前言:中文期刊网精心挑选了云安全防护的基本措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
云安全防护的基本措施范文1
终端因为其储存着大量敏感数据,因而成为黑客和病毒制造者的攻击目标。因为每个病毒码被部署到1000台终端至少需4小时,而终端直接面对企业的内部员工,且难以管理,所以导致终端成为企业网络中最脆弱的一环。虽然利用云安全技术,对病毒的响应时间缩短了九成。但是,我们仍然十分有必要重新对终端安全的价值进行判断和思考。
思考
网关安全能否代替终端安全?
如果说云安全的不断升温显示了信息安全领域正在技术上谋求变革,那么这背后所隐含的意义事实上更加引人关注。
在之前的很长一段时间里,网关安全都是一种受到推崇的防护模式。由于在网关处部署防御体系可以过滤大部分通信内容,所以有大量的组织都将安全保护的重心集中于网关位置。
然而事实结果证明,过分依赖于网关防护而忽视了对组织内部计算机节点的保护,导致的结果仍旧是较低的安全性。云安全所带来的对技术和功能的改进令人欣喜,而其对终端安全乃至于对整个安全体系的补强,让人看到了从核心层面变革安全防护的可能。
传统安全体系的终端安全困局
在一些典型的安全案例中,组织虽然部署了防火墙、入侵检测和VPN等安全保护措施,但是这些措施似乎只能防止外部威胁进入内部网络,而对于信息存放失当、员工误操作等内部安全管理问题却束手无策。
很多调查报告都显示,全球范围内的企业员工在工作时间更容易进行具有安全风险的计算机操作,诸如访问可能存在威胁的网站、打开来源未知的电子邮件附件等等。可能是企业缺乏足够严格和有效的安全管理制度,也可能是员工对非私有财产的保护意识不足,总之人们在上班状态下似乎没有对网络安全问题给予正确的认识和足够的重视。
美国《Network World》报道,当前的网络访问控制解决方案往往只评估终端的初始状态,一旦一个终端节点获得安全系统的访问许可,那么之后的操作将很少受到严格的监控,这也体现出当前终端保护体系缺乏动态反应能力的现状。
正如趋势科技全球高级副总裁暨大中华区总经理张伟钦所指出的,如果安全威胁的入侵原因及位置缺乏足够的能见度,那么信息技术部门就无法确定正确的解决办法,也无法真正提供有效和及时的安全响应服务。除了识别安全威胁存在误区之外,传统的安全管理体系也缺乏能够有效对安全威胁进行预警和修补的工具。
赛门铁克中国区技术支持部首席解决方案顾问林育民则表示,在发生安全事件的时候,信息技术部门往往需要耗费大量的时间去定位威胁源头、识别威胁种类,进而制订出处理方案并实施。从时间上来看,这往往都要滞后于威胁的传播,经常是所有终端都已经受到波及之后信息技术部门才开始真正的处理工作。
云安全如何助力终端安全
事实上,在历数云安全技术的诸多特点时会发现,很多云安全特性都能够为提升终端安全提供帮助。在安全组件尝试发现终端以及内部网络中的安全威胁时,云安全体系可以提供更加及时有效的威胁识别能力。而利用云安全体系强大的关联分析能力,也可以更好地发现安全威胁和定位威胁位置。
在新一代的云安全技术当中,领先的厂商都在尝试植入一种新的特征码管理机制,从而实现检测引擎和特征码的分离。通过云安全体系提供的通信方式,特征码的存放和比对都可以放在云端进行,而将大量的特征码更新到网络中的每一台终端将不再是保证安全性的必要条件。
在新一代的云安全网络当中,大量的安全威胁检测功能将从终端迁移至云端,而客户端系统将只完成扫描等基本的安全功能。在实时防护过程中,客户端不断地与云服务器进行协作,从而减轻客户端的负担,即让终端用户在尽量少地受到干扰的情况下,实现更好的安全防护。
以趋势科技提出的云安全2.0为例,其多协议关联分析技术可以在近百种常见协议中进行智能分析,从而追踪到真正的受攻击位置,为管理员解决安全问题提供真正的支持。一个真正成熟的云安全体系,安全威胁发现和响应覆盖了从网络层到应用层的各个层次,而防护阵线也贯穿了云端、网关、终端等多个不同的位置和区域。
云安全2.0的到来,势必会加速云安全在体系架构主流化进程上的速度。用户应该从现在就开始认真地思考自己组织的计算机终端是否已经获得了足够的保护,云安全体系带来的高管理效率和高ROI无疑会引起用户的高度关注。
分析
递增的网络威胁与信息安全的出路
从供需角度来说,云安全技术的出现,无疑是为了对抗层出不穷的新安全威胁而产生的一种必然结果。根据测算,2008年全球每小时出现大约800种新的安全威胁,在2009年,每小时出现的新安全威胁数量已经达到1500种。按照这种发展速度,在最多不超过5年的时间里,每小时的新安全威胁产生量就将突破10000种。
高速的安全威胁增长态势已经成为整个安全世界的大背景,传统的依靠人工分析恶意软件特征的安全响应体系,已经完全无法满足现在的安全防护需要。在这种前提下,拥有共享全球安全威胁信息优点的云安全网络,就成为了信息安全领域的一个重要出路。
云安全的正确认知
单从各个厂商的宣传资料来看,也许安全专家也难以给云安全下一个准确的定义。事实上,从技术角度定义云安全并不困难,但是实际映射到产品和运营层面,就可谓是“横看成岭侧成峰,远近高低各不同”了。这一方面体现出云安全是一个非常复杂的系统,另外也说明不同的安全厂商对云安全存在着定位和投入上的不同。
有很多用户将云安全理解为一种完全崭新的安全模式,也有用户将云安全理解为对传统安全体系的升级。实际上这两种理解都有可取之处,云安全更近似于云计算技术在安全领域的特定应用,而其创新之处则更多地来自于用户和运营等层面。
云安全体系可以令安全厂商更准确地了解全球安全威胁的变化态势,同时也有助于厂商发现新的安全威胁。无论是国外厂商还是国内厂商,真正在云安全领域有所投入的厂商,其采集威胁的速度和数量都呈现出几何级数增长的态势。趋势科技自有的云服务器数量就达到数万台,而金山也在总部的办公楼开辟了一层专门用于放置云安全系统,这些在云安全领域投入重金的厂商掌握的病毒样本数量早已达到千万级。
更重要的是,拥有了海量的安全威胁数据之后,厂商就可以根据安全威胁情况动态地变更其云防护体系的工作状态。类似趋势科技的安全爆发防御体系,它就需要足够数量的监测点和统计数据作为支撑,也可以视为云安全最早的应用尝试之一。
从核心模式上来说,当前的云安全应用主要侧重于阻断用户访问已经被辨识的安全威胁和可能存在风险的安全威胁,这主要源于云安全体系可以大幅度加快厂商对安全威胁的响应速度。这其中比较容易引起误解的一点是,云安全是否能够更好地应对未知安全威胁呢?从本质上来讲,云安全的主要改进在于能够更好地、更快地响应已知安全威胁。不过在一些特定条件下,云安全也可以对未知安全威胁防护提供帮助。
假设一个刚刚被放入互联网的恶意软件感染了第一台计算机,这个恶意软件对于这台计算机是一个未知的安全威胁;如果该计算机将这个感染行为以及这个程序提交给了云安全网络,那么相比传统模式而言,其他使用该安全云服务的计算机就有更大的机会避免被该程序感染。也就是说,云安全体系更多地是避免一个未知安全威胁所带来的破坏,让厂商和用户能更快地发现新出现的安全威胁,而与未知威胁检测技术无关。
云安全的选择及路径
当“云安全”作为一个名词吸引了公众的注意之后,所有的安全厂商都陆续宣布了对云安全的支持,这一幕看起来与UTM刚刚问世时何其相似。如何正确看待云安全的效果,如何选择真正支持云安全的产品,这些问题需要选购安全产品的用户认真对待。
就目前的情况来看,选择一线厂商的产品所获得的保障无疑要更强一些,而这并非只是源于品牌和信誉。对一个云安全体系来说,其投入规模和所拥有的用户数量,相当于云的大小和密度,也决定了云的工作质量。
第一代云安全技术:海量采集应对海量威胁
最开始被集成到安全产品中的云安全技术,主要集中于将从终端客户处收集到的信息返回到安全云端,同时将分析后的结果返回给终端客户。这种作法的好处在于能够利用云安全体系的巨大运算处理能力和共享的安全威胁信息,为终端用户提供更及时、更有效的安全保护服务。在传统的安全防护模式下,安全厂商通常依赖人工方式采集安全威胁信息。
由于高速互联网连接的普及,一个新出现的安全威胁完全有能力在数个小时甚至不到一个小时之内在全球网络内实现传播,而旧有的安全响应体系已经漏洞百出。在应用了云安全体系之后,厂商可以将威胁的采集工作更多地转移到终端用户的计算机上,根据其访问行为和受感染情况来更准确地获知安全威胁的产生和蔓延情况。
对于一些明显可能造成破坏的安全操作,云安全系统会自主将其标示为安全威胁,这样在其它计算机执行相同或相似的操作时,就会获得来自云端的警告,从而以接近实时的速度获得对安全威胁的免疫。事实上,在一个运行良好的云安全体系当中,从一个新威胁被识别到被标识,所耗费的时间极短,甚至要少于终端计算机更新病毒特征码以及完成特征码加载的时间,这为安全产品提高响应速度提供了很好的技术基础。
第二代云安全技术:更加全面彻底的云安全
事实上,第一代的云安全技术表现在产品功能上,更多的是以信息采集为主,真正能够产生效果的安全功能寥寥无几。在第二代的云安全技术应用上,一个显著的特征就是安全功能对云安全体系更充分、更广泛的利用。目前已有多家主流的安全厂商都推出了具有云安全2.0技术特征的产品。以最先倡导云安全技术的趋势科技来说,其最新版本的产品线都集成了被称之为文件信誉的安全技术。
顾名思义,与在云端检测Web地址安全性的Web信誉技术一样,文件信誉技术旨在通过云安全体系判断位于客户端的文件是否包含恶意威胁。在传统的特征码识别技术中,通常是将文件内容不同部分的Hash值与所检测文件的Hash值进行比较,从而判别文件是否受到感染。
与传统的将特征码放置在客户端的方式不同,基于云安全体系的文件信誉技术,支持将特征等检测所用的信息放置在云端(比如全球性的云安全网络或局域网中的云安全服务器)。这样做的显见好处是,解决了从更新文件,到客户端部署了更新这段时间间隔里,防护系统无法识别最新安全威胁的问题。
通过连接到云端服务器,终端计算机始终能获得最新的防护。如果说第一代云安全技术提高了发现安全威胁的速度,那么第二代云安全技术则让安全防护功能得以用接近实时的速度检测和识别最新的安全威胁。
下一代云安全技术:灵动的云
相信用不了多久,几乎所有的安全功能都将顺畅地接入云端,从而实现云级别的安全防护。解决了安全威胁响应速度这一核心问题之后,对安全防护的质量提升将是云安全的下一命题。
由于云安全体系所拥有的庞大的资源配给,用户无疑会对其能够在多大程度上替代人工分析和操作,抱有极大的兴趣。事实上,这也是能否从本质上提升安全产品保护能力的一个重要指标。
另一方面,终端用户应期待可以通过自己的产品界面,对安全云进行更多的操作和管理。以往对于客户端防护产品的定制能力将转移到云端,用户可以决定哪些安全功能需要连入云端,而哪些功能必须使用本地的防护引擎。在3.0乃至4.0的云安全技术体系中,用户将获得更大限度的自由,安全保护的新时代也将随之展开。
模拟真实环境 破解云安全谜团
为了更好地模拟管理中心、服务器客户端、工作站客户端等常见的安全对象,在本次评测过程中我们启用了五台计算机,其中一台用作管理服务器,其它计算机作为终端计算机。
在网络环境方面,我们使用一台TP-Link的TL-R 860路由器作为连接设备,所有测试用计算机都以百兆以太网形式接入该设备。同时在该设备上还接入了2Mbps的网通宽带,用以提供互联网连接。在测试过程中,我们对产品的测试实现完全分离,也即完整地测试完一个产品之后,再测试另一个产品,以避免测试过程中相互干扰。
本次测评参测产品4款,包括趋势科技OfficeScan10.0、熊猫AdminSecure Business。令我们感觉有些遗憾的是,由于另外两家参测厂商即将新的产品版本,所以在本次评测中隐去其真实厂商及产品名称。在这里,我们将在总体上对其进行适当的点评,以让读者了解这些产品最新的发展状况。文中以X和Y表示用来表示隐去其真实厂商的产品名称。
在性能表现方面,产品安装后的系统资源占用情况以及产品的运行速度都是关注的重点。通过比较安装前后的磁盘空间占用情况,我们可以了解产品对硬盘的消耗。同时针对管理服务器、客户端的处理器和内存资源使用情况,测试工程师也给出了相应的评价。检测引擎的速度一直是评估安全产品性能的保留项目,本次评测过程中通过对一个包含4GB文件的系统内分区进行扫描来完成该项测试。为了判断产品的检测引擎是否支持文件指纹机制,该项测试共进行两次,每次测试之间计算机会重新启动以令时间记录更加精确。
恶意软件检测
我们选用了100个采集自实际应用环境的恶意程序样本。其中覆盖了蠕虫、木马程序、脚本病毒、广告软件和黑客工具等多个常见的恶意软件类别。另外,在测试样本中也包含了一些未被验证的、可能包含安全威胁的程序,用以验证参测产品在检测未知威胁方面的能力。在该项测试过程中,所有产品的检测引擎的识别能力和识别范围均开启为最高,所有有助于提高检测效果的选项也均被启用。
防火墙测试
防火墙作为另一个核心的安全防护模块,也设定了多个专门的测试项目。基于GRC网站提供的在线检测工具Shields UP!,我们能够了解一台计算机的网络端口在外网看起来是处于什么状态。该检测分析计算机的前1056个端口,并且提供计算机是否响应Ping请求的附加测试结果。另外,我们通过一组工具来测试在终端计算机上利用各种方法建立外向连接时,防火墙组件的反应行为是否正确。下面提供了这些测试工具的工作机制等相关描述。
• LeakTest:该工具在被测计算机上建立外向连接,如果防火墙组件发现了建立连接的行为,视为能够识别基本的外向连接活动。
• FireHole:该工具调用系统中的缺省浏览器传送数据到远程主机,在计算机上建立具有拦截功能的DLL,从而伪装浏览器进程进行数据发送。
• PCFlank:与FireHole工具类似,该工具检验一个防火墙信任的程序在调用另一个程序时,在工作方式上利用了Windows的OLE自动化机制。
• ZAbypass:该工具使用直接数据交换(DDE,Data Direct Exchange)技术,以借助系统中的IE浏览器访问互联网服务器上的数据。
• Jumper:该工具会生成一个DLL文件,将其挂接到Explorer.exe之后关闭和重启该程序,从而执行该DLL。这项测试同时考察防火墙组件的防DLL注入能力以及对注册表关键位置的保护能力。
• Ghost:通过修改浏览器进程的PID来欺骗防火墙组件,从而通过系统缺省浏览器向互联网发送信息,主要用于测试防火墙是否能够实现进程级别的监控。
云安全测试
针对当下最热门的云安全技术,在本次评测中也专设了多个测试项目。首先我们的工程师会验证参测产品是否支持云安全网络,以及支持哪些云端安全功能。例如,通过访问包含有恶意代码的网站来判别参测产品是否支持云端Web威胁识别。另外,我们会尝试使用产品的云端功能检测前面所准备的100个恶意软件样本,比较其检测率和处理能力相较使用传统扫描引擎是否有所提高,从而验证云安全机制对于产品效能的提高发挥的作用。管理
机制测试
管理能力是企业级安全产品的重中之重,通过对参测产品的终端管理、终端部署、权限管理、配置管理等诸多方面的能力进行考察和评估,我们可以获得产品管理机制是否健壮有效的第一手证据。
与此同时,产品客户端所具备的特性,特别是管理端对于客户端的授权和控制,也是网络版安全产品需要重点关注的问题。
易用性测试
在易用性方面,我们遵循软件业内常见的一些评估方式,进行体现物理操作负担的肌肉事件测试,针对界面设计的屏幕利用率测试以及体现操作流程的记忆负担测试等诸多测试项目。
结合针对界面元素排布、界面指引等方面的分析,最终形成对软件易用性的综合性评价。在易用性的测试过程中,主要面向参测产品的控管中心模块,对于部署于服务器和工作站上的终端软件不进行评估。
评测总结
在本次评测中,通过对比应用云安全的产品和传统形式的产品,我们发现云安全类型的产品带给客户端的负担更小。趋势科技已经近乎彻底地实现了产品的云安全化,无论从基础架构还是从核心功能上看,云安全技术都在充分地发挥作用。而熊猫的云安全应用,则更多地停留在后台辅助服务方面,用户从前端功能还无法明确了解云安全的具体应用状态。相对地,X和Y在云安全应用领域也取得了相当的成果,并且拥有相当规模的云安全网络支持,对其安全威胁的发现和采集提供了相当的帮助。
通过评测,我们也发现目前的主流企业级安全产品并没有走向完全趋同的发展道路。基于不同的市场理解和不同的客户取向,不同厂商在构造自己的产品时,都体现出鲜明的功能和设计特点。
云安全防护的基本措施范文2
“在网站上注册时,我有个习惯。要求填写姓名时,注册Sina的用户我就填张新浪,注册Yahoo我就叫张雅虎,注册Baidu我就写张百度,注册Mop我就用张猫扑,注册Google我就改叫张谷歌。今天接到个电话,问:是张建设小姐吗?我一听就知道,这回是银行把我的个人资料泄露了……”如今,愈演愈烈的个人信息泄露事件,已经让张小姐的这个“小窍门”广为流传,不少网民正在利用这类方法发现个人信息泄露的源头。
伴随网上金融交易和网上购物等互联网应用的兴起,个人的重要信息变成了网络中流动的数据,非法收集、利用、公开个人信息的机会之门也由此大开。近年来,信息和网络的迅速发展,使个人信息保护越来越受到网民的关注与重视。随着信息泄露案件的频繁出现,个人信息的保护已成为各国关注的重要问题。然而,作为一个网民人口大国,中国网民个人信息保护现状却令人忧虑。
2011年12月21日,开发者社区CSDN遭黑客攻击,600万用户账号及明文密码泄露,用户资料被大量传播。几天之后,乌云漏洞平台又爆出天涯社区遭黑客攻击,导致4000万用户资料被泄露的消息。此后,京东商城、当当网、支付宝等多家网站纷纷陷入“漏洞门”, 被指因网站安全漏洞而存在数据泄露的风险……2011年底,中国互联网遭遇的史上最大规模的用户信息泄露事件,直接导致了网民对主流网站的信任危机。由此可见,中国互联网产业的发展已经走到了不得不关注、重视个人信息保护的时代。
个人信息安全保护的中国进程
有关个人信息保护的原则,最重要的是国际经合组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,许多国家都以此为据制定了本国的个人信息保护法。这些原则包括:收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则和责任原则。个人信息的保护原则,体现了对人的尊重和对个人信息的规范管理。它的目的实际是在保护个人信息的同时,让个人信息能真正实现自身价值,更好地为公众服务。
互联网行业是一个时刻需要创新和变化的行业。曾有部分企业认为:强调对个人信息的保护,会制约互联网行业的创新精神,阻碍行业的发展。这说明,一些互联网企业对个人信息安全保护的理解,还存在误区。专家指出,对个人信息的保护并不是为了限制个人信息的流动,而是对个人信息的流动进行正规的管理和规范,以保证符合让信息主体同意的目的,保持信息的正确、有效和安全,最终确保个人信息能够在合理、合法的状态下流动。
到目前为止,国际上已经有50多个国家和组织建立了个人信息保护的相关法规和标准,如欧盟理事会《有关个人数据自动化处理的个人保护协定》、国际经合组织《关于保护隐私和个人数据跨国流通指导原则》、欧盟《1995年个人数据保护指南》、《瑞典个人数据法》、欧盟《2002年隐私和电子通信指令》、《美国隐私权法》、《加拿大个人数据保护法》、英国《数据保护法》、美国《电子通信隐私法》、美国《互联网保护个人隐私的政策》、日本《个人信息保护法》等。
与一些发达国家相比,我国在信息安全保护意识与规范制定方面存在一些弱项。特别是个人信息保护意识不足的问题,还曾经直接导致国际市场在选择外包企业时对中国企业的不信任,严重影响了我国软件及信息服务外包业务的发展。
2008年,个人信息保护被纳入工业和信息化部重点工作范畴。2009年,为了消除国际影响,提升国内企业在国际软件与信息服务外包业务中的竞争力,我国成立了首个个人信息保护管理委员会并建立了个人信息保护的评价制度。工业和信息化部信息安全协调司副司长欧阳武告诉记者,这套评价制度启用效果非常明显,它不仅得到了境外相关机构的认可,也为国内企业承接境外业务提供了基本保障。此后,这套评价体系的建立,也确实为个人信息安全保护工作的开展起到了旗帜性的作用。
2011年初,为了全面推动我国信息服务产业个人信息保护体系的建立,在信息安全标准委员会的指导下,由中国软件评测中心牵头制定了国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)、全国信息安全标准化技术委员会2011年国家标准编制计划(编号:TC260-BZZXD-WG7-2011018)。在“指南”的基础上,信息系统个人信息保护标准体系中其他技术、管理和行业标准也已进入计划制定阶段。
《指南》制定完成后,伴随一些第三方评测平台的努力,如今标准落实工作已出现实质性进展。2011年5月,受工业和信息化部信息安全协调司委托,中国软件评测中心力邀个人信息保护相关专家,组成评测专家组,并根据《指南》内容,研究制定了2011年互联网网站个人信息保护政策测评方案和测评指标。历经六个月,专家组对电子商务、论坛博客、银行、保险、婚恋、招聘、游戏七类共105家网站进行了个人信息保护政策测评,正式将《指南》通过科学的个人信息安全相关评级机制落实。同时,针对移动互联网带来的个人信息泄露问题,中国软件评测中心还与北京大学互联网安全技术实验室合作,选取了安卓手机各类热门软件对其个人信息安全状况进行了测试评估。
而相关评测报告显示,个人信息安全防护的主战场,正在伴随移动设备和Wi-Fi网络的普及不断蔓延扩大,个人信息安全防护各项工作的开展已刻不容缓。
个人信息保卫战出现第二战场
十年前,地铁里最常见的人群是手拿报纸的上班族。但是今天,手握手机的上网族成了主流。搜索、游戏、阅读、音乐、互动社区,手机支付、手机电视……层出不穷的移动互联网应用在吸引大量用户的同时,也把个人信息安全保卫战推向了更广阔的战场。
2012年1月,中国互联网信息中心(CNNIC)了《第29次中国互联网络发展情况统计报告》。该报告显示,截至2011年12月底,手机网民数量超过3.5亿。艾瑞咨询预计,中国手机应用商店2012年和2013年的用户规模将有望分别达1.82亿、2.75亿。手机应用软件商店正在成为各大IT巨头发力的焦点。
但是,在移动互联网应用发展势头一片大好的背后,却暗藏着个人信息泄露的巨大风险。美国标枪战略研究公司(Javelin Strategy & Research)近期公布的的一份报告显示,2011年美国有近1200万人沦为身份盗窃的牺牲品,较2010年增长了13%。主要原因正是智能手机和社交媒体使用的增加。日本的KDDI研究所在调查了400种智能手机热门免费应用软件后发现,约6%的软件会将电话号码、终端ID、位置信息及使用软件一览表在用户不知情的情况下向外部发送。据国外媒体报道,安全厂商Dasient对1万款安卓应用进行了研究,发现逾8%的应用会向没有获得授权的计算机传输用户的个人资料。
360安全中心日前的《2011年中国手机安全状况报告》指出,2011年全年新增手机恶意软件及木马8714个,被感染智能手机用户数超过2753万人次。其中,安卓手机操作系统成为安全问题最为严重的平台。根据360手机云安全中心统计,2011年是Android平台恶意软件及木马的“井喷年”,相较2010年全年共发现12个木马样本相比,今年捕获新增安卓木马样本4722个,被感染手机用户数超过498万人次。从2011年8月起,安卓平台每月新增木马数量开始连续4个月超过塞班平台,在新增安全威胁的增速与增量上全面居首。
2011年10月到2012年3月,中国软件评测中心与北京大学互联网安全技术实验室针对Android手机软件的个人信息安全评测结果显示,基于安卓平台的应用存在严重的信息泄露风险。这次评测在中国移动应用商城、中国联通沃商店、中国电信天翼空间、机锋网等应用商店中随机选择了几百个测试样本,测试指标选取的原则为信息泄露造成危害程度、用户对信息的敏感性、利益相关方对个人信息的关注点。结果显示:IMEI号码泄露问题最为严重,其次为手机号码泄露,再次为地理位置和SIM卡序列号泄露。而在优亿市场、宝软网、安卓在线、数熊游戏软件等手机软件电子市场采样测试的结果则显示“数熊游戏软件”泄露手机号码情况较为严重。
这些数据显示,移动互联网已经变成了安全攻防的第二个主战场。面对移动互联网的发展和Wi-Fi普及带来的个人信息泄露风险,360总裁齐向东认为只有通过在移动终端上安装安全软件,才能实现有效的防御。在他看来,互联网应用的高速发展正在显示一种趋势――未来人们势必会将更多的个人信息、隐私信息放在互联网中,保护个人信息安全会变成互联网的头等大事。但当前人们对移动设备安全防护的认识还远远不足,比如安卓这类开源操作系统平台在安全性方面要远比Windows系统薄弱,基于这类平台开发的应用在安全机制方面的考虑也远远不够,这些问题会造成安全风险,很多用户对此还没有清醒的认识。和传统的终端相比,移动终端安全防护产品在个人信息安全防护的战场上所起到的作用将更为突出。如何构建多维防线
欧阳武指出,只有把个人信息保护纳入法制化的轨道,才能实现对个人信息的最好保护。在他看来,只有通过法律,才能明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,明确侵害他人隐私的责任和行政处罚制度。其次,由行业组织依据行业信息保护规则,在照顾行业发展特点的同时,制定出行业信息保护规范,通过行业自律的方式进一步完善事后承接机制,约束行业滥用信息也是非常关键的工作。此外,由于目前个人信息保护的国家标准还没有正式出台,企业的个人信息保护政策的落实的相关措施还没有相应的监督机制,对企业的个人信息保护能力还无法做到客观的评价,广大网络用户对相关的措施和安全管理工作还缺乏认知,实现个人信息保护也需要做大量的细致工作,所以目前根据标准的内容制定测评指标体系,建立第三方测评评估机制非常重要。第三方测评不仅能为行业自律提供可借鉴的标准,还能对提高全社会的个人信息保护意识起到推动作用。