如何保护个人信息才最安全?
个人信息保护最安全的办法就是从源头堵住,就是要通过立法,这是我所有写的一篇观察文章,希望对大家有用。
个人信息保护立法之前应完善问责制
文/陈以军
平均每天三个推销电话已经是见怪不怪的事情,可是一旦某个人的个人信息被不法分子掌握,对于银行卡密码等等都还是小事,根据这些数据完全能可以画出该公民的出行轨迹,那才是大事。
笔者曾经和大数据应用的一些专家教授探讨过大数据下的商业场景。比如一个人通过手机APP在互联网购买了家庭用品、智能家电用品。看上去是一个及其普通而正常的事情,可是通过这些看上去无关紧要的举动就会把自己的定位,自己的产品属性,家庭用具情况,甚至一个面巾纸的使用周期等等都留在了电商平台上。
而电商平台就能通过大数据应用知道该用户是不是面巾纸要更换了,是不是电视机要更换了,更或者该用户有新的需求。然后进行相关推送来提升电商产品的精准销售。
随着智能化程度的不断提高,比如老板智能油烟机,还有家庭监控等通过互联网把家庭的每一个关键点都通过定位和视频保留在了数据存储之中,如果各个企业平台以及电商平台的数据打通,就可以实时定位某人的行动轨迹。
信息的大数据是令科学界及其兴奋的事情,所有的一切都将在数据中被展现的一览无余,也是最可怕的事情。说可怕是怕别有用心之人的利用,说兴奋是因为有科技在改变一切。
5年前,笔者在工信部的《信息化建设》杂志2012年第6期上,曾经做了一次个人信息保护热点追踪的封面报道专题,一些信息化行业的专家和学者以及机构都发表了不少个人的观点和研究成果,在写编后的时候,笔者提到“在中国,保护个人信息的安全,需要相关职能部门完善问责制,对发生信息泄露的相关单位追究其管理责任,切实承担起保护公民个人信息安全的义务和责任。”
随着大数据应用的逐渐普及,个人信息安全的重视程度日益提升。2013年起,每年的“两会”期间就有委员代表提案个人信息保护立法。2017年的全国两会期间,潘晓燕、秦希燕等多位委员代表再次提及“个人信息保护立法”。
近年来随着互联网和电子商务的飞速发展以及大数据应用的普及,信息成了一个待挖掘的金矿,谁掌握了数据,谁就能快速洞察行业的“先机”。然而多年来,个人信息的“泄露门”事件频发,尤其是微博微信的信息及时,再借助“人肉搜索”互联网手段,已经将公民的安全推到了“危险”的境地。
媒体3月10日消息,京东的网络工程师郑某“监守自盗”造成50多亿条公民信息被窃取。这是一个及其典型的个人信息泄露事件,当前,阿里、京东、百度、腾讯,都掌握在及其庞大的个人信息,一旦泄露后果不堪设想。京东在对外的官方声明,却有推卸责任之嫌,难免会让大众联想起“临时工”的说辞。
这也不是京东第一次出现泄露信息的事件。2016年4月,3名京东员工被北京市大兴区人民法院以非法获取公民个人信息罪判处有期徒刑,并处罚金。2016年年底,有媒体报道称一个12G的数据包在黑市上开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等。而黑市买卖双方皆称,这些数据来自京东。
笔者认为,京东应该重视此次事件,而不是以实习生、监守自盗来撇清关系。而是内部展开自查,成立专门的信息安全领导小组,有必要的话可以聘请公安等相关部门的专家担纲指导平台信息的使用,并形成完整规范的信息安全制度和相应的弥补补救措施。如何让京东平台上的消费者放心才是企业经营之道。
作为平台方不应该把个人安全的守护义务推给警方,等事件发生了之后在来弥补,而是要建立完善的信息安全保护制度和措施来严防泄露。为了督促各个平台的自律,各个相关职能部门更应该要出台问责制,首要责任人当然是公司法人,依次类推,从源头杜绝信息的泄露。
信息安全相关法律法规都有哪些
以下信息来源于网络,仅供参考。:)一. 2000年以前 21.1 中华人民共和国保守国家秘密法 21.2 中华人民共和国计算机信息系统安全保护条例 61.3 中华人民共和国国家安全法 81.4 计算机信息网络国际联网管理暂行规定 111.5 计算机信息网络国际联网安全保护管理办法 131.6 计算机信息系统安全专用产品检测和销售许可证管理办法 161.7 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 191.8 商用密码管理条例 221.9 科学技术保密规定 251.10 中华人民共和国反不正当竞争法 291.11 关于禁止侵犯商业秘密行为的若干规定 331.12 加强科技人员流动中技术秘密管理的若干意见 351.13 广东省技术秘密保护条例 38二. 2000年 412.1 计算机病毒防治管理办法 412.2 计算机信息系统国际联网保密管理规定 432.3 互联网信息服务管理办法 452.4 中华人民共和国电信条例 482.5 全国人大常委会关于维护互联网安全的决定 602.6 联网单位安全员管理办法 61三. 2001年 633.1 计算机软件保护条例 63四. 2002年 684.1 信息安全产品测评认证管理办法 68五. 2003年 715.1 广东省电子政务信息安全管理暂行办法 71六. 2004年 726.1 中华人民共和国电子签名法 72七. 2005年 777.1 互联网安全保护技术措施规定 777.2 商用密码产品销售管理规定 797.3 电子认证服务密码管理办法 827.4 商用密码科研管理规定 837.5 商用密码产品生产管理规定 857.6 证券期货业信息安全保障管理暂行办法 887.7 电子认证服务管理办法 91八. 2006年 968.1 关于加强新技术产品使用保密管理的通知 968.2 信息网络传播权保护条例 97九. 2007年 1029.1 商用密码产品使用管理规定 1029.2 信息安全等级保护管理办法 1039.3 境外组织和个人在华使用密码产品管理办法 111十. 2009年 11310.1 刑法修正案(七)关于信息安全的修订与解读 11310.2 深圳经济特区企业技术秘密保护条例 114十一. 2010年 11911.1 通信网络安全防护管理办法 11911.2 中华人民共和国保守国家秘密法 12211.3 中央企业商业秘密保护暂行规定 129
信息安全要注意什么?
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性
网络与信息安全保障措施
健全的网络与信息安全保障措施 随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。网络安全风险分析 计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。信息网络化使信息公开化、信息利用自由化,其结果是信息资源的共享和互动,任何人都可以在网上发布信息和获取信息。这样,网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。 目前企业网络信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。 计算机病毒是一种危害计算机系统和网络安全的破坏性程序。它可以直接破坏计算机数据信息,也可以大量占用磁盘空间、抢占系统资源从而干扰了系统的正常运行。 随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。 黑客攻击已经成为近年来经常发生的事情,网络中服务器被攻击的事件层出不穷。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用破解口令(password cracking)、天窗(trapdoor)、后门(backdoor)、特洛伊木马(Trojan horse)等手段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。一般大型企业的网络都拥有Internet连接,同时对外提供的WWW和EMAIL等服务。因此企业内部网络通过Internet连接外部进行大量的信息交换,而其中大约80%信息是电子邮件,邮件中又有一半以上的邮件是垃圾邮件,这一比例还在逐年上升。 企业局域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。因此,网络安全不仅要防范外部网,同时更防范内部网。网络安全措施 由此可见,有众多的网络安全风险需要考虑,因此,企业必须采取统一的安全策略来保证网络的安全性。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。 1.外部入侵的防范措施 (1)网络加密(Ipsec) IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。IPSec允许提供逐个数据流或者逐个连接的安全,所以能实现非常细致的安全控制。对于用户来说,便可以对于不同的需要定义不同级别地安全保护(即不同保护强度的IPSec通道)。IPSec为网络数据传输提供了数据机密性、数据完整性、数据来源认证、抗重播等安全服务,使得数据在通过公共网络传输时,不用担心被监视、篡改和伪造。 IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的,而这些算法及其参数是保存在进行IPSec通信两端的SA(Security Association,安全联盟),当两端的SA中的设置匹配时,两端就可以进行IPSec通信了。 在虚拟专用网(VPN)中主要采用了IPSec技术。 (2)防火墙 防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制进、出一个网络的权限,在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计,防止外部网络用户以非法手段通过外部网络进入内部网络,访问、干扰和破坏内部网络资源。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间的任何活动,保证了内部网络的安全。 防火墙有软、硬件之分,实现防火墙功能的软件,称为软件防火墙。软件防火墙运行于特定的计算机上,它需要计算机操作系统的支持。基于专用的硬件平台的防火墙系统,称为硬件防火墙。它们也是基于PC架构,运行一些经过裁剪和简化的操作系统,承载防火墙软件。 (3)入侵检测 部署入侵检测产品,并与防火墙联动,以监视局域网外部绕过或透过防火墙的攻击,并及时触发联动的防火墙及时关闭该连接;同时监视主服务器网段的异常行为,以防止来自局域网内部的攻击或无意的误用及滥用行为。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力。 2.内部非法活动的防范措施 (1)身份认证 网络安全身份认证是指登录计算机网络时系统对用户身份的确认技术。是网络安全的第一道防线,也是最重要的一道防线。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的用户的身份。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统,因此身份认证实在是网络安全的关键。 (2)访问控制 访问控制决定了用户可以访问的网络范围、使用的协议、端口;能访问系统的何种资源以及如何使用这些资源。在路由器上可以建立访问控制列表,它是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。由于访问控制列表ACL(Access Control List)的表项可以灵活地增加,所以可以把ACL当作一种网络控制的有力工具,用来过滤流入和?鞒雎酚善鹘涌诘氖莅?在应用系统中,访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据,根据授予的权限限制其对资源的利用范围和程度。 (3)流量监测 目前有很多因素造成网络的流量异常,如拒绝服务攻击(DoS)、网络蠕虫病毒的传播、一些网络扫描工具产生的大量TCP连接请求等,很容易使网络设备瘫痪。这些网络攻击,都是利用系统服务的漏洞或利用网络资源的有限性,在短时间内发动大规模网络攻击,消耗特定资源,造成网络或计算机系统瘫痪。因此监控网络的异常流量非常重要。流量监测技术主要有基于SNMP的流量监测和基于Netflow的流量监测。基于SNMP的流量信息采集,是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。 基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。基于Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集,在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。基于以上的流量检测技术,目前有很多流量监控管理软件,此类软件是判断异常流量流向的有效工具,通过流量大小变化的监控,可以帮助网管人员发现异常流量,特别是大流量异常流量的流向,从而进一步查找异常流量的源、目的地址。处理异常流量最直接的解决办法是切断异常流量源设备的物理连接,也可以采用访问控制列表进行包过滤或在路由器上进行流量限定的方法控制异常流量。 (4)漏洞扫描 对一个网络系统而言,存在不安全隐患,将是黑客攻击得手的关键因素。就目前的网络系统来说,在硬件、软件、协议的具体实现或系统安全策略方面都可能存在一定的安全缺陷即安全漏洞。及时检测出网络中每个系统的安全漏洞是至关重要的。安全扫描是增强系统安全性的重要措施之一,它能够有效地预先评估和分析系统中的安全问题。漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序,按功能可分为:操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。网络漏洞扫描系统,是指通过网络远程检测目标网络和主机系统漏洞的程序,它对网络系统和设备进行安全漏洞检测和分析,从而发现可能被入侵者非法利用的漏洞。定期对网络系统进行漏洞扫描,可以主动发现安全问题并在第一时间完成有效防护,让攻击者无隙可钻。 (5)防病毒 企业防病毒系统应该具有系统性与主动性的特点,能够实现全方位多级防护。考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施集中控制、以防为主、防杀结合的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。实例分析 大庆石化局域网是企业网络,覆盖大庆石化机关、各生产厂和其他的二级单位,网络上运行着各种信息管理系统,保存着大量的重要数据。为了保证网络的安全,针对计算机网络本身可能存在的安全问题,在网络安全管理上我们采取了以下技术措施: 1.利用PPPOE拨号上网的方式登录局域网 我们对网络用户实施了身份认证技术管理。用户采用 PPPOE拨号方式上局域网,即用户在网络物理线路连通的情况下,需要通过拨号获得IP地址才能上局域网。我们选用华为ISN8850智能IP业务交换机作为宽带接入服务器(BAS),RADIUS服务器作用户认证系统,每个用户都以实名注册,这样我们就可以管理用户的网上行为,实现了对以太网接入用户的管理。 2.设置访问控制列表 在我们的网络中有几十台路由交换机,在交换机上我们配置了访问控制列表,根据信息流的源和目的 IP 地址或网段,使用允许或拒绝列表,更准确地控制流量方向,并确保 IP 网络免遭网络侵入。 3.划分虚拟子网 在局域网中,我们把不同的单位划分成不同的虚拟子网(VLAN)。对于网络安全要求特别高的应用,如医疗保险和财务等,划分独立的虚拟子网,并使其与局域网隔离,限制其他VLAN成员的访问,确保了信息的保密安全。 4.在网络出口设置防火墙在局域网的出口,我们设置了防火墙设备,并对防火墙制定安全策略,对一些不安全的端口和协议进行限制,使所有的服务器、工作站及网络设备都在防火墙的保护之下,同时配置一台日志服务器记录、保存防火墙日志,详细记录了进、出网络的活动。 5.部署Symantec防病毒系统 我们在大庆石化局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行Symantec AntiVirus 企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。 6.利用高效的网络管理软件管理全网大庆石化局域网的网络环境比较复杂,含有多种cisco交换设备、华为交换设备、路由设备以及其他一些接入设备,为了能够有效地网络,我们采用了BT_NM网络资源管理系统。 该系统基于SNMP管理协议,可以实现跨厂商、跨平台的管理。系统采用物理拓扑的方法来自动生成网络的拓扑图,能够准确和直观地反映网络的实际连接情况,包括设备间的冗余连接、备份连接、均衡负载连接等,对拓扑结构进行层次化管理。通过网络软件的IP地址定位功能可以定位IP地址所在交换机的端口,有效解决了IP地址盗用、查找病毒主机网络黑客等问题。 通过网络软件还可实现对网络故障的监视、流量检测和管理,使网管人员能够对故障预警,以便及时采取措施,保证了整个网络能够坚持长时间的安全无故障运行。 7.建立了VPN系统 虚拟专用网是对企业内部网的扩展。它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。为了满足企业用户远程办公需求,同时为了满足网络安全的要求,我们在石化局域网中建立了VPN系统。VPN的核心设备为Cisco的3825路由器,远端子公司采用Cisco的2621路由器,动态接入设备采用Cisco的1700路由器。 8.启动应用服务器的审计功能在局域网的各应用中我们都启用了审计功能,对用户的操作进行审核和记录,保证了系统的安全。
