搜索引擎與個人信息安全

摘要:搜索引擎的發展給我們的工作和生活帶來了便利，同時給我們的個人信息安全帶來了威脅。該文從搜索引擎的原理出發，簡要分析了個人信息泄露的途徑，并提出了避免信息泄露的思路和方法。

關鍵詞:搜索引擎;個人信息;信息安全

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)11-2584-02

Search Engine and Personal Information Security

CHEN Hua， HUANG Dong-jun

(Central South University Institute of Information Science and Engineering， Changsha 410083， China)

Abstract: The development of search engine makes our life and work more facilitate，at the same time ，bring the threaten of personal information to us.This paper start from the principle of search engine， analysised the way of personal information disclosure and proposed the way to avoid personal information disclosure.

Key words: search engine; personal information; information security

“在搜索工具主宰的這個世界里，你依然有隱私，但你卻不能確定哪些東西什么時候還叫做隱私。”

從1990年第一個互聯網FTP資源搜索工具Archie發展至今，搜索引擎在近二十年的發展完善，可以用精、廣、深來概括近幾年搜索引擎技術的發展。智能化技術、數據加工技術以及個人行為分析技術的發展，使搜索結果精度越來越高;搜索引擎除了對文字進行檢索外，還對視頻、音頻、地圖、博客、論壇等進行檢索，收集范圍越來越廣;搜索技術可以深入挖掘數據，受密碼保護的數據、數據庫數據都能被檢索到。地理信息系統、自然語言處理、數據挖掘等技術使搜索引擎能直接為用戶提供越來越多、越來越精確的內容。搜索引擎作為一種信息服務產業，呈現出智能化特征;搜索手段多元化并適應人類自然語言查詢，同時還具備了交互功能，可以通過集成化形成個人整體形象。正是由于這些發展，使個人信息的被收集、加工、集成和披露成為隱私權益的一個極容易被侵害的領域。主要是某些人未經許可對個人隱私信息進行收集加工后，通過網站進行營銷;另外也有很多論壇以及博客將搜索到的各類信息進行整理后發布，一些廣告服務商利用一些技術，比如Cookies進行個人網絡跟蹤等，現在可以將搜索到的人們各方面的數據并整合成一體，從而確定被檢索對象的身份。而越來越深的挖掘技術，使人們可能訪問到受密碼保護的內容，侵犯個人隱私。搜索引擎的使用與我們的信息安全息息相關，因此我們有必要了解我們的信息是如何泄露出去的。

1 搜索引擎原理

搜索引擎的自動信息搜集功能分兩種。一種是定期搜索，即每隔一段時間(比如Google的googlebot，一般是28天)，搜索引擎主動派出“蜘蛛”程序，對一定IP地址范圍內的互聯網站進行檢索，一旦發現新的網站，它會自動提取網站的信息、內容和網址加入自己的數據庫。另一種是提交網站搜索，即網站擁有者主動向搜索引擎提交網址，它在一定時間內(2天到數月不等)定向向網站派出“蜘蛛”程序，掃描網站并將有關信息存入數據庫，以備用戶查詢。由于近年來搜索引擎索引規則發生了很大變化，更多的外部鏈接能讓搜索引擎有更多機會找到并自動收錄你的網站。

當用戶以關鍵詞提交查詢信息時，搜索引擎會在數據庫中進行搜尋，如果找到與用戶要求內容相符的網站，便采用特殊的算法——通常根據網頁中關鍵詞的匹配程度，出現的位置、頻次、鏈接質量等——計算出各網頁的相關度及排名等級，然后根據關聯度高低，按順序將這些網頁鏈接返回給用戶。

2 個人信息泄露的途徑

2.1 搜索行為

當用戶打開搜索引擎的搜索框，鍵入需要查詢的內容，期望搜索引擎給予我們正確的答案，同時已經告訴搜索引擎用戶目前大致在關心、注意的一些東西，目前所處的位置。搜索引擎同時記錄用戶搜索的時間、內容，點擊的URL、以及其他一些用戶相關的信息。搜索是一個毫無保障的泄密途徑，搜索引擎是很多在線活動的起點，用戶訪問主要的搜索引擎并且相信自己能被引向最好的結果，但是結果有時候并不是這樣:盡管用戶鍵入了正確的域名，仍被指向一個不正確的網站，受操縱的搜索引擎會將人們引向一些惡意網站或者釣魚網站。

2.2 搜索遺留痕跡

網絡瀏覽器每次訪問網頁、圖像或者其他對象的時候，都會在網絡服務器上日志上留下一些紀錄。一個簡單的網絡服務器日志記錄了用戶網絡地址、本地日期時間、訪問者的HTTP GET請求，同時用戶的瀏覽器傳遞了查詢的URL、瀏覽器的版本以及其他一些計算機操作系統的詳情。

記錄的IP地址信息可以用來幫助確定用戶的IP地址，在很多情況下ISP都能精確定位他們的有線用戶的位置。大型搜索引擎每個月接待數百萬不同的訪問者，它可以創建一個巨大的與IP地址關聯的動態數據庫。

網絡瀏覽可能在服務器上產生cookie文件，網絡服務器使用cookie來標記帶有識別信息的網絡瀏覽器，幫助提供無縫的瀏覽體驗，通過向網絡瀏覽器提供唯一的cookie，網絡服務器便可以識別用戶并準確的向各個用戶提供適宜的服務。Cookie唯一標識了某個特定用戶可能經常用的一個瀏覽器和賬號的組合。通過cookie，在線公司能映射同一用戶使用的不同網絡或同一地址下的不同用戶。主要搜索引擎的cookie有效期各不相同:AOL Search是1年google是2年，ASK是2年，MSN LIVE是13年YAHOO!是29年。到期時間越長，在線公司可以跟蹤特定cookie的周期越長。

2.3 廣告和嵌入式內容

許多網站在網頁中嵌入了第三方內容。第三方內容采用合法的圖片和視頻代碼段，也可在用戶上網時用戶跟蹤用戶。廣告商和網絡分析服務為網管提供了誘人的分析工具和廣告收益，作為交換他們要求在網頁中增加一小段HTML和Javascript代碼片段。用戶的網絡瀏覽器會自動訪問這些第三方服務器，第三方服務器記錄下用戶的訪問并用cookie給瀏覽器打上標記。這些第三方的廣告和嵌入式內容具有嚴重的隱私泄露和基于網絡的信息泄露風險，廣告網絡越大，網絡公司擁有關于用戶在線活動的能力越大。

2.4 Spider程序

Spider程序時搜索引擎獲取信息的主要途徑之一。該程序使用HTTP請求網頁、圖片和文檔，并將數據反饋給后端處理器和數據庫。搜索引擎存儲這些對象的副本并對他們進行緩存、本地維護并在用戶提出請求時作為搜索結果的一部分返回，并從搜集到的網頁提取出來鏈接來幫組確定搜索結果中的網頁排行。當Spider復制一個文件時，信息泄露就無法避免。在公開可訪問的網頁上，試圖讓網頁內容躲過搜索公司是完全不可能的。Spider搜索并獲取網絡中全部公開可用的信息，包括人們放在網上的無關的和敏感的信息。現在的Spider程序能閱讀電子郵件、跟隨鏈接、填表、監控網站、下載文件以及捕獲圖片，只要信息在網上可用，遲早被Spider程序獲取。

3 最大化防止信息泄露

3.1 用戶安全補丁

對于用戶而言，處理網絡信息泄露問題的最好的補丁和對策就是提高自身知識水平，成為一名有知識的用戶，必須不斷的評估威脅，才能保護個人信息的隱蔽性。

自我保護意識。首先用戶應當提高自我的隱私保護意識，認識到問題的存在，知道哪些是最關鍵的問題，意識應該提高到何種程度。同時必須:清楚自己泄露的東西，自己評價每種工具并懂得它何時會泄露你的個人信息，意識到“世界上沒有免費的午餐”，沒有一家網絡公司會真正免費的提供工具和服務，這些都必須以你的個人信息和行為做為代價來進行交換;思考一下對共享信息一方的信任度是多少;想想正在共享的東西有多少是與自己身邊的人共享過的;仔細閱讀網站的隱私政策，明白其中的言外之意;瀏覽器設置為每次結束會話刪除cookies，盡可能不使用第三方cookie;以泄露最少的信息量來完成一項工作;時刻記住你的網上行為可能經由第三方廣告以及網絡流量分析軟件在許多站點間被跟蹤。

可用的安全性。保護基于網絡的的信息泄露要求可用的安全措施，通過生成涉及可行、高效、可理解的可用安全措施保護人們維護安全性。這種系統只在用戶需要作出決定的時候打擾用戶，在正確的時候提供正確的信息，安全保護有效而不可見。但是這種保護失敗的例子較多，比如說使用一個SSL加密的網站時，用戶在后臺得到了充分保護，但是當證書和站點域名沒有匹配時用戶就會收到莫明奇妙的報錯信息，由于錯誤出現頻繁，大多數用戶會忽略這種信息，導致安全保護的失效。

3.2 技術保護

用戶需要用工具提供技術支撐來實現信息保護的目的，全面的技術保護方案包括:限制cookie、減少泄露、適當的加密等，許多解決方案以網絡瀏覽器為中心。

1)控制cookie:最簡單有效的的對策就是減少或者刪除用戶計算機上積累的cookie。Cookie存在有兩種類型，一種是進存在少量時間(會話cookie)，另一種是可以存在很長時間(永久cookie)。現代瀏覽器對cookie的控制提供了許多智能的選擇，能夠選擇性的接收來自網站的cookie，可以選擇cookie保存的時間，可以選擇性拒絕來自第三方站點的cookie，支持許多擴展設計來補充瀏覽器的隱私和安全特性。但是阻止和刪除cookie也會帶來一些不便，在許多情況下，刪除cookie會丟失之前在網站上配置的參數選項，每次訪問你都將作為新用戶出現，網站無法為你進行適當的定制。

2)減少泄露:通過部署代理可以避免你的瀏覽器被插入一個或者多個第三方網站的內容而留下足跡。代理在用戶網絡瀏覽器和目標網站中間充當中介，具備修改用戶注入和流出通信的能力，用戶可以用代理將流出和注入的通信調節成自己關系的內容，從而實現內同過濾功能，減少信息泄露。

通過使用具有改進的歷史記錄功能的軟件能夠監控自己的長期以來泄露的自己的精確信息，從而提升用戶的自我保護意識。最好的自我監控解決方案不應當只包括搜索查詢，還應當包括大多數類型的信息泄露的可見顯示和匯總。基于瀏覽器的方法是最好的工具設計方法，設計良好的工具能夠為用戶顯示自己訪問過的網站上所有的泄露、與瀏覽器完美結合、保護用戶本地存儲的數據。

通過輸入干擾搜索項也能有效保護自己的個人信息。當使用搜索工具時，用戶提供的是無干擾的信息流，如搜索項或者映射地址，這樣做才能容易識別合法行為。干擾則是在搜索欄中輸入不必要，無效或者用戶并不關系的信息提交給搜索引擎，在信息流中包括虛假的或者誤導行為，來隱藏自己真正的行為和動機。

3)加密:密碼學和加密通常被認為是解決大多數安全性問題的好辦法。使用加密的安全HTTP協議SSL可以增加竊聽的難度。但是SSL不能用于保護所有形式的在線行為，因為加密算法會增加處理開銷，降低交互并要求更多的服務器資源。

3.3 策略保護

技術解決方案、用戶自我保護意識和知識性提高不是保護個人信息、減少個人信息泄露的唯一途徑。用戶可以使用按個人級、組織級和國家級實現的良好策略和行為計劃來支撐一些策略，策略解決方案包括多種解決方法，包括禁止跟蹤(do-not-track)列表、可行的使用策略、對隱私組織的支持、數據匿名化、有限的數據保存與生存等。

除了以上幾種辦法，其他如網絡地址保護、刪除注冊賬號、最小化存儲計算機上的敏感數據等措施也能有效減少個人信息的泄露。

4 關注搜索引擎帶來的信息安全問題

我們必須意識到搜索引擎的發展的確方便了用戶，但是一些不良搜索對個人隱私信息進行收集加工后，通過網站進行營銷，個人信息被收集、加工、集成和披露，這已經成為一個隱私權益極易被侵害的領域。搜索引擎不但會泄露個人隱私，甚至有一些不良搜索背后聚集了黑客和商業欺詐組織，更是危及消費者安全。安全廠商MarkMonitor的研究人員調查發現，75%的網絡釣魚組織通過搜索引擎來尋找存在漏洞的站點，并對所找到的站點進行網絡釣魚攻擊。信息安全危機不是來自某一個互聯網服務提供商或內容提供商，而是來自于用戶遺留在網上的信息。公眾應當養成良好的網絡習慣，掌握一些個人信息安全的技術防護知識，注意保護自己的隱私;政府部門應當對搜索引擎的個人隱私保護盡快出臺相應的司法解釋。從國際上看，搜索引擎的法律問題日益受到關注，相關立法研究也很活躍，其中關鍵是要明確搜索引擎在侵權糾紛中是否承擔連帶責任問題，如何承擔。搜索引擎的發展給我們帶來便利的同時對我們的信息安全造成了一些威脅，利弊之間的權衡自然是仁者見仁智者見智，技術的發展永遠都是一把雙刃劍。

參考文獻:

[1] Schrenk M，Spiders W，Scrapers S.A Guide to Developing Internet Agents with PHP/CURL[M].北京:No Starch出版社，2007.

[2] Zalewski M.Silence on The Wire A field guide to passive reconnaissance and indirect Attacks[M].北京:中國水利水電出版社，2007.

[3] 林闖，尹浩.網絡安全控制機制[M].北京:清華大學出版社，2008.

[4] Conti G.Googling Security-How much does google know about you[M].北京:機械工業出版社，2010.

[5] 不良搜索危害個人信息安全 搜索引擎面臨信任危機[EB/OL].http://society.people.com.cn/GB/1062/7932344.html.

[6] 搜索引擎越來越強，隱私越來越少?[EB/OL].http://www.stdaily.com/interview/content/2008-08/05/content_17304.htm.