王安平

【摘要】《人民日報》： “沒有隱私，何談安全;沒有安全，又何來幸福感。公民個人信息是不容侵犯的領(lǐng)地?！彪[私對于公民來說至關(guān)重要。個人信息安全體系初步形成，但個人信息安全技術(shù)風(fēng)險和管理風(fēng)險還大量存在，可能導(dǎo)致個人信息的違法收集、利用和處理，因而有必要構(gòu)建個人信息安全監(jiān)控機(jī)制、偵查機(jī)制和應(yīng)急機(jī)制，確保個人信息安全可控。

【關(guān)鍵詞】網(wǎng)絡(luò);信息安全;風(fēng)險防范

由360互聯(lián)網(wǎng)安全中心出品的國內(nèi)第一份網(wǎng)站安全報告——《2015年度中國網(wǎng)站安全報告》（下稱《安全報告》）出爐，其揭露出的網(wǎng)絡(luò)安全問題令廣大網(wǎng)民為之震驚?！栋踩珗蟾妗凤@示，在被調(diào)查的網(wǎng)站中43.g%存在安全漏洞，一年或有55億條信息因這些網(wǎng)站漏洞而泄露，對個人及社會造成極大的威脅。

一、個人信息安全的含義

個人信息安全是指公民身份、財產(chǎn)等個人信息的安全狀況。隨著互聯(lián)網(wǎng)應(yīng)用的普及和人們對互聯(lián)網(wǎng)的依賴，個人信息受到極大的威脅。惡意程序、各類釣魚和欺詐繼續(xù)保持高速增長，同時黑客攻擊和大規(guī)模的個人信息泄露事件頻發(fā)，與各種網(wǎng)絡(luò)攻擊大幅增長相伴的，是大量網(wǎng)民個人信息的泄露與財產(chǎn)損失的不斷增加。

從廣義來說，凡是涉及網(wǎng)絡(luò)上公民個人信息的保密性、完整性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

二、公民個人信息安全面臨的風(fēng)險

（一）計算機(jī)病毒的威脅

隨著Internet技術(shù)的發(fā)展、企業(yè)網(wǎng)絡(luò)環(huán)境的日趨成熟和企業(yè)網(wǎng)絡(luò)應(yīng)用的增多。病毒感染、傳播的能力和途徑也由原來的單一、簡單變得復(fù)雜、隱蔽，尤其是Internet環(huán)境和企業(yè)網(wǎng)絡(luò)環(huán)境為病毒傳播、生存提供了環(huán)境。

（二）黑客攻擊

黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。黑客利用計算機(jī)系統(tǒng)、網(wǎng)絡(luò)協(xié)議及數(shù)據(jù)庫等方面的漏洞和缺陷，采用后門程序、信息炸彈、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計算機(jī)系統(tǒng)，盜竊系統(tǒng)保密信息，進(jìn)行信息破壞或占用系統(tǒng)資源。

（三）信息傳遞的安全風(fēng)險

企業(yè)和外部單位，以及國外有關(guān)公司有著廣泛的工作聯(lián)系，許多日常信息、數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險，例如：被非法用戶截取從而泄露企業(yè)機(jī)密;被非法篡改，造成數(shù)據(jù)混亂、信息錯誤從而造成工作失誤;非法用戶假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營秩序帶來混亂，造成破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。

（四）軟件的漏洞或“后門”

隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免地存在，比如我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等都被發(fā)現(xiàn)過存在安全隱患。大家熟悉的尼母達(dá)，中國黑客等病毒都是利用微軟系統(tǒng)的漏洞給企業(yè)造成巨大損失，可以說任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設(shè)計中的一個缺陷等原因而存在漏洞，這也是網(wǎng)絡(luò)安全的主要威脅之一。

三、保護(hù)公民個人信息安全的對策

（一）安全技術(shù)

為了保障信息的機(jī)密性、完整性、可用性和可控性，必須采用相關(guān)的技術(shù)手段。這些技術(shù)手段是信息安全體系中直觀的部分，任何一方面薄弱都會產(chǎn)生巨大的危險。因此，應(yīng)該合理部署、互相聯(lián)動，使其成為一個有機(jī)的整體。具體的技術(shù)介紹如下：

1.加解密技術(shù)

在傳輸過程或存儲過程中進(jìn)行信息數(shù)據(jù)的加解密，典型的加密體制可采用對稱加密和非對稱加密。

2. VPN技術(shù)

VPN即虛擬專用網(wǎng)，通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接.是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，井保證數(shù)據(jù)的安全傳輸。

（二）安全管理

只有建立完善的安全管理制度。將信息安全管理自始至終貫徹落實于信息系統(tǒng)管理的方方面面，企業(yè)信息安全才能真正得以實現(xiàn)。

在實際的運行環(huán)境中，數(shù)據(jù)備份與恢復(fù)是十分重要的。即使從預(yù)防、防護(hù)、加密、檢測等方面加強(qiáng)了安全措施，但也無法保證系統(tǒng)不會出現(xiàn)安全故障，應(yīng)該對重要數(shù)據(jù)進(jìn)行備份，以保障數(shù)據(jù)的完整性。企業(yè)最好采用統(tǒng)一的備份系統(tǒng)和備份軟件，將所有需要備份的數(shù)據(jù)按照備份策略進(jìn)行增量和完全備份。要有專人負(fù)責(zé)和專人檢查，保障數(shù)據(jù)備份的嚴(yán)格進(jìn)行及可靠、完整性，并定期安排數(shù)據(jù)恢復(fù)測試，檢驗其可用性，及時調(diào)整數(shù)據(jù)備份和恢復(fù)策略。

四、信息安全的方法

從信息安全屬性的角度來看，每個信息安全層面具有相應(yīng)的處置方法：

第一，物理安全。物理安全是指對網(wǎng)絡(luò)與信息系統(tǒng)的物理裝備的保護(hù)，主要的保護(hù)方式有干擾處理、電磁屏蔽、數(shù)據(jù)校驗、冗余和系統(tǒng)備份等。

第二，運行安全。運行安全是指對網(wǎng)絡(luò)與信息系統(tǒng)的運行過程和運行狀態(tài)的保護(hù)，主要的保護(hù)方式有防火墻與物理隔離、風(fēng)險分析與漏洞掃描、應(yīng)急響應(yīng)、病毒防治、訪問控制、安全審計、入侵檢測、源路南過濾、降級使用以及數(shù)據(jù)備份等。