网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


《网络安全法》系列之二:个人信息,如何织密“保护网”?

2017-06-05 15:43 推荐: 浏览: 101 字号:

摘要: 如果不曾遭遇,你永远不知道,个人信息泄露有多“可怕”。 人信息安全,谁来保护?即将于6月1日正式实施的《网络安全法》单独成章论“个人信息保护”。 上周,我们开始对《网络安全法》进行解读,推出了解读系列文章之一:网络安全知多少。这周我们聚焦于个人信息保护,围绕个...

如果不曾遭遇,你永远不知道,个人信息泄露有多“可怕”。

人信息安全,谁来保护?即将于6月1日正式实施的《网络安全法》单独成章论“个人信息保护”。

上周,我们开始对《网络安全法》进行解读,推出了解读系列文章之一:网络安全知多少。这周我们聚焦于个人信息保护,围绕个人信息保护的重要性及常见保护手段和措施进行深入的阐述。

个人信息泄露的现状 
个人信息泄露事件频繁发生,不仅反映出了个人信息收集机构的责任缺失,更重要的因素是因为公民个人安全意识淡薄。去年7月16日,“柏某某APP”的微信公众号推出“我的性格标签”测试在微信朋友圈疯转。“每个人生日都隐藏着性格的小秘密,输入你的生日,来生成你的性格标签吧!”殊不知这个火爆朋友圈的恶意APP,实际上是变相收集个人信息的把戏。很多人不仅提供了自己的姓名、手机号、出生日期,还把它随手转发,使其危害迅速扩大。尽管该微信号在3天内被封,但涉及到个人信息泄露达到恐怖的千万人级别。据中国互联网协会发布的《2016中国网民权益保护调查报告》显示,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。公民个人信息的泄露、收集、转卖,已经形成了完整的黑灰产业链。

仅去年一年,公安部部署开展的打击整治网络侵犯公民个人信息犯罪专项行动,全国公安机关已累计查破刑事案件750余起,抓获犯罪嫌疑人1900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个。

个人信息保护的重要性与必要性 

随着社交网络的发展,大数据价值被人们进一步发现,越来越多的社会机构、企业参与到搜集公民个人信息的队伍中来。DT时代,个人信息已经成为最富有价值的资源,具体而言,个人信息对自然人具有社会交往价值,对公权力主体具有管理价值,对企业等私主体具有商业价值。

然而,信息商业化过程中,信息失控,越来越多人成为个人信息泄露的受害群体。信息泄露而来的垃圾短信、骚扰电话、精准诈骗,日益威胁着人们的隐私、财产甚至生命安全,甚至轻易破坏市场秩序、制约经济发展,滋长各类犯罪、危害社会稳定,更严重者,引发公共安全及国家安全危机。

因此,保护个人信息安全在保护个人隐私、信息化进程发展、国家安全维护等多方面具有重要意义。

网络安全法有关个人信息条例解读

《网络安全法》明确要求,加强完善了个人信息保护规则。具体有哪些条例规定?网络安全法第四十条规定:网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
美创解读:网络安全法强调,网络运营者要对收集的用户信息严格保密,明示收集信息的目的,并经收集者同意,这是一个很大的改变。过去信息被收集我们是不知道的,现在在收集之前要告知我们,必须经过我们的同意,而且不相关的信息不能随意收集,这是一个很大的进步。网络安全法第四十二条规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。第四十四条规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。美创解读:海量的个人信息往往具有巨大的商业价值,在医疗、社保、金融等很多具有海量个人信息的行业,敏感数据泄露往往是被不法分子恶意窃取或内鬼盗取的,网络安全法中对这种违法行为进一步明确,对这类违法行为也起到了威慑的作用。但同时作为数据的拥有方,也有责任去转变思路,以敏感数据保护为核心,采用先进安全技术去保护这些敏感数据的安全。

 网络安全法第六十四条规定:网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

美创解读:网络安全法对哪些行为应当受到处罚进行了明确的定义,尤其是强调了网络运营者等维护个人信息安全的“主体责任”,除了罚款,还可能关闭网站、吊销相关业务许可,直接关系到企业的生存。在这种高压的规定下面,网络运营者必然会更加关注数据安全,采取更加有效的手段来防止数据窃取或数据泄露的情况。

如何保障个人信息安全

保障个人信息安全,可以从两个方面考虑:一方面个人要提高信息保护的意识,另一方面数据的拥有者要转换思路,改变过去以网络安全、边界安全为核心的安全建设思路,以敏感数据保护为核心去构建新的安全体系。
在提高个人信息安全意识方面,要注意以下几点:
1.网络购物要谨防钓鱼网站,仔细验看登录的网址,不要轻易接收和安装不明软件,慎重填写银行账户和密码,防止个人信息泄露造成经济损失。2.妥善处置快递单、车票、购物小票等包含个人信息的单据,快递单含有网购者的姓名、电话、住址,车票、机票上印有购票者姓名、身份证号,购物小票上也包含部分姓名、银行卡号、消费记录等信息。不经意扔掉,可能会落入不法分子手中,导致个人信息泄露。3.身份证复印件上要写明用途,银行、移动或联通营业厅、各类考试报名、参加网校学习班等很多地方都需要留存你的身份证复印件,甚至一些打字店、复印店利用便利,会将暂存在复印机硬件的客户信息资料存档留底。在提供身份证复印件时,要在含有身份信息区域注明“本复印件仅供XX用于XX用途,他用无效”和日期。复印完成后要清除复印机缓存。4.不在微博、群聊中透露个人信息,通过微博、QQ空间、贴吧、论坛和熟人互动时,尽可能避免透露或标注真实身份信息。

5.微信不要加不明身份的好友,慎在微信中晒照片。有些家长在朋友圈晒的孩子照片包含孩子姓名、就读学校、所住小区,有些人喜欢晒火车票、登机牌,却忘了将姓名、身份证号、二维码等进行模糊处理,这些都是比较常见的个人信息泄露行为。此外,微信中“附近的人”这个设置,也经常被利用来看到他人的照片。晒照片时,一定要谨慎,不晒包含个人信息的照片,要通过设置分组来分享照片。

6.免费WiFi易泄露隐私,在智能手机的网络设置中选择了WiFi(无线网络)自动连接功能,就会自动连接公共场所WiFi。但是,WiFi安全防护功能比较薄弱,黑客只需凭借一些简单设备,就可盗取WiFi上任何用户名和密码。使用无线WiFi登录网银或者支付宝时,可以通过专门的APP客户端访问。为了保护自己的个人信息,最好把WiFi连接设置为手动。

对于数据的拥有者,其收集的个人信息往往以结构化的形式存储在数据库中,所以要改变传统的网络安全思路,以数据安全为核心保护个人信息安全,主要措施如下:
1.以数据安全为核心,提供基于整个数据生命周期的安全保护,即在数据的产生、传输、存储、使用、共享、销毁六个阶段提供由内到外的纵深防御,分别提供身份鉴别、数据标签、访问控制、威胁防范、抗抵赖、数据保护等安全措施。2.对内提供运维人员、开发人员、业务操作人员的管理,包括运维人员、开发人员、业务操作人员的的正确识别,多因素身份管理,降低数据库账户密码泄露风险,以敏感数据分类分级为基础,落实三权分立管理,隔离敏感数据,避免运维人员接触敏感数据,对危险性操作防御及误操作快速恢复,并提供所有操作的审计分析、预警。3.在互联网环境下,基于数据库漏洞的攻击和基于业务系统漏洞的SQL注入攻击是主要的数据库安全风险。尤其是SQL注入攻击,由于其可以旁路任意传统安全设备使入侵者直达数据库而使其风险极大。对于互联网化的业务数据,要防御来自于外部的SQL注入攻击和基于漏洞的数据库攻击。4.敏感数据泄露防护,测试数据库系统由于其极大的使用灵活性,几乎不太可能采用和生产系统严谨的敏感数据保护措施。为了保障测试系统的安全,应采用数据脱敏来保护测试系统的敏感数据,使测试系统的数据不再敏感。

5.对于所有操作,不管是来自于合法业务系统访问还是通过数据库连接工具的直接访问,都需要提供精确而全面的审计:支持所有主流来源,支持所有数据库操作,支持成功和失败的操作,支持加密网络的审计,识别来自于B/S架构的浏览器终端信息,同时支持加密网络传输审计、应用程序注入和假冒检测等事后审计功能,对于非法访问提供威慑。

预告
下一篇,从数据中心、企业安全建议入手结合《网络安全法》给予解读。
联系站长租广告位!

中国首席信息安全官