個(gè)人信息安全風(fēng)險(xiǎn)與防范

王安平

【摘要】《人民日?qǐng)?bào)》： “沒(méi)有隱私，何談安全;沒(méi)有安全，又何來(lái)幸福感。公民個(gè)人信息是不容侵犯的領(lǐng)地?！彪[私對(duì)于公民來(lái)說(shuō)至關(guān)重要。個(gè)人信息安全體系初步形成，但個(gè)人信息安全技術(shù)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)還大量存在，可能導(dǎo)致個(gè)人信息的違法收集、利用和處理，因而有必要構(gòu)建個(gè)人信息安全監(jiān)控機(jī)制、偵查機(jī)制和應(yīng)急機(jī)制，確保個(gè)人信息安全可控。

【關(guān)鍵詞】網(wǎng)絡(luò);信息安全;風(fēng)險(xiǎn)防范

由360互聯(lián)網(wǎng)安全中心出品的國(guó)內(nèi)第一份網(wǎng)站安全報(bào)告——《2015年度中國(guó)網(wǎng)站安全報(bào)告》（下稱《安全報(bào)告》）出爐，其揭露出的網(wǎng)絡(luò)安全問(wèn)題令廣大網(wǎng)民為之震驚?！栋踩珗?bào)告》顯示，在被調(diào)查的網(wǎng)站中43.g%存在安全漏洞，一年或有55億條信息因這些網(wǎng)站漏洞而泄露，對(duì)個(gè)人及社會(huì)造成極大的威脅。

一、個(gè)人信息安全的含義

個(gè)人信息安全是指公民身份、財(cái)產(chǎn)等個(gè)人信息的安全狀況。隨著互聯(lián)網(wǎng)應(yīng)用的普及和人們對(duì)互聯(lián)網(wǎng)的依賴，個(gè)人信息受到極大的威脅。惡意程序、各類(lèi)釣魚(yú)和欺詐繼續(xù)保持高速增長(zhǎng)，同時(shí)黑客攻擊和大規(guī)模的個(gè)人信息泄露事件頻發(fā)，與各種網(wǎng)絡(luò)攻擊大幅增長(zhǎng)相伴的，是大量網(wǎng)民個(gè)人信息的泄露與財(cái)產(chǎn)損失的不斷增加。

從廣義來(lái)說(shuō)，凡是涉及網(wǎng)絡(luò)上公民個(gè)人信息的保密性、完整性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

二、公民個(gè)人信息安全面臨的風(fēng)險(xiǎn)

（一）計(jì)算機(jī)病毒的威脅

隨著Internet技術(shù)的發(fā)展、企業(yè)網(wǎng)絡(luò)環(huán)境的日趨成熟和企業(yè)網(wǎng)絡(luò)應(yīng)用的增多。病毒感染、傳播的能力和途徑也由原來(lái)的單一、簡(jiǎn)單變得復(fù)雜、隱蔽，尤其是Internet環(huán)境和企業(yè)網(wǎng)絡(luò)環(huán)境為病毒傳播、生存提供了環(huán)境。

（二）黑客攻擊

黑客攻擊已經(jīng)成為近年來(lái)經(jīng)常出現(xiàn)的問(wèn)題。黑客利用計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)協(xié)議及數(shù)據(jù)庫(kù)等方面的漏洞和缺陷，采用后門(mén)程序、信息炸彈、網(wǎng)絡(luò)監(jiān)聽(tīng)、密碼破解等手段侵入計(jì)算機(jī)系統(tǒng)，盜竊系統(tǒng)保密信息，進(jìn)行信息破壞或占用系統(tǒng)資源。

（三）信息傳遞的安全風(fēng)險(xiǎn)

企業(yè)和外部單位，以及國(guó)外有關(guān)公司有著廣泛的工作聯(lián)系，許多日常信息、數(shù)據(jù)都需要通過(guò)互聯(lián)網(wǎng)來(lái)傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn)，例如：被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改，造成數(shù)據(jù)混亂、信息錯(cuò)誤從而造成工作失誤;非法用戶假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營(yíng)秩序帶來(lái)混亂，造成破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

（四）軟件的漏洞或“后門(mén)”

隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門(mén)”也不可避免地存在，比如我們常用的操作系統(tǒng)，無(wú)論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的各類(lèi)服務(wù)器、瀏覽器、一些桌面軟件等都被發(fā)現(xiàn)過(guò)存在安全隱患。大家熟悉的尼母達(dá)，中國(guó)黑客等病毒都是利用微軟系統(tǒng)的漏洞給企業(yè)造成巨大損失，可以說(shuō)任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞，這也是網(wǎng)絡(luò)安全的主要威脅之一。

三、保護(hù)公民個(gè)人信息安全的對(duì)策

（一）安全技術(shù)

為了保障信息的機(jī)密性、完整性、可用性和可控性，必須采用相關(guān)的技術(shù)手段。這些技術(shù)手段是信息安全體系中直觀的部分，任何一方面薄弱都會(huì)產(chǎn)生巨大的危險(xiǎn)。因此，應(yīng)該合理部署、互相聯(lián)動(dòng)，使其成為一個(gè)有機(jī)的整體。具體的技術(shù)介紹如下：

1.加解密技術(shù)

在傳輸過(guò)程或存儲(chǔ)過(guò)程中進(jìn)行信息數(shù)據(jù)的加解密，典型的加密體制可采用對(duì)稱加密和非對(duì)稱加密。

2. VPN技術(shù)

VPN即虛擬專用網(wǎng)，通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接.是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，井保證數(shù)據(jù)的安全傳輸。

（二）安全管理

只有建立完善的安全管理制度。將信息安全管理自始至終貫徹落實(shí)于信息系統(tǒng)管理的方方面面，企業(yè)信息安全才能真正得以實(shí)現(xiàn)。

在實(shí)際的運(yùn)行環(huán)境中，數(shù)據(jù)備份與恢復(fù)是十分重要的。即使從預(yù)防、防護(hù)、加密、檢測(cè)等方面加強(qiáng)了安全措施，但也無(wú)法保證系統(tǒng)不會(huì)出現(xiàn)安全故障，應(yīng)該對(duì)重要數(shù)據(jù)進(jìn)行備份，以保障數(shù)據(jù)的完整性。企業(yè)最好采用統(tǒng)一的備份系統(tǒng)和備份軟件，將所有需要備份的數(shù)據(jù)按照備份策略進(jìn)行增量和完全備份。要有專人負(fù)責(zé)和專人檢查，保障數(shù)據(jù)備份的嚴(yán)格進(jìn)行及可靠、完整性，并定期安排數(shù)據(jù)恢復(fù)測(cè)試，檢驗(yàn)其可用性，及時(shí)調(diào)整數(shù)據(jù)備份和恢復(fù)策略。

四、信息安全的方法

從信息安全屬性的角度來(lái)看，每個(gè)信息安全層面具有相應(yīng)的處置方法：

第一，物理安全。物理安全是指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的物理裝備的保護(hù)，主要的保護(hù)方式有干擾處理、電磁屏蔽、數(shù)據(jù)校驗(yàn)、冗余和系統(tǒng)備份等。

第二，運(yùn)行安全。運(yùn)行安全是指對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過(guò)程和運(yùn)行狀態(tài)的保護(hù)，主要的保護(hù)方式有防火墻與物理隔離、風(fēng)險(xiǎn)分析與漏洞掃描、應(yīng)急響應(yīng)、病毒防治、訪問(wèn)控制、安全審計(jì)、入侵檢測(cè)、源路南過(guò)濾、降級(jí)使用以及數(shù)據(jù)備份等。