- 論壇徽章:
- 0
|
大數(shù)據(jù)及云計算技術(shù)從熱詞到落地,從企業(yè)到個人都在享受其帶來的福利�����,數(shù)據(jù)存儲����、計算���、整合及利用為許多企業(yè)帶來商機�,也為個人提供了更為便捷的互聯(lián)網(wǎng)服務(wù)�����。但與此同時,用戶存儲在云端的個人信息數(shù)據(jù)安全也面臨著極大的挑戰(zhàn)�。
“泄密門”頻發(fā)
2014年12月底,春運售票初期���,鐵路客戶服務(wù)中心12306網(wǎng)站被曝出大量用戶數(shù)據(jù)泄露并在網(wǎng)上傳播售賣�,這些用戶數(shù)據(jù)包括13萬條賬號�����、密碼��、手機����、**號、郵箱地址等個人私密信息�����。一時間����,互聯(lián)網(wǎng)上個人隱私安全及其保護的話題再次成為關(guān)注焦點。12306“泄密門”并不單一�,近兩年����,同類事件層出不窮:
2014年3月���,烏云漏洞平臺曝出在線旅游服務(wù)平臺攜程網(wǎng)支付系統(tǒng)存在技術(shù)漏洞��,安全支付日志可下載��,導(dǎo)致大量用戶銀行卡信息泄露��,這些信息包括持卡人姓名��、**信息��、銀行卡號�����、卡CVV碼(即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字)以及6位卡Bin(用于支付的6位數(shù)字)等���。
2014年4月�,某黑客對國內(nèi)兩家大型物流公司內(nèi)部系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊�,非法獲取快遞用戶個人信息1400多萬條�,并出售給不法分子�����。這些個人信息包括用戶的姓名��、聯(lián)系電話以及住址等�����。
2014年5月����,電商網(wǎng)站eBay要求近1.28億活躍用戶全部重新設(shè)置個人賬號密碼,eBay透露這是因為黑客能從eBay獲取用戶密碼��、電話號碼�、地址及其他個人數(shù)據(jù)。
2014年9月����,黑客采取突破密碼嘗試次數(shù)的方式破解了眾多好萊塢女星的iCloud賬號,從而引發(fā)了全球轟動的“好萊塢艷照門”事件�����。雖然事后蘋果緊急修復(fù)了該黑客利用的漏洞,但該事件足以讓云服務(wù)上用戶隱私的保護獲得足夠**�����。
以上事件僅是具有代表性的個人信息泄露事件�����。在互聯(lián)網(wǎng)技術(shù)高度發(fā)達的今天�,幾乎所有人都在使用各式各樣的互聯(lián)網(wǎng)服務(wù),我們已經(jīng)與互聯(lián)網(wǎng)服務(wù)融為一體���,從昵稱����、姓名到銀行賬號����、密碼,幾乎所有信息都存在于互聯(lián)網(wǎng)的各類云端���、服務(wù)器中���,個人信息隨時都可能遭遇泄露或被竊取。這些個人信息按照敏感與重要程度可分為四類:個人身份信息�、個人行為信息、個人隱私信息和個人賬號信息(見表1)�����,其重要性呈逐層遞增狀���,如個人賬號信息一旦泄露��,前面三類信息的獲取相對來說輕而易舉�����。并且�,個人隱私具有極大的商業(yè)價值��,容易成為獵取目標����,以“個人行為信息”為例,此類信息的收集及應(yīng)用最直接的表現(xiàn)是在電子商務(wù)網(wǎng)絡(luò)廣告中��,無論微博還是門戶網(wǎng)站��,我們通常會發(fā)現(xiàn)廣告位置展現(xiàn)的是我們曾在電子商務(wù)網(wǎng)站上瀏覽過的商品或類似商品,更不用說如果“個人賬號信息”被盜取可能帶來的損害���。
圖片1.jpg (91.31 KB, 下載次數(shù): 42)
下載附件
2015-03-03 16:24 上傳
誰是“泄密者”�����?
盡管互聯(lián)網(wǎng)應(yīng)用服務(wù)商����、網(wǎng)站服務(wù)商及云服務(wù)提供商皆承諾能夠保護用戶數(shù)據(jù)信息���,但互聯(lián)網(wǎng)環(huán)境下沒有所謂的百分之百的安全����。低級手段如內(nèi)部人員偷盜售賣數(shù)據(jù)��,高級手段如黑客攻破服務(wù)商系統(tǒng)盜取數(shù)據(jù)等���,都是用戶數(shù)據(jù)泄露的罪魁禍首��。
1. 服務(wù)商內(nèi)部人員偷盜售賣
內(nèi)部人員偷盜售賣數(shù)據(jù)是典型的非技術(shù)用戶信息泄露方式�����,但此類方式難以避免�����,防不勝防����。任何一家服務(wù)提供商都無法保證其接觸用戶個人信息數(shù)據(jù)的員工能夠為道德規(guī)范所約束�����,在利益誘惑下�,個別員工鋌而走險通常難以避免。如2013年11月�,從事電商工作的張某因“涉嫌非法獲取公民個人信息罪”被杭州市公安局西湖分局刑事拘留。隨后��,此案牽出某寶前技術(shù)員工李某���,李某利用工作之便在2010年分多次在公司后 臺下載了超過20G的用戶資料��,并與兩名同伙將用戶信息多次出售給電商公司���、數(shù)據(jù)公司�����。這些用戶資料包括用戶真實姓名����、手機��、電子郵箱�����、家庭住址��、消費記錄等���。
2. 網(wǎng)絡(luò)服務(wù)安全漏洞被利用
互聯(lián)網(wǎng)服務(wù)由于其特殊性��,總是存在有安全漏洞����������?梢哉f沒有不存在安全漏洞的互聯(lián)網(wǎng)服務(wù)��,只是沒有被發(fā)現(xiàn)而已��。
我們來看網(wǎng)站服務(wù)方面的安全漏洞情況分析�����,360互聯(lián)網(wǎng)安全中心最新發(fā)布的《2014年中國網(wǎng)站安全報告》顯示���,在接受360網(wǎng)站安全監(jiān)測平臺掃描的164.2萬個網(wǎng)站中,存在安全漏洞的網(wǎng)站為61.7萬個�����,占掃描網(wǎng)站總數(shù)的37.6%�����。其中���,存在高危安全漏洞的網(wǎng)站共有27.9萬個����,占掃描網(wǎng)站總數(shù)的17.0%(見圖1)。
圖片2.jpg (72.03 KB, 下載次數(shù): 42)
下載附件
2015-03-03 16:24 上傳
由于不同漏洞對網(wǎng)站安全性影響有所不同�,360互聯(lián)網(wǎng)安全中心將網(wǎng)站安全漏洞劃分為高危、中危和低危三個級別�。其中高危安全漏洞可以讓黑客取得服務(wù)器控制權(quán)限,可以對網(wǎng)站進行肆意更改���;中危安全漏洞會造成黑客入侵網(wǎng)站���,且可以篡改部分數(shù)據(jù);而低危安全漏洞允許黑客掃描網(wǎng)站數(shù)據(jù)信息�����,也可能給網(wǎng)站帶來危害���。
由此可見����,我們?nèi)粘TL問的網(wǎng)站中��,超過三分之一的網(wǎng)站都存在安全漏洞��,而這些漏洞,隨時都可能成為個人信息數(shù)據(jù)泄露的發(fā)力點��。 網(wǎng)絡(luò)服務(wù)的安全漏洞�,一方面是由安全技術(shù)人員發(fā)掘找出,如上述360互聯(lián)網(wǎng)安全中心通過掃描發(fā)現(xiàn)的安全漏洞�����,這些漏洞會被廠商知曉并修復(fù)���;另一方面是被黑客發(fā)現(xiàn)����,如果是白帽子黑客��,如在360補天漏洞響應(yīng)平臺上的白帽子黑客����,則會提交給廠商進行修復(fù)�����,但如果是抱有惡意的黑客�,則可能借機竊取用戶數(shù)據(jù)信息����。
網(wǎng)絡(luò)服務(wù)安全漏洞中**性最強的莫過于通用性網(wǎng)絡(luò)軟件/服務(wù)/協(xié)議的漏洞��,如在2014年4月曝出的“心臟滴血(HeartBleed)”重大安全漏洞�。OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,囊括了主要的密碼算法��、常用的密鑰和證書封裝管理功能以及SSL協(xié)議��。多數(shù)SSL加密網(wǎng)站是用名為OpenSSL的開源軟件包�����,而在OpenSSL源代碼中發(fā)現(xiàn)的“心臟滴血”安全漏洞����,可以讓黑客每次從服務(wù)器或客戶端內(nèi)存中獲取最大64K的數(shù)據(jù)內(nèi)容。由于OpenSSL是互聯(lián)網(wǎng)應(yīng)用最廣泛的安全傳輸協(xié)議����,被網(wǎng)銀、在線支付��、電商網(wǎng)站���、門戶網(wǎng)站�、電子郵件等重要網(wǎng)站廣泛使用。因此���,該漏洞會造成黑客可以從使用OpenSSL協(xié)議的網(wǎng)路服務(wù)上盜取大量用戶數(shù)據(jù)信息��。
3. 木馬���、釣魚網(wǎng)站惡意盜取
木馬在PC互聯(lián)網(wǎng)時代最為常見,黑客通過網(wǎng)絡(luò)入侵����、軟件安裝包偽裝等方式將木馬放置到用戶個人電腦中,然后通過木馬盜取用戶電腦上的個人信息�、賬號等�。得益于免費殺毒軟件的出現(xiàn),殺毒軟件普及率大大提升����,現(xiàn)在木馬病毒已經(jīng)越來越少。但在移動互聯(lián)網(wǎng)時代�,偶爾還會出現(xiàn)偽裝成手機應(yīng)用的木馬病毒出現(xiàn),多數(shù)存在于Android操作系統(tǒng)環(huán)境中���。
釣魚網(wǎng)站無論在PC互聯(lián)網(wǎng)時代還是如今的移動互聯(lián)網(wǎng)時代都屢禁不止���,它們通常是向用戶發(fā)送與大型正規(guī)網(wǎng)站��、服務(wù)網(wǎng)站類似的釣魚網(wǎng)站地址��,用戶一旦打開登陸并輸入賬號密碼�,賬號密碼便會被不法分子收集利用��。
打造“殺手锏”
個人隱私保護在大數(shù)據(jù)時代變得愈發(fā)艱難���,從個人角度來講�����,想要規(guī)避隱私泄漏風(fēng)險�����,首先要提高個人賬號密碼復(fù)雜度�,尤其是涉及支付類網(wǎng)絡(luò)服務(wù)的賬號密碼要使用非常用密碼�,對能夠進行多重密碼保護的賬號盡可能的完成多重保護操作;其次是下載軟件或手機應(yīng)用時要選擇正規(guī)下載站點或應(yīng)用商店,尤其是Android用戶���,不要隨便安裝不明應(yīng)用��;最后是要養(yǎng)成良好的上網(wǎng)習(xí)慣�����,謹慎提交個人信息����,對于安裝的手機應(yīng)用服務(wù)���,可查看設(shè)置權(quán)限����,禁止獲取不必要的個人數(shù)據(jù)信息���。
而從廠商方面來講��,此處引用360公司董事長兼CEO周鴻祎在2014年互聯(lián)網(wǎng)安全大會上提出的用戶信息安全三原則作為指導(dǎo)。他表示����,在大數(shù)據(jù)來臨的時代���,在憧憬大數(shù)據(jù)產(chǎn)生商業(yè)效應(yīng)的同時,也應(yīng)考慮如何保護用戶信息���,并提出了三原則:
第一��,用戶信息是用戶個人資產(chǎn)���。用戶在使用廠商設(shè)備、軟件及服務(wù)所產(chǎn)生的數(shù)據(jù)與信息�,應(yīng)該是用戶個人資產(chǎn),雖然存儲在廠商的服務(wù)器或云端��,但從所有權(quán)方面講應(yīng)該明確地屬于用戶���,是用戶財產(chǎn)��。
第二�,廠商獲取用戶數(shù)據(jù)信息����,用戶要有選擇權(quán)、知情權(quán)和拒絕權(quán)。大數(shù)據(jù)時代�,廠商為用戶提供服務(wù)同時,會從用戶身上獲取大量數(shù)據(jù)信息����。對此用戶要有知情權(quán),并且���,廠商要得到用戶授權(quán)才能使用用戶信息�,用戶要有選擇權(quán)�����、有拒絕權(quán)��。
第三�,安全責(zé)任原則。有人認為網(wǎng)絡(luò)信息安全只是互聯(lián)網(wǎng)安全公司的事�,是殺毒軟件的事。但在大數(shù)據(jù)時代�����,任何一家互聯(lián)網(wǎng)公司���,包括做可穿戴硬件的公司��,都會變成一個互聯(lián)網(wǎng)服務(wù)公司����,用戶使用這些硬件�����、服務(wù)都會產(chǎn)生大量的數(shù)據(jù)����。所以,任何一家互聯(lián)網(wǎng)公司都有責(zé)任保護用戶信息安全�,要在云端對用戶數(shù)據(jù)進行足夠強度加密,包括安全存儲和安全傳輸���。
結(jié)語
互聯(lián)網(wǎng)剛興起時�,有人說���,你不知道互聯(lián)網(wǎng)另一端坐的是一個人還是一條狗��。在大數(shù)據(jù)及云計算落地應(yīng)用的現(xiàn)在���,我們不但可以知道另一端是不是一條狗�,還可以知道是雪納瑞還是薩摩耶�����。
云端信息數(shù)據(jù)量還在不斷膨脹����,文字、圖片以及視頻的數(shù)量在不斷增加���,這些數(shù)字化事物看似凌亂不堪�����,但如果某一天被泄露或竊取���,稍加梳理,也許我們最不為人知最隱私的一面就會曝光于世��。那時�����,你就是一只藏獒,也只是一只被扒光了皮的狗�����。(魏兵)
|
|
免費注冊
發(fā)表于 2015-03-03 16:24