网络信息安全是一个关系国家安全、主权安全、社会稳定、民族文化继承和发扬的重要问题。随着全球信息化步伐的加快,网络信息安全已经变得越来越重要,随着信息技术的深入发展,网络信息安全问题也变得日益严峻,据《中国互联网络发展状况统计报告》统计显示,截至 2018年6月,中国网民规模为8.02亿,较 2017 年末增加 3.8%,互联网普及率达 57.7%,其中手机网民规模达7.88亿,在上网人群中的占比达98.3%。高比例的上网人群催生出来大量的应用程序,这些应用程序为广大网民提供各式各样的便捷服务,但其中也出现了对个人信息违法收集、滥用、泄露等问题,这不仅会导致个人隐私数据泄露,同时还严重影响个人生命和财产安全。
一、网络安全目前来说有三个层面的变化
一是网络安全威胁手段在不断的升级。从2000年的计算机病毒,到2005年黑客开始成为产业,再到现今网络攻击社工化,重要信息系统定向渗透,再往后随着暗网,虚拟货币不断的增加,可以看到网络安全威胁越来越大。“暗网”(不可见网)是指那些存储在网络数据库里,但不能通过超链接访问而需要通过动态网页技术访问的资源集合,它的服务器均在国外,不会被我们日常所用的搜索引擎抓取。“暗网”上的内容,除了兜售公民信息外,售卖枪支弹药、毒品、假币等违禁品或非法交易的帖子比比皆是。违法分子通过“暗网”购买和操纵海量互联网账号,可以刷流量,可以骗点赞,可以薅尽商家的羊毛,还能传播淫秽信息、窃取银行款项,乃至将相关信息用于电话诈骗、线下犯罪。
二是计算机技术发展带来新的安全挑战。新技术的应用和网络基础设施的进展,推动中国互联网由消费互联网进入到工业互联网的新阶段,工业互联网是推动互联网、大数据、人工智能和实体经济深度融合的主要载体,也是数字经济的新动能和智慧社会的支柱。原来在消费互联网上的安全问题,现在还在继续涌现甚至发酵,比如大数据下如何保障个人隐私,而工业互联网的发展,尤其是人工智能、云计算、智慧城市等新兴技术的应用,让新型的安全挑战也不断出现。这些新技术的使用意味着目前网络安全的攻击面越来越大,可利用的攻击面变的越来越多,新技术的使用导致边界模糊,不可见。
三是网络安全法律法规持续的完善。如2012年全国人大常委会通过了《关于加强网络信息保护的决定》;2015年《中华人民共和国刑法修正案(九)》中明确了对个人信息保护的规定;2016年《中华人民共和国网络安全法》确定了个人信息保护的基本规则;2017年《中华人民共和国民法总则》中也明确规定了自然人的个人信息受法律保护;2019年《中华人民共和国电子商务法》中也纳入了保护消费者个人信息等规定。2019年5月13日等级保护2.0正式发布。
从这三个层面可以看到攻击手段的不断演进,使安全威胁更加突出;计算机技术的发展意味着我们面临风险的几率在不断的增多;法律法规不断的强化使我们在做信息化系统建设的时候,必须要有更多的安全考虑。
二、个人信息安全保障
信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。目前国内在多项法律中都关注和强化对个人信息的保护,《网络安全等级保护条例(征求意见稿)》和《关键信息基础设施安全保护条例(征求意见稿)》中也对个人信息保护进行了相关规定,要求网络运营者落实重要数据和个人信息安全保护制度,采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全。《中华人民共和国网络安全法》在第四章网络信息安全部分,较大篇幅的对个人信息安全进行了规定,并且明确规定了“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。为了落实《中华人民共和国网络安全法》《消费者权益保障法》,2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。从中我们也看出政府治理违规收集使用个人数据方面的决心。
三、针对个人的安全建议
随着互联网的蓬勃发展,互联网给我们带来方便的同时,也使我们每个人面临了更多的网络安全风险,如:电脑反复中毒、敏感信息泄露、各类账号被盗等网络安全威胁。如何安全的上网,给大家提供一些参考意见:
一是注意防范WiFi陷阱。不法分子在宾馆、饭店、咖啡厅等公共场所搭建免费WiFi,诱骗用户使用,暗中记录上网者包括支付宝账号、银行账号信息等在内的所有操作记录,甚至破解用户密码,对用户机器进行远程控制。
防范建议:慎重连接免费WiFi,尽量使用可靠的WiFi接入点;关闭自己手机和平板电脑等设备的无线网络自动连接功能,仅在需要的时候开启;在公共场所使用陌生的无线网络时,尽量不要进行与资金相关的操作。
二是确保密码安全。账号密码设置简单或者使用特别意义的数字(比如生日),容易被不法分子破解,威胁个人账户安全,导致个人重要信息甚至财产损失。
防范建议:不要在多个账号使用同一个密码;推荐使用特殊字符+字母+数字密码组合(如:%^a113jobBole#@),并定期更新密码;如果你有多个账号密码,建议使用专业的密码管理软件。
三是保持软件更新。软件不及时升级,你的个人终端很可能会成为是黑客眼中的肉鸡,被不法分子植入木马或者病毒,操控电脑,盗取你的重要文件或者账号密码,获取你的敏感信息,造成网络瘫痪等问题。
防范建议:保持软件更新不仅是操作系统要坚持更新,杀毒软件和其他常用的应用软件也要保持最新版本。
四是加强普法教育。个人信息安全从身边的小事做起,不随意丢弃快递单、不随便参加扫码抽奖活动、不轻信中奖信息、不随意点击不明链接等,使用App要做好权限控制,谨慎放权。
四、针对应用建设者的安全建议
随着信息化建设不断的深入,各行各业对应用系统的依赖程度越来越高,越来越多的内部流程和数据都需要在应用系统中流转和处理。但在实际建设中,普遍存在重业务轻安全的情况,在应用安全建设方面给出几点建议。
一是加强安全保密培训,提高内部安全认识。应用系统的安全是应用系统的一个有机组成部分,只有两者紧密结合才能构成一个安全的信息系统。在应用系统建设的过程中,需要加强应用系统规划方、审批方、用户方等的安全保密培训,需要在思想层面统一各方的认识。
二是实现安全与应用的同步规划、同步设计、同步建设。在应用系统规划和建设的过程中,需要加强顶层设计,实现对应用系统业务功能和安全功能的整体规划,同时在设计和建设过程中,将安全的目标和策略贯穿到整个系统建设过程中,确保最终交付的应用系统达到设计目标。
三是制定内部应用安全规范。制定内部应用安全的基线标准,对内部应用系统的安全功能进行强制约束。如:身份认证,基于安全的考虑建议采用双因素的认证方式;访问控制,根据应用的实际选择自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等;数据传输保护,采用安全的传输协议,确保系统数据传输的安全;数据完整性保护,在系统中数据处理的各个环节都应该提供完整性效验手段,确保数据的一致性。
四是加强数据安全是重中之重。数据安全是核心,需要建立完善数据全生命周期的安全保障措施,确保数据采集、数据传输、数据存储、数据应用、数据分发及数据销毁过程中的安全。遵循最小授权原则,根据实际业务需求确定应用数据使用权限;依法依规开展数据采集、授权和安全管理,确保数据的安全使用有法可依,有章可循;根据应用实际并结合数据重要性、保密性和性能要求,对敏感数据进行加密存储;涉及公民个人隐私数据,必须依法采集、共享、脱敏使用;按照等保的要求规范使用密码算法,确保数据安全。
五是应用开发商的选择。由于应用系统提供的安全机制是内嵌在应用系统中,因此应用开发商的安全开发能力至关重要,可根据应用厂商的案例、资质等判断应用开发商安全能力。
网络信息安全事关国家安全和国家发展、事关广大人民群众工作生活,深刻影响政治、经济、文化、社会、军事等各领域的安全。加强信息安全保护不仅需要国家立法保障,更加需要行业单位加强落地执行,同时也需要全民积极参与,从自身做起,只有做好个人信息安全防护,才能做好各单位、各行业的安全防护,从而做好国家的安全防护,只有在社会各界共同的努力下,才能构建出天朗气清的网络信息安全空间。
青岛市公安局 王玉清
[来源:信网 编辑:光影]
