记者,2009(3).
[8]谢新洲,李娜.论网上隐私权的法律保护问题[J].中国图书馆学报,2000(4).
[9]罗冰眉.网上个人隐私信息保护策略[J].现代情报,2003(11).
[10]殷国伟.网络环境下高校学生个人信息资料的法律保护[J],2009(3).
[11]拿什么保护个人信息.工人日报(第007版,法治•望),2009.1.5.
信息泄露论文篇11
中图分类号:TP309
目前随着计算机的发展,计算机技术已渗透到生活中的每一个角落,将会有越来越多的行业依赖与计算机来进行办公,随着而来的信息泄露事件也变得越来越受人关注。所谓计算机信息泄露是指计算机主机或是设备等无意间向外产生的电磁辐射,虽说所泄露的电磁辐射不强,但是一些有心想要获取信息的人总会从有限的资源中获取信息,进而产生比较大的威胁。
1 抑制计算机信息泄露的必要性。
目前世界上很多的信息操作是由计算机来完成的,抑制计算机信息泄露能够保证计算机内部信息的安全,减少因信息泄露而引起的损失,也能加快经济的发展。目前随着科技的发展,社会中出现了越来越多的黑客,这些黑客因为各种原因对计算机网络进行非法的攻击,使得计算机系统经常出现问题,对国家产生的巨大威胁,抑制计算机信息泄露能够有效地防止这些事情的发生。计算机从诞生开始就存在很多的问题需要解决,对于计算机本身来说,加大研究抑制计算机信息泄露技术也能使得计算机系统更加的完善,更好地保证计算机运行时的安全性。
2 计算机信息泄露的原因分析
计算机信息泄露的主要途径是电磁波泄露和传导波泄露:
电磁波辐射所产生的具有代表性的空间电磁波就是高速传输数字逻辑信号,而计算机的主要特征就有一个是高速传播性,这为电磁辐射提供了一个充分的条件。另外,计算机在处理数字信号时往往都是在低电压、高电流下工作的,数字信号含有大量的谐波,很容易干扰射频,另外计算机各设备在工作状态下处于高电流快速变化的状态,又为电磁辐射提供了方便之处,这些都是目前计算机所存在的主要现状,往往计算机信息泄露很多时候是由电磁辐射引起的。
传导波主要是由电磁感应引起的,而在计算机的设备中,目前存在的大量存储器、驱动器等磁媒体器件使得计算机总是处于静电场、磁场以及电磁场中,在计算机内部出现电磁感应,另外静电场和磁场都是属于近场,形成的传导波,频率始终小于1MHz,传导波能够通过电源装置耦合等产生天线效应进而把信息泄露出去。
3 抑制计算机信息泄露的技术
本文所讲述的抑制计算机信息泄露技术主要是屏蔽技术,目前屏蔽技术主要可以分为静电屏蔽、电磁屏蔽以及磁屏蔽三类。静电屏蔽主要适用于防止静电的耦合干扰,通常采用接地导体来达到目的;电磁屏蔽主要是利用导体表面以及导体内部对电磁波的反射原理和吸收作用来达到屏蔽高频磁场的干扰。
在计算机的信息泄露中,屏蔽技术主要应用于关键电路、电缆以及计算机系统的相关设备。在关键电路中的应用主要是利用屏蔽局部的方法达到抑制信息泄露的目的,如晶振的外壳接地就会大大减少电磁波的辐射量;计算机信息泄露的主要途径就是计算机系统的电缆,由于电缆相当于发射或接收电偶极子的相关天线,因此可以在电缆的表面添加一层被屏蔽的导体等电位的半导体材料,避免被屏蔽的电缆与绝缘层之间的放电;对于计算机的一些相关设备,可以采用如屏蔽性能强的机箱等设备来抑制电磁辐射的产生。
3.1 屏蔽材料
计算机屏蔽技术的效果主要却取决于吸收功耗材料、反射损耗材料以及反射正因子材料。屏蔽性能计算公式是Se=A+R+B,简化为Se=A+R,A是指吸收损耗,R是指反射损耗。选择更好的电子屏蔽材料可以有效地起到屏蔽作用,达到抑制计算机信息泄露的目的。一般情况下,屏蔽材料的阻抗是受电场和磁场比例影响的,计算公式是A=0.1314√(fuσ),从公式可以看出影响因素包括材料的厚度、相对磁导率以及相对导电率,所以屏蔽材料可以选择一些吸收损耗较大的材料,如坡镆合金和铁,但是由于坡镆合金技工性能比较差,所以最佳的吸收损耗的屏蔽材料就是铁;对于反射材料,反射损耗的计算公式是:R=74.6-10lg(ur/(fr2σr),坡镆合金就具有更好的性能,因此可以选取坡镆合金作为反射材料,对于提高反射损耗材料,一般的金属如银、金、铝等都能达到这个要求,但是由于金银价格比较贵,所以可以采用比较常见的铝、锌、镒等。
一般只需要采用干扰和跳频技术就能达到隐蔽计算机工作状态的目的,使得窃取和破译信息无法实现。若使用白噪声干扰器,为了达到抑制信息泄露的目的,可以掩盖幅度和频谱上的电磁信号,能够有效地阻止和干扰接收,这种方法能够有效地降低接受信息时产生的噪音,使得窃取信息难度加大,所以为保证设备的正常运行,最好采用发射功率强的干扰器。另外白噪音也是一种比较有效的干扰技术,它一般是干扰电磁辐射信号乱数加密的效果,这种方法的使用将大大减少通过传导波泄露出去的信息,而且方法较为简单,价格也比较便宜,比较适合于家庭个人使用。
3.2 物理屏蔽技术
还可以采用物理技术来达到抑制信息泄露的目的,它主要包括包容法和抑源法。包容法是指对整个计算机系统采取屏蔽措施,并提高屏蔽中的计算机性能,这种屏蔽技术一般比较适合于保密等级较高的计算机系统,在我国的军事场合应用比较广泛。抑源法则是从计算机的电路以及元件入手,从根本上解决信息泄露的原因,它主要是采取低辐射计算机原件,通过过滤技术、光纤传输技术等接地来完成。
3.3 计算机软件技术
对计算机进行软件加密技术来抑制计算机信息泄露,它主要是对计算机的硬件和软件进行改造,来抑制信息的泄露。常用的方法是采用TEMPEST字体、视屏现实加密和数据压缩加密。TEMPEST字体主要是以文字质量来换取信息泄露,整个改装比较便宜,实行性比较强,也能有效地抑制计算机信息泄露;数据压缩加密主要是增加接收信息和破译信息密码的难度,对计算机信息安全提供一些保护作用;视频显示加密,主要是改变视屏的显示方式等,这种方法也是比较简单,实时性非常强,但是视频显示加密只是降低了信息泄露的可能性,并不能从根本上解决信息泄露的问题,一般这项技术需要和其他技术联系在一起才能发挥出更好的作用。
最后一点便是在计算机上安装必要的攻击软件。在计算机软件安装时,设置一些具有攻击性的软件,使得计算机系统本身具有检测、警告以及破坏危险信号的功能。
4 结束语
随着计算机技术的发展,计算机信息泄露问题越来越被人重视。本文主要讲述了计算机信息泄露的主要原因,又分析了抑制计算机信息泄露的必然性,最后又重点讲述了屏蔽技术在抑制计算机信息泄露中的作用,包括材料的选择、计算方式以及具体的屏蔽方式。本文所讲的技术比较少,更多的抑制计算机信息技术仍然需要更多的相关人士继续研究。
参考文献:
[1]李杰.抑制字计算机信息泄露的屏蔽技术[J].百科论坛,2013,18:254.
[2]余爱民,赖声礼.抑制计算机信息泄露的屏蔽技术[J].自然科学报,2004,07:32-35.
[3]殷贤勇.抑制计算机信息泄漏的屏蔽技术探讨[J].西部广播电视,2013,9:129-130.
[4]刘磊,鲁震霆.抑制计算机信息泄漏的屏蔽技术[J].网络安全技术与应用,2013,9:19?20.
信息泄露论文篇12
中图分类号:G201 文献标识码:A 文章编号:1001-828X(2013)12-0-02
据中国互联网络信息中心(CNNIC)最新统计数据显示,截至2013年6月底,我国网民规模达到5.91亿,互联网普及率为44.1%。互联网的不断普及,电子商务的迅速发展,给人们带了很大的便利,但同时也对个人信息安全带来了严重的挑战。
一、个人信息安全现状
在互联网上,我们的个人信息已无处不在:互联网上即时通讯、网络论坛、博客、微博账户、密码,电子商务交易中的会员信息、银行账户信息、第三方支付账户信息(如支付宝)、订单信息、快递单信息等。但同时网络时代个人信息安全现状堪忧。
2011年底中国互联网史上出现了规模最大的泄密事件,以CSDN、天涯社区等数据库遭黑客攻击为代表,网络个人信息泄露事件曾集中爆发,上亿用户的注册信息被公之于众。2012年央视315晚会曝光国内多家银行网上银行失窃案,银行内部员工被曝通过中介向外兜售客户征信报告、银行卡信息将近3000份。个人信息泄漏甚至已经形成了一条产业链,并具有泄密渠道多、范围广、程度深等特点。公安部于2012年2月、12月与2013年3月先后三次部署全国公安机关组织开展打击盗窃个人信息犯罪活动,全国共抓获4115名此类犯罪嫌疑人,查获近50亿条被盗取的各类公民个人信息。个人信息的泄露给公众带来巨大困扰,轻则遭到推销电话和垃圾短信的骚扰,重则可能由于个人隐私曝光而影响个人声誉,甚至带来财产安全和人身安全等方面的威胁。个人信息的泄露甚至危害国家信息安全,影响社会安定。
二、个人信息泄露原因分析
(一)个人信息安全保护意识淡薄
随着互联网和电子商务应用的普及,不少网民热衷于网络论坛、博客、微博、网络社交等web2.0应用,将个人照片、个人日志等个人信息不经意到互联网上而没有设置任何的访问权限;同时需要注册的网站会员越来越多,注册时会不经意将不必要填写的个人信息提交给网站,为了便于记忆,多个网站账户或密码设置相似甚至完全相同,2011年底“泄密门”事件中,由于一些网民对个人信息保护的意识淡薄,将CSDN论坛等账号与个人邮箱账号、支付宝账号相同,甚至密码也完全相同,以至于因CSDN等网站服务器遭到攻击用户账号密码泄露而导致个人支付宝账户资金被盗甚至关联的网银账户资金也被盗。另外,在互联网不正规的网站上下载文件、随意打开不明身份的人发来的邮件附件或链接、随意打开QQ、旺旺等即时通信工具上陌生人发来的链接而被挂马,以至于造成人身或财产安全威胁。个人保护意识淡薄是造成个人信息泄露的原因之一。
(二)安全管理体系不完善
一些网站服务商或某些机构掌握着大量用户的姓名、电话、地址、快递单、银行卡号甚至密码等各种个人信息,尤其对于电子商务网站,这些用户信息可以说是网站最大的价值所在。但一些网站或机构信息安全意识不强,没有在传输、存储、使用和销毁等环节建立起保护用户信息的完善的安全管理体系,缺乏健全的信息管理制度以及有效的安全防护技术措施,致使用户的个人信息被有意或无意泄露。
2011年底“泄密门”事件中,在被黑客攻击的网站中,某些网站服务器以明文方存储用户名和密码,几乎没有任何有效的安全防护措施。2012年央视315晚会的主要话题之一就是网上个人信息的安全问题,曝光了一系列个人信息泄露的案例。个人信息的泄露,在一定程度上与网站安全防护措施不力有关。在我国ICP或电子商务网站中,大多数都没有布置SSL证书,这也就意味着一方面我们很难识别访问的电子商务网站是否是真实的网站,而可能误入不法分子精心设置的钓鱼网站而被非法获取自己的账户信息,另一方面在客户端与网站服务器是以明文形式传递的,没有进行任何加密措施。而在美国,几乎100%的电子商务网站和政府网站都布置了SSL证书以保护个人隐私的安全。近日曝光的国内多家知名经济连锁酒店客户入住信息泄露事件,究其原因,一方面是由于第三方开发的无线门户认证系统存在技术漏洞,其认证用户名与密码以明文传输,另一方面与酒店对用户个人信息安全的轻视、酒店信息安全管理的缺失有关。因此,安全管理体系不完善是个人信息泄露的一大原因之一。
(三)法律监管漏洞
目前我国有关个人信息保护的法律法规不健全,尽管目前我国有多部法律法规涉及个人信息保护,但这些法律法规比较零散,可操作性差、系统性不强、执法主体不明确、保护范围相对比较狭窄,而世界上一些主要的发达国家和地区都有专门的法律法规保护个人信息,如德国的《个人数据保护法》、美国的《隐私法》、日本的《个人信息保护法》等,而我国缺乏一部专门的个人信息保护法。
今年2月,我国首个个人信息保护国标正式实施,但这部个人信息保护新国标仅是一个技术性标准,并不具有强制性,缺乏对违反这个标准的惩罚性措施,因此对于打击个人信息犯罪尚不具有威慑性。
(四)利益驱动
近年来频发网银被盗事件,某些不法分子在利益驱动下,采用“挂马”、“钓鱼”、“拖库”等技术手段,攻击知名网站后台服务器或者伪装成银行、网购支付平台等网站,窃取用户的账户和密码,造成网银用户的财产损失。近日央视曝光了快递信息泄露事件,国内多家快递公司快递单信息被泄露并被非法出售,某些快递员与一些快递信息贩卖者勾结,将用户快递信息卖给电子商务公司、保险公司等公司,获取不当利益。在电子商务环境下,个人信息具有巨大的商业价值,个人信息交易甚至已经形成一条黑色产业链。
三、对策建议
(一)完善相关法律法规,尽快出台个人信息保护法,对不法分子进行严厉打击
针对目前我国个人信息严重泄露与法律监管空白的现状,我国缺乏一部专门的个人信息保护法从根本上保护个人信息的安全。我国可借鉴世界上一些发达国家和地区成熟的个人信息保护法律,尽快制定出台一部专门保护个人信息的法律,明确个人信息的范围及责任主体,同时制定严厉的处罚措施,增大违法成本,对不法分子进行严厉打击。
(二)完善信息安全管理体系
网络服务商以及一些掌握个人信息的机构要加强安全管理体系建设,克服技术漏洞,不断完善防火墙、防病毒系统、认证系统等网络安全防护措施,同时完善信息安全管理制度,保护用户个人信息在存储、传递、使用等环节中的安全性。
我国电子商务站以及ICP网站等相关网站应积极布置SSL证书,一方面使用户可以更好地识别钓鱼网站与真实网站,另一方面在客户端与服务器端建立一个安全的通道,确保传递的信息是经过加密的从而更好地保护个人隐私的安全。
(三)加强行业自律
目前在个人信息保护相关法律法规尚不完善的情况下,政府、企业、网站应充分发挥《中国互联网行业自律公约》以及个人信息保护新国标的作用,同时借鉴美国个人信息保护采用的政府引导下的行业自律模式,加强电子商务环境下个人信息安全保护的行业自律,营造良好的网络信息安全环境,保护用户的个人信息的安全。
(四)提高个人信息安全保护意识
在开放的互联网环境下,提高个人安全保护意识对个人信息的保护也起着至关重要的作用。首先要保证个人电脑的安全,及时升级杀毒软件及防火墙。其次,注册网站会员时,注意尽量不要泄露个人重要信息,不必须输的个人信息一定要谨慎输入,同时设置安全度较高的登录密码并不定时修改,不同网站不要设置相同或相似的登录密码。第三,在网上下载软件或资料时要选择知名正规的网站下载,同时注意不要随意打开不明身份的人通过邮件、QQ、旺旺等发来的链接。最后,注意尽量不要在网络论坛、社交网站、QQ空间等we2.0站点上个人重要信息。
总之,在电子商务环境下,个人信息安全问题的有效解决,需要长期、坚定地充分运用法律和技术手段,同时不断完善安全管理体系建设,加强行业自律,并不断提高个人与企业信息安全保护意识,从而才能从根本上保护个人信息的安全。
参考文献:
[1]李振汕.基于互联网的个人信息保护的探讨[J].网络安全技术与应用,2009(03).
