前言:中文期刊网精心挑选了信息安全保护范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全保护范文1
关键字:云平台;信息安全
中图分类号:TP393.08 文献标识码:A DOI:10.3969/j.issn.1003-6970.2013.08.040
本文著录格式:[1]陈凤萍.云平台信息安全保护策略分析[J].软件,2013,34(8):124
0引言
2006年8月9日,Google的首席执行官埃里克·施密特在全球搜索引擎大会上首次提出了“云计算”这一观念。云计算是基于互联网相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态、变化性强切虚拟化的资源。云是一种比喻的说法,形容其处理数据之大。
1云计算的发展
自从云计算诞生以来,关于云计算的定义,业界内一直是众说纷纭。其中比较主流的是Wiki和美国国家标准与技术研究院对云计算的定义。
Wiki对云计算的定义是:云计算是一种通过因特网,以服务输出的方式提供动态可伸缩的虚拟化资源的计算模式。
美国国家标准与技术研究院的定义是:云计算作为一种按使用量付费的模式,提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池。这些资源能够快速的被提供,投入的管理工作较少,或者是与服务供应商进行很少的交互。
当云计算诞生之日起,人们对它的期望就非常之高,对于它的发展也倾注了大量的心血。它的发展,共分为五个阶段,它们分别是萌芽期、过热期、低谷期、复苏期和成熟期。
第一、萌芽期。在这一阶段,人们对于云计算还是处在一个懵懂的时期,并且表现出了浓厚的兴趣;
第二、过热期。在这一阶段,众多网络企业纷纷涌上,大量的运用新技术,热情空前高涨。
第三、低谷期。由于期望过高,与现实严重脱节,导致人们对云计算的热情下降;
第四、复苏期。这段时期,人们开始冷静地对待云计算这一项目,并从实际情况出发,考虑它的使用价值;
第五、成熟期。经过复苏期这段时期的调整之后,云计算正是突破了应用上和技术上的瓶颈,它的优势已经明显的显示出来。
2云平台面临的安全问题
云平台是基于云计算的技术基础上发展起来的,建立安全的云平台,必须要有一个安全的运行构架来保证云平台的安全运行。
现今云平台间来所要面临的问题主要有:
第一、虚拟化的安全问题。
虚拟化技术能够充分利用现有的硬件资源,拓展基础设施等服务能力。但是,虚拟化技术所带来的问题也是非常地严峻:如果云平台的主机遭到破破坏,主机所管理的虚拟机运行内存也会受到破坏,面临崩溃;若是虚拟网络遭到破坏,云平台的客户端自然会受到破坏;整个虚拟网络是由若干的VM虚拟机构成的,一台出现问题或漏洞,与之相邻的其它VM虚拟机也将面临同样的威胁。
第二、云平台的可用性问题
用户的数据存储、处理、网络传输与云计算系统的关系非常密切。它的数据处理及其他的平台服务功能一旦出现问题,那么用户的个人信息很有可能会丢失,这对用户来说是一种极大的损失。
第三、云平台遭受攻击的问题
云平台高度集中了用户、信息资源等一些重要信息,所以极易成为黑客攻击的目标。近几年来,世界各国频频出现黑客攻击各大公司和政府机关的平台,盗取信息和篡改安全信息的事件发生,例如2011年上半年,黑客就有四起“云攻击”事件,分别是索尼PSN遭系列攻击事件、Wordpress遭攻击事件、新浪微博蠕虫攻击。由于这些网站存储了大量用户的资料和相关的信息,黑客攻击这些网站,窃取用户信息,用于不法之途,极大的损害了云平台用户的个人利益。
3云平台构建的要求
云计算时代的到来,给网络时代带来了巨大的商机,同时也给云平台的构建带来了巨大的挑战。如何面对这些挑战,如何能使云平台正常平稳的运行,正是云平台构建者所要解决的问题。
第一、专业技术和经验
当代网络安全的最大挑战是网络黑客与电脑病毒。电脑病毒是破坏计算机功能或破坏信息数据,干扰计算机运行并且能够自我复制衍生的程序代码,它对网络安全构成的威胁甚至大于网络黑客的攻击。要构建安全的云平台,反病毒的任务非常重要。在此,反病毒技术和反病毒的经验积累,是维护云平台正常安全运转的有力保障。所欲需要云平台的建立者要时刻保持高度的警惕,谨防程序被人开后门或被不法之徒利用。
第二、资金与技术的投入
云平台的安全问题,比传统的网络安全问题要更加的复杂,运行系统也更加的庞大,对于设备和技术的要求也有了很大的提高。因此,建立安全的云平台,必须要有资金和技术作为保障,这样才能保障云平台建设的顺利进行。
第三、系统的开放性和大量合作伙伴的加入
上文说到云平台是一个集合了信息数据、市场信息、资源信息、客户资料等等一切信息资料的综合性、开放流平台。这就要求云安全平台要有强大的安全兼容性。即使用户使用的软件厂商不同,但在云安全系统下,依然可以正常的运作。加入云平台的客户或合作伙伴越多,云安全的覆盖能力就越强
在科技高速发展的今天,国家或地区的计算机技术的使用,已经成为了衡量该国家国地区综合能力的重要标准,它的地位已经和石油及其他的战略资源同等重要。目前,云安全还只是在发展阶段,面对的问题较多,但是对于它的未来前景,要始终保持积极的态度,不断的努力,使云安全的目标能早日实现。
信息安全保护范文2
论文摘要:世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性成为我国信息化建设过程中需要解决的重要问题。
论文关键词:信息安全;保护
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
1我国信息安全的现状
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
2我国信息安全保护的策略
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
信息安全保护范文3
1大数据的内涵及其特征
1.1大数据的内涵
每一位个体在搜索引擎上的任何一次搜索形成的数据都会被记录下来,这些数据在不断积累、汇集的过程中,逐渐成了“大数据”。大数据的定义很多学者已经给出,但表述各不相同。综合来看,大数据就是数据量大、数据类型多的数据集合,同时传统的数据处理技术及IT技术无法对该数据集进行采集、获取、处理等操作。用户最能切身感受到的大数据表现为:相关企业根据个体在网络上的浏览痕迹,进行细致的用户需求分析,然后向用户提供定制和个性化的服务。
1.2大数据的特征
大数据通常是指数据的规模大于10TB以上的数据集,可以概括成“4V”:①数据量大(Volume)。生活在网络时代里,数据的计量单位也在随着数据量的不断变化而变大。②数据类型多(Variety)。常见的类型有结构化数据、非结构化的数据、半结构化数据。多类型的数据结构对数据的处理分析能力提出了更高的要求。③价值稀疏性(Value)。大数据时代数据量非常大,但是有价值的数据比例又很小。④速度快、时效高(Velocity)。信息技术的不断创新发展,促使数据的增长速度也急速提高,使各行各业对数据的时效性提出了更高的要求,对处理数据的响应速度也有更严格的要求。
2大数据时代个人信息不安全的原因分析
2.1外在原因
2.1.1数据本身在传播中具有动态、交互、连续性。大数据时代信息和数据在传播的过程中是动态化、碎片化的,而有着这样特性的数据在网络中更加容易被捕捉和搜索,这就加大了个人信息被泄露的风险。大数据时代用户的数据具有紧密的交互性,拥有庞大数据量的计算机可以依据用户之间的数据的交互分析出两者之间的网络关系。所以,一旦某人信息泄露,就有可能因蛛丝马迹而泄露其好友的个人信息。
2.1.2相关企业过度寻求大数据背后的商业利益。互联网能够及时地追踪到个体的个人信息,其手段之一就是运用浏览器里的浏览记录和 Cookies。如:在2013年“3·15晚会”曝光有关企业对用户的Cookies信息进行无告知收集,通过对数据的分析处理,辨别每一个用户的社会阶层、职业、家庭收入等。更有被利益驱使的企业通过不正当的渠道变卖用户的个人信息,为自己赢取利润。
2.2内在原因
个人信息主体安全意识薄弱。根据《中国移动语音社交应用行业研究报告》,预测2017年中国整体网民规模将达8.5亿人,中国移动网民将达 7.5亿人,中国的网民数量呈现稳步的增长趋势[1]。网民数量在不断增加的同时,信息安全事件也频频发生。如:中国铁路12306网站个人用户信息的泄露等。虽然我国在信息安全保护技术方面存在一定的欠缺,但根本原因还是用户的个人隐私保护的意识薄弱。目前,在国内非常流行的社交网络当属微信朋友圈和新浪微博。相关报告指出:微信用户平均每4分钟便会看一下手机微信,新浪微博更是广大网民及时了解各类实时专题新闻并进行互动的渠道之一。根据《TIME》(时代周刊)2012年8月的调查显示:“1/4的人每隔30分钟就看一下手机,1/5的人每隔10分钟就要看一下,1/3的人承认即使很短时间不用手机,他们也会感到焦虑。”这种过度依赖网络的行为,更有可能在不经意间泄露个人的信息。
3大数据时代个人信息安全保护存在的问题
3.1缺乏完善的个人信息安全保护法
大数据时代,提到个人信息的保护,很多人会认为我国个人信息保护的法律是空缺的。实际情况并非如此,我国涉及个人信息保护的法律法规不在少数,如:《中华人民共和国电子签名法》《侵权责任法》[2]以及2013年3月1日开始实施的个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》[3],然而其内容都是较为零散的,不具备一定的针对性和适用性,整体缺乏制约作用。同时,如何切实可行地保护个人的信息问题,现有的法律没有做出明确的规定,也没有进行细致的归纳和划分,不能从根本上保障个人的信息安全。
3.2外在攻击技术力度加强,应对技术相对薄弱
在技术层面上,一方面,传统的信息安全技术已经不能适用于大数据时代复杂多样的数据集;另一方面,侵权者攻击的力度也在不断地加强,传统的信息保护技术已经被依次破解,新的攻击形式层出不穷,而新的防卫技术研发投入不足。
3.3缺乏完善的管理机制
谈及信息安全,“三分靠技术,七分靠管理”,合理高效的管理是信息安全的一大保障。目前,国家层面缺乏完善的管理机制,企业层面缺少行业的自律机制,个人而言则更加随意,难以形成统一高效的管理。网络上随处可见参差不齐的信息就是管理存在不足最直接的表现。现实生活中的每个人都会受到很多管理体制的制约,若违犯必将受到相应的惩罚,虚拟的网络世界更应该如此,但目前我国尚欠缺有力的监管体制保障其整体秩序。
4大数据时代有效保护个人信息安全的建议
4.1完善立法
进一步加强个人信息安全的立法制度。在大数据时代,各行各业的数据处于不断交融、碰撞的动态变化之中,慢慢形成行业发展的新局面。首先,政府应该建立个人信息保护的专项法律。个人信息保护的专项法案是对其他已有相关法律法规的有力补充,既保障个人信息保护有法可依,也打击侵犯个人信息安全的行为。其次,法律法规要明确数据的采集界限以及数据的使用权。什么样的数据能够被获取利用?什么样的数据属于个人隐私应该予以保护?这都需要有明确的规定。数据采集过程中,一定要按照法律规定的获取范围采集所需数据,数据的使用权同样也是需要探讨的。
4.2技术创新预防外来攻击
在注重信息安全的理念中,虽然只提及三分靠技术,但是技术的提升却是保障信息安全最直接有效的方式。首先,在大数据时代,需要加强个人信息保护技术的研发创新,同时加大力度推动云计算、移动互联网的硬件技能的不断提升;其次,技术的不断创新依靠的是强大的技术团队、技术人才。从赛迪智库颁布的 2015版大数据白皮书得知,大数据的人才无论是中国还是美国等发达国家都是稀缺的,这就需要国家加大资金的投入,培养专业性的大数据技术人才,提高信息技术水平。
4.3加强各行各业的自律和监管
信息安全的七分靠管理,应该体现在各行各业、各组织机构,应该相对应地形成内部的标准和公约,明确各方的责任与义务,监督与管理其对数据的各项使用权利。同时,政府需要加强对个人信息服务行业的引导,如:对移动运营商应该加以鼓励合理地运用数据,为广大网民提供更加便捷且个性化的服务。在监管方面,需要引入第三方安全评估的认证机构,加强对行业数据处理的全部流程的监管。
4.4推行网络实名制
推行网络实名制是提高个体信息安全意识的方式之一。有些人认为推行网络实名制会压制网民言论自由,不能完全体现民主。但是从铁路运输的售票实名制的成功案例来看,互联网络实名制虽然可能会存在不足之处,但是必定是利大于弊。首先,实行网络实名制,某种程度上会让网络上的言论更加得体,从而营造健康的网络环境。如:网络冷暴力给网民带来的危害案例比比皆是,网络言论的过度自由给青少年群体带来的伤害也是显而易见。推行网络实名制可以在一定程度上限制不法分子的恶意中伤等。其次,实行网络实名制可以有效地保护用户的个人财产。当下,“微商”是非常红火的一个名词,但“微商”的可信度不高。假若这样的网络创业能够推行实名制,必然会提高网民对其的认可度。最后,推行实名制一定程度上能够降低网络犯罪的发生。
4.5加强信息安全教育
信息安全保护范文4
关键词:个人信息;安全现状;立法保护
伴随着信息技术的不断提高,各种新型利益不断出现,个人信息作为一项无形资产已成为现代信息社会的一种重要资源。然而最近几年我国个人信息泄露情况严重,尚无一部完整的关于个人信息安全保护的法律且目前相关法律不完善,难以对个人信息起到有效的保护作用,因此完善个人信息安全保护的法律制度显得尤为迫切。
1 国外个人信息保护立法概述
当前世界各国未对个人信息保护形成共识,但是发达的西方国家大多根据本国国情和需要制定了较为系统的个人信息安全保护法律体系。以美国、德国、日本为例。美国模式大体可以总结为分散立法与行业自律相结合,在公领域制定单行法进行分类保护,如1998年的《儿童网上隐私保护法》;在私领域则采取行业自律模式,在政府主导下制定行业准则,通过自我约束保护公民的个人隐私。德国模式则是在公私领域对个人资料采取统一立法模式进行保护,其于1977年制定《联邦数据保护法》对公私领域进行统一规范,同时又制定了适用于所有洲个人资料保护的法律即《洲数据保护法》,并设立独立的监督机构。日本关于个人信息的法律保护模式是建立在美、德模式之上,兼具统一立法规制与行业自律特点,即采用综合性的保护模式。以上三种模式侧重点不同,但都有其合理性。
2 我国个人信息安全法律保护的现状及其缺陷
(一)我国个人信息安全法律保护的现状。由于历史等诸多原因,我国目前没有出台一部专门的关于个人信息安全保护的法律,直接保护个人信息安全的法律数量很少,现有法律对其的保护主要为间接方式,即在个人信息相关的范畴给予局部立法。主要见于以下几个方面:在民事法律方面:《民法通则》规定:公民享有姓名权,有权决定、使用和依照规定改变自己的姓名,禁止他人干涉、盗用、假冒等;在刑事法律方面,《刑法修正案(七)》规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;在行政法律方面《行政诉讼法》规定人民法院审判涉及个人隐私的案件可以不公开审理等;宪法方面,《宪法》规定:公民的人格尊严不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利等。
(二)我国个人信息安全法律保护的缺陷。我国从《宪法》、《民法通则》、《刑法》、《居民身份证法》、《侵权责任法》、《护照法》等都体现了对公民个人信息安全的保护规定,学界也有很多论述。但是理论学说存在一定争议,对于该保护怎样的个人信息,如何保护?还没有完善的措施和体系。更何况信息的内核和外延又在不断变化发展之中。归纳不足之处在于:我国现有法律制度并不能很好的保护个人信息的安全。主要存在以下几个方面的问题。首先,相关概念界定不清。如对于“个人信息”范围未加明确规定从而易造成信息泄露案件取证及责任认定困难,司法实践时可操作性差等。其次,惩罚力度过小,难以起到警示作用。如我国刑法修正案(七)处以非法获取公民罪三年以下有期徒刑或者拘役,并处或者单处罚金,同犯罪分子丰厚的经济收益和巨大的社会危害相比,处以三年以下有期徒刑显得惩罚力度过小,难以对犯罪分子起到有利打击与警示世人的作用。再次,没有建立相应的民事补偿制度。对于滥用个人信息的责任仅仅停留在刑事责任和行政责任上,忽视个人信息泄露后对权力主体可能造成的经济损失,没有建立一套完整的民事补偿机制。最后,现有法律还存在效力层次低、系统性差的缺陷。现行法律多为地方性、行政性法律,层次效用较低且往往是针对特定的部门、地方以及个人信息的某一方面,缺乏系统性。
3 建议尽快出台宏观意义上的《个人信息保护法》
鉴于我国具体国情和历史背景,笔者认为我国应当借鉴德国的统一立法模式,在公私领域制定一部基础法律对个人信息安全进行统一立法保护。理由如下:
第一,从我国法律自身特点来看,我国法律文化深受大陆法系的影响,对大陆法系的接受相对容易。
第二,从我国现实国情来看,现阶段个人信息安全受到威胁的来源主要在两个方面,即政府机关内部及其他个人信息处理者,因此出台一部既适用于政府内部,又适用于其他个人信息处理者的法律显得尤为迫切。我国市场经济不够完善,行业自我约束的意识等尚存在很大不足,单靠行业自律很难保护个人信息的安全,因此需国家统一立法做出规范。
第三,从国际相关发展趋势来看,虽然美国排斥统一立法而更在意市场的自我调节,但其于2000年与欧盟签署的“安全港”协议可视为以美国为代表的行业自律与分散立法模式向以德国为代表的统一立法模式做出的一次让步,因此从整个国际发展趋势来看采用德国的统一立法模式将对我国同欧美国家关于个人信息的交流提供便利,从而有利于促进我国同国际社会的交流与合作。
4 同时完善微观性的法律法规体系
个人信息保护需要的不仅是一部宏观意义上的“母法”,更要求构建起一个微观性的法律法规体系,如此才能为公民个人信息权提供全面而细致入微的保障。
第一,作为社会信息化程度相对较低的国家,信息立法首先面临着信息种类和范围的界定难题。从概念上讲,凡一切与公民个人相关的资讯都应属于个人信息,但对于立法而言,只能将其中的部分信息纳入保护范围,如何划分这个界限就考验着立法者的智慧。是为应受法律保护的个人信息设置具体的标准,还是深入实践排列出个人信息的具体类别,是抽象化地对一般人信息作出规范,还是区分性地对公众人物的信息进行单独规范,这些难题都应当进行科学论证。
第二,如何增强立法的可操作性和公民信息权的可救济性,也是个人信息立法所必须考虑的重要问题。个人信息保护立法必须在确立起一个法律制度框架的同时,于条文设计上注重规范的可操作性,不仅规定公民个人信息的权利范围和对个人信息的保密义务,更需要具体设定国家公权力的相关职责,明确违背职责和保密义务的各种具体法律后果。这样做的最终目的,在于为司法机关提供具体的指引,为公民信息权提供坚实的司法保障,以防止个人信息立法成为装饰性的“花瓶立法”。
第三,对立法模式的选择,也制约着个人信息保护的立法质量。是选择“大一统”的法典模式,还是实行分门别类的法规模式?结合外国立法的相关经验及我国的目前现状个人信息保护需要的不仅是一部宏观意义上的“母法”,更要求构建起一个微观性的法律法规体系,如此才能为公民个人信息权提供全面而细致入微的保障。
总之,个人信息的安全保护问题是我国在社会信息化转型过程中必须面对的,而仅仅通过行业规范、公民个人防护意识等非强制性手段并不能对个人信息的安全起到全面保护作用,只有进行专门立法规制,从宏观和微观两个层面,架构科学的法律法规体系才能确保个人信息的安全。
参考文献
[1]齐爱民:《论个人信息的法律保护》,《民商法学》,2005年第8期。
[2]周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,北京:法律出版社,2008年。
[3]张新宝:《隐私权研究》,《法学研究》,1990年第3期。
[4]龙西安:《个人信用信息私有产权性质及其保护原则》,《金融法苑》,2003年第8期。
[5]刘修军:《公民个人信息权的刑事保护刍论》,《甘肃社会科学》,2009年第6期。
信息安全保护范文5
一、研究背景
网络个人信息泄露,是指网民在互联网上提供的个人信息没有得到良好的保密,而导致某些不法分子得以对其进行收集、倒卖以获利的现象。2014年12月25日第三方漏洞平台“乌云”曝出12306网站现用户数据泄露漏洞,包括用户账号、明文密码、身份证、邮箱等个人信息。对此,中国铁路客户服务中心回应称,网上泄露的用户信息系是经由其他网站或渠道流出。
当前,网上个人信息泄露事件频发,信息安全问题较以往显得更为突出,网上个人信息成为不法分子争抢的“香饽饽”,或被直接出卖非法获利,或被犯罪分子利用进行电信诈骗、非法讨债甚至绑架勒索等犯罪活动。网上信息泄漏事件严重损害了社会和个人的利益,也让更多的网民对信息安全有了更直接、更深刻的认识,因此网络信息安全建设与维护日显重要[1]。
二、网上信息泄露现状及原因
我国网民数量急剧增长,网络购物发展迅速,互联网在给人们的生活带来便利的同时也带来了很多安全隐患。近年来,泄露和侵害公民个人信息包括隐私的事件频频发生,个人信息成了随意买卖的“商品”,近年来,兜售房主信息、股民信息、商务人士信息、车主信息、患者信息等似乎已形成了新的产业。
网络信息技术的发展也方便了对个人信息的监控和搜索,大型数据库使得搜集、整理、传输、加工信息等过程变得更加简单,几乎可以永久保存,不断再现。因此,一些商业公司具备了大规模收集个人和企业信息的技术条件,若安全机制不完善,其所收集的用户信息被泄露或滥用,后果不堪设想。随着全社会对信息安全的日益关注,信息安全刻不容缓。
个人安全意识薄弱。目前,我国手机网民用户规模达5亿。与传统通信工具、社交网站相比,以社交为基础的综合服务平台不仅拥有着更强的通信功能,还为用户提供了诸如支付、金融等内容的综合服务,增加了信息分享等社交类应用。同时也增加了个人信息泄露的潜在危险,特别是在问卷调查、就医、求职、买房、买保险、买车、办理各种会员卡或银行卡时缺乏个人信息安全意识[2]。网络填写个人信息的非正常退出,微博、QQ空间等社交网络成为泄露日常信息的主要原因。
个人信息保护机制不健全。对个人信息保护的立法研究从上世纪70年代开始,在上世纪末达到一个研究和立法保护的加速阶段[3]。美国,澳大利亚,加拿大,以色列等国家将个人信息归入本国隐私法“Privacy Act”的保护范围,通过《隐私权法》来保护个人信息[4]。我国的个人信息保护法自2003年起已部署起草,但一直未能进入正式的立法程序。据统计,我国目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,然而法律界人士认为,这些针对个人信息的法律法规内容较为分散、法律法规层级偏低,约束力明显不足。单从网站用户个人信息保护安全而言,刑法修正案、侵权责任法乃至居民身份证法等相关内容均有涉及,但相关规定条款过于分散,可操作性差,时效性低。对于“个人信息”、“违反规定”等关键概念的界定尚不清楚,故执法过程易形成执法困境。尤其是对信息泄露案件,在追究责任的时也存在举证难等问题,诉讼成本高、收益低,受害人依法维权。
网络实名制从某种程度而言,也加大了个人信息泄漏的风险。例如不法分子收集实名制火车票或手机办理的登记信息,可从中获取当事人的身份信息制作假身份证,或者办理信用卡、设计欺诈活动等。
监管存在漏洞。 在信息高度发达的现代社会,某些个人信息时刻处于被泄露的状态。由于个人网上信息安全保护机制的不完善,导致执法过程没有坚实的盾牌。某些网站的服务商对个人信息没有尽到妥善保管的义务,在使用过程当中泄露了个人隐私。机动车销售、房产中介、医院、通信等行业及其从业人员往往有机会接触、掌握大量公民个人信息,这些行业虽均有系统内部出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见,但由于部分从业人员法律意识不强,且内部管理执行不到位,利用公民个人信息管理上存在的漏洞,因此这些行业成为个人信息泄露的“重灾区”。
三、建立个人信息安全机制的对策
堵住个人信息泄露的缺口,完善相关法律法规。我国首个关于个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》于2013年2月1日起正式实施,个人信息保护工作正式进入“有标可依”阶段,指导和规范利用信息系统处理个人信息的活动。但国家标准、行业标准的法律效力远远不能保护群众个人信息安全,而针对信息安全保护的相关规定已难以满足信息安全的需求,同时维权过程法律依据较少[5]。
因此,我国应尽快完善在个人信息安全方面的相关法律法规,加强行业监管力度,严厉打击不法行为,建立以民法保护为重心,其他法律为辅助的完善的法律体系,具体来说:应在民法典中确立隐私权独立人格权的法律地位[6]。加快立法,加强执法,依法保护个人信息安全,跟上信息高速发展及安全的潮流。对窃取、多次泄露他人信息的个人和单位,要制订严厉的追责和处罚措施,增大违法成本。
加大网络信息安全监管力度,加强行业自律,从源头预防和遏制对个人信息的侵害。社会舆论的监督作用一向对违法行为具有强大的震慑力,因此要充分发挥社会舆论的监督作用,及时曝光侵害行为,广泛地引起民众的注意,使其迅速提高警觉性,自觉加强对个人网络信息的管理。行政执法部门应加大执法力度,及时监督制止侵权行为。当然,这种行政监管必须以维护网络的健康发展为前提、以保护公民个人隐私权等人身权利为目的。这种社会舆论与行政监管共同作用的方式,也能在一定程度上保护公民的网络隐私权,促进网络健康发展。
企业行业应加强自律,完善对企业、行业的管理,设立相应的企业安全制度,采取相应的监管措施,加大违规处罚的力度,保障客户信息的安全性。通过岗位、行业培训,提升员工的职业操守,自觉保护客户个人资料。
(3)不断加强公民对网络隐私的自我保护意识
网络隐私权与公民的利益息息相关,因此要培养网络用户形成隐私权自我保护的意识,能促其采取积极的防范措施。一旦用户有效利用相关技术加强对网络环境下个人信息的管理,就会在很大程度上降低成本,更有效的保护网络隐私权。
网民个人应主动接受信息安全教育,安装杀毒软件或防火墙,定期进行木马程序的扫描,及时更新安全软件。仔细阅读社交网络运营商的安全隐私协议,熟悉相应的隐私设置方式,主动防护自身的信息安全,定期更改网站密码。使用微博、微信等网络应用时勿上传有关自己及亲友的个人信息,尽量不要使用定位功能,定期删除浏览器上的cookies信息[7]。网络、电视、报纸等媒介应该肩负社会责任,对个人信息安全的重要性和信息泄露的危害性宣教,宣传维护个人信息安全的方法,使广大民众得到个人信息安全保护方面的教育。
中国软件评测中心也将继续以国家信息安全标准体系为基础,建立个人信息保护标准体系。在参考国际相关研究成果的基础上,结合我国实际需求,对信息系统个人信息保护管理办法和技术手段进行专项研究,研究制定体系框架中急需的关键标准,对标准进行验证以支持标准的进一步修订和改进。
我国2013年2月1日起实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》[8],标志着我国将告别针对个人信息处理行为“无标可依”的历史,公民对个人信息保护的诉求将得到有效解决。相关监管部门可以依据国家标准引导企业进行个人信息保护自律,并对企业个人信息处理行为进行监督规范,逐步形成以“企业自律为主导,联盟约束为辅助,政府监督配合”的我国个人信息保护模式。
同时,目前我国个人网络信息安全存在很多安全隐患,尤其是个人数据信息的泄漏造成的影响十分广泛,主要由于个人安全意识薄弱、个人信息保护机制不健全、监管存在漏洞等原因造成的。因此,构建安全稳定的网络环境显得日益重要。政府、企业及公民个人应加强网络信息安全意识,在新兴保护技术的广泛应用下,推动安全保护技术的开发与应用,较好的保护个人信息安全。
(作者单位:湖北城市建设职业技术学院)
作者简介:刘志(1981-),男,硕士,湖北城市建设职业技术学院讲师,主要从事计算机及相关专业教学
作者联系方式:
地址:武汉市东湖新技术开发区藏龙岛科技园区藏龙大道28号
湖北城市建设职业技术学院
邮编:430205
信息安全保护范文6
(中国电子科技集团公司第二十研究所,陕西 西安 710068)
【摘 要】随着信息化水平的不断提高,各单位对其依赖程度前所未有的加大,然而随着各种攻击技术的发展,没有防御的系统则显得不堪一击。针对此,每个单位信息系统的安全运行都相应的加大了信息安全的关注与投入。鉴于此,研究不同等级的信息系统所需的安全措施就变得很有意义。主要说明了信息系统的不同等级及其安全防护水平。
关键词 信息化;风险;等级保护;安全
1 信息化发展背景
1.1 全球背景
信息化是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型的历史进程。随着信息技术发展,信息化对经济社会发展的影响更加深刻。信息资源日益成为重要生产要素、无形资产和社会财富。与此同时,信息安全的重要性也与日俱增,成为各国面临的共同挑战。
1.2 我国目标
我国信息化发展战略概括为:以信息化促进工业化,以工业化带动信息化,走出中国特色的信息化道路。信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。到2020年,我国信息化发展的战略目标是:综合信息基础设施基本普及,信息技术自主创新能力显著增强,信息产业结构全面优化,国家信息安全保障水平大幅提高,国民经济和社会信息化取得明显成效,新型工业化发展模式初步确立,国家信息化发展的制度环境和政策体系基本完善,国民信息技术应用能力显著提高,为迈向信息社会奠定坚实基础。
2 等级保护标准及其具体范围
信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
2.1 美国可信计算机安全评价标准
美国可信计算机安全评价标准(Trusted Computer System Evaluation Criteria,TCSEC),该标准是世界范围内计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC最初只是军用标准,后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别。
D类安全等级:D类安全等级只包括D1一个级别。D1的安全等级最低。
C类安全等级:该类安全等级能够提供审计的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。
B类安全等级:B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。
A类安全等级:A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。
2.2 欧洲的安全评价标准
欧洲的安全评价标准ITSEC(Information Technology Security Evaluation Criteria)是英国、法国、德国和荷兰制定的IT安全评估准则,是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1~F10共分10级。1~5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。
与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。
2.3 我国计算机信息系统安全保护等级划分准则
我国根据世界范围内信息安全及计算机系统安全评估等技术的发展,并结合我国自身情况,制定并颁发了我国计算机信息系统安全保护等级划分准则(GB 17859-1999),在该准则中将信息系统分为下面五个等级:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
3 风险分析和安全保护措施
3.1 漏洞、威胁、风险
在实际中,计算机信息系统在确定保护等级之前,首先要对该计算机信息系统进行风险分析。风险是构成安全基础的基本观念,风险是丢失需要保护的资产的可能性。如果没有风险就不需要安全。威胁是可能破坏信息系统环境安全的行动或事件。漏洞是各种攻击可能的途径。风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险,没有威胁的漏洞也没有风险。识别风险除了识别漏洞和威胁之外,还应考虑已有的策略和预防措施。识别漏洞应寻找系统和信息的所有入口及分析如何通过这些入口访问系统和信息。识别威胁是对目标、动机及事件的识别。一旦对漏洞、威胁以及预防措施进行了识别,就可确定该计算机信息系统的风险。综合这些信息,开发相应的风险管理项目。风险永远不可能完全去除,风险必须管理。
风险分析是对需要保护的资产及其受到的潜在的安全威胁的鉴别过程。风险是威胁和漏洞的组合。正确的风险分析是保证计算机信息系统的网络环境及其信息安全及其重要的一步。风险分析始于对需要保护的资产(物理资源、知识资源、时间资源、信誉资源等)的鉴别以及对资产威胁的潜在攻击源的分析。采用等级保护策略可以有效的降低各种资产受危害的潜在代价以及由于采取安全措施付出的操作代价。一个性能良好的安全系统结构和安全系统平台,可以以低的安全代价换取高的安全强度。
3.2 一种保护重要秘密安全的方法
在具体实施过程中,根据计算机信息系统不同的安全等级要求,制定不同的等级保护策略,用最小的代价来保证计算机信息系统安全。在一些重要情况下,为了确保安全与万无一失,都必须由两人或多人同时参与才能生效,这时就需要将秘密分给多人掌管,并且必须有一定数目的掌管秘密的相关人员同时到场才能恢复这一秘密。针对这种特别重大和及其敏感的信息可采用秘密分割门限方案来确保安全。
设秘密m被分成n个部分的信息,每一部分信息称为一个子密钥,由一个参与者持有,使得:
①由k(k<n)个或多于k个参与者所持有的部分信息可重构该消息m;
②由少于k个参与者所持有的部分信息无法重构消息m;
称这种方案为(k,n)秘密分割门限方案,k称为方案的门限值。
如果一个参与者或一组未经授权的参与者在猜测秘密m时,并不比局外人猜测该秘密m时有优势。
③由少于k个参与者所持有的部分信息得不到秘密m的任何信息。
则称这个方案是完整的,即(k,n)秘密分割门限方案是完整的。
其中最具代表性和广泛应用的门限方案是基于中国剩余定理的门限方案。
通过这种秘密分割的方法就能达到秘密多人共享,多人共同掌管的局面,确保该信息安全。这种方案也可以用于特别的(下转第73页)(上接第78页)重要部位和场所的出入控制等方面。
3.3 具体措施
针对企业信息系统,应当健全针对各单位或业务部门在日常工作中产生和接触的信息的敏感程度不同,区分等级,分门别类,坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,力争做到办公方便与安全保密同时兼顾,实现信息化与信息安全协调发展,保证企业信息安全。
加强信息安全风险评估工作。建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
4 结束语
随着信息安全事件的频繁曝光,信息安全越来越受到人们的重视。为此,越来越多的工作人员投身到安全领域的研究之中。然而当今的现状却是各种各样的不安全事件层出不穷,各类攻击及其变种也在不断发展。所有的这些就要求我们必须更加努力地投入到工作中去。不仅要针对一些已经出现且危害较大的一些安全问题提出相应的解决方案,还应该站在安全领域的前沿,积极地投身去防御各种可能会引发安全问题的漏洞及脆弱点。只有这样我们才能更好地保障人们放心的使用信息技术的发展带来的便捷。
参考文献
[1]胡道元,闵京华.网络安全[M].清华大学出版社,2007.
[2]baike.baidu.com/view/488431.htm.TCSEC全称与安全等级分类[OL].
[3]baike.baidu.com/view/488448.htm.ITSEC[OL].
[4]杨波.现代秘密学[M].2版.清华大学出版社,2007.
[5]baike.baidu.com/view/21730.htm#sub5031999.CC国际通用标准[OL].