大数据资讯(数据安全篇一):2017年4月2日
2017年4月2日 星期天 农历三月初六
丁酉年癸卯月己未日[鸡年]
今日大数据资讯(数据安全篇一)看点:
大数据时代,揭露个人数据泄漏和秘密跟踪内幕
——网联网、社交网络技术的发展给人们的生活带了很多方便,例如网上聊天、网上购物、视频和社交等成了我们生活的新常态,据最新统计数据显示,我国网民总数已达7.1亿。但是,互联网在给我们生活带来便利的同时,也存在个人隐私和信息安全的风险。今天我们来给大家介绍一下个人信息泄露的几个主要途径,有哪些种类的软件和公司正在肆意窃取个人数据;接着在聊聊在与网络打交道时,该如何保护个人隐私,以及那些信息需要格外保护。
大数据时代——你的信息安全吗?
——互联网越来越深的改变着人们生活,每个人都拥有很多账号、密码,这些账号和密码背后,是数量惊人的用户个人信息。这些信息一旦泄露,将会造成巨大的损失与危险。百度云遭攻击导致50万账户被盗的新闻一出,让人对网络数据安全更加忧心忡忡。想起不久前的雅虎用户信息被盗,以及已经过去两年仍不断有后续发酵的苹果女星照片泄露案……网络数据遭暗算的消息时不时会传来,通过近年来的数据泄露事件,我们能学到些什么呢?
大数据法律挑战严峻:专家给出立法建议
——随着大数据产业的快速发展,大数据的安全问题原来越受到人们的关注。近日,中国信息通信第三方政策与经济研究所所长鲁春丛针对大数据发展面临的法律安全问题进行了深入的阐述。
公民信息安全受热议 看国外有哪些特色保护措施
——如今,信息安全已成为各国安全战略中的重要命题。通过立法手段来打击网络违法犯罪,已成为各国常态。针对不同国情现状,各国在完善本国法律体系的同时,也各自形成具有本国特色的信息保护措施。看看美国、英国、俄罗斯等西方国家是如何保护个人信息安全的。
云端还是本地,数据放哪儿更安全之泄密事件篇
——这年头,许多公司在以绝对惊人的速度生成数据,没有理由认为这种情形会有所改变。虽然其中一些信息不是特别值得关注,但是要是其他种类的信息最后落到坏人手里,会要了企业组织的命。这就是为什么你考虑将贵公司的数据放在哪里:放在本地还是云端如此重要的缘故。虽然两者各有相对的优点,但在数据泄密屡见不鲜的这个时代,最重要的还是安全。本文中,我们将探讨这两种方案的利弊、数据泄密可能发生的途径,以及我们刚才提到的这两种方案之间有没有一种更安全的选择。
详细内容:
大数据时代,揭露个人数据泄漏和秘密跟踪内幕
网联网、社交网络技术的发展给人们的生活带了很多方便,例如网上聊天、网上购物、视频和社交等成了我们生活的新常态,据最新统计数据显示,我国网民总数已达7.1亿。但是,互联网在给我们生活带来便利的同时,也存在个人隐私和信息安全的风险,这就要求我们在享受便利生活的同时,提高网络安全和个人网络信息的保护意识。
今天我们来聊聊这方面的话题,首先给大家介绍一下个人信息泄露的几个主要途径,有哪些种类的软件和公司正在肆意窃取个人数据;接着在聊聊在与网络打交道时,该如何保护个人隐私,以及那些信息需要格外保护。接下来,我们以下面这五家(类)正在跟踪你的公司开始今天的话题。
SilverPush
2013年,研究员们开发了一款基于音频的恶意软件名为BabBIOS,他能够自由地使用设备的麦克风和音响。SilverPush公司由此改进了这项技术,通过手机电视和电脑跟踪用户。截止到2015年,他们的软件已经被嵌入到67个应用,通过用户听不见的声音监视着1800万用户。
实际上当你在网页上遇到SilverPush投放的广告时,他们向超声波信号台发射信号,识别你用的所有设备以及你与它们的交互方式。隐私专家害怕,接下来政府会用这种技术跟踪用户的衣食住行。如果你要讨论那些重要的“未获批准”和敏感内容,隔音房间可能才能保证其隐匿性。
FaceFirst/Face-SIX
当一位存在于FaceFirst数据库的人进入你的一家商店时,你会立刻收到警报。警报包括此人的照片和所有履历信息。多亏了诸如此类的公司,人脸识别,正在将你的脸转变为真实生活中的浏览器的Cookie。
如今零售商和广告商能够对你进行线下跟踪,并给你加上“有的赚”和“没得赚”顾客标签,并存入数据库。可能在不久的将来,世上便再无藏身之地,因为甚至是教堂都会参与监控体系。教堂会用Face-SIX公司的软件跟踪你的出勤和捐款情况。
Vizio/Samsung
超过1000万台Vizio电视收藏着“大规模、高经精准,极具体的收视行为数据”,Vizio更喜欢把这种跟踪行称为“智能互动”,它会默认开启并监控你所观看的节目,与数据分析员一起记录与你的IP地址相连的“成百上千种特征”,然后出售给广告商。
其它电视公司,例如三星,也在通过他们的“智能电视”监听着你的一举一动,不过他们提醒用户: 你说出的话,包括个人信息在内将会是捕捉并传递给第三方的数据的一部分。
Ditto Labs
每天都有超过8亿张照片在社区媒体上公开分享。实际上,你的朋友们并不是唯一一些通过你的自拍跟踪你生活的人。
Ditto实验室正在使用图片扫描和人脸识别技术软件,为各大企业品牌通过图片挖掘着你的个人信息。他们可以识别商标,跟踪产品使用情况,并跟踪你的表现来跟踪你对品牌的看法。
公司也在使用这些信息建立你的秘密网上档案,意在教你转变为“可以进行品牌推广的对象”。Ditto实验室的人说,如果我看了你某2年的照片,我就能说出有关你的很多事情。
Carrier IQ
在2011年,据称大型手机生产商们在1.3亿部手机上安装了“Carrier IQ”软件,这是一种看上去无害的诊断程序,但里面却有秘密记录下短信,电话号码和GPS数据的隐匿程序。
Carrier IQ否认自己存储和发送信息。到那时他们对尼尔森公司安利了“情报”合作一事。还宣传了自己具备提供“来自消费者手机的一手实时数据”的能力。FBI也以“还在司法调查中”为由,拒绝公开关于Carrier IQ调查记录和结果。这让人们猜测FBI可能仍然在通过类似的程序来获取你的个人信息。
那么在聊聊在与网络打交道时,我们该如何识别个人敏感信息,如何保护个人隐私,以及那些信息需要格外保护(图片来自“数据挖掘与数据分析”公众号)。
哪些个人信息容易泄露
信息泄露的途径有哪些
信息泄露造成的后果有什么
如何保护个人网络隐私
互联网在给我们生活带来便利的同时,也存在个人隐私和信息安全的风险,这就要求我们在享受便利生活的同时,提高网络安全和个人网络信息的保护意识。
来源:今日头条网 作者:ICT架构师技术交流
原文链接:http://www.toutiao.com/a6402178586333872385/
大数据时代——你的信息安全吗?
导语
互联网越来越深的改变着人们生活,每个人都拥有很多账号、密码,这些账号和密码背后,是数量惊人的用户个人信息。这些信息一旦泄露,将会造成巨大的损失与危险。百度云遭攻击导致50万账户被盗的新闻一出,让人对网络数据安全更加忧心忡忡。想起不久前的雅虎用户信息被盗,以及已经过去两年仍不断有后续发酵的苹果女星照片泄露案……网络数据遭暗算的消息时不时会传来,通过近年来的数据泄露事件,我们能学到些什么呢?
01 近两年来数据泄露事件频出
1、一线女星艳照曝光:苹果系统有漏洞
苹果系统都常被认为是安全系数最高的系统之一,但是百密一疏,苹果系统中的iCloud安全设置被发现存在漏洞,黑客可以轻易地暴力破解系统,获取用户同步在云端的个人资料。
2014年的一次信息泄露导致了大量北美一线女星的私密照片外流,黑客把她们的裸照放在论坛上意图吸引点击量赚取比特币,受害者从好莱坞当红影星詹妮弗·劳伦斯、新生代女歌手爱莉安娜·格兰德到超模凯特·阿普顿,共涉及一百多位女星。
虽然女明星实际上是隐私受到侵犯的受害者,但是她们反倒被推上了风口浪尖,遭受全球看客的非议。不少当事人选择沉默或者表示图片中的不是自己,而受害最严重、有一百多张照片外流的詹妮弗·劳伦斯选择了勇敢地站出来维护自己的权利,抨击窃取私人信息的黑客行为。
尽管外泄照片的黑客莱恩·哈马德已经承认自己的错误行为,但是他即将面临的法律审判却是无可逃避的。【】
2、畸形的正义:外遇网站被黑
全球最大婚外情网站Ashley Madison在2015年遭到了黑客的攻击,10G的用户个人资料被公诸于世。这家网站 号称"人生至少也该有一次外遇",致力于给已婚人士提供牵线搭桥的约会服务,用户遍布全球五万多个城市。
Ashley Madison的用户信息外泄导致不少社会上有头有脸的人物身败名裂,比如英国著名的伊斯兰传教士Hamza Tzortzis等等,或许在整次事件的幕后推手——黑客团队Impact Team看来,这就是他们理想中的撕下伪君子的面具、实践正义的方式,但是此举毫无疑问地严重侵犯了用户的隐私权,甚至导致了至少两名用户的自杀。这或许是Impact Team在贯彻他们畸形的正义时所没有料想到的严重后果。
3、雅虎五亿用户信息被盗:快修改密码!
以为大型门户网站的可靠性会高一些?雅虎用户信息大规模泄露证明这种想法过于天真了,网络巨头的安全保护机制看似强大,其实仍有脆弱的死角,更可怕的是公众直到两年后才知悉此次情节严重的信息外泄。
2014年底,有保守估计五亿的雅虎用户的信息,包括电话、姓名、密码、密保问题、邮箱被泄露,而其中的中国用户大约有几千万人。尽管雅虎强调说银行卡相关信息没有被黑客窃取,但这次信息泄露事件对公司信用的冲击是毁灭性且无可挽回的,用户不会因此保有或是重建对雅虎的信任。
如果连雅虎这样的大型网站都无法自保,互联网世界还有哪里安全?当今社会网络渗透到每个人生活的角角落落,年轻的一代人甚至是全面暴露在网络环境里的互联网原住民,但是互联网却成了个人隐私泄露的一扇大门,这将会为个人带来无法预估的庞大风险。
4、携程、网易、百度……哪里都不安全
2016年8月,百度检测出有黑客利用大量恶意IP对百度账号进行撞库,批量盗取50万条账号信息。同时,大约有五千名用户反映自己的帐号被盗,网盘内容一夕之间被删除,甚至被塞满了黄片。警方很快将犯罪嫌疑人胡某抓获归案,胡某利用撞库软件盗取百度帐号后倒卖,前前后后渔利五万余元。
2015年10月,乌云漏洞报告平台反应网易邮箱有上亿条用户信息被黑客窃取,遭泄露的不仅有基本信息,还包括密保问题和答案,这意味着用户仅修改密码已经不能防备帐号被盗,还需要进一步修改问题和答案。事发之后网易并没有积极解决,而是首先试图掩盖信息泄露情况,这无疑将用户的隐私安全置于更高的风险之中。
2014年3月,乌云漏洞报告平台透露,携程的服务器基线安全设置不完备,导致大量用户的个人信息和支付信息被全面暴露在黑客的攻击之下,其中包括姓名、信用卡号、身份证号等关键信息。
屡见不鲜的信息泄露事件说明,这背后存在着一条买卖个人信息的黑色利益链条,正因有利可图类似事件才屡禁不止,相比之下用户的个人隐私脆弱得不堪一击。
5、棱镜门:你在别人的监视下上网
震惊世界的棱镜计划彻底揭露了互联网信息安全是一张多么虚伪无力的防护网,对于用户的个人隐私起不到保护作用,反而会成为信息泄露的第一道大门。
小布什政府从2007年起就推行名为棱镜的秘密监控项目,可以任意获取个人通讯的资料,仅仅2012年内就有接近1500项计划参照了棱镜获取的资料。直到斯诺登事件,棱镜计划才大白于天下。
而最恐怖的还不止于此。最可怕的或许是人们明知道一个无时无刻不在监视着自己的"老大哥"的存在,却选择了冷漠和无视。斯诺登冒着生命危险揭示真相也没能改变这一现状,乔治奥威尔"Big Brother is watching you."的预言已经成为现实。
02 各国网络信息安全战略及措施概况
虽然发达国家的网络数据泄露事件层出不穷,但它们已经建立了比中国要相对成熟得多的网络安全防护体系,美国、欧洲以及日本都有值得学习借鉴的经验。
1、美国网络信息安全保障策略
在完善法律法规及相关政策的基础上,美国政府通过部署网络安全前沿技术研究、网络攻防模拟、网络安全威胁检测和网络监控等方面的重大项目,持续加强网络防御和攻击技术研发,解决新一代网络以及云计算环境中的信息安全问题,增强国家安全力量,加固美国信息安全保障体系。【】
2、欧盟网络信息安全战略
欧盟网络信息安全战略,是一个由欧盟一体化立法、成员国国内立法、综合立法、专项立法以及相关政策和技术措施共同构建的多层次框架体系。它以保障整个欧洲的信息安全为目标 ,结构、内容以及实施措施特点鲜明。主要表现在以下四个方面:
(1)超越国家层面和成员国层面,法律的形式分为强制性规定和具有指导性的“软法”。
(2)既有对保障网络与信息安全的宏观的、一般性的规定,又有针对个别具体问题的特殊规定,有总有分。
(3)在对抗恶意代码、网络钓鱼、垃圾邮件、非法网站等安全威胁的同时,欧盟不断遇到新的安全风险,之后会及时更新法律规范并采取新的对策。
(4)欧盟在不断完善法律政策框架的同时,注重对网络信息安全技术的研究与应用,通过采取各种先进的网络信息安全技术,辅助实现其制定的各种法律及政策的最终目标,两者共同撑起了欧盟网络信息安全的保护伞。
3、日本网络信息安全战略
作为亚洲信息程度较高的国家,日本高度重视自身信息安全,早在20世纪80年代便制定《信息通信网络安全与可靠性标准》,并后续制定了《禁止非法读取信息法》、《反垃圾邮件法》、《电子契约法》、《个人信息保护法》等多部安全相关法律。
日本强调“信息安全保障是日本综合安全保障体系的核心”,日本政府多个部门对信息安全加强监管,例如防卫厅负责组织反网络攻击相关技术的研究,总务省负责整合高性能的反恐怖网络安全系统,经济产业省负责提供有关非法接入和计算机病毒等相关信息。
2010 年5月11日,日本信息安全政策会议发布了《保护国民信息安全战略》。该战略的目标是:至 2020年,克服用户使用网络和信息系统等信息通信技术的弱点,打造全体国民都能放心使用信息通信技术的环境(即:高质量、高可靠性、安全和放心的环境),把日本建成世界最尖端的信息安全先进国。
2013年5月21日,日本政府“信息安全政策会议”汇总出了日本“网络安全战略”最终草案,该草案提出了多项强化措施,包括2015年前准备将日本政府机构及重要的核电站、煤气公司、铁道公司等基础建设领域的网络安全防范网彻底改善,网络攻击信息共享;2020年底前,将目前规模仅为6000亿—7000亿日元的国内信息安全市场扩大一倍;日本还将与其他国家开展网络安全合作,在现有80多个国家的基础上增加3成。
03 数据安全问题亟待解决,怎么解决?
2013年6月,爱德华·斯诺登向全世界披露了美国国家安全局一项代号为"棱镜"的秘密项目。通过该计划的实施,美国情报机构可通过直接接触位于美国的互联网和科技巨头的用户数据,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。这些巨头主要包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube、思科等,他们向美国两大情报机构开放服务器,使美国政府能够轻而易举地监控全球。
其中被美国政府监控的思科参与了中国几乎所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设,以及中国电信、中国联通以及我国广电网络基础设施建设。而微软、Google和苹果则掌握了中国的PC操作系统份额,在移动终端操作系统领域,苹果的IOS及Google的Android操作系统更是平分天下。在广电行业,智能电视操作系统及机顶盒也有部分采用Android系统,这为我国广电网络信息安全埋下了安全隐患。【】
1、国家层面网络信息安全政策措施思考与建议
(1)推进具有自主知识产权的网络核心技术研发
因此,需要研发一批具有自主知识产权的网络核心技术、关键技术、共性技术,以先进的自主技术支撑广播电视装备、软件、系统的自主开发和应用,从而切实提高我国广播电视领域的自主创新能力和技术装备水平,排除因采用国外技术而可能隐藏的网络信息安全隐患。
(2)推进面向云计算、物联网等新技术应用的网络信息安全技术研发
2010年3月云计算安全联盟(CSA)发布的一份云计算主要威胁的报告中,就提出了云计算目前存在的七大安全威胁,而如果我们没有及早对这些可能的安全威胁采取相应的安全技术和安全措施,一旦发生安全事故,就极有可能导致整个网络的瘫痪,导致所有用户信息的泄露,后果不堪设想。
物联网同样存在着巨大的安全隐患,如果物联网出现了被攻击、数据被篡改等,并致使其出现了与所期望的功能不一致的情况,或者不再发挥应有的功能,那么依赖于物联网的控制结果将会出现灾难性的问题,如工厂停产或出现错误的操控结果此外,黑客等恶意攻击者还有可能通过物联网来获取、处理、传输的用户的隐私数据,如果物联网没有防范措施则会导致用户隐私的泄露。
2、个人信息安全保护措施
(1)网上注册内容时不要填写个人私密信息
(2)尽量远离社交平台涉及的互动类活动
现在很多社交平台,会有一些填写个人信息即可生成有趣内容并可以和朋友分享的活动,看似有趣的表面,实质上却以游戏的手段获取了大量的用户信息,遇到那些奔着个人隐私信息去的“趣味”活动,建议不要参与。
(3)安装病毒防护软件
(4)不要连接未知WiFi
现在公共场所常常会有些免费WiFi,有些是为了人们提供便利而专门设置的,但是不能忽视的是不法分子也会在公共场所设置钓鱼WiFi,一旦连接到他们的钓鱼WiFi,我们的设备就会被他们反扫描,如果在使用过程中输入账号密码等信息,就会被对方获得。
(5)警惕手机诈骗
警惕手机短信里的手机账户异常、银行账户异常、银行系统升级等信息,有可能是骗子利用伪基站发送的诈骗信息。遇到这种短信不要管它,去联系官方工作人员,询问情况。
(6)妥善处理好涉及到个人信息的单据
04 结语
有研究统计,从人类文明开始到2003年,人类共创造了5TB的信息。而如今,这样的数据量却仅需两天就能够被创造出来,且速度仍在加快,人类已经迈入大数据时代。掌握数据就意味着赢得先机,奥巴马政府将大数据定义为“未来的石油”。在这样一个时代下,信息数据随时会被入侵,国家主席习近平指出:“没有网络安全就没有国家安全。”这场保卫“石油”战争,你准备好了吗?
来源:凯风网
原文链接:http://www.kaiwind.com/news/features/201610/24/t20161024_4416183.shtml
大数据法律挑战严峻:专家给出立法建议
随着大数据产业的快速发展,大数据的安全问题原来越受到人们的关注。近日,中国信息通信第三方政策与经济研究所所长鲁春丛针对大数据发展面临的法律安全问题进行了深入的阐述。
大数据发展带来四大法律问题
鲁春丛对我国大数据产业进行了介绍,他表示,我国大数据产业结构日益完善,基本形成“上游数据+中游产品+下游服务”的大数据产业体系。全国200多家大数据企业,规模从几十到数百人不等,2015年行业产值有望超过110亿元。
鲁春丛认为,我国已经进入数据增长爆发期,2020年,我国数据量达到8ZB,非结构化数据占比达到90%,数据量占全球总数据量的18%。从行业来看,互联网通讯媒体、制造、政府数据量位居前三,均达百EB。
同时,我国移动数据流量迅猛增长,2015年达42亿G,2020年超800亿G,复合增长率80%。DOU也连续快速攀升,2015年389M,2020年逼近6G,符合增长率为70%。目前我国共有23个省出台了74项与大数据相关的政策,呈现出京津冀、长三角、珠三角、中西部的区域分布特点。
鲁春丛表示,大数据发展带来了相关的法律问题:第一,个人数据保护面临严峻挑战;第二,数据跨境流动监管亟待完善;第三,数据交易规则尚未确立;第四,政府数据开放面临执行困境。
个人数据保护:应推进专门立法
谈到具体的挑战,鲁春丛表示,在个人数据保护方面,大数据的广泛应用为个人数据保护带来的挑战,集中体现在数据收集、数据分析、数据流转等环节,及增大数据安全及隐私侵害风险等方面。
鲁春丛表示,大数据时代,传统个人数据保护法律制度操作困难。体现在个人数据边界模糊,潜在范围无限扩展,同时数据难以做到彻底地去识别化;数据多方流转和后续利用无法保证遵循原始收集时的特定目的;数据利用及流转的复杂性使用户知情同意难以有效行使;流转及交易牵涉多方主体,数据保护责任难以清晰界定。
对此,鲁春丛给出了法律建议,他表示,第一,推进专门立法,推动个人数据保护单行立法,统筹各行业的全面保护,尤其强化对个人数据的行政保护。第二,细化执行细则,修订及细化部门规章,指定个人数据保护实施细则、指导意见等。第三,强化行业监管,明确各个行业主管机构在个人数据保护中的职能及执法权限。第四,推进行业自律,完善数据保护标准体系,大力发展三方评估、认证体系,健全行业自律规范。
跨境数据流动:应实行数据分级管理
在跨境数据流动方面,鲁春丛表示,2015年全球通过互联网的跨境数据量超过1ZB,国家和地区间的国际带宽量不断增加。跨境数据流动存在安全风险。一方面,存在数据泄露风险,境外当地数据保护水平不足时,容易造成数据泄露;境外当地执法部门执法强制披露;境内侵权行为维权困难。另一方面,丧失数据资源优势。各国信息基础能力差异导致收集、处理、运用数据能力差异;美国等强国掌握各国大量关乎经济社会及国家安全的关键信息;部分国家形成更强的信息资源优势和战略控制能力。
鲁春丛介绍,对于跨境数据的管理,许多国家要求数据本地化存储;以美国为首的倡导自由流动,美国、日本、澳大利亚等12个国家在2016年2月正式签订了跨太平洋伙伴关系协定(TPP)。电子商务章节要求每个成员国应当允许电子方式的跨境信息转移;欧盟推崇跨境流动严格管理,2015年10月欧盟法院认定安全港框架无效,2016年初,欧委会与美国达成隐私盾协议,2016年4月欧盟29条工作组对隐私盾协议提出意见。
对此鲁春丛给出了法律建议,他表示,应实行数据分级管理,加强跨境业务境外合作合同监管,实施跨境数据流动安全风险评估,建立跨境数据流动技术监测手段,推动跨境数据流动相关立法出台。
数据交易规则缺失:建立交易隐私与信息安全评估机构
在数据交易规则缺失方面,鲁春丛表示,目前缺乏统一的数据交易规则,数据交易处于产业探索阶段。当前存在的问题包括数据权属不明确,数据交易标的问题争议较大,数据资产评估存在困难,数据安全问题是最大担忧,数据交易监管机构未明确。
鲁春丛介绍,面对这些挑战,应该积极探索多种大数据交易模式,构建适用于大数据交易的云端集散中心,做好与数据源的分布式一致性同步更新,建立设施、产品、流通紧耦合的大数据发展模式,探索建立具有普遍共识的大数据交易规则体系。
这对数据交易规则缺失的问题,鲁春丛给出了法律建议:第一,建立大数据交易隐私与信息安全评估机构。对交易的数据集进行专门的安全风险评估;第二,涉及隐私与信息安全问题的,要求交易方履行充分的匿名化义务;第三,向公众公开匿名化数据集所包含的数据要素;第四,隐私与信息安全风险较高的,应限制交易的对象,并通过合同机制对购买方提出限制性要求等。
政府数据开放:在国家层面明确行动方向
在政府数据开放方面,鲁春丛介绍说,政府数据中蕴藏重大经济社会价值,根据OECD在2015年的估算,OECD国家公共数据资源的一年的市场经济价值超过1100亿美元。我国数据开放刚起步,北京、上海、无锡、青岛等地区分散开放了数据资源,2015年开放知识基金会数据开放评价中,我国排在第93位。
他表示,政府数据开放领域存在的问题包括:涉及的法律问题分散而复杂;涉及众多政府部门和公共机构,协调难度大;开放数据很多具体问题需要重新界定。
针对政府数据开放,鲁春丛给出法律建议:在国家层面指定整体战略或行动计划以凝聚共识和明确行动方向;指定或成立推进政府数据开放的统筹推进机构,负责具体政策的制定、实施和评估等;明确部省两级政府开放任务及相关配套措施,包括建立政府数据资源清单、政府数据开放目录、开放时间表、公众参与与反馈机制;确立开放数据的原则:机器可读,默认开放、开放许可、及时、原始性、非歧视性等;建立数据管理制度:数据开放审查、安全保障和隐私保护、阶段性评估和考核等。
来源:C114中国通 编 辑:耿鹏飞
原文链接:http://zhuanti.cww.net.cn/news/html/2016/6/7/2016672052595259_2.htm
公民信息安全受热议 看国外有哪些特色保护措施
中国网新闻3月28日讯(记者栗卫斌 实习记者温昊暐)在互联网时代,信息化进程日益加快,通过技术非法获取公民个人信息的情况屡见不鲜,给公民权益造成巨大损害。
今年全国两会期间,工业和信息化部长苗圩在接受媒体采访时也重点提到了对通讯信息诈骗的防范与治理。他表示,今年工信部还要进一步加大力度整治通讯信息诈骗,比如要在全国各省市和国际出入口上加大技术手段的建设,防止来自其它地区的甚至境外的诈骗信息。
我国信息保护法规日趋完善
从中国互联网络信息中心发布的数据来看,截至2016年12月,中国网民规模已达7.31亿。《中国网民权益保护调查报告(2016)》显示,近一年来,我国网民因为垃圾信息、诈骗信息、个人信息泄露等造成经济损失人均133元,总体经济损失约915亿元。
针对这一问题,全国人大常委会在2012年通过了《关于加强网络信息保护的决定》,并在2015年刑法修正案中完善了对个人信息保护的条例规定,同时增加编造和传播虚假信息犯罪。2016年11月全国人大常委会通过并发布了《中华人民共和国网络安全法》,为网络安全工作提供切实法律保障。
《民法总则草案》第一百一十四条明文规定,自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。该规定明确划分义务主体,厘清现有法案含糊的概念,为个人信息保护提供更加系统全面的法律保障。
国外如何保障个人信息安全
如今,信息安全已成为各国安全战略中的重要命题。通过立法手段来打击网络违法犯罪,已成为各国常态。针对不同国情现状,各国在完善本国法律体系的同时,也各自形成具有本国特色的信息保护措施。
美国
在个人信息保护方面,美国推行行业自律模式,即“由公司或者产业实体制定行业的行为规章或行为指引,为行业的网络隐私保护提供示范的行为模式”。美国与个人信息保护相关的行业自律模式主要有建议性的行业指引、网络隐私认证计划和技术保护模式。
建议性的行业指引由网络隐私权保护的自律组织制定,典型代表为美国的隐私在线联盟。该隐私指引适用于对从网络上收集个人可识别信息的保护。而网络隐私认证计划则是私人行业实体致力于实现网络隐私保护的自律形式,该计划要求那些被认证的网站必须遵守网络资料收集的行业规则,并且服从监督管理。被认证的网站将注有隐私认证标志,供公众识别。
技术保护模式则将保护隐私的主动权交给公众,一般来说有两种制度,即定入制度和定出制度。在定入制度下,只要用户不反对,网站就可以收集、使用个人数据。而在定出制度下,必须要得到用户的明确许可。但在这两种情况下,用户实质只有单一选择权,同意或反对,所以个人隐私选择平台(P3P)弥补了这一缺陷。这一平台实际上是网络服务商与用户达成的一种电子协定,当受访网站准备收集个人数据时,该平台会中止这一行为或者提醒用户,由用户决定是否进入该站点。
当地时间2017年2月14日,英国伦敦,英国女王伊丽莎白二世出席国家网络安全中心揭幕仪式。视觉中国
英国
英国在2016年发布的《国家网络安全战略(2016-2021)》中明确提出三大战略目标:防御、威慑和发展。为此,英国政府与产业部门合作,采用自动防御技术抵御黑客网络攻击、病毒、垃圾邮件等侵害。同时,英国还加强国际合作,大力培养网络人才、发展最新技术,紧跟全球互联网前沿水平。
针对信息安全保护,英国的着力点在于建立网络安全信息共享伙伴关系(下简称伙伴关系)。这一伙伴关系的建设由政府出资,各产业及商业机构配合,共享网络威胁的最新信息。加入伙伴关系后,企业可以登录到安全平台,发布关于网络安全和弱点的相关信息,增加信息透明度,提高产业总体安全性,共同应对网络危机。目前伙伴关系有五百多名会员机构,包括维珍传媒、英国航空公司和英国电信等。
此外,英国还将设立网络安全研究所,与高校合作研究提升电子设备的安全性,并将于明年推出一项网络创新基金,给予网络安全创业公司培训及资金支持,帮助商业化其技术成果。
俄罗斯
在信息安全保护方面,俄罗斯更加强调个人自主保护,力推数据存储本地化。俄罗斯《个人数据保护法》规定,任何收集俄罗斯公民个人信息的本国或者外国公司在处理与个人信息相关的数据,包括采集、积累和存储时,必须使用俄罗斯境内的服务器。
法律中所指的个人信息,不止包括姓名、住址、出生日期等,而是与公民身份相关的任何信息。俄罗斯联邦通讯、信息技术和大众传媒监督局将履行监督职责,违法的公司将会被起诉,除此之外还将被处以最高达30万卢布的罚款。
此前俄罗斯大量在线个人数据都需依托国外,尤其是美国的服务器进行存储,这带来颇多安全隐患,威胁国家安全。俄罗斯此举意在实现国内数据对国外服务器的“零依赖”,从源头实现对个人乃至国家信息的保护。
2011年2月28日上午,北京市第二中级法院开庭审理了一起出售、非法提供公民个人信息、非法获取公民个人信息案件。23人被控出售、非法提供公民个人信息罪,他们将机主信息、通话清单、手机定位出售牟利,其中最多的出售了200多条信息,最少的非法提供了10条信息。视觉中国
技术研新是网络安全关键
由于我国互联网起步较晚,信息安全保护措施尚不完备,我国公民因个人信息泄露蒙受不少损失。在产品和技术不断更新的今天,面临的挑战与威胁更加严峻,治理措施仍需完善更新。
单独依靠立法和行政手段不能根治网络犯罪,需要综合的治理措施。从源头治理,依托网络技术,从根源预防、打击网络犯罪。
上海市浦东政协常委、上海众人网络安全技术有限公司创始人、董事长谈剑峰表示,随着云计算、物联网、移动互联网以及大数据的广泛应用与发展,真正的互联网入口是信息安全,而信息安全的核心就是密码技术。信息安全的第一道’门’就是身份认证,采用完全自主知识产权的身份认证技术对未来国家信息安全是一项根本性的保证。
在互联网不断对人们生活渗透的今天,需要加强对网络信息安全的系统建设,设计保护公民隐私的技术战略。以科技手段为内核,防御安全威胁,以立法、行政手段为外沿,打击网络犯罪,多措并举,综合治理,才能实现对公民个人信息安全的切实保护,维护公民的基本权益。
来源:中国网
原文链接:http://news.sina.com.cn/o/2017-03-28/doc-ifycsukm3886011.shtml
云端还是本地,数据放哪儿更安全之泄密事件篇
【51CTO.com快译】这年头,许多公司在以绝对惊人的速度生成数据,没有理由认为这种情形会有所改变。虽然其中一些信息不是特别值得关注,但是要是其他种类的信息最后落到坏人手里,会要了企业组织的命。
这就是为什么你考虑将贵公司的数据放在哪里:放在本地还是云端如此重要的缘故。虽然两者各有相对的优点,但在数据泄密屡见不鲜的这个时代,最重要的还是安全。
本文中,我们将探讨这两种方案的利弊、数据泄密可能发生的途径,以及我们刚才提到的这两种方案之间有没有一种更安全的选择。
将数据存储在本地
将数据存储在本地是指公司拥有自己的专用数据中心。传统上,这是许多企业组织设计和维护网络的方式。抛开其他方面不说,这需要物理硬件、该硬件所需的场地,以及备份和灾难恢复服务。
尽管云越来越流行,但是许多公司还是偏爱本地系统。之所以如此青睐本地,主要原因是出于安全。许多企业对于将网络外包出去或者放弃对网络防御的控制权根本就不放心。
将数据存储在云端
云其实是一个服务器网络,每台服务器满足不同的功能。有些服务器存储数据,有些运行应用程序。你可能注意到,自己越来越不从商店购买盒装软件;你支付月费在网上访问平台;这就是一种实际运行的云。
另一个常见的例子是将照片上传到社交媒体网站。如果你用自己的手机拍照,照片存储在手机的内部存储驱动器中。一旦你将照片上传到社交媒体网站,照片随后存储到该公司的云服务器上。
大多数人会熟悉的使用云的其他常见例子包括:
·SkyDrive
·Google Drive
·Dropbox
·Evernote
·iCloud
在企业层面,云可以用来存储整个企业的数据。简而言之,这些公司不再需要自己的本地数据中心用来放置数据。这样一来,员工也很容易使用诸多不同的设备,从任何地方访问公司网络。
正如我们之前提到的那样,如今有的公司将网络放在云端,有的公司青睐本地环境,安全是主要原因之一。为了帮助确定你的数据到底放在哪里最安全,不妨先看一下过去泄密事件出现在哪里。
哪里出现的泄密事件更多?
要想准确地分类针对云端的攻击更多还是针对本地的攻击更多,那是不可能的。首先,我们根本不知道外头到底发生了多少起攻击,另外也无法开展准确的调查,即便我们想这么做。
我们只能看一下已知的攻击,尽量做出有根据的猜测。
在此之前,有必要指出:近些年来,针对基于云的服务器攻击有所增加。然而,这根本不足以宣称本地环境更安全。随着越来越多的公司开始采用云,黑客会亦步亦趋自在情理之中。
此外,我们谈论的是企业层面的安全问题。2014年曾爆出新闻:有人从无数名人的苹果设备窃取了私密照片,原因是名人把照片存储在云端。黑客只要找到与某个帐户有关的电子邮件地址,可以说成功了一半。
虽然这些攻击引起了合理的关注,但这不是我们在谈论“云”时所指的那种存储。另外,这些攻击也与我们在这里所说的泄密毫无关系。
为了帮助探讨这个话题,我们请教了这个领域的专家杰夫·威廉姆斯(Jeff Williams)。威廉姆斯先生是Contrast Security公司的联合创始人兼首席技术官。他最近接受了《福布斯》杂志的采访,阐述了他对于数据泄密的认识。
据威廉姆斯先生声称,说到我们都熟悉的成为头条新闻的攻击,“大多数泄密与存储在云端的数据无关。比如说,美国百货公司塔吉特(Target)的安全泄密完全出在内部,攻击者设法潜入到了销售点(POS)网络。”
不妨先从这个案例说起。
2014年塔吉特被黑
正如威廉姆斯先生指出,这次攻击之所以得逞,是由于犯罪分子能够访问POS网络。之后,他们得以窃取与4000多万个借记卡和信用卡账户有关的信息。这些信息包括:
·全名
·地址
·电话号码
·电子邮件地址
另外值得指出的是,在之前一年,3000万顾客已沦为一次类似攻击的受害者。实际上,由于塔吉特仍拥有数据,许多顾客中了两次招。
这两次攻击据信给塔吉特造成的损失总共达到1.48亿美元至1.62亿美元。CEO和CIO也因此丢掉了饭碗。
这些攻击让塔吉特上了一份长长的“耻辱榜”,其他零售店也沦为了这种攻击的受害者。其他零售店包括:
·奶品皇后(Dairy Queen)
·Jimmy Johns
·HEI酒店集团
有许多不同类型的POS恶意软件,但是一旦犯罪分子盯上了某种类型的机器,并找到了用来攻击的相应软件,会有不计其数的公司沦为受害者。
2015年Anthem被黑
美国第二大健康保险公司Anthem在2015年被黑时,这在业界引起了恐慌。突然之间,其他的医疗公司不是得迅速查明自己是不是同样易受攻击(大多数如此,许多现在仍是如此)。
2015年Anthem被黑仍是同类中规模最大的一次。多达8000万个记录受到影响,但是这起事件让这家公司实际损失多少根本不得而知。在这起历史性泄密事件之后,它已经花了近1亿美元。
虽然许多人将这起攻击怪罪中国,但是并没有抓到元凶。不过我们确实知道,攻击者窃取了病人的个人信息,这包括如下:
·全名
·出生日期
·家庭地址
·社会保障号
·收入数据
虽然这家医疗保险公司采取了足够的措施,以便将敏感数据发送到第三方时保护数据,但是它对于自家网络的安全似乎自信过头了。
2014年JP摩根·大通被黑
另一起载入史册的攻击发生在2014年。这回,JP摩根·大通是攻击对象,不过后来发现对此事负责的犯罪分子攻击了十多家公司;自2007年以来,可能捞到了数亿美元的不义之财。
针对这家金融机构的这次成功攻击是有史以来发现的最大规模的网络犯罪活动之一。大约8000万客户的姓名、电子邮件地址及其他信息被窃取。
黑客的目标不是直接捞钱,而是获取信息。获取信息后,他们可以用信息诱骗客户购买黑客自己已购买的便士股票。实际上,他们在策划一场“拉高出货”骗局,只是规模之大是世人之前从未见过的。他们在之前的其他活动中已经得逞,打算使用窃取而来的数据,开办自己的金融服务公司。
他们窃取这些数据的方式似乎是利用了一个名为Heartbleed的加密安全软件漏洞。一旦他们获得了访问权,甚至可以修复加密软件,掩盖行踪。
光这三起事件可能会让你认为:将贵公司的数据存放在云端显然是明智之举。然而,现在不妨看一下几起臭名昭著的攻击:遭殃的正是采取了这同一建议的公司。
2012年Dropbox被黑
最近才发现,四年前发生的Dropbox被黑事件导致6800多万用户的电子邮件帐户信息泄密。
Dropbox被黑是个典例,它表明了许多IT专业人员在云方面担心的问题。也就是说,如果黑客成功地闯入一家公司,他们对这家公司的数据就可以为所欲为。然而,如果黑客成功地闯入一家云服务提供商,那么眨眼之间,数百家、甚至数千家公司就会岌岌可危。
我们稍后会更深入地探讨这个话题,但是暴露于黑客面前,攻击Dropbox、获得与成千上万个帐户有关的敏感信息的那个安全漏洞只是危及了一名员工。
这再次让IT行业的许多人士不寒而栗。你总是可以采取更多的措施,确保自己的员工不上这种花招的当,确保他们的访问保持在最基本的权限。但是一旦你信任第三方,确实需要信任对方。
2014年Code Spaces被黑
通过云攻击的另一个例子发生在2014年,这回遭殃的是流行的Code Spaces托管公司。多年来,这家公司获得来自世界各地的客户,而且颇受好评。
2014年6月17日,第一次攻击是通过DDoS攻击发动的,后来进入到了该公司的亚马逊EC2控制面板。黑客索取赎金,那样这家公司才能重新获得面板控制权。Code Spaces试图通过恢复来重新获得控制权后,黑客使用之前创建的备用登录资料,开始删除文件。
等到Code Spaces从黑客手里重新夺得控制权后,破坏已造成,而且相当严重。大部分数据、备份、异地备份和机器配置已部分或全部遭到破坏。
工作人员在网站上给出解释,并表示歉意,描述了云提供商被黑后客户公司可能面临的糟糕局面:
“Code Spaces暂时无法运营,迄今为止解决这个问题所花的费用以及预计向无法正常享用服务的付费客户退还所产生的费用,将让Code Spaces在财务和信誉方面都处于无法挽回的地步。正因为如此,我们除了停止交易,致力于支持受影响的客户将他们放在我们处的任何剩余数据导出去,别无选择。”
结果,成千上万家公司永远丢失了全部或部分数据。
2010年美国财政部被黑
虽然那不是一起惊天动地的事件,但美国财政部是在改用云提供商后才过了一年(即在2010年)被黑的。因而,财政部的网站停运了四天。在最后无法正常上网之前,新访客受到了恶意软件的攻击。
虽然许多人认为美国政府在网络安全方面会走在最前沿,但这起攻击是通过Eleonore Exploit Pack得逞的,这个恶意工具包当时只要花700美元就能搞到,基本上不需要什么技能就能使用。
这根本不是美国政府遭受的最严重的网络攻击;从最近的事件来看,相比之下它的危害性基本上不大。然而,那是公众首次认识到政府将系统处包给第三方云提供商,这种程序可能是个问题。
遗憾的是,要是全面比较云攻击和本地攻击,我们可能要忙活好几个月。这里亮明的主要观点是,两者同样遭到不少的攻击。虽然这应该会让你对自家网络的安全漏洞有一番了解,但是仍没有解答我们的问题。
为此,进一步的信息必不可少,比如你竭力防范的是什么样性质的安全泄密。我们会在后续的文章中继续探讨。
原文标题:Where Is Your Data Safer? In the Cloud Or On Premise?
来源:今日头条
原文链接:http://www.toutiao.com/i6376005152188400129/
更多精彩资讯,欢迎关注