發布時間:2023-10-13 09:37:59
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的個人信息安全管理樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
確系統的安全隱患
通常,這類系統是由內網和外網構成的,內網構造了一個完整的業務處理環境,運行和處理個人信息核心業務;外網則為利用互聯網登錄的用戶提供了聯接、使用本系統的服務窗口。由于互聯網使用的自由性、廣泛性以及黑客攻擊的頻繁性,組織內部注③保管的個人信息隨時面臨著非正常用戶的非授權訪問。信息被篡改、泄漏甚至丟失等安全威脅,要達到系統安全、可靠、穩定的目標,首先應通過風險分析明確系統的安全隱患,為最終規劃系統的網絡安全解決方案提供可靠的依據。
由于這類系統構造的龐大性和復雜性,為便于分析,我們一般采用系統工程的方法將系統劃分為物理層、網絡層、系統層、應用層和管理五個部分來進行分析,各部分存在的主要安全隱患是:
物理層安全隱患:物理層的安全隱患主要是網絡周邊環境和物理特性導致的網絡、線路和設備的不可用(如設備被盜、被毀壞、意外故障等),進而造成網絡系統的癱瘓,它是網絡安全的前提。
網絡層安全隱患:網絡層的安全隱患主要是數據傳輸中的風險(如:信息的泄漏、丟失、偽造、篡改等攻擊)、網絡邊界風險、服務器安全風險、用戶安全風險等。
系統層安全隱患:系統層的安全隱患主要是來自于信息系統采用的操作系統、數據庫及相關商用產品的安全漏洞和病毒威脅。
應用層安全隱患:應用層的安全隱患主要是身份認證漏洞和非授權訪問,提供信息數據服務的服務器因缺乏安全保護,可能會被非法用戶直接訪問網絡資源,造成信息外泄。
管理的安全隱患:管理是網絡安全中最重要的一環,管理制度不健全或缺乏可操作性、各崗位責權不明或管理混亂等都可能造成安全隱患,這些缺陷使得系統在受到安全威脅的情況下不能實時地檢測、監控、報告、預警,并可能導致事故發生后,缺乏對系統運行的可控性和可審計性。
建系統的安全保障體系
從個人信息安全隱患的分析中可以看出:系統面臨著多層次、多形態的安全隱患,解決系統的安全問題,只依靠某個單一的或孤立的安全技術手段是遠遠不夠的,不僅需要有完善的技術和可靠的設備做支撐,同樣需要有與之配套的安全管理制度作保障。因此,組織內部應對系統的過程、策略、標準、監督、法規、技術進行綜合后,構建一套完整可行的系統安全保障體系,如下圖所示的《系統安全保障體系框架》。
“基礎安全服務設施”、“內部安全管理保障機制”、“安全技術支撐平臺”、“緊急事件處理與恢復機制”等組成了《系統安全保障體系框架》,各組成部分是相互制約的。《系統安全保障體系框架》表明:完善的“內部安全管理保障機制”是實現系統安全之根本;而“基礎安全服務設施”、“安全技術支撐平臺”是相互依賴的,只有實現了下層的安全,才能在真正意義上保證上層的安全;“緊急事件處理與恢復機制”是當系統一旦發生緊急事件時,為保障系統盡快恢復運行并將事故損失降到最低的保障預案。
劃系統的安全保護策略
從以上的分析中我們知道,控制、管理網絡系統和應用操作過程是實現系統安全的重要途徑,任何組織內部的系統安全都是制度和技術的結合,要保證系統的個人信息安全,必須根據安全風險分析的結果,從安全管理、安全技術兩大方面規劃系統的安全保護策略,以實現個人信息在網絡環境下的可靠性、保密性、完整性、可用性、可核查性和可控性。
(一)安全管理
安全管理制度是各類安全保障措施的前提,也是其它安全保障措施實施的基礎。安全管理保障體系是以文檔化的方式管理系統中各種角色的活動,以組織內部的政策和制度為準則,規范操作流程,以工作日志等手段記錄和審計操作過程。它主要包括:
1 組織管理
應識別組織內部的安全風險,制定對應的安全制度,明確信息安全事故報告流程,確保使用持續有效的方法管理信息安全事故,建立信息安全監查工作制度,發現問題及時改進。
2 員工管理
員工是系統安全的操作者,因而是系統安全的管理對象,要提高員工的信息安全意識,落實安全管理責任,責任分離以減少潛在的損失,定期進行信息安全知識培訓。
(二)安全技術
安全技術是通過在系統中正確地部署軟、硬件,利用各類安全產品和技術手段達到無偏差地實現既定的安全策略和安全目標,為整個網絡構筑起一個真實的安全環境。這里重點介紹:
1 物理安全要點
物理安全是保證系統所涉及場所的環境、設備、線路的實體安全,防止基礎設施的非法使用或遭受破壞。應建立完善的電力保障系統及適宜的溫度、濕度等物理運行環境;具有良好的防雷擊、抗電磁干擾等基本保障設施;具備抵御地震、洪澇災害等抗自然災害能力;等等。
重要工作區域應設置物理安全控制區,建立視頻監控系統和防盜設施,鑒別進入人員的身份并登記在案,將準入重要工作區域的人員限制在可監控的范圍內。
2 主要技術手段
由于網絡安全存在很多問題,抵御網絡攻擊,防止信息泄密,預防信息破壞,控制用戶訪問范圍和權限是規劃網絡安全的重要內容,通常采用的主要技術手段是:
(1)身份認證,識別技術
身份認證,識別技術是通過物理級、網絡級、系統級等多種手段,對網絡中用戶的訪問權限進行控制,是判斷和確認用戶真實身份的重要環節。它通過識別用戶的身份決定是否執行其提出的訪問要求,可信的身份服務為驗證提供準確的用戶身份確認信息,沒有可信的身份驗證服務,防火墻就可能根據偽造的合法用戶身份做出錯誤的判斷。
(2)網絡反病毒及安全漏洞掃描技術
反病毒及安全漏洞掃描技術是防御網絡病毒和惡意代碼侵害的主要手段,反病毒技術可通過預防、查殺等技術手段實現對侵入計算機網絡系統的病毒實施安全地防御;而安全漏洞掃描技術則是通過對系統的工作狀態進行檢測、掃描并加以分析,找出可能威脅系統的異常系統配置,并及時做出反應。
(3)訪問控制技術
訪問控制技術可用于防止非法用戶的侵入并控制合法用戶對系統資源的非法使用行為,阻斷攻擊者從任何一個終端利用現有的大量攻擊工具發起對主機的攻擊、控制并進行非法操作或修改數據。
(4)防火墻技術
防火墻是保護網絡系統不受另一個網絡攻擊的網絡設備,它能夠隔離安全區域,根據制定的安全策略控制進出網絡的信息流向和信息包,提供使用和流量的日志和審計,隱藏內部IP地址及網絡結構的細節,防止內部信息的外泄。
(5)入侵檢測技術
入侵檢測是能夠監視網絡或網絡設備的網絡資料傳輸行為的網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為,完成對網絡攻擊的決策分析,可分為實時入侵檢測和事后入侵檢測。
(6)設備/數據備份技術
設備/數據備份技術是保證系統持續運行的一項重要技術。設備備份是在網絡構建時,對重要的連接點考慮鏈路及設備的冗余和備份,確保網絡的高可用性;數據備份是對重要信息進行備份,并提供恢復重要信息的功能。
(7)數據加密技術
數據加密技術是網絡技術安全的基礎,是用加密密約和加密函數的方式偽裝需要保護的數據,使網絡設備、操作系統、數據庫系統和應用系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據采用加密的方式實現存儲和傳輸過程中的完整性、保密性和安全性。
(8)日志、審計技術
日志、審計技術可用于檢測系統重要的安全相關事件,包括重要的用戶行為和重要系統功能的執行等操作,經對檢測數據分析后,盡早地發現可疑事件或行為,給出報警或對抗措施。(注意:審計記錄應受到保護,避免受到未預期的刪除、修改或覆蓋等。)
處理個人信息的公共服務系統,與公民的切身利益息息相關,選擇最優的網絡安全解決方案,是保證個人信息安全、防止公民隱私泄漏的關鍵環節。因此,個人信息管理者在系統的建設初期,應根據所建設系統的應用環境、網絡結構和業務需求等特點,從可能導致個人信息安全的風險隱患分析人手,面向需求,構建一個能夠規避系統風險的、符合本部門業務需要的個人信息安全之網絡解決方案。
注①系統:本文泛指公共事業部門擁有的利用互聯網提供用戶服務(含用戶個人信息)的信息服務系統。
大數據在本質上是一種電子數據,它具有自身獨特的特性。首先,數據處理規模大。現今社會,全球每天產生的數據就已經達到4. 5EB,這個數字仍然以驚人的速度高速增長。其次,數據信息快速化。信息產生的速度常常比數量更加重要,通過手機定位數據可以計算出一個商場當天的客流量,從而推斷出該商家的當天營業額。最后,數據信息具有多樣性。大數據的形態多樣,包括了結構化、半結構化和非結構化數據。此外,現代互聯網應用呈現出非結構化數據大幅增長的特點,來源形式多種多樣,包括各種信息、應用更新、社交網絡的圖片、傳感器讀取的信息、手機的定位等,而且不少信息來源的重要方式都是新近才出現的。
一、個人信息安全面臨的挑戰
1.個人隱私安全風險增大。網絡的浩瀚性意味著數據來源更加寬泛和多元,監控攝像頭、交互平臺、移動電話、電子檔案、數據庫等,大量的信息堆積,必然給個人的信息安全帶來影響和破壞,增大了個人信息被泄露的可能。
2.大數據成為了網絡攻擊的主要目標。在互聯網時代,大數據能夠反饋出更多、更有價值的信息,信息的含金量不斷提升,帶來的豐厚利潤不言而喻,因此遭到攻擊和盜取的概率也就越大。同時,大數據的竊取能夠是不法分子獲得大量相關信息,一次獲取,多重效益,必然讓黑客垂涎欲滴。
3.不法分子利用大數據精確攻擊。大數據對于企業來說是財富是影響,對于不法分子來說同樣是金錢是價值。不法分子在獲取大數據的同時,也會反其道而行之,利用大數據來檢索、定位,為新一輪的攻擊盜取提供更加快捷的技術手段和方式。為了提升攻擊的效率和質量,黑客往往會盡最大可能的收集包括社交平臺、微博微信、通話記錄、電子郵件、消費記錄等信息,并加以歸檔整理,方便下次調用,提高攻擊的精確性和時效性。
二、個人信息安全保護的措施
1.加強輿論宣傳,提高保護意識。國家網絡相關部門要通過各種輿論宣傳工具,對網絡用戶進行個人信息保護知識的宣傳,提高公民對個人信息安全的認識和重視,樹立公民保護個人信息、尊重他人個人信息的理念。個人在信息保護上是第一責任人,負有維護個人信息安全的當然義務。個人在進行網絡行為時,盡量避免個人信息的泄露。同時,加強對個人電腦的安全防護,安裝并及時升級殺毒軟件與防火墻,提高個人上網設備的安全性能。
2.建立個人信息安全保護的法律法規。我國目前現有的法律法規對個人信息的保護雖然有所涉及,但這些規定都還只是零散地分布在各個法律之中,并未形成一個完整的個人信息安全保護的法律體系,而且沒有一部明確保護個人信息的專門法律。立法保護個人信息,不僅突出了公民的信息自由權,彰顯出以人為本的理念,回應了和諧社會權利有序化的訴求。同時還可保護網上消費者的個人信息安全,促使網絡運營有序化,推動全國電子商務和電子政務的健康發展。
3.完善個人信息安全保護的技術措施。在互聯網環境下,個人信息的泄露主要是由黑客等機構外部人員獲取和網絡傳輸過程中的問題造成的,因此要加強軟硬件的技術保障,從而保護用戶個人信息安全。在硬件方面主要通過安裝防病毒硬盤等硬件設施進行保護。在軟件方面主要通過個人隱私安全平臺、加密軟件、數據備份軟件、自動刪除個人資料軟件等保護措施。針對網絡上的個人信息易泄露的問題,網絡營運商除了應向用戶提供提示信息,還應該使用各種安全技術來保護網絡用戶的個人信息不被不法分子侵害。
4.建立健全個人信息安全保護與防范機制。個人信息安全的保護不僅要依靠法律,更需要網絡主體從業人員的道德意識以及自律意識。加強網絡道德建設,用道德標準約束人們在網絡上的行為,要讓網絡道德成為人們在網絡中實施行為時的一個標準。對網絡運營商而言,除了要對網絡從業人員進行道德教育并提高行業自律意識外。
許多網絡運營企業掌握著客戶大量的個人信息,如果沒有很好的防范機制就很容易造成信息的丟失。無論是電信運營商、電子商務企業,還是信息安全企業都需要對外來的技術攻擊加以防范。因此,企業必須加強自我約束力,提高保護客戶信息的意識,同時提高技術手段,完善相關信息管理系統,并對用戶個人信息安全管理制度和流程進行梳理和完善,建立健全侵犯用戶個人信息的各項管理制度與規范,用戶個人信息安全管理和保護機制、問題處理機制、監督機制和獎懲機制等。對侵犯用戶個人信息的情況,要做到迅速和準確處理。
結束語
大數據時代的到來極大地促進整個社會的發展。大數據在各行各業中的運用,使我們精確地了解到過去通過抽樣調查很難了解的許多東西,讓我們更深刻地認識了這個社會,從而更進一步改善這個社會。我們不應該否認大數據帶來的益處,同樣我們應該使這種益處最大化。但大數據帶來的對個人信息安全的威脅我們也應該有著充分的認識。保護個人信息不僅是對社會每個成員的保護,更是對國家安全以及社會長期持續健康發展的保護。
(一)國家法律法規建設情況
我國《民法通則》、《刑法》和《商業銀行法》均對銀行客戶個人信息保護作出規定。《民法通則》第99—101條分別對公民的姓名權、肖像權和名譽權作出保護規定。《刑法修正案(七)》將侵犯公民個人信息的行為納入刑事犯罪的范疇,規定了出售、非法提供公民個人信息罪及非法獲取公民個人信息罪兩個罪名。《商業銀行法》第29條則規定:“商業銀行辦理個人儲蓄存款業務,應當遵循存款自愿、取款自由、存款有息、為存款人保密的原則”。“為存款人保密”是指商銀行業對存款人的姓名、住址、存款金額、儲蓄種類、存款次數、提取情況、印鑒以及其他各種情況都要嚴格的保守秘密,不得披露。對個人儲蓄銀存款 ,商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃,但法律另有規定的除外。這一原則是保護存款人合法權益的最基本要求,是商業銀行在辦理個人存款業務時必須遵循的原則。
(二)部門規章建設情況
人民銀行、銀監會等部門在其規章中針對電子銀行、反洗錢及信用卡業務等方面對銀行客戶個人信息保護作出規定。如《電子銀行業務管理辦法》第52條規定:“金融機構應采取適當措施,保證電子銀行業務符合相關法律法規對客戶信息和隱私保護的規定”;《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》第28條規定:“金融機構應采取必要管理措施和技術措施,防止客戶身份資料和交易記錄的缺失、損毀,防止泄漏客戶身份信息和交易信息”;銀監會《商業銀行信息科技風險管理指引》第四章以專章形式規定了信息安全,對信息安全管理職能、信息安全級別劃分和信息安全措施等作出具體規定。人民銀行《關于銀行業金融機構做好個人金融信息保護工作的通知》第2條規定:“銀行業金融機構在收集、保存、使用、對外提供個人金融信息時,應當嚴格遵守法律規定,采取有效措施加強對個人金融信息保護,確保信息安全,防止信息泄露和濫用”;《商業銀行信用卡業務監督管理辦法》第3條規定:“商業銀行經營信用卡業務,應當依法保護客戶合法權益和相關信息安全。未經客戶授權,不得將相關信息用于本行信用卡業務以外的其他用途”。
二、我國銀行客戶個人信息保護存在的主要問題
(一)客戶個人信息保護法律法規缺失
1.行政法責任缺失。我國尚未制訂專門的《個人信息保護法》,對個人信息的保護主要依據《民法通則》中對個人姓名權、肖像權和名譽權的規定,個人信息主體的權利難以得到全面明確和保護。從我國現有法規來看,對侵犯公民個人信息的行為,《民法通則》規定了損害賠償的民事責任,《刑法》規定了出售、非法提供及非法獲取公民個人信息應承擔的刑事責任,而在行政法層面,對于侵犯銀行客戶個人信息但尚未構成犯罪的行為,銀行業監管法規沒有適用的罰則,監管部門也缺乏對銀行違規泄露客戶信息的罰則。
2.例外規定缺失。銀行對客戶個人信息的保密與保密例外是銀行保密制度中并行的兩大部分,遺憾的是我國法律法規在規定銀行負有保密義務的同時,卻沒有系統地規定保密例外的情形,而僅是為了執法與司法的方便,在《民事訴訟法》、《刑事訴訟法》、《稅收征收管理法》等法律法規中,分別賦予人民法院、人民檢察院、公安機關、稅務機關等機構在特定情形下查詢、凍結和劃撥銀行客戶資金的權力。現有法律法規沒有將基于當事人授權、社會征信及社會公共利益而進行的信息公開等列為銀行保密義務的例外,不利于對銀行業和社會公眾合法權益的保護。
3.監管法規缺失。一是規定較為零散。現行銀行業監管法規僅分別針對儲蓄存款業務、電子銀行業務、信用卡業務等領域的客戶個人信息保護作出個別規定,無法覆蓋銀行業提供的各類業務全流程。二是針對性不強。如《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》雖然對客戶信息安全管理做了一些規定,但立法目的是加強反洗錢,不是針對客戶個人信息保護。三是原則性規定較多,缺乏具體條款,可操作性不強。
(二)銀行客戶個人信息保護不力的表現
1.管理架構不健全。目前,部分基層銀行業金融機構的管理重點更多的仍傾向于存貸款規模、資產質量、利潤等業績指標和信用風險等常規風險管控,而未將客戶信息保護納入銀行整體風險管理框架中。客戶信息多頭管理,未成立專門的客戶信息風險管理領導機構,缺乏有效的制約機制,員工風險意識較為薄弱,基層銀行業信息管理漏洞較為突出。
2.尺度標準不一致。由于對客戶信息保護缺乏統一的行業標準,銀行業間執行情況參差不齊,主要表現在客戶信息保護的側重點不同、客戶信息使用管理制度不一致等方面。對客戶信息資料處理的執行標準不一加大了外界在政策把握方面的難度,不利于引導客戶及時行使保護個人信息安全的權利,在銀行內部約束機制引發客戶投訴與糾紛,加大了銀行經營管理中的操作風險和聲譽風險。
【關鍵詞】社交網絡;用戶個人信息;安全保護
在科技的發展下,我們已經步入了大數據時代,社交網絡開始興起,越來越多的人利用社交網絡來分享自己的所見所聞,我們也開始通過電腦、手機來記錄信息,社交網絡中的個人信息也開始成為商家博弈的焦點,在開發社交網絡的過程中如何保護個人信息是大數據時代亟待解決的一個問題。
1社交網絡用戶個人信息安全存在的挑戰
社交網絡運營商必須要在掌握大量數據的基礎上來分析用戶、預測市場走向,這樣才能夠在激勵的競爭中一直都處在不敗之地,但是,這同時也是一把雙刃劍,雖然能夠幫助商家準確的預測信息,但是也給個人信息安全性帶來了巨大的挑戰。其風險主要表現在以下幾個方面:
1.1賬號被盜的風險
賬號安全是我們使用社交網絡的基本要求,在大數據環境下,人們的社交網絡賬號越來越多,為了方便記憶,常常使用同一個手機號與郵箱進行認證,為了便于后續的操作,網絡運營商之間也在不斷的進行合作,同一個賬戶可以享受多個網站的服務。同時,數據的關鍵性非常強,一旦其中一個賬戶被盜,就會波及其他的賬戶,賬戶安全問題是非常嚴峻的。
1.2個人信息控制權問題
與傳統環境相比而言,人們對于個人信息的控制權變得越來越低,在傳統環境下,信息控制需要付出較高的代價,但是在現階段的時代,個人的信息很容易被收集、訪問以及傳播,對不同社交網絡的信息進行分析與整合,能夠建立起一種包括朋友圈、喜好、個人履歷、信仰的信息體系。如果這些信息被黑客獲取,很容易影響我們的信息控制權。
1.3隱私安全問題
隱私安全問題是目前個人信息安全面臨的最嚴峻威脅,人們的地理位置、日程、情緒已經被數據化,與傳統互聯網時代相比,大數據時代數據之間的關聯性更加高,雖然運營商對于這些信息都會進行匿名處理,但是,不安好心的人可以通過軟件將這些分離的數據關聯起來,導致數據匿名性失效。
2在社交網絡中如何保護個人信息的安全性
如何保障個人信息的安全性是使用社交網絡必須要考慮到的重要問題,需要從行業、國家與用戶層面進行應對,充分發揮出創新用戶的優勢:
2.1要有法律保障
大數據在我國還屬于一種新生事物,行業需要不斷的前進和努力,關于大數據還沒有完善的法律制度,這是無法保障個人信息安全的。目前,《信息安全技術、公共及商用服務信息系統個人信息指南》是保護個人信息的最高標準,其實施時間是2013年3月份,對于相關信息予以了明確的界定,但是這是無法保護個人信息安全性的。同時,散落的信息也難以滿足用戶的信息控制權,為了最大限度的保障個人信息安全,必須要及早制定好完善的法律法規,出臺《個人信息保護法》。
2.2完善行業自律公約
良好的行業自律公約是保障這一行業和諧發展的前提條件,要讓社交網絡之路走得更加長遠,就需要構建起關于本行業的規章制度。這可以采取幾個措施:第一,尊重每一個用戶的知情權,為他們提供授權的方式,在服務條款中闡述信息數據的使用期限和使用方式;第二,尋求個人信息的擁有者,為數據服務商、數據消費者以及個人信息擁有者制定出完善的行業自律公約,保障數據應用的科學性,保障用戶個人信息的安全性和隱蔽性,為他們營造出良好的數據使用環境。
2.3提升用戶的信息安全素養
用戶是使用社交網絡的主人,要真正保證個人信息的安全,用戶必須要具備一定的安全素養,信息安全素養主要由信息安全知識以及信息安全能力有機組成。實際上,信息安全知識是非常豐富的,作為使用者的我們需要加強學習,積極主動的了解病毒、木馬的特性,提升自己的信息安全意識,明確自己的責任與義務。同時,在使用社交網站的過程中,要遵循相關的法律法規,對于重要資料,要定期進行備份,此外,還要定期對自己的移動設備和電腦進行更新,避免使用公共網絡,這樣才能夠最大限度的保障個人信息的安全性。
2.4提升社交網絡企業信息安全管理水平
無論是法律制度與行業自律,都離不開外部力量的保障,社交網絡企業必須要采取合理的措施提升用戶信息安全性,用戶信息安全保護的主體主要針對社交網絡企業,他們為了開展業務,需要收集大量的信息,各個社交網絡企業必須要將保障用戶信息的安全提升到一定的高度,加強管理力度。目前,大多數社交網站都采用了Ajax技術,在運行過程中,必須要關注CSRF以及XSS的攻擊,在網站成立初期,可以限制用戶的輸入內容,對頁面開展代碼測試。同時,還要具備良好的信息倫理道德,注重對用戶信息的保護,細化隱私條款,制定出安全的網站訪問指南,在收集以及利用信息時,應該設置好限制,明確收集目的,對于涉及財產安全和用戶隱私的信息,必須要加大保密級別,嚴格限制其利用和訪問。此外,還要注意到的問題是,目前很多社交網站都開始與第三方應用程序進行協作,這些程序能夠獲取到用戶的信息,社交網站是無法對此進行監控的,因此,相關部門需要進一步推出與第三方應用程序相關的安全保護準則。
3結語
社交網絡的不斷普及和廣泛應用,使人們的個人信息與日常活動在網絡上得到越來越多的展現。但是,社交網絡為用戶提供交流和展示平臺的同時,如果不能對涉及用戶切身利益的個人隱私信息加以保護和控制,將會給用戶帶來嚴重的困擾和損失。提高社交網絡的信息安全,需要用戶提高信息安全意識,從自身做起,保護隱私信息,社交網站則需要堅守保護用戶隱私的承諾,加強對自身以及第三方的監控和管理。同時,政府也需要制定相關的法律政策,創造良好的法律環境,為社交網絡用戶提供有效的法律保障。
參考文獻:
[1]魏來,鄭躍.隱私2.0:Web2.0時代的用戶隱私保護研究[J].圖書與情報,2010(05).
[2]徐敬宏.美國網絡隱私權的行業自律保護及其對我國的啟示[J].情報理論與實踐,2008(06).
【關鍵詞】大數據 網絡環境 信息安全 有序
大數據在發展過程中,依靠自身獨特優勢,滿足了現代社會的發展要求,并且開辟出了互聯網模式的新時代潮流。然而隨著大數據的發展,其自身的信息安全問題暴露出很多問題,比如信息泄露,網絡攻擊等,針對這種情況,信息安全體系必須盡快得到健全,防止因為信息安全問題對社會造成嚴重危害。
1 大數據時代信息安全特點
在大數據的發展過程中,由于數據較“大”,也讓信息安全問題可以進行長時間累積,當累積到一定程度時,就會迎來大爆發,對社會造成嚴重危害,相對于以往來數據安全來說,大數據的信息安全具有很多新的特點,這也對其安全防護工作產生了困難。
1.1 信息規模龐大
大數據的“大”,決定了其信息規模的龐大。在互聯網全球化發展過程中,互聯網將全世界連接到一起,實現了互通互聯,據統計,截止到去年,我國網民數量已經突破7億人,這個數字也更加強調了信息安全的重要性。在網絡中,大數據無時無刻不再進行著信息傳播,并且通過各種途徑,增加了信息的傳播范圍。信息規模大,傳播范圍廣,這對大數據時代信息安全防護帶來更大挑戰。
1.2 涉及諸多領域問題
隨著經發展,逐漸實現了全球一體化。在這種背景下,促使了大數據在領域跨越上起到了非常重要的作用,無論是電商的發展,還是新的商業道路的開辟,都是依賴大數據的發展而出現的,所以說,大數據將信息安全問題帶到了更多領域之中,在原有基礎之上,增加了復雜性。
1.3 信息的泛濫
大數據是一個時代的見證者和開辟者,具有很強的“隱性安全”。大數據為新時代 的信息傳遞提高了更廣闊的的平臺,但是一定程度上也導致了信息的泛濫問題,而且通過跨領域傳輸,將這種泛濫信息又進行了一定分散,這對網絡安全管理來說是最大的困難,而且在開放式的大環境下,為不法分子實施詐騙行為增加了更多手段,在大量數據的掩蓋下,為其犯罪增加隱蔽性。
2 大數據時代信息安全所面臨的挑戰
2.1 日益加劇的網絡攻擊
由于大數據自身信息量豐富,這也成為了很過黑客或者病毒的首選攻擊目標,這對大數據產生了很大威脅。首先,大數據跨越很多領域,這就說明對很多領域都產生了一定作用,一旦遭受的攻擊,必然會對很多領域造成影響。另外,站在終端用戶角度來講,用戶國模大,而且防范措施較少,一旦大數據遭受攻擊,一定程度上,也會對人民群眾造成嚴重損失。
2.2 信息遭到泄露
在網絡平臺的多元化發展中,也使個人信息泄露途徑有所增加,在個人社交網絡中和網絡消費上,以及出行車票購買中都增加了信息泄露的風險,這種個人信息的外流很容易對個人財產造成損害。所以說在任何時候人們應該注意對個人真實信息進行保留,也要在網絡管理上增加個人信息管理,確保個人信息安全。
2.3 借助于存儲方式,進行網絡攻擊
大數據的信息龐大,在儲存上相對來說做不到好的安全防護,因為大數據的信息量不固定,會隨著傳播而逐漸增加,對數據的儲存風險也是逐漸增加,并且在大數據之中,有一部分信息可以對網絡攻擊提供支持,也成為了一些不法分子進行攻擊時的創新手段,對現如今的網絡安全問題增加了隱患。
3 大數據時代信息安全策略
3.1 建立新的法律規章制度,完善相關政策
在這種大數據環境中,要求國家在網絡安全治理上加大整治力度,站在現實角度,完善法律相關制度,實現大數據安全信息管理,還要將互聯網進行全面推進,突出大數據環境下對經濟發展具有導向性,并通過相關政策提升網絡整體對信息安全維護的積極性,讓相關人員形成安全意識,讓大數據安全有序的進行信息傳播。
3.2 強化個人信息保護
對個人信息的保護工作,是大數據安全信息管理工作對重要的工作內容,首先要提高網民的安全意識,對網絡系統進行正確操作,還要做好安全防護系統,保證網絡系統運行的安全,最后,在網絡購物中一定要開通相關提醒業務,一旦個人信息出現泄漏,保證第一時間將提醒消息發送到終端手機上,進行相關處理工作,避免不法分子有機可乘。
3.3 增強防范意識
對于網絡安全來說,防范是重中之重,一個良好的防范體系,可以抵御很多外來侵害。隨著大數據時代的到來,各種五花八門的信息都會從個人網絡中經過,如果沒有一個好的防范措施,必然會對人們生活產生不好的影響。
3.4 發展創新技術
雖然在大數據時代,信息多樣化發展,在網絡攻擊新手段的促使下,人們也研發出了很多新的抵御技術,如人工智能,網絡神經等技術,這些新技術的出現,逐漸建立起了新的防護體系,從信息的輸送到信息的存儲,都建立了新的安全體系,保障了信息安全不被破壞。
4 總結
綜上所述,大數據時代的到來,為人類發展提供了幫助,同時也帶來了不小的麻煩。在這個過程中,人們一定要提升自身的網絡安全防范意識,確保個人信息不被泄漏,并且強化對新知識新技術的合理運用,讓與自身密切相關的信息處在一個良好的環境中。
參考文獻
[1]董清潭.大數據時代個人信息安全保護對策[J].電腦知識與技術,2015(29):18-20.
[2]胡瑋瑋.大數據時代下圖書館面臨的信息安全問題與對策[J].創新科技,2015(03):84-86.
[3]付小穎.大數據時代個人信息安全保護對策[J].河南農業,2014(24):57-58.
[4]周航.網絡時代信息數據安全現狀及對策[J].電子技術與軟件工程,2013(18):248.
作者簡介
徐玉艷(1983-),女,山東省臨沂市人。大學本科學歷。助教。
【關鍵詞】網絡通信;信息安全;保障措施
0前言
網絡通信建立初始至今,就從未間斷過對如何有效防范網絡非法侵入、病毒、惡意攻擊等信息安全問題的研究工作,特別是隨著網絡通信的普及,網絡通信的信息安全形勢更加嚴峻,由于用戶的安全防范意識淡薄,計算機基礎知識薄弱、操作不當以及網絡通信本身存在的漏洞為不法分子與計算機病毒制造了可稱之機,導致個人信息泄密以及財產損失的信息安全問題時有發生,更嚴重的涉及的企業、公民個人信息泄密,給經濟和利益帶來無法估量的損失,因此我們要增強網絡通信的防范意識,健全網絡通信中信息安全的管理機制,采取各種有效的技術防范手段,確保網絡通信中的信息安全,為廣大用戶提供一個良好、和諧的網絡通信環境。
1網絡通信中信息安全的發展現狀
1.1網絡通信中信息安全的概況
網絡通信中信息安全就是確保網絡通信的保密性與可靠性以及其完整性,信息安全的定義非常廣泛,不但包括了以網絡通信的架構以及特定的信息安全作為根據,運用安全技術防范計算機遭到攻擊的軟件,還包含了為防范通信設備崩潰所造成的安全問題所制定的措施。
1.2網絡通信中信息安全的現實意義
網絡通信已經普及千家萬戶,具有廣泛性和開放性的特性,所有人都在通過這個開放式的信息平臺進行交流,網絡通信在為人們的生活與工作提供便捷的服務的同時也存著違法犯罪人員通過網絡通信中的漏洞盜取個人隱私信息,隨著網絡通信的發展,網絡通信的各種隱患也隨之暴露出來,由于網絡通信系統自身的漏洞以及人們在使用中因為使用方法不當等問題造成信息泄密等安全事件時有發生,當前網絡通信已經涉及到了個人銀行、個人信息等幾乎所有領域,一旦發生信息安全問題,不僅會造成個人隱私的泄露,很可能為個人的財產安全造成較大威脅,所以網絡通信中的信息安全是當前網絡通信管理中的重中之重,因此要進一步提高計算機信息安全的預防措施,加強網絡通信安全管理,提升網絡通信質量,保證網絡通信中的信息安全,為網絡提供安全、穩定的運行環境,促進網絡通信安全管理工作。
2網絡通信中信息安全存在的主要問題
2.1網絡通信的結構存在隱患
網絡通信普遍運用TCP/IP協議,網絡通信是通過TCP/IP協議來完著數據交換,可TCP/IP協議的架構一直存有漏洞,原因是其通訊方式所造成的。由于其是通過樹狀的方式來運行,但是樹狀的方式一定程度上造成網絡聯接點之間存在隱患,不法人員、網絡病毒通常會利用這些隱患進行違法犯罪活動,導致網絡通信安全問題時有發生[1]。
2.2網絡通信軟件存在安全問題
網絡通信中不可避免的會應用各種軟件,網絡通信軟件也同樣具有一定的開放性以及普遍性的特性,其特性導致違法犯罪份子能夠輕松取得網絡通信軟件的源代碼,通過源代碼對網絡通信軟件中的漏洞加以利用從事盜取個人信息等不法活動,不僅會造成個人信息與財產損失,還可能導致通信軟件與計算機的無法使用。
2.3網絡通信中屢遭惡意攻擊所造成的威脅
隨著網絡通信的普及應用,惡意攻擊事件一直呈上升趨勢。惡意攻擊形式分為主動或被動攻擊兩種形式,主動攻擊主要體現出可以主動針對網絡通信數據的合理性與完整性進行攻擊,造成網絡通信無法運行,被動攻擊是通過計算機截取網絡數據,通過這種辦法來造成網絡通信無法正常使用。隨著科學技術的不斷發展,網絡通信中的惡意攻擊手段也越來越先進,目前出現的新型惡意攻擊方式,可以攻擊擁有防火墻和完善防范措施的網絡通信系統,對網絡通信中信息安全威脅很大[2]。
3網絡通信中信息安全的保障措施
3.1完善網絡通信中信息安全機制
可以借助通信協議的架構來制定信息安全機制來確保信息交換安全,通過通信協議能夠了解到通信協議主要分為運用、交換、網絡、鏈路、物理層五個部分組成。我們應該運用不同部分的安全協議來達到給網絡通信信息加密,進一步完善網絡通信中信息的安全機制,從而確保網絡通信中的信息安全。
3.2健全用戶身份安全驗證
我國網絡通信普遍采取了用戶賬戶名和用戶設置密碼來進行登陸驗證。但這個驗證方法也同樣存在著隱患,如果違法犯罪份子通過漏洞取得用戶的用戶名與密碼,那么就會輕松的取得計算機信息,隨著科技發展現在驗證的技術也很多,可以運用識別技術、口令、密碼等,口令由電腦隨機產生,是現在最普遍的安全驗證辦法,為了更有效的提高網絡通信中信息安全,也可以運用加密量子密碼,因為量子密碼及解密都是以量子力學狀態下運行的,從而有效提升了網絡通信的安全[3]。
3.3提高網絡防火墻技術
防火墻技術被廣泛應用在網絡通信領域,防火墻通過對外來信息進行排查阻止進入的同時還可以有效攔截網絡外部對網絡內部信息的訪問,有效阻擋了非法進入與病毒的入侵,是當前網絡通信安全防范最有效的方法之一。所以應該進一步加強對先進防火墻技術的研發,努力提高防火墻防御和阻攔病毒的能力,同時還需要實時的更新反病毒軟件。為了達到確保網絡通信安全的目的,也可以運用防火墻來限制端口,從而有效防范病毒等有害入侵,除此之外,監測日志在網絡通信的信息安全方面也起到了非常重要的作用,所以用戶可以用檢測日志來記錄和監控計算機,以此來防范非法入侵和病毒的危險,從而進一步提高網絡通信安全。
4結語
在網絡通信技術快速發展的今天,網絡通信中的信息安全已經受到了人們的廣泛關注,確保網絡通信中信息安全的各項安全措施應該不斷保持更新和技術領先,眾所周知,隨著安全防范技術的不斷提高,不法分子與病毒也在不斷的更新換代,這就要求我們時刻不能掉以輕心,不斷加強網絡通信中信息安全的先進防范技術的研發,有效提升防范技術的科技水平,普及網絡通信安全防范知識,提升人們對網絡通信的安全防范意識,從而構建出良好的網絡通信環境,確保網絡通信中信息絕對安全。
參考文獻
[1]陳湉,田慧蓉,謝瑋.通信行業網絡與信息安全標準體系架構研究[J].電信網技術,2012,03:29-35.
[2]康海東,王煜.黑龍江省信息通信業網絡與信息安全管理體系研究[J].通信管理與技術,2015,04:40-43.
就在會議召開的前2天,國內知名程序員網站CSDN遭到黑客侵襲,600余萬明文注冊的郵箱賬號與密碼遭到泄露。多玩網、人人網、世紀佳緣、貓撲論壇等多家網站受到牽連,堪稱中國互聯網上最大規模的一次用戶資料泄露事件。
近年來,伴隨著中國網絡規模的持續增長,類似的個人信息泄露案件層出不窮,而隨著移動互聯網、三網融合、云計算等新技術的推進,網絡安全又面臨著更多新的挑戰。因此,必須意識到網絡安全工作的重要性和緊迫性,將加強互聯網安全建設上升到實質的行動階段。而這個實質行動階段,需要法律、網站、網民多方在攻、防上共同努力。
首先,法律方面,以立法為攻,以嚴懲為防。我國當前對個人信息的保護機制還很不完善,《個人信息保護法》的相關立法工作早在2003年就已啟動,但時至今日,仍未出臺。所以,目前迫切需要加快信息安全立法,以有效應對網絡安全面臨的嚴峻挑戰。在立法時,還要明確違法后果,以嚴格懲治形成威懾。
其次,企業要以技術為攻,以管理為防。再完美的技術也彌補不了“人禍”帶來的漏洞。此次CSDN泄露用戶信息,外界就盛傳是由于金山公司員工在做分析工作時“操作不當造成的”。只有管理到位,流程嚴格,才能防止因“操作不當”而引發的惡果。尤其是在微博實行實名制的背景下,網站如何建立一套讓用戶信得過的信息安全管理制度,已成為無法回避的問題。
1.實施“寬帶中國”工程,構建下一代信息基礎設施
(一)加快發展寬帶網絡。實施“寬帶中國”工程,以光纖寬帶和寬帶無線移動通信為重點,加快信息網絡寬帶化升級。推進城鎮光纖到戶和行政村寬帶普遍服務,提高接入帶寬、網絡速率和寬帶普及率。加強3G網絡縱深覆蓋,支持具有自主知識產權的3G技術TD-SCDMA及其后續演進技術TD-LTE產業鏈發展,科學統籌3G及其長期演進技術協調發展。加快下一代廣播電視網絡建設,推進廣播電視網絡數字化、雙向化和互聯互通改造。
(二)推進下一代互聯網規模商用和前沿性布局。加快部署下一代互聯網,抓緊開展IPv6商用試點,適時推動IPv6大規模部署和商用,推進國際互聯網協議第4版(IPv4)向IPv6的網絡演進、業務遷移與商業運營。完善互聯網國家頂層網絡架構,升級骨干網絡,實現高速度高質量互聯互通。重點研發下一代互聯網關鍵芯片、設備、軟件和系統,推動產業化步伐。加快未來網絡體系架構關鍵理論和核心技術的研發,加強戰略布局,建設面向未來互聯網創新發展的示范平臺。
(三)加快推進三網融合。總結試點經驗,在確保信息和文化安全的前提下,大力推進三網融合,推動廣電、電信業務雙向進入,加快網絡升級改造和資源共享,加強資源開發、信息技術和業務創新,大力發展融合型業務,培育壯大三網融合相關產業和市場。加快相關法律法規和標準體系建設,健全適應三網融合的體制機制,完善可管、可控的網絡信息和文化安全保障體系。
到“十二五”末,全國固定寬帶接入用戶超過2.5億戶,互聯網國際出口帶寬達到每秒6500吉比特(Gbit),第三代移動通信技術(3G)網絡覆蓋城鄉,國際互聯網協議第6版(IPv6)實現規模商用。
2.加快社會領域信息化,推進先進網絡文化建設
(一)提升電子政務服務能力。圍繞提升服務和監管能力,促進政府管理創新,加強電子政務頂層設計。以互聯互通為重點,形成統一的國家電子政務網絡,完善項目建設管理、績效評估和運行維護機制。扎實推進藥品、食品、住房、能源、金融、價格等重要監管信息系統建設。推動重點領域信息共享和業務協同,加快電子政務服務向街道、社區和農村延伸,支持基層政府和社區開展管理和服務模式創新試點示范。加強地理空間和自然資源、人口、法人、金融、稅收、統計等基礎信息資源的開發利用,促進共享。全面提升電子政務技術服務能力,鼓勵業務應用向云計算模式遷移。加強電子文件管理與應用。
(二)提高社會管理和城市運行信息化水平。建立全面覆蓋的社會管理綜合信息系統。完善人口信息共享機制,實現實有人口動態管理,提高人口信息動態監測和分析預測能力。建設公眾訴求信息管理平臺,改進工作方式。加強網絡輿情分析,健全網上輿論動態引導管理機制。推動城市管理信息共享,推廣網格化管理模式,加快實施智能電網、智能交通等試點示范,引導智慧城市建設健康發展。
(三)加快推進民生領域信息化。加快學校寬帶網絡建設,推動優質數字教育資源開發和共享,完善教育管理信息系統,構建面向全民的終身學習網絡和服務平臺,大力發展遠程教育,形成教育綜合信息服務體系。完善醫療服務與管理信息系統,加快建立居民電子健康檔案和電子病歷,加強國家和區域醫藥衛生信息共享,夯實遠程醫療發展的基礎。構建覆蓋城鄉居民的勞動就業和社會保障信息服務體系,全面推行社會保障卡應用,推動就業信息共享。推進減災救災、社會救助、社會福利和慈善事業等社會服務信息化。提高面向殘疾人等特殊人群的信息服務能力。
(四)發展先進網絡文化。鼓勵開發具有中國特色和自主知識產權的數字文化產品,加強知識產權保護,壯大數字內容產業,培育數字內容與網絡文化產業骨干企業,擴展數字內容產業鏈。加強重點新聞網站建設,規范管理綜合性商業網站,構建積極健康的網絡傳播新秩序和網絡氛圍。積極推進數字圖書館等公益性文化信息基礎設施建設,開發精品網絡科普資源,完善公共文化信息服務體系。
3.健全安全防護和管理,保障重點領域信息安全
(一)確保重要信息系統和基礎信息網絡安全。能源、交通、金融等領域涉及國計民生的重要信息系統和電信網、廣播電視網、互聯網等基礎信息網絡,要同步規劃、同步建設、同步運行安全防護設施,強化技術防范,嚴格安全管理,切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。加大無線電安全管理和重要信息系統無線電頻率保障力度。加強互聯網網站、地址、域名和接入服務單位的管理,完善信息共享機制,規范互聯網服務市場秩序。
(二)加強政府和信息系統安全管理。嚴格政府信息技術服務外包的安全管理,為政府機關提供服務的數據中心、云計算服務平臺等要設在境內,禁止辦公用計算機安裝使用與工作無關的軟件。建立政府網站開辦審核、統一標識、監測和舉報制度。減少政府機關的互聯網連接點數量,加強安全和保密防護監測。落實信息系統分級保護制度,強化信息系統審查機制。
(三)保障工業控制系統安全。加強核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要領域工業控制系統,以及物聯網應用、數字城市建設中的安全防護和管理,定期開展安全檢查和風險評估。重點對可能危及生命和公共財產安全的工業控制系統加強監管。對重點領域使用的關鍵產品開展安全測評,實行安全風險和漏洞通報制度。
(四)強化信息資源和個人信息保護。加強地理、人口、法人、統計等基礎信息資源的保護和管理,保障信息系統互聯互通和部門間信息資源共享安全。明確敏感信息保護要求,強化企業、機構在網絡經濟活動中保護用戶數據和國家基礎數據的責任,嚴格規范企業、機構在我國境內收集數據的行為。在軟件服務外包、信息技術服務和電子商務等領域開展個人信息保護試點,加強個人信息保護工作。
4.加快能力建設,提升網絡與信息安全保障水平
(一)夯實網絡與信息安全基礎。研究制定國家信息安全戰略和規劃,強化頂層設計。落實信息安全等級保護制度,開展相應等級的安全建設和管理,做好信息系統定級備案、整改和監督檢查。強化網絡與信息安全應急處置工作,完善應急預案,加強對網絡與信息安全災備設施建設的指導和協調。完善信息安全認證認可體系,加強信息安全產品認證工作,減少重復檢測和重復收費。
(二)加強網絡信任體系建設和密碼保障。健全電子認證服務體系,推動電子簽名在金融等重點領域和電子商務中的應用。制定電子商務信用評價規范,建立互聯網網站、電子商務交易平臺誠信評價機制,支持符合條件的第三方機構開展信用評價服務。大力推動密碼技術在信息系統和重要信息系統保護中的應用,強化密碼在保障電子政務、電子商務安全和保護公民個人信息等方面的支撐作用。
