搜索:
您当前的位置:首页 >> 保密技术

专题讲座:浅析个人信息安全问题及对策

作者: 文章来源: 发布时间: 2015-04-08 字体:【】【】【

 
◎彭默馨 袁 艺 孙 靖
对个人隐私的侵犯和保护问题从来就不是一个新话题。但在信息时代,个人信息安全问题已经成为一个严重的社会问题,引起了广泛关注。据中国青年报社会调查中心通过网络对2422名公众的一项调查显示,88.8%的人表示自己有因为个人信息泄露而遭遇困扰的经历。据美国一家非营利机构统计,自2005年1月至今,在美国发生的各类大大小小的信息安全事故中,总共已有约2.2亿份个人信息记录遗失或被窃取,这些触目惊心的数据和事实充分表明了当前个人信息安全问题的严重性和普遍性。 个人信息的主要内容我们这里所说的个人信息,特指存储于个人计算机或网络上一切与个人利益有关的数字信息。一般说来,用户在网络上经常使用和产生的个人信息,通常可分为以下几类。
 
 
一是个人基本资料,如姓名、年龄、性别、生日、党派、职业、学历、家庭成员、身份证号码等。二是个人联系方式,如手机号码、固定电话、电子邮箱、通信地址、QQ和MSN等即时通信工具号码等等。三是个人财务账号,如网银账号、游戏账号、网上股票交易账号、电子交易账号等与经济利益有关的账号。四是个人计算机特征,如个人计算机使用的操作系统版本、上网ID、论坛ID、本机IP地址等。五是个人网上活动痕迹,即用户在使用网络过程中产生的活动踪迹,如网页浏览记录、网上交易记录、论坛和聊天室发言记录等。六是个人文件数据,即用户不愿被公开浏览、复制、传递的私人文件,如照片、录像、各类文档等。
 
 
个人信息泄漏的危害
 
 
任何一个人生存和发展都需要保持一定的私密空间,需要保留一些不希望透露给外界的信息,如个人的身份信息、社会经历、生活习惯和兴趣爱好等。这些信息内容不仅涉及到个人的名誉,影响着社会对自己的评价,而且关系到个人正常生活状态的维持,甚至日常社会交往的开展。个人信息的泄漏通常会带来日常生活被骚扰、个人隐私被曝光等不良后果,严重的情况下会导致财产被窃,或个人形象及声誉受到侵害。
 
 
对于保密工作者和涉密人员而言,由于工作性质和身份的特殊性,泄漏个人信息的后果就没有这么简单了。黑客一旦掌握这些看似无关紧要的个人资料,就会变得有隙可乘,会处心积虑地以此作为突破口加以深入利用,有可能带来一系列更加严重的后续问题,甚至导致恶性泄密案件的发生。具体说来,如果不小心被黑客获取了足够的个人信息,很可能会产生多种安全隐患。
 
 
隐患之一:个人IP地址的泄漏,很可能使本机成为黑客攻击的重点目标。黑客从各种途径获取重要目标人物的上网计算机IP地址后,就会千方百计地寻找系统漏洞,伺机植入专业的间谍软件,将其监控起来,俗话说就是“盯上了”。从理论上讲,由于没有不存在漏洞的计算机系统,要做到这一点对于专业黑客来说是非常容易的。一旦计算机被监控,受害人计算机中的文件资料和网络活动记录都无任何秘密可言。
 
 
隐患之二:生日、年龄、电话号码等个人信息的泄漏,很可能成为黑客破解密码的线索。由于很多用户在设置密码时,有使用本人生日、年龄和电话等数字组合的习惯,黑客获取这些信息后,就会作为破解管理员密码、电子邮箱密码等账号的线索,从而大大加快密码破解进程。
 
 
隐患之三:职业身份、社会关系等个人信息的泄漏,很可能导致黑客成功实施网络欺骗。黑客利用这类真实信息,冒充受害者的同事、朋友索取文件资料、套取各种密码等,实施社会工程学欺骗,这样的伎俩已经屡见不鲜,而且与直接采取技术手段窃取相比,难度更低,成功率更高。
 
 
隐患之四:私人照片、生活录像等个人信息的泄漏,很可能导致大量深层信息被挖掘曝光。照片和录像所包含的信息量远比文字要丰富。人肉搜索的威力,就是对一张普通的照片,通过大量网民的人工辨认、推断和核实,就能得出照片中人物的身份、职业、姓名等详细得令人可怕的信息。
 
 
以上只是列举了几种典型的可能情况,用来说明个人信息泄漏所带来的潜在危害。在现实情况中,黑客挖掘利用个人信息的手法多样,层出不穷,不一而足,很多都可视为高智商罪犯的作案手段。
 
 
个人信息泄漏的渠道
 
 
在人们交流日益广泛、通信手段日渐发达的今天,日常生活中个人信息泄漏的可能渠道很多。从理论上讲,只要是存储有个人信息的地方都有泄漏的可能。具体来说,主要有以下几个大的个人信息源头容易发生泄漏。
 
 
一是政府行政管理及公共服务部门收集的个人信息。政府机关在行使职能履行公务时,金融、电信、交通、保险、医疗等部门在提供公共服务时,都需要收集和处理大量的公民个人信息,如果这些部门和机构在信息安全方面监督管理失控或技术措施不到位,这些个人信息就岌岌可危了。
 
 
二是在各种商业活动中提交的个人信息。人们在购车、购房、炒股、求职等活动中均需填写个人信息;商家通过问卷调查、会员登记等方式收集个人信息;印制名片时会留下个人信息等等。如果商家缺乏行业自律,或内部人员道德败坏,这些个人信息很可能会被主动出卖或用于商业交换。
 
 
三是在各种网络应用中使用的个人信息。这些个人信息很可能被黑客用各种技术手段窃取。例如,上网计算机存在高危漏洞或缺少安全保护,如果被植入木马,就会导致私密文件被窃;用户注册网络交易、电子邮箱、论坛、博客、聊天室、网络游戏时填写的个人信息,通常存储在服务提供商的服务器中,如果被黑客侵入,就会导致大批客户资料的流失;个人不慎丢失的笔记本电脑或移动硬盘、U盘等移动存储介质,如果存有个人信息,也会随之流入他人手中;计算机硬盘出现故障请维修部门或数据修复商恢复数据时,个人信息也有可能被窃。
 
 
个人信息安全的对策
 
 
个人信息安全问题是当前世界各国都面临的一个共同难题。要解决这一问题,仅仅采取技术手段是远远不够的,其治理是一项长期的综合性工程,需要政府、企业和个人的互相配合和共同努力。
 
 
对政府而言,要完善相关法律制度,加大惩处力度。当前世界上已有近20个国家制订了个人信息保护法。美国早在1974年就通过了《隐私权法》,这是美国保障公民个人信息的最重要的基本法律,之后又随着信息技术的发展,陆续补充了《财务隐私权法》《联邦电子通信隐私权法》《儿童网络隐私保护法》等,形成了较为完善的个人信息保护法律体系。目前,我国第一部《个人信息保护法》已经完成起草,并进入立法阶段。如果相关的法律条文出台,泄露和滥用公民个人信息的行为,垃圾信息发送者和泄露个人信息者都将受到法律的追究和制裁。
 
 
对企业而言,要加强行业自律,增强商业道德观念。尊重用户的隐私,保护用户个人信息是企业的责任和应尽的义务。除非在事先征得用户同意或为用户提供所需服务的情况下,企业不得向任何人出售用户个人资料给第三方,以供商业目的使用。企业还应采取必要的技术手段,制定严格的管理措施,对用户个人信息进行严密的保护,防止丢失、被盗或遭篡改。
 
 
对个人而言,要强化安全意识,采取必要的保护措施。一是强化个人信息安全意识。要充分认识到个人信息泄漏可能带来的严重后果,不能抱着无所谓的态度,不能有任何麻痹思想和侥幸心理。二是尽量不向或少向外界透露个人信息。尤其是在使用网络的过程中,尽量不要暴露个人身份。三是加强个人资料管理。在重要文件的存储、传输等环节上要进行加密处理,及时清除操作记录和上网痕迹。四是提高个人计算机的安全性。个人信息安全与计算机系统安全是唇齿相依的关系,其他任何加强系统安全的措施都会有助于保护个人信息安全,反之,计算机系统中的其他任何不安全因素都有可能威胁到个人信息安全。