夜不闭户
互联网发展到今天,计算机设备已经被网络整合为一体。之前我们会认为一台计算机就是一台计算设备,而现在我们会习惯性地将其看作是一台网络终端。网络基础设施的发展将我们的存储和计算都搬到线上,手边的计算机和手机只是调用线上主机的资源。网络的建设让本地设备的任务变得更加简单,只需联网就可以进行很多原本需要强大的本地资源的工作,这也促成了网络终端设备的小型化。主机和终端之间频繁的数据交换,也最终促成了大数据的快速崛起,而这些数据中大多数是个人数据。
云的发展正是基于网络基础设施、终端设备小型化、数据链条建设等条件的成熟。云服务的范围从基本的计算和存储资源的共享,到今天覆盖全面的在线服务的形成。云的快速发展是在社交网络兴起之后,社交网络的出现对个人使用网络空间提出了更高要求。在社交网络出现之前,网络很少需要应对数以亿计的用户同时在线进行复杂操作的情形。这与搜索引擎还不同,社交网络需要执行包括搜索在内的图片上传、文本编辑、信息归类、数据链整合等操作。这样复杂的需求,也最终催生了复杂的云计算系统。
随着云计算成为网络使用的主流,以及终端设备与云之间频繁的数据交换,云计算环境下个人信息的保护措施、责任认定问题也被推到了前台。因为在互联网刚出现的时候,上网信息共享是当时构建者的共识。但随着越来越多没有这类共识的普通使用者的进入,加之对于信息保护的意愿不能被原有的网络价值所掩盖,社会也越来越认为应该加强对个人信息的保护,并基于此目的对开放性过强的互联网加以改造。
近段时间,由于网络和电信诈骗的恶劣社会影响,我国在个人信息安全方面加大了力度。事实上,保护个人信息在数年之前就是一个很重要的问题。因为对于网络来说,个人的一系列情况都会以数据的形式被记录下来,且由于网络极强的复制和传播特性,个人一旦登录网络,就会变成一个透明人。如果互联网有人类意识,那它将是世界上最了解我们的人。我们的名字、邮箱、电话、住址、行动路线、信用卡信息、收入情况、子女状况、婚姻、情绪、爱好等,都被一个个标签和社交网络的状态记录下来。综合这些数据之后,一个人的基本情况也就自然而然地立体呈现在我们面前。如果对这些数据加以分析,就可以清清楚楚地知道每一个人的情况,这对个人信息安全将是极大的威胁。
社会工程学是美国传奇黑客凯文·米特尼克在他的著作《欺骗的艺术》中提出的概念,在黑客攻击中被广泛应用。它利用人们的心理弱点、本能、好奇、信任、贪婪等缺点,对人们进行欺诈、伤害。社会工程学不同于一般的欺诈手段,而是一项复杂的系统工程。原则上,如果一个社会工程学欺骗程序设计完善,仅仅通过谨慎小心是不足以识破的。社会工程学与一般欺骗的不同之处还在于,它的实施是以搜集大量受害者信息为基础的心理战。一般来说,人性和心理方面的缺陷是难以克服的。社会工程学就是利用人性的弱点实施攻击,让人防不胜防。水平高超的社会工程师都很擅长信息的收集,而且首先要是一个很好的情报工作者。很多表面上看起来毫无用处的信息都会被这些人拿来利用,如一个电话号码、一个名字、一个ID号码或者一张名片等。社会工程学其实就是信息的收集与利用,本质上是一种骗术。由于它与网络安全技术的紧密性不是特别大,所以这不是网络安全建设的技术性问题,而是管理机制问题。
至此,我们可以提出今天对于信息安全的担忧:云计算让个人信息过多地暴露在公众视线中;网络设备对于个人信息的记录相当详细;社会工程学欺骗盛行,云为社会工程学攻击者提供了非常好的收集个人信息的途径。这就是我们在今天要如此看重个人信息保护的原因。
网络中的个人信息主要分为以下几种。①个人真实信息:姓名、身份证、手机号、学历、职业、银行卡、社保信息;②和资金账户有关的信息:网银ID、支付宝、微信、证券账户等;③与真实信息有联结的普通网络账号信息:QQ号、微信、微博、邮箱、二手交易平台等;④其他账号信息:各种论坛、小型网站等。一般获取了某人的QQ号和手机号,结合一个可以申请手机通讯录权限的APP,就可以完全获得此人的个人信息。从当前来看,手机作为兴起最快的个人信息泄露源,值得大家着重保护。手机泄露的信息大多与财产有直接关系,最容易泄露的途径包括电商APP。电商经常与第三方广告数据公司进行市场数据研究,以完善广告系统。其他的还包括银行、证券、保险等ID信息和交易信息。某些时候为了避免注册账户烦琐的过程,我们会用网站提供的QQ号、微信、微博第三方账户进行登录。这样相当于主动把自己第三方账号的信息公开给对方,如果被授权的网站在网络安全上的漏洞被黑客发现,本网站的个人信息连同第三方账户的个人信息都将悉数泄露。而这些泄露的信息,将通过各种地下渠道流入社会工程学攻击者手中。
隐私作为一个概念,可追溯至19世纪末在《哈佛法律评论》中的一篇文章。文中回顾了英国法律对个人自由和私人财产的保护,并由此推断出了“隐私权”的存在,其核心意义是“独处的权利”。1970年,德国最早注意到计算机在公关和私人领域的广泛应用,进而制定了一系列数据保护的法规。从此,陆续有90多个国家在个人隐私方面进行立法保护。我们这里重申一下,在互联网时代,个人信息的保护面临巨大的挑战。在基础设施方面,不管是云计算的硬件加密保护,还是网络安全机制的攻防配合都是技术层面的问题。今天个人信息泄露所造成的恶劣后果不完全是基础设施的原因,而是由于从来都没有完善的系统。个人信息保护在今后将是法律法规建设和社会制约机制不断完善的过程,互联网发展到今天的体量已经很难从根本上改变它开放的结构。既然我们已经不得不“夜不闭户”,那唯一的选择就是建设安全社区。
本书评论
This info is priceless. Where can I find out more?