网络信息安全是一个关系国家安全、主权安全、社会稳定、民族文化继承和发扬的重要问题。随着全球信息化步伐的加快,网络信息安全已经变得越来越重要,随着信息技术的深入发展,网络信息安全问题也变得日益严峻,据《中国互联网络发展状况统计报告》统计显示,截至 2018年6月,中国网民规模为8.02亿,较 2017年末增加 3.8%,互联网普及率达 57.7%,其中手机网民规模达7.88亿,在上网人群中的占比达98.3%。高比例的上网人群催生出来大量的应用程序,这些应用程序为广大网民提供各式各样的便捷服务,但其中也出现了对个人信息违法收集、滥用、泄露等问题,这不仅会导致个人隐私数据泄露,同时还严重影响个人生命和财产安全。
一、网络安全目前来说有三个层面的变化
一是网络安全威胁手段在不断的升级。从2000年的计算机病毒,到2005年黑客开始成为产业,再到现今网络攻击社工化,重要信息系统定向渗透,再往后随着暗网,虚拟货币不断的增加,可以看到网络安全威胁越来越大。“暗网”(不可见网)是指那些存储在网络数据库里,但不能通过超链接访问而需要通过动态网页技术访问的资源集合,它的服务器均在国外,不会被我们日常所用的搜索引擎抓取。“暗网”上的内容,除了兜售公民信息外,售卖枪支弹药、毒品、假币等违禁品或非法交易的帖子比比皆是。违法分子通过“暗网”购买和操纵海量互联网账号,可以刷流量,可以骗点赞,可以薅尽商家的羊毛,还能传播淫秽信息、窃取银行款项,乃至将相关信息用于电话诈骗、线下犯罪。
二是计算机技术发展带来新的安全挑战。新技术的应用和网络基础设施的进展,推动中国互联网由消费互联网进入到工业互联网的新阶段,工业互联网是推动互联网、大数据、人工智能和实体经济深度融合的主要载体,也是数字经济的新动能和智慧社会的支柱。原来在消费互联网上的安全问题,现在还在继续涌现甚至发酵,比如大数据下如何保障个人隐私,而工业互联网的发展,尤其是人工智能、云计算、智慧城市等新兴技术的应用,让新型的安全挑战也不断出现。这些新技术的使用意味着目前网络安全的攻击面越来越大,可利用的攻击面变的越来越多,新技术的使用导致边界模糊,不可见。
三是网络安全法律法规持续的完善。如2012年全国人大常委会通过了《关于加强网络信息保护的决定》;2015年《中华人民共和国刑法修正案(九)》中明确了对个人信息保护的规定;2016年《中华人民共和国网络安全法》确定了个人信息保护的基本规则;2017年《中华人民共和国民法总则》中也明确规定了自然人的个人信息受法律保护;2019年《中华人民共和国电子商务法》中也纳入了保护消费者个人信息等规定。2019年5月13日等级保护2.0正式发布。
从这三个层面可以看到攻击手段的不断演进,使安全威胁更加突出;计算机技术的发展意味着我们面临风险的几率在不断的增多;法律法规不断的强化使我们在做信息化系统建设的时候,必须要有更多的安全考虑。
二、个人信息安全保障
信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。目前国内在多项法律中都关注和强化对个人信息的保护,《网络安全等级保护条例(征求意见稿)》和《关键信息基础设施安全保护条例(征求意见稿)》中也对个人信息保护进行了相关规定,要求网络运营者落实重要数据和个人信息安全保护制度,采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全。《中华人民共和国网络安全法》在第四章网络信息安全部分,较大篇幅的对个人信息安全进行了规定,并且明确规定了“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。为了落实《中华人民共和国网络安全法》《消费者权益保障法》,2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。从中我们也看出政府治理违规收集使用个人数据方面的决心。
三、针对个人的安全建议
随着互联网的蓬勃发展,互联网给我们带来方便的同时,也使我们每个人面临了更多的网络安全风险,如:电脑反复中毒、敏感信息泄露、各类账号被盗等网络安全威胁。如何安全的上网,给大家提供一些参考意见:
一是注意防范WiFi陷阱。不法分子在宾馆、饭店、咖啡厅等公共场所搭建免费WiFi,诱骗用户使用,暗中记录上网者包括支付宝账号、银行账号信息等在内的所有操作记录,甚至破解用户密码,对用户机器进行远程控制。
防范建议:慎重连接免费WiFi,尽量使用可靠的WiFi接入点;关闭自己手机和平板电脑等设备的无线网络自动连接功能,仅在需要的时候开启;在公共场所使用陌生的无线网络时,尽量不要进行与资金相关的操作。
二是确保密码安全。账号密码设置简单或者使用特别意义的数字(比如生日),容易被不法分子破解,威胁个人账户安全,导致个人重要信息甚至财产损失。
防范建议:不要在多个账号使用同一个密码;推荐使用特殊字符+字母+数字密码组合(如:%^a113jobBole#@),并定期更新密码;如果你有多个账号密码,建议使用专业的密码管理软件。
三是保持软件更新。软件不及时升级,你的个人终端很可能会成为是黑客眼中的肉鸡,被不法分子植入木马或者病毒,操控电脑,盗取你的重要文件或者账号密码,获取你的敏感信息,造成网络瘫痪等问题。
防范建议:保持软件更新不仅是操作系统要坚持更新,杀毒软件和其他常用的应用软件也要保持最新版本。
四是加强普法教育。个人信息安全从身边的小事做起,不随意丢弃快递单、不随便参加扫码抽奖活动、不轻信中奖信息、不随意点击不明链接等,使用App要做好权限控制,谨慎放权。
四、针对应用建设者的安全建议
随着信息化建设不断的深入,各行各业对应用系统的依赖程度越来越高,越来越多的内部流程和数据都需要在应用系统中流转和处理。但在实际建设中,普遍存在重业务轻安全的情况,在应用安全建设方面给出几点建议。
一是加强安全保密培训,提高内部安全认识。应用系统的安全是应用系统的一个有机组成部分,只有两者紧密结合才能构成一个安全的信息系统。在应用系统建设的过程中,需要加强应用系统规划方、审批方、用户方等的安全保密培训,需要在思想层面统一各方的认识。
