淺析社交網絡中個人信息安全保護

◆陳偉 林海釗

（解放軍31636 部隊 云南 641500）

1 社交網絡中個人信息安全保護的內涵

本文所研究的個人信息安全保護，即個人信息本身的安全保護問題。社交網絡中個人信息安全保護不僅包括網絡服務商對用戶個人信息的保護、用戶對自己個人信息的保護，也保護用戶對他人（如好友）個人信息的保護[1]。

2 社交網站保護措施

2.1 增強技術保護措施

針對社交網絡自身存在的安全漏洞問題，社交網絡服務商應該在進行網絡安全評估的基礎上，采取必要的措施預防蠕蟲入侵、黑客攻擊等行為。針對已經發生的個人信息安全事件還要采取必要的救濟措施。具體來說，主要有：

（1）防火墻控制

防火墻具有較好的保護功能，通過防火墻等級設置可以達到不同的保護效果。防火墻可以對流經它的網絡通信進行掃描，過濾掉一些攻擊；還可以禁止特定端口的流出通信，封鎖特洛伊木馬；可以禁止來自特殊站點的訪問，防止不明入侵者的所有通信等。因此，利用防火墻技術保護社交網絡安全，一定程度上可以阻止黑客對社交網站的攻擊。

（2）信息加密

對存儲在社交網絡后臺數據庫中的個人信息，特別是用戶的姓名、性別、手機號、身份證號、網絡賬號、密碼、cookies 文件等可以直接識別用戶個體的信息，網絡服務商應該采用特殊的存儲管理方法，如對這些信息進行加密保護，禁止明文存儲等。

（3）入侵檢測

采用專門的網絡入侵檢測系統，進行社交網絡的異常檢測、入侵檢測和攻擊報警，最大限度遏制、減少黑客的破壞。

2.2 完善社交網站個人信息保護功能

社交網站在開發信息交流與共享服務的同時，也應該開發出對應的個人信息保護功能。不同類型社交網站其應該改進的方面各不相同：

（1）微博

針對微博訪問限制缺失的問題，網絡服務商可以考慮增加主頁訪問控制功能，讓用戶有權力決定誰可以訪問自己的空間或者至少讓用戶知道誰訪問過自己的空間。

對于評論功能，用戶不僅僅可以設定其他用戶的評論權限，還應該可以自主選擇不同群體對評論信息的可見度，如今“密友圈”的人可見等。

關于用戶信息的公共可檢索性，也應該征得用戶的同意，將是否能被公共搜索引擎檢索到的權力交給用戶，網站只需提供必要的選擇功能即可。

此外，微博還應該提供“停用或注銷賬號”功能，而不僅僅是“賬號鎖定”。對于想退出微博的用戶，網站應該向其提供注銷賬號功能，并在特定時間后將用戶數據全部刪除。

（2）人人網

針對人人網在注冊認證方面的問題，應該加強認證管理，如通過手機驗證、身份證號驗證等方法，確保用戶只能注冊唯一賬號，避免他人隨意注冊造成的冒名頂替、網絡欺騙等行為。

關于人人中的“好友列表”，人人網可以只顯示用戶的好友數量，對具體的好友列表限制于僅用戶自己可見，這樣一定程度上可以保護用戶的人際關系信息。

對于用戶的狀態信息，人人應該向用戶提供一個可見度的選擇功能，用戶可以自主選擇自己狀態信息的傳播范圍。

此外，網站應該向用戶提供刪除功能，用戶可以自主對自己不想展示的信息進行刪除。

2.3 將第三方應用納入網站安全管理范疇

社交網站中的第三方應用，是單獨在自己的服務器上運行，沒有任何監控，這樣就會導致個人信息的隨意收集與泄露。[2]因此，網站要加強對第三方應用的管理。在保證第三方程序實現其功能的前提下，對第三方應用的信息流進行監控。此外社交網站還要加強對第三方應用的審核，及時剔除存在安全隱患的應用，為用戶提供安全保障。

3 用戶自身保護措施

3.1 提高用戶個人信息安全保護意識

社交網絡中個人信息安全事件的發生，很大一部分原因是用戶的個人信息安全保護意識不夠。用戶不僅過多地發布自己的信息，還可能泄露好友的信息。因此，用戶在發布信息之前應該斟酌一下，這些信息會不會對個人及他人造成影響。

用戶還應該全面了解網站的個人信息保護政策，對自己的信息如何被收集、存儲、利用等有清楚的了解，避免社交網站對個人信息的隨意收集、利用。一定程度上，這也能起到對網站監督的作用。

對用戶個人信息安全意識的培養，還應該重視宣傳、教育的作用。通過報紙、電視、網絡宣傳的力量，讓用戶意識到個人信息安全保護的重要性。通過網絡安全教育、用戶培訓等加強用戶的個人信息安全保護素養及能力。

3.2 充分利用網站的個人信息保護功能

即使社交網站的個人信息保護功能再完善，假如用戶不知道使用，那么同樣會發生個人信息安全事件。對于網站提供的各種信息保護功能，用戶要視個人實際情況合理使用。

用戶要合理設置個人主頁的訪問權限；對自己的個人資料信息，如教育背景、工作信息、聯系信息等合理選擇公開范圍；對自己的日志、照片、狀態、留言信息等信息通過是否公開、對誰公開、是否允許轉載、是否允許共享等功能來保證其在安全的范圍內傳播。

充分利用網站提供的個人信息安全保護功能，是用戶保護個人信息安全最直接、有效的措施。

3.3 防范cookies 泄密

Cookies 本身是中性的，不存在對與錯。[3]對于使用cookie 技術的網站，用戶要加強防范，及時刪除網站的cookies 文件或拒絕接受任何不必要的cookies 追蹤等，具體可以采取以下幾種措施：

（1）配置安全的瀏覽器

ⅠE、360、搜狗等瀏覽器都提供了關于cookie 的設置，用戶點擊“工具”―“Ⅰnternet 選項”“隱私”就可以對cookie 進行必要設置。瀏覽器提供了“接受所有cookie”、“低”、“中”、“中高”、“高”、“阻止所有cookie”五個不同的等級。用戶可以根據自己需要，配置適當的cookie等級。

此外，用戶還可在“Ⅰnternet 選項”“常規”選項中勾選是否“退出時刪除瀏覽歷史記錄”，以確定退出瀏覽器時，是否刪除cookies 文件。

（2）安裝cookie 管理工具

Cookie Crusher 和Cookie Pal 都是典型的Cookie 管理軟件。

Cookie Crusher 可以管理計算機上的Cookies，設置禁止或允許創建Cookie 的網站列表，在創建新Cookie 或修改已存在的Cookie時發出警告，禁止第三方網站的Cookie 等。

Cookie Pal 可以幫助我們自動接收或拒絕某些制定服務器所存放的Cookie，用戶也可以查看或刪除系統中已經存在的Cookie，根據過期時間過濾Cookie，記錄Cookie 的活動等。

（3）使用AAS 技術

AAS 技術，即Active Application Security，是美國Ⅰngrian Network公司開發的以防Cookie 篡改的平臺。AAS 平臺能對Cookie 內部的重要信息進行加密處理，并附上電子簽名。如果惡意用戶刪除了電子簽名或對Cookie 進行了修改，將不能再完成匹配。

社交網絡中個人信息安全保護的措施多種多樣，社交網站和用戶要根據自身的需要采取合理的措施保護自己的個人信息安全，盡力達到信息共享與信息保護的平衡。