随着科技的发展，现代社会产生和捕获的数据量迅猛增长，统计数据量以PB(1024TB)级趋势加增，我们已经迈进了大数据时代。社交网络风生水起，越来越多的人愿意在这个交互的时代分享自己的见闻感受，而我们通过电脑、手机等电子设备在网上进行的每一个操作，都被服务器记录了下来，社交网络中的个人信息也成为大数据时代商家博弈的一大焦点。在开发社交网络中个人信息潜在价值的同时，如何保证个人信息安全，保证个人信息不被非法收集和不当利用，以及如何提高用户对于个人信息的可控性是大数据时代亟待解决的新问题。

一、大数据时代与社交网络

1. 大数据时代。简单来说，大数据就是那些通过标准数据库技术高效处理的规模巨大、形式复杂的数据。数据被称之为大，它需要具备三个关键的属性，那就是大规模、高速率和多样性。大规模指的是数据规模大，人们无时无刻不在手机、电脑上产生大量数据，如今Facebook 注册用户已经超过10亿，每月上传的照片也已经超过10亿张，每天生成300TB 以上的日志数据；高效率指的是数据时效性特别强，需要快速存储和处理，系统会根据每个用户当下的需求来实时地改变网络广告的投放策略，用户也希望以更快的速度从网络中提取信息；多样性是指表达数据的形式多种多样，既有文字类结构化数据，也包括图片、音频、视频等其他形式的非结构化数据，社交网络中的数据多以非结构化为主。QQ 、空间、微博、人人、陌陌、微拍

2. 大数据时代的社交网络。大数据的蓬勃发展给社交网络带来了机遇和挑战，社交网络在大数据时代呈现出新的特点。

首先，社交网络上非结构化信息日趋增多。腾讯公司2011年1月推出的微信聊天应用程序截至2013年1月注册用户量已经突破3亿，语音聊天、图片分享等功能获得了用户的极大青睐；让照片说话的社交应用“啪啪”，用音频来介绍照片背后的故事，声音的魅力吸引了众多用户；此外，其他社交网络也加入了语音、视频交流的功能。音频视频等菲结构化信息给用户提供了全新的交互体验，但是从另一方面来讲也在社交网络上透露了更多的个人真实信息，而数字化信息的便捷复制性也使得个人对自身信息的控制能力大大减弱。

其次，移动地理位置信息应用日渐风靡。从2010年开始我国社交网络进入“Check In”时代，用户在写微博、发照片时可以加人地理位置信息，依靠即时地理位置信息交友的移动应用在国内也逐渐风靡，地理位置信息成为当下社交网络中个人信息资源的重要组成部分。虽然地理位置信息让用户在社交网络上有了更真实的用户体验，但是大量信息暴露在大众视

野之下，其安全性堪忧。

此外，资源互联性增强是大数据时代社交网络变化的另一大特点。好友可以访问用户已绑定的其他社交应用上的资料，用户也可以将其他网站上的信息链接到自己常用的社交网络上。陌陌用户可以访问好友绑定在新浪微博、腾讯微博、人人网上的信息，啪啪用户的更新信息可以链接到个人新浪微博里，微信朋友圈支持从QQ 空间、腾讯微博等其他移动社交网络里链接来的信息。数据互联是社交网络运营商应对大数据时代用户更高沟通需求的必然选择，但是也为别有用心者挖掘用户个人信息体系提供了便利，个人信息安全堪忧。

二、大数据时代社交网络中个人信息安全面临的挑战

大数据的核心就是预测，社交网络运营商只有在掌握海量数据的基础上，通过科学软件进行用户分析、产品分析，预测市场走向，挖掘出有巨大的价值的产品和服务，才能够在大数据竞争中处于不败之地。但是大数据这把双刃剑在方便用户社交和商家预测分析的同时，使个人信息安全在新时代新形势下面临着前所未有的威胁和挑战。

1. 账户被盗风险加剧。用户账户安全，是人们对社交网络的基本要求。与传统互联网环境相比，大数据环境中人们拥有了更多的社交网络账户，为了便于记忆，通常人们用同一个邮箱或者手机号在多个社区之间申请认证服务；为了便于用户操作，网络运营商之间也加强合作，用户可以用一个社交网站账户登录多个网站享受相关会员服务。大数据环境下数据关联性强，一个社交账户被盗，其他网站的账户安全也岌岌可危。账户资料作为商家的重要资产，也是犯罪分子垂涎的对象，账户安全问题在大数据环境下更加严峻。

2. 隐私安全问题堪忧。隐私安全问题是大数据时代带给个人信息安全的最大威胁，也是制约大数据发展的最大障碍。人们在社交网络上发布心情、分享照片，在微博和聊天软件里和朋友进行互动，我们的情绪、我们的地理位置、我们的日程在一定程度上已经数据化了。虽然人们乐于在网上分享自己的个人信息，但是当大家意识到社交网络在默默记录和收集自己方方面面的数据时，相信很多人都不会认为这是一件令人高兴的事情。在现阶段，社交网络中实施大数据战略的公司并没有阐明其个人信息数据的真正用途，这是导致用户不信任的原因所在。与传统互联网时代不同，大数据环境下数据的关联性更强，虽然运营商在共享和分析客户个人数据时进行了匿名处理，但是随着数据来源的增多和数据量的增加，那些看起来互不相干、相互分离的数据能够通过一定的关联物匹配起来，从而使预先的匿名化无效。这种个人信息可以被重新识别出来风险，使用户的隐私安全问题将日益提上监管部门、立法部门和其他相关机构的日程之上。Android 软件泛滥

3. 用户个人信息控制权减弱。与传统环境相比，现在人们对个人信息的控制权明显降低

了。传统环境下信息传播模式代价高，用户对自己的个人信息还保持有微弱的控制权。但是在当今大数据时代，个人在社交网站上的信息很容易被访问、收集和传播，通过对不同社交网络中个人信息进行整合分析，很容易建立包括目标人履历、喜好、朋友圈以及信仰等信息在内的信息体系。数字信息的易复制性和长期保存性，使那些对我们不利的污点信息也很容易被别有用心的人获取，从而造成我们对个人信息控制权的减弱。

三、大数据环境下保护社交网络中个人信息安全的对策

保证用户个人信息安全是社交网络在大数据时代继续发展的前提条件，账户被盗、资料丢失、隐私被敲诈等等问题，让我们意识到，必须从国家、行业和用户等各个层面来应对大数据环境中社交网络出现的问题，以发挥大数据在企业创新、服务用户上的优势。

1. 个人信息安全法律法规同步跟进。大数据技术在我国还是新生事物，行业内部在不断地摸索中努力和前进，面临着相关法律法规缺失、不能有效维护用户个人信息安全等问题。《信息安全技术、公共及商用服务信息系统个人信息保护指南》作为个人信息保护方面的最高国家标准于2013年3月1日开始实施，它对大数据时代如何合理利用个人信息给予界定，以指导和规范利用信息系统处理个人信息的活动。但国家标准、行业标准的法律效力远远不能保护群众个人信息安全，而散落在其他法律条款中的针对信息安全保护的规定也无法满足当下群众追求信息尊严和信息控制权的需求，因此大数据时代要想有利保护个人信息安全，最重要的还是确立个人信息保护的基本法律制度，尽快出台《个人信息保护法》刻不容缓。

2. 完善社交网络服务行业自律公约。良好的行业规范和行业自律公约，是一个行业蓬勃发展的重要条件。社交网络企业要想在大数据时代的背景下走得更长远，就要努力构建本行业的通用规章，维护用户信息安全，建立客户信任感，从大数据中获得持久利益。

第一，改变秘密收集用户信息的现状。尊重用户知情权，向其告知企业商收集用户个人信息的情况，给予用户是否授权运营商收集和利用自身信息数据的权利，并在服务条款里阐明个人信息数据的使用方式和使用期限。360公司

第二，努力寻求社交网络个人信息拥有者、数据服务提供商以及数据消费者之间共同认可的行业自律公约，保证数据共享的合法性，使第三方在使用社交网络数据时保证用户个人信息的隐私和安全，以营造安全的数据使用环境。

3. 提高大数据安全防护技术。在大数据环境下，要保护社交网络中的个人信息安全，除了法律法规和行业自律的约束外，安全有力的防护技术也是至关重要的，它能在一定程度上从源头上保证个人信息的安全。

首先，加强大数据技术和信息安全技术的融合。面对不断膨胀的数据量和多种多样的客

户端应用，行业内应当利用大数据更高更广的视角来判断和监测网络安全，将大数据技术与安全技术有机融合，尽可能地提前发现系统存在的安全隐患，不断更新病毒和钓鱼软件特征，使用户在运用社交网络时有一个良好的个人信息防护空间。

其次，努力更新完善匿名技术。大数据分析技术和大数据预测技术为社交网络运营商开展精准营销服务的趋势已经势不可挡，业界要努力寻找更专业的算法来完善匿名技术，以解决数据分析应用与用户隐私之间的矛盾。

4. 提高用户的信息安全素养。提高信息安全素养是社交网络用户在大数据时代主动保护个人信息安全的有力措施。具体来说，信息安全素养包括信息安全意识、信息安全知识、信息伦理道德和信息安全能力等具体内容。信息安全知识的丰富，有助于人们了解木马、钓鱼网站的特性特点，从而提高信息安全意识，明确信息安全在大数据时代的重要性，以及了解保护个人和他人信息安全的职责和义务，遵守信息法律伦理，并在一定程度上具有防范计算机网络犯罪和病毒攻击、及时备份重要资料的信息安全能力。提高用户的信息安全素养，可以从以下几个方面努力。

第一，要有数字化节制意识。理性地应用社交网站和移动社交应用，运用社交网络时要权衡得失，眼光长远，在网络上分享真实照片、个人行踪、即时地理位置等信息时要有节制意识，并且有效设置陌生人访问权限，把个人信息控制在自己所尽可能驾驭的范围之内。

第二，降低账户信息的可理解度。社交网络用户应当避免使用姓名的拼音或者缩写加生日的方式来申请和设置社交网络账号密码，避免用同一个邮箱同一密码申请多家网络应用，同时也应当避免通过社交网络或者手机传送网络账号密码。

第三，主动接受信息安全教育。相关调查显示，参加过信息安全培训课程的用户信息安全意识较强，保护个人信息的安全能力也较为突出。在大数据时代，用户应仔细阅读社交网络运营商的安全隐私协议，熟悉相应的隐私设置方式，主动防护自身的信息安全。

此外，在大数据环境下，用户还应当及时更新电脑和智能移动设备的安全防护软件，避免在公共WIFI 条件下登录网络应用、使用移动支付，以免威胁个人的信息安全和财产安全。

社交网络中的个人信息作为大数据时代的一大金矿，是多方关注的焦点。新时代，也要求我们提高信息安全素养，加强大数据安全防护技术，并以立法和行业自律为保障来捍卫个人信息的安全。

【开题报告】网络个人信息安全问题研究

本科毕业论文（设计）开题报告

课题名称：

姓 名：

学 号：

指导教师：

网络个人信息安全问题研究 陈丝雨 方连众

四、课题研究进度安排

时间

2014年9月19日——9月29日

2014年9月30日——10月20日

2014年10月21日——11月6日

2014年11月7日——11月19日 阶段工作 拟定题目、撰写开题报告 文献检索和资料收集，撰写毕业论文（设计）初稿 与指导教师沟通，修改毕业论文（设计）进一步完善毕业论文（设计），完成终稿

提交

2014年11月20日——11月21日 从管理平台下载终稿

2014年11月22日——11月23日 装订毕业论文（设计）

【毕业论文】网络个人信息安全问题研究

继续教育学院

毕业设计（论文）

题 目 网络个人信息安全

学 习 中 心 航三教育中心

专 业 计算机科学与技术

层 次 专升本

学 生 陈丝雨

班 号 201109计算机

学 号 201109056730310002

指 导 教 师 方连众

答 辩 日 期

哈尔滨工业大学远程教育毕业设计（论文）评语

姓名： 陈丝雨 班号： 201109计算机 学号： 201109056730310002 专业：计算机科学与技术 层次： 专升本 学习中心： 航三教育中心 工作起止日期：_2014_ 年_9_ 月_19_ 日起 _2014_ 年_11_ 月_23_ 日止

指导教师对毕业设计（论文）进行情况、完成质量的评价意见：

指导教师签字：

方连众 指导教师职称： 教授 毕业设计（论文）题目： 网络个人信息安全问题研究

评阅人评阅意见：

评阅教师签字： 翟淑霞 评阅教师职称： 副教授

答辩委员会评语：

根据毕业设计（论文）的材料和学生的答辩情况，答辩委员会作出如下评定：

学生 毕业设计（论文）答辩成绩评定为： 对毕业设计（论文）的特殊评语：

答辩委员会主 任（签字）： 职 称： 答辩委员会副主任（签字）： 答辩委员会委 员（签字）： 年 月 日

哈尔滨工业大学远程教育毕业设计（论文）任务书

1、主要内容

第一章：绪论。介绍了选题背景和意义；分析了国内外对本课题的研究现状；讲述了课题研究的方法。

第二章：网络个人信息安全。主要是对相关概念的阐述，具体包括：个人信息（个人隐私）、信息安全、网络安全，以及网民对个人信息所拥有的权利和网络运营商对用户信息安全应尽的责任。

第三章：案例分析。通过网上交易造成的财产损失，以及iCloud遭攻击导致的隐私泄露，这两大典型案例分析，列举网络环境下个人信息泄露的主要攻击手段，并总结相应的防范措施。

第四章：网络个人信息保护。阐述了网络个人信息保护的意义，并分别从技术层面、法律层面、个人层面提出了防范建议。

2、技术要求

本课题主要借助文献检索和资料收集的手段，明确个人信息和网络安全的

进度安排：

时间

2014年9月19日——9月29日

2014年9月30日——10月20日 阶段工作 拟定题目、撰写开题报告 文献检索和资料收集，撰写毕业论文

（设计）初稿

2014年10月21日——11月6日 与指导教师沟通，修改毕业论文

（设计）

2014年11月7日——11月19日 进一步完善毕业论文（设计），完成

终稿提交

2014年11月20日——11月21日 从管理平台下载终稿

哈尔滨工业大学远程教育本科毕业设计（论文）

摘 要

随着信息技术的快速发展以及信息基础设施的不断完善，近年来我国互联网网民规模日渐增长。互联网在一定程度上影响着人们的生活方式，使人们的生活更加轻松便捷。但与此同时，个人信息在网络环境下的安全问题也不容忽视。借助不断发展的信息技术，个人信息也更易被收集和泄露，由此浮现出的又一大安全隐患——网络个人信息安全，也可称为“隐私安全”，逐渐被人们所关注。因此，无论是从网民个人，还是从网络运营商，都应该重视个人信息安全的保护。相应的，研究网络环境下个人信息不安全因素以及有效的保护措施是具有理论和实践意义的。

本课题主要研究网络环境下个人信息安全问题。首先，本课题在研究总结已有相关学术成果的基础上对个人信息、信息安全等的定义及其在网络环境下范围的扩展和所具备的新特征做了分析和归纳。其次，结合具体案例，分析了网络环境下个人信息泄露的原因和攻击手段。第三，阐述了网络个人信息保护的意义。最后，从技术层面、法律层面、个人层面对如何有效地保护个人信息提出了防范建议。

关键词 网络；个人信息；信息安全；个人信息保护

哈尔滨工业大学远程教育本科毕业设计（论文）

目 录

摘 要 ······························································································ I 目 录 ····························································································· II

第1章 绪论 ···················································································· 1

1.1 研究背景 ·············································································· 1

1.2 研究目的和意义 ···································································· 2

1.3 国内外研究现状 ···································································· 2

1.4 研究内容和方法 ···································································· 4

1.4.1 研究内容 ····································································· 4

1.4.2 研究方法 ····································································· 5

第2章 网络环境下的个人信息及个人信息安全 ······································· 6

2.1 概念阐述 ·············································································· 6

2.1.1 个人信息 ····································································· 6

2.1.2 信息安全 ····································································· 6

2.1.3 网络安全 ····································································· 7

2.2 网络环境下的个人信息安全 ····················································· 7

2.2.1 网民对个人信息所拥有的权利 ·········································· 7

2.2.2 网络运营商对用户信息安全应尽的责任 ····························· 9

2.2.3 网络环境下个人信息的泄露 ············································· 9

第3章 案例分析 ············································································ 10

3.1 网购中个人信息泄露造成财产损失 ·········································· 10

3.1.1 消费者个人信息泄露原因 ···············································11

3.1.2 网购过程中的防范措施 ··················································11

3.2 iCloud遭黑客攻击，好莱坞女星隐私照泄露 ······························· 12

3.1.1 iCloud概念 ································································· 13

3.1.2 黑客攻击iCloud的手段 ················································ 13

3.1.3 针对iCloud的防范措施 ················································ 15

第4章 网络个人信息保护 ································································ 18

4.1 网络个人信息保护的意义 ······················································ 18

4.2 网络个人信息保护措施 ························································· 18

4.2.1 技术层面 ··································································· 18

哈尔滨工业大学远程教育本科毕业设计（论文）

4.2.3 个人层面 ··································································· 22

结 论 ···························································································· 23 参考文献 ······················································································· 24 致谢 ····························································································· 25 附录 ····································································· 错误！未定义书签。

第1章 绪论

1.1 研究背景

在2014年8月26日，中国互联网大会（第十三届）在北京举行，会上据工信部副部长尚冰介绍，我国互联网网民目前达到6.32亿，普及率达到46.9%，如图1.1所示。另外，据统计，2014年上半年，我国信息通信业基于互联网的业务收入已经突破4000亿元，在行业总收入中的占比接近47%。此外，从去年到现在，我国互联网领域发生了30多起涉及金额超过1亿美元的投资收购，跨界投资不断涌现，跨界并购的领域日益多样化。与此同时，腾讯微信的用户已经突破2亿，UC浏览器已经成为全球使用量最大的第三方移动浏览器；2014年上半年，又有8家互联网企业相继赴海外上市。由此可见，

我国互联网行业无论是从网络规模、用户规模、产业规模来看，还是从国际地位和影响力来评估，无疑已经成为名副其实的互联网大国。

图1.1 2014年中国网民规模和互联网普及率

成绩举世瞩目，而问题也日益突出，“信息安全”成2014中国互联网大会第一词。细数近几年国内外现状，国内市场，2014年上半年，有74.1%的网民遭遇信息安全问题，2013年3月至9月全国因信息安全遭受的经济损失高达196.3亿元；国产手机领导品牌小米被曝存在信息安全漏洞并一直疲于解

歌、微软、IBM、苹果这些世界知名大公司，也都因涉嫌泄密而遭到诟病，这使得世界各国对于信息安全问题的重视程度前所未有的增加。综上所述，个人信息安全及保护问题已经成为互联网的社会信息化带来的最大困扰之一，给网民的财产安全和隐私安全造成了直接的威胁。

1.2 研究目的和意义

21世纪，个人计算机几乎覆盖每个家庭，网络技术日新月异，互联网在提供便利的同时，也存在着不容忽视的安全隐患。而我们所说的“安全”也不仅仅局限于系统安全、账户安全这些涉及切身物质财富的“安全”，如今慢慢浮现出的又一大安全隐患——网络个人信息安全，也可称为“隐私安全”，逐渐被人们所关注和重视。

为了更安心地畅游互联网，更好地利用网络改善我们的生活，本文通过查阅资料、案例分析的方式，并结合所学知识，针对网络个人信息安全问题进行分析和研究。分析个人信息泄露的原因和攻击手段，再提出对应的保护性建议。对于日益增多的网民朋友们，本文的研究能帮助其更加重视个人信息的安全，建立起安全防范意识，更为积极主动且快速有效地保护自己的个人信息，谨防个人信息在网络环境下泄露，保护自身隐私安全。而对于网络运营商而言，本文意在更清楚地使其认识个人信息的重要性，对其做好用户的个人信息保护工作起到一定的促进作用。同时，本文也有助于相关法律法规的制定和完善，如此，不给违法犯罪之人可乘之机，共同营造健康和谐的网络环境。

1.3 国内外研究现状

国内外对个人信息以及个人信息保护的研究均较多，尤其是在技术层面和法律层面的保护上，对网络中存在的个人信息安全问题（如：网络中个人信息泄露的原因等）的研究不太全面，也较为零碎。

（1） 个人信息

对于个人信息的定义，学界主要存在两种观点：“隐私说”和“识别说”[1]。美国的Parent教授就是“隐私说”的代表，他认为个人信息是指信息主体所不愿向外透露的或是个人极其敏感不愿他人知道的信息。Milberg认为个人信息就是个人隐私，而隐私侵犯基本是指个人信息未经授权而进行收集和传播。[1] 齐爱民.论个人资料[J].法学，2003（8）：80-85

息与他人交流。1995年欧盟颁布的《欧洲联盟数据保护规章》，将个人信息定义为“有关一个被识别或可识别的自然人（数据主体）的任何信息”。徐敬宏则认为个人信息除了包括能对个人进行识别的基本信息和个人隐私外，还应包括这两类信息内容之外的关于个人的一些琐碎信息。田桂兰在《网络环境下个人信息安全问题及其保护》中认为，个人信息是指一切可以识别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面[1]。查先进认为个人隐私包括个人信息、私人活动和私有领域三个方面[2]。任伊珊认为在网络环境下个人信息表现为数字，数字成为网络环境下个人信息的载体。周武华认为在网络环境下个人信息的范围更广，涉及到了邮件地址、IP地址、域名及网络用户名等。

（2） 信息安全

到目前为止学界对信息安全还没有一个较为统一的定义，但是综合国内外对信息安全的定义，可将其分为两类：一是指信息系统的安全性；二是指某一特定信息体系[3]。但是这两类定义都不全面。美国国家安全通信以及信息系统安全委员会（NSTISSC）对信息安全所作的定义认为，信息安全是对信息及信息系统关键要素的保护，包括信息的使用、存储方式、信息的传输过程和系统硬件[4]。冯登国认为信息安全所包含的内容在随着信息技术的不断发展和具体应用在不断扩展。信息安全的内涵已从最初的强调信息的保密性发展到信息的完整新、可用性、可控性和不可否认性，进而又发展到包括“防范、攻击、控制、检测、管理、评估”等多方面的实际操作理论和技术[5]。林柏钢认为信息安全指的是在网络环境下信息系统中的数据受到特定地保护，使信息不会因为某些偶然和恶意的原因而遭到破坏、更改、泄露，使信息系统能够连续、可靠、正常地运行，还包括信息系统被破坏后能迅速恢复正常运转的安全过程

[6]。

（3） 个人信息安全保护

在个人信息安全保护方面，国内外均有较多的研究，主要是从技术层面、法律层面、个人层面和道德层面上来进行研究。

[1]

[2] 田桂兰.网络环境下个人信息安全问题及其保护[J].信息化建设，2007（6）：42-44 查先进.信息政策与法规[M].科学出版社，2004

[3] 李飞，陈艾东.信息安全理论与技术[M].西安电子科技大学出版社，2010

[4] 王春东.信息安全管理[M].武汉大学出版社，2008

[5] 冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用，2001（1）:8-13

[6] 林柏钢.网络与信息安全教程[M].机械工业出版社，2004

技术以及数字时间戳技术。在法律层面，国内外都制定了相关的法律进行约束，如美国国会在1974年通过了《隐私权法》，这部法律是美国用以保障公民个人信息安全的一部最重要的法律；1984年英国议会通过了《数据保护法》，并于1998年对该法进行了修订。此后，英国又陆续通过了一系列旨在保护公民个人信息安全的法律。在亚洲，日本2005年4月颁布实施了《个人信息保护法》，它是日本保护个人信息安全的根本法律。而我国在个人信息保护的立法方面还比较滞后。刑法中对于个人信息安全的保护还是空白的，宪法第38、39、40条对个人隐私权的保护提供了一定的依据。另外，民法通则等相关法律法规指出对公民的个人隐私加以保护，但是并没有较为具体和详实的解决办法，缺乏可操作性。目前，我国《个人信息保护法》已经步入立法阶段，但尚未颁布。在个人层面上，国内外研究学者均认为个人良好的上网习惯是保护自身信息安全的重要保证。比如：在个人信息填写的过程中适当地隐藏某些对于个人来说较为重要的信息；设置安全等级较高的密码，如大小写和字符混合等。在道德层面上，网络运营商应该对网民的个人信息进行保密，若要公开，应告知用户个人信息的用途，并获取其同意。

在信息保护方面，比较典型的是美国与欧盟个人信息跨国流通安全协议的签订。安全协议包含七大原则，其中包括知情原则（信息收集者有义务告知信息主体其信息收集的目的以及信息的使用方向）、同意原则（信息控制者必须给予信息主体机会，以选择是否将其个人资料透露给第三方）、安全原则（信息控制者在整理、使用和传播个人信息时，必须采取有效的措施来确保个人信息不被滥用和泄露）。这个协议的内容在一定程度上为我国制定相应的个人信息保护措施提供了借鉴。

1.4 研究内容和方法

1.4.1 研究内容

第一章：绪论。介绍了选题背景和意义；分析了国内外对本课题的研究现状；讲述了课题研究的方法。

第二章：网络个人信息安全。主要是对相关概念的阐述，具体包括：个人信息（个人隐私）、信息安全、网络安全，以及网民对个人信息所拥有的权利和网络运营商对用户信息安全应尽的责任。

第三章：案例分析。通过网上交易造成的财产损失，以及iCloud遭攻击

攻击手段，并总结相应的防范措施。

第四章：网络个人信息保护。阐述了网络个人信息保护的意义，并分别从技术层面、法律层面、个人层面提出了防范建议。

1.4.2 研究方法

1、文献分析法

本课题的写作是建立在对相关知识的收集和理解上的。通过阅读图书馆资料和浏览网上资源对国内外文献进行收集和总结，进一步了解目前国内外个人信息及其安全的相关研究和现状。这些研究成果不仅为本论文提供了坚实的理论基础，在归纳、研究的基础上，更准确深刻地分析和认识问题，从而使文章更合理，层次更清晰。

2、案例分析法

本课题在对网络环境下信息泄露的原因和攻击手段的分析引用了相关案例。

第2章 网络环境下的个人信息及个人信息安全

2.1 概念阐述

2.1.1 个人信息

所谓个人信息，是指一切可以识别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面，即指有关个人的一切数据、资料。这些信息有些是其自身产生的，如年龄、收入、爱好等；有些是非自身产生的，如他人对该人的评价等。也可以根据其公开的程度将个人信息分为两类，一类是极其个人化、永远不能公开的个人信息，如信用卡号、财务状况等；另一类是在某些范围和一定程度上可以公开的个人信息，如姓名、性别等。

与“个人信息”相关的一个概念是“个人数据”（Personal Data）。所谓个人数据，是指标识个人基本情况的一组数据资料。从广义上说，一切有关个人的数据都属于个人数据的范畴。根据信息与数据两者之间的关系，一般认为个人数据属于个人信息的范围，个人信息包含了个人数据。

与“个人信息”相关的另一个概念是“隐私”，在《现代汉语词典》中，隐私是指不愿告人的或不愿公开的个人的事。严格按照法律的要求解释“隐私”，就是公民与公共利益无关的个人私生活秘密。它所包含的内容，就是私人信息、私人活动和私人空间。具体来说，诸如身高、体重、收入、生活经历、家庭电话号码、病患经历等等属于私人信息；私人活动是一切个人的、与公共利益无关的活动，如日常生活、社会交往、夫妻之间的两性生活等；私人空间也称为私人领域，是指个人的隐秘范围，如身体的隐秘部位、个人居所、旅客行李、学生书包、日记、通信等。从形式逻辑出发,“个人信息”和“个人隐私”是包含关系,即个人信息包含个人隐私,个人隐私是个人信息的下位概念,是个人信息的一部分。因此当与公共利益无关的个人信息，信息主体不愿公开时就成为隐私。之所以主张保护个人信息，也是因为其涉及到个人的隐私。

2.1.2 信息安全

信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不遭受偶然的或者恶意的破坏、更改、泄露，系统连续、

哈尔滨工业大学远程教育本科毕业设计（论文）

可靠、正常地运行，信息服务不中断，最终实现业务连续性。

信息安全主要包括以下五方面内容，即需要保证信息的保密性、真实性、完整性，以及未授权拷贝和所寄生的系统的安全性。其根本目的就是使信息不受内外部和自然等因素的威胁。为了保障信息安全，要求有信息源认证、访问控制，不允许有非法软件驻留，不能有未经授权的操作等行为。

2.1.3 网络安全

网络安全是指网络系统的硬件、软件以及系统中的数据受到保护，不遭受偶然的或者恶意的破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。

网络安全包括网络设备安全、网络软件安全和网络信息安全三个方面内容。从广义上来讲，凡是涉及到网络上信息的保密性、真实性、完整性、可用性和可控性的相关理论和技术都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

2.2 网络环境下的个人信息安全

2.2.1 网民对个人信息所拥有的权利

2.2.1.1 个人信息权

个人信息权，是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。其权利内容具体包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权。

第一，信息决定权。信息决定权，简称决定权，是指本人得以直接控制与支配其个人信息，并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用的权利。决定权集中反映了个人信息权的人格权属性——绝对性与支配性，在各项权利内容中居于核心地位。

第二，信息保密权。信息保密权，简称保密权，是指本人得以请求信息处理主体保持信息隐秘性的权利。

第三，信息查询权。信息查询权，简称查询权。是指本人得以查询其个人信息及其有关的处理的情况，并要求答复的权利。对信息的控制与支配，必须首先了解哪些个人信息被收集、处理与利用的情况，特别是在此过程中信息是否被保持完整、正确与适时。信息查询权是重要的当事人权利，除非因公益

第四，信息更正权。信息更正权，简称更正权，是指本人得以请求信息处理主体对不正确、不全面、不时新的个人信息进行更正与补充的权利。更正权具体包括：个人信息错误更正权，即对于错误的个人信息本人有更正的权利；个人信息补充权，即对于遗漏或新发生的个人信息，本人有补充的权利。个人信息更正权是本人要求对于过时的个人信息及时更新的权利。

第五，信息封锁权。信息封锁权，简称封锁权，是指在法定或约定事由出现时，本人得以请求信息处理主体以一定方式暂时停止信息处理的权利。该项请求权是依照公平信息使用原则建构的，根据该原则，在没有通知当事人并获得其书面同意之前，信息处理主体不可以将个人为某种特定目的所提供的资料用在另一个目的上。德国联邦《个人资料保护法》规定，所谓封锁，就是以限制继续处理和使用个人资料为目的而对个人资料加注特定“符号”。

第六，信息删除权。信息删除权，简称删除权，是指在法定或约定事由出现时，本人得以请求信息处理主体删除其个人信息的权利。

第七，信息报酬请求权。信息报酬请求权，简称报酬请求权，是指本人因其个人信息被商业性利用而得以向信息处理主体请求支付对价的权利。报酬请求权来源于 “信息有价”的社会观念，特定的信息处理主体必须在对信息控制、处理与利用前后向本人提供一定的报酬。

从性质上讲，个人信息控制权是人格权的一种，但它在客体、内容、行使方式等方面有别于传统的具体人格权(如隐私权、肖像权)，发挥着这些权利不可替代的作用，是个人信息保护法应该确认的一项新生的独立权利。

2.2.1.2 “被遗忘的权利”的提出

2011年3月12日，全国人大代表、湖北省统计局副局长叶青做客某访谈节目，在谈及网络虚拟社会管理时，他提出一个全新的观点：网民对个人信息应该拥有“被遗忘的权利”。

叶青说，现在互联网技术已经能够达到对个人登记的任何信息资料进行“人肉搜索”的程度。个人信息一旦发布到网络上，可能其终身所有东西都会永久留在上面，覆水难收。个人信息的外露，可能会遭到某一方或者某一人的“攻击”，一方面是无中生有的，另一方面则会对其真实的负面信息进行炒作。

据介绍，中国在这方面还没有较为明显的诉讼，但是国外已经开始有人向法院提出叫做“被遗忘的权利”的请求。叶青认为，一些个人信息到了一定时候就应该从网络上被删除，用一把科学的火烧掉。“这应该是一种权利，我有权希望自己的一些资料消失。”他说。

在网络环境下，个人信息更易被获取、修改和删除。个人信息安全更多的涉及到了计算机科学、网络通信技术、信息安全技术以及信息主体。因此，网络运营商有义务通过采取必要的措施和手段来保证消费者个人信息的安全。

（1） 网络运营商对个人信息收集和使用的合法性。运营商对网民个人信 息的收集应是建立在合理和合法的基础上，其有义务将使用的目的和使用权限告知网民，征得网民的同意，并且对网民个人信息的使用应限定在合理的范围之内，以维护网民的利益。

（2） 网络运营商对个人信息管理的可控性。运营商有义务采取可靠成熟 的技术和物理措施，积极有效地保证设备的稳定性和安全性，以防止因设备被攻击而导致网民个人信息被滥用、篡改和丢失。

（3） 网络运营商应保证网民个人信息内容的完整性。网民个人信息的完 整性包括网民个人信息内容的完整，其个人信息不会被非法的修改和删除。运营商还应保证其使用的网民个人信息与网民最新状态保持一致，以防止使用过期的网民个人信息给网民带来不良的影响。

（4） 网络运营商应保证个人信息使用的可查性。运营商对网民个人信息 的保管和使用有一个完整的记录，防止对个人信息的使用行为被否认，为个人信息事件的调查和处理工作提供可靠的依据[1]。

2.2.3 网络环境下个人信息的泄露

与个人信息安全相对应的一个词就是个人信息泄露。目前尚没有形成对个人信息泄露较为公认的概念。从语音上理解，个人信息泄露是指个人信息主体不愿被他人所知晓的个人信息被公开为他人所知晓。可以说，信息泄露是一种不正当的信息传播行为，网民个人信息的泄露不仅会带给其经济损失，还有可能带来精神上的不良影响。

[1] 郭玉梅.个人信息安全的风险规避[J].软件工程师，2011(Z1)：71-72

第3章 案例分析

3.1 网购中个人信息泄露造成财产损失

2014年4月14日，由中国电子商务研究中心主办的“中国电子商务投诉与维权公共服务平台”接到用户对天猫的投诉（如图3.1所示，为天猫店首

页）。

图3.1 天猫店首页

以下是杜先生投诉的部分内容：

我于2014年4月10日中午在天猫征途旗舰店购买了一个导航，第二天中午，某人冒充该店的客服人员，利用很多订单的详细资料骗取我997.50元。

以前在淘宝和天猫也曾购买过许多商品，都不曾有过资料泄露的问题，而在我购买了这款导航不到一天的时间内，骗子就获取到了我订单中手机号之类的详细资料。

随后询问该店的客服人员，其将泄漏客户资料的责任推卸给了淘宝平台，而淘宝平台又拒不承认，对我的投诉也不做任何的后续处理，只是让我无期限地等警方的追查结果。

……

据《2013年度中国电子商务用户体验与投诉检测报告》监测统计，淘宝网/天猫（主要是C2C集市卖家及商城部分品牌卖家）、腾讯电商（包括拍拍网、QQ网购、易迅网）、当当网、国美在线（包括原国美在线、库巴网）、1

梦芭莎、好乐买为“2013年度中国网络购物十大被投诉网站”。

3.1.1 消费者个人信息泄露原因

原因一：商家买卖消费者信息牟利。

在网购过程中，消费者的个人信息是具有商业价值的。因此就存在一些商家在未征得消费者同意的情况下，为了牟取自身的经济利益而将收集到的消费者的各方面个人信息卖给其他的需求者。或者商家会同跟其有合作关系的公司之间交换各自的消费者信息，从而掌握更多的其他消费者的个人信息。这样，由于每个商家的合作伙伴不会单单仅有一个，如果共享范围得不到有效控制的话，个人信息就极有可能被众多的商家知晓。

原因二：遭遇“木马”。

木马程序是非常危险的恶意程序，远程入侵用户的计算机终端，以种种隐蔽的方式窃取用户信息，控制用户终端。木马程序可以通过邮件和下载的软件等手段植入用户的计算机内，当服务端程序在用户终端成功运行后，就可以在服务端和控制端之间建立连接，从而控制被植入木马的用户终端。木马病毒会监视受感染计算机系统中正在访问的网页，如果发现用户正在登录某银行个人网上银行，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，并通过邮件将窃取到的信息发送出去。

3.1.2 网购过程中的防范措施

措施一：养成良好的上网习惯。

消费者在上网时，应该注意一些黑客站点和不良网站。可以通过菜单栏中的“工具”菜单项中的“安全”设置来警醒站点的屏蔽，防止这些站点对个人信息的侵犯。目前大型的电子商务网站在交易页面都应用了安全传输技术，交易页面的网址都是“https”开头，如果发现不是“https”开头，则应该谨慎对待。

需要定期清除缓存、历史记录以及临时文件夹中的内容。消费者在上网浏览信息时，浏览器会记录网购过程中所浏览的信息，这样下次访问同样的信息时就可以很快地到达目的页面，从而提高浏览效率。但同时浏览器的缓存、历史记录以及临时文件夹中的内容都保存了太多的个人上网记录，这些记录一旦被人利用都将对消费者的个人信息造成危害。

总而言之，网购需登录正规网站，并定期清除个人计算机内的个人信息记录。

2014年9月前后，黑客攻击了多位好莱坞女明星的iCloud帐号（如图3.2所示，为iCloud云上传），并且陆续在网上大量散布她们账号内储存的裸照。此次遭受黑客攻击的明星有Jennifer Lawrence、Victoria Justice、Emily Browning、Mary Elizabeth Winstead等人，这些照片最早出现在4Chan上，如今已经在Twitter上疯狂传播开来。

图3.2 iCloud

或许，iCloud并不像我们想象中的那么安全。Jennifer Lawrence和Mary Elizabeth Winstead已经确认了流出照片的真实性，Jennifer Lawrence的经纪公司表示，目前他们已经联系了相关部门，并将会起诉任何发布其被窃照片的人。

苹果尚未对此做出回应，但这并不是苹果第一次面临用户iCloud账号被黑的问题。此前就有黑客通过呼叫苹果客服中心，以社会工程学的方式盗取了前Gizmodo编辑Mat Honan的iCloud。虽然方式并不相同，但是随着iCloud的普及，越来越多的黑客开始注意到这一块。

iCloud是苹果公司所提供的云端服务，让用户可以免费储存5GB的资料。 iCloud将苹果音乐服务、系统备份、文件传输、笔记本及平板设备等有机地结合在了一起，而且联系非常紧密。在乔布斯看来，iCloud是一个与以往云计算不同的服务平台，苹果提供的服务器不应该只是一个简单的存储介质，它还应该带给用户更多。

简而言之，iCloud平台可以将你的个人信息存储到苹果的服务器，通过连接无线网络，这些信息会自动推送到你手中的每个设备上，这些设备包括iPhone、iPod Touch、iPad，甚至是Mac电脑。

3.1.2 黑客攻击iCloud的手段

手段一：攻击Find My Phone功能漏洞。

利用安全研究专家Alexey Troshichev开发的开源免费工具iLoot，这个工具以其成功在Find My iPhone软件中发现漏洞而闻名。黑客此前使用的破解软件是在网上出售的，而iLoot则可在社交编程及代码托管网站GitHub上免费获取。在

iLoot于9月上线以后，黑客开始使用这个工具来入侵iCloud账号。iLoot使用“命令行界面”，这意味着黑客只需敲入几行代码命令即可操纵这个工具。如图3.3所示：

图3.3 Python脚本

会向用户发出警告。

据The Next Web报道，该脚本被放到了GitHub上，并且严重归咎于Find My Phone服务竟然没有对密码尝试次数做出限制。一旦账号密码被破除，黑客就能够肆意访问苹果所提供的全部服务。不过，苹果已紧急将尝试上限设定为五次，脚本作者也证实苹果已封堵上这一漏洞。

据脚本作者（Twitter用户）Hackapp所述，该漏洞“在所有提供很多认证接口的服务中普遍存在”，而攻击者只需掌握简单的嗅探知识和反向技巧就能得逞。

但是，尽管该脚本的出现时间与女星隐私照的泄露时间相同，目前仍没有任何直接证据表明两件事之间的必然联系，苹果公司也尚未对此事发表言论。

手段二：撞库。

所谓“撞库”就是指黑客通过收集网络上已经泄露的用户名及密码信息，生成对应的“字典表”，到其它网站尝试批量登录，得到一批可以登录的用户名及密码。

“照片泄露的根本原因或在于云服务的账号被盗。”360安全专家安扬对《第一财经日报》记者表示，黑客可以利用“撞库”的方式进行盗号，此外，网络运营商的用户数据库泄露也可能导致所有用户都面临盗号风险。

一些安全性较差的非关键业务网站，曾因管理不善或安全漏洞而泄露大量用户账户数据，其中密码字段未做加密处理，或者仅做简单加密而易被离线破解。部分用户为图省事，在各网站使用相同的用户名和密码，一个账号泄露，就意味着所有相同账号都被泄露，其中可能包括网上银行密码或iCloud等敏感服务密码。黑客入侵一些安全性较差的网站，窃取用户注册邮箱和密码后，在iCloud等重要网站或服务上尝试登录，从而导致了iCloud中个人隐私泄露。

手段三：社会工程攻击。

社会工程攻击，是一种利用“社会工程学”来实施的网络攻击行为。

社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当

哈尔滨工业大学远程教育本科毕业设计（论文）

的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点，如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。

近年来，更多的黑客转向利用人的弱点，即社会工程学方法来实施网络攻击。利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。

Gartner集团信息安全与风险研究主任Rich Mogull认为：“社会工程学是未来10年最大的安全风险，许多破坏力最大的行为是由于社会工程学，而不是黑客或破坏行为造成的。”一些信息安全专家预言，社会工程学将会是未来信息系统入侵与反入侵的重要对抗领域。

Kevin Mitnick出版的《欺骗的艺术》(The Art of Deception)堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法，这些方法并不需要太多的技术基础，但可怕的是，一旦懂得如何利用人的弱点，如轻信、健忘、胆小、贪便宜等，就可以轻易地潜入防护最严密的网络系统。他曾经在很小的时候就能够把这一天赋发挥到极致，像变魔术一样，不知不觉地进入了包括美国国防部、IBM等几乎不可能潜入的网络系统，并获取了管理员特权。

最近流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等，都是近来社会工程学的代表应用。

社会工程攻击不是传统的信息安全的范畴，也被称为 “非传统信息安全”(Nontraditional Information Security)。

传统信息安全办法解决不了非传统信息安全的威胁。一般认为，解决非传统信息安全威胁也要运用社会工程学来反制社会工程攻击。中网S3主机安全系统，利用社会工程学来反制社会工程攻击。具体的方法就是向用户提供充分的反馈信息，让用户能够做出准确的判断，避免上当，并且增加更多的控制机制，即使在错误决策的情况下，也能防止社会工程攻击的发生。

3.1.3 针对iCloud的防范措施

措施一：苹果官方已及时补漏，设置了密码输入次数上限；同时自2014年10月9日（美国当地时间）起，iCloud登录将启用两步验证机制。如图3.4所示：

图3.4 苹果向用户发出的邮件通知

措施二：为了防范“撞库”攻击，网民应避免给自己配“万能钥匙”，区分各方账号和密码。

措施三：针对社会工程攻击，若不想成为受害者，请牢记以下几点：

（1） 当心从个人发出的询问员工，或其它内部资料来路不明的电话、访 问或者电子邮件信息。如果一个陌生人声称来自某合法机构，请设法直接向该机构确认他的身份。除非你能够确定某人有权得到此类资料，否则不要提供任何个人信息或者你所在机构的信息给他。

（2） 不要在电子邮件中泄露个人隐私或财务方面的信息，不要回应征求

（3） 在确认某网站的安全性之前不要在网络上发送机密信息。注意网站 的URL地址，恶意网站可以看起来和合法网站一样，但是它的URL地址可能使用了修改过的拼写或域名（例如：将.com变为.net）。

措施四（根本解决办法）：增强个人保护意识，杜绝在有联网功能的设备上拍摄私密照，保护个人隐私。

第4章 网络个人信息保护

4.1 网络个人信息保护的意义

网络个人信息保护仅仅是“冰山一角”，若只局限于个人信息安全未免太过狭隘。无论是从技术设备上，还是个人意识上，都折射出网络安全的问题。加强保护网络个人信息不仅是保护网民的个人隐私，保障公民的合法权益，也对规范网络活动，维护网络秩序起到了不可小觑的作用，更是奠定了国家安全的基础。

4.2 网络个人信息保护措施

谈及网络个人信息安全的保护，除了第三章中针对典型案例列举的几种防范措施以外，以下主要从技术层面、法律层面和个人层面阐述如何保护个人信息安全。

4.2.1 技术层面

技术措施主要是针对网络开发商和运营商而言。为了保护网民的个人信息安全，站点不但应向用户发送提示信息，而且还应提供更高级的隐私保护控制方法，利用各种安全技术来保护用户的个人信息不被未经授权的访问或使用。因此，努力开发更先进的网络技术，提高网络的安全性，也是保护网络个人信息安全不容忽视的一个方面。以下介绍几种成熟的安全技术：

（1） 加密技术

数据加密技术被认为是最为有效的一种安全保障形式。它采取的是主动 安全防范策略，能够较好地保证信息的机密性。数据加密就是按照确定的密码算法将一些较为敏感的明文数据转换成难以识别的密文数据。当需要查看加密文件时，可使用密钥将密文数据还原成明文数据。除了密钥加密技术外，还有数据加密技术，包括链路加密技术和节点加密技术。数据的加密可以防止第三方获得真实的数据，但是并不能解决由于社会原因所引起的通信双方之间的纠纷问题。如发送者事后不承认已发送过的文件；接收者伪造一份来自发送者的文件；接收者私自修改接收到的文件；网络中某一用户冒充发送者或接收者。

（2） 防火墙技术

加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络（被保护网络）。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。防火墙是设置在可信任的内部网络和不可信任的外界之间的一道屏障，来保护信息网络资源和用户的声誉，使一个网络不受来自另一个网络的攻击。但是，防火墙存在一定的局限性，由于防火墙依赖于口令，所以防火墙不能防范黑客对口令的攻击。

4.2.2 法律层面

法律措施主要是针对政府和执法部门而言。通过法律手段保护个人信息安全的关键不在于法律法规的出台，而在于网民如何行使自己的权力来积极主动的维护自身利益。前不久，备受争议的“被遗忘的权利”的调查结果引来了广泛关注——“被遗忘的权利”真的能保护个人网上信息吗？

调查背景：前不久，欧盟法庭作出判决称“欧洲用户可要求谷歌从搜索结果中删除过时、错误、敏感的信息”。这一判决源自于一位西班牙用户向地方数据保护机构控诉谷歌出现其二手房拍卖信息。普通网民个人数据保护的一场胜利，却让谷歌面临着耗费大量资源应对未来庞杂的诉求，甚至是改变互联网检索方式的一场噩梦。

调查结果：

好奇或是认真，近七成被调查者上网搜索过个人信息，如图4.1所示。即时通信、电子邮件、网上购物等应用对日常生活的渗透，吃穿住行等社会生活向互联网的延伸，这些必然会强化人们线上线下身份的关联度。通过姓名、学校、工作单位等关键词在网上搜索到个人信息也不足为奇。搜索内容、线上线下身份的契合度等差别会产生直接相关、间接相关或模糊相关的搜索结果。如果说有条件的“删除用户信息”是个人信息保护的举措，是否适用于我们的网民？

图4.1 上网搜索个人信息[1]

网民对“被遗忘的权利”持理性态度。逾七成被调查者赞同删除用户信息的判决，用户有权决定保留哪些信息是对个人信息的保护，用户认为并证实是他人恶意发布的信息应当予以删除。12.44%的被调查者表示删除个人网上信息的诉求会诱发掩盖事实、申诉混乱、判定失妥等危机，如图4.2所示。呼吁个人信息保护的网民对“被遗忘的权利”并未表现出“一边倒

”的态度倾向。

图4.2 网民对“删除用户信息”判决的态度

[1]

[1] 数据来源：《关于“删除个人信息”的调查》，中国互联网调查社区http://h.cnnicresearch.cn/

调查者中，大学本科及以上人群占比54.96%，固定职业者占比79.92%，如图

4.3所示。相比较低学历、非职业人群，高学历和固定职业人群在学习、工作、生活方面对互联网的应用范围更广、程度更深，个人信息向网络的延伸或是不可避免、或是不可控制。不可避免的个人网络信息被复制或滥用便转化为不可控制的曝光，网民对“填写个人真实信息”

必然产生疑虑，自我保护意识也会被强化。

图4.3 赞同“删除用户信息”人群的职业/学历分布[1]

大数据时代下的互联网发展不可抵挡，金融、医疗、教育、通讯、交通及政府机构等与社会生活息息相关的各行各业无不需要采集个人信息作为备案或准入要求。人们在使用互联网创造价值的同时，也向其输入个人信息。网络虚拟性打破了个人隐私的时间和空间界限，使得技术滥用与道德败坏对个人信息的侵害更加无底线：监看电子邮件、盗取账号密码及其它非法获取、利用他人信息的网络窥探；消费者的购物习惯、喜好、经济状况等信息在其不知情的情况下经由数据处理形成商业价值资料??

中国互联网络信息中心分析师阿丽艳认为，单纯的技术手段并不能完全保障网民“被遗忘的权利”，个人信息保护的关键在于互联网法律法规的制定及完善，更重要的是网民个人信息保护意识的培养及强化。技术与机制保障是宏[1] 数据来源：《关于“删除个人信息”的调查》，中国互联网调查社区http://h.cnnicresearch.cn/

助，外环与内环紧密结合才能逐渐缩小信息保护的灰色地带。

4.2.3 个人层面

加强网民对个人信息的保护意识是维系网络信息安全的根本，就像唯物辩证法中所述：内因是决定事物发展的根本原因。具体措施如下：

（1） 具有联网功能的移动设备需安装使用正版安全软件，预防和查杀木 马病毒；

（2） 登录正规网站并核实其域名和安全证书后再进行敏感操作（涉及财 产和隐私等）；

（3） 不同账户设置不同密码，密码复杂度要高，并定期更换密码；

（4） 好奇害死猫，看到新奇的内容要谨慎勿入，避免钓鱼陷阱；

（5） 一些敏感的涉及隐私的个人信息（如“艳照”等），不要同步备份 到云端服务，谨防遭遇黑客攻击造成不必要的隐私泄露，而最稳妥的措施就是不在具有联网功能的移动设备上储存一切个人信息。

结 论

本文主要通过网上交易造成的财产损失，以及iCloud遭攻击导致的隐私泄露，这两大典型案例对网络环境下个人信息泄露的主要攻击手段和相应的防范措施进行分析总结。意在明确网络安全的现状，加强网民个人信息的保护意识。

参考文献

[1] 高晨.聚焦信息安全2014中国互联网大会举行.2014-8-28. http://www.chinahightech.com/html/1830/2014/0828/13374778.html

[2] 齐爱民.论个人资料[J].法学，2003（8）：80-85

[3] 田桂兰.网络环境下个人信息安全问题及其保护[J].信息化建设，2007（6）

[4] 查先进.信息政策与法规[M].科学出版社，2004

[5] 李飞，陈艾东.信息安全理论与技术[M].西安电子科技大学出版社，2010

[6] 王春东.信息安全管理[M].武汉大学出版社，2008

[7] 冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用，2001（1）:8-13

[8] 林柏钢.网络与信息安全教程[M].机械工业出版社，2004

[9] 郭玉梅.个人信息安全的风险规避[J].软件工程师，2011(Z1)：71-72

[10] 颜祥林.网络环境下个人信息安全与隐私问题的探析[J].情报科学，2002

（9）

[11] 梅绍祖.个人信息保护的基础性问题研究[J].苏州大学学报（哲学版），2005（2）

[12] A.F.Westin.privacy and Freedom,Atheneum.New York, 1967

[13] K.B.Sheehan,M.G.Hoy.Dimensions of privacy concern among online consumers [J].Journal of Public & Marketing,2009,19(1)

[14] Alexandra J.Campbell Relationship marketing in consumer markets [J].Journal of Direct Marketing,1997,11(3)

致谢

在本论文的写作过程中，我的指导教师方连众从开题报告到终稿提交，每个阶段都会提醒我完成提交的时间点要求，并且在整篇文章结构和语言措辞修改等方面给予了无私诚恳的帮助，在此谨致以最衷心的感谢！

网络个人信息安全探析

分类：计算机论文 > 计算机网络论文 发布时间：2009-6-21 11:50:00 浏览：30488 次

数码购物 超级本本降价风暴

华夏大地教育网注册

2010自考网络习题讲练班热招 辅导串讲班

自考公共课、专业课课程列表

摘要：网络的普及，可以使人们更快捷地共事信息和利用信息，但是，随之而来的网络个人信息安全问题，越来越引起人们的担忧和重视，探析了网络个人信息安全的现状，在此基础上，提出了解决此问题的法律和技术措施。

关键词：网络；个人信息安全；信息窃取；“地下经济”

1 情况分析

“信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息

滞后、信息不完善等，以及由此带来的风险。具体的表现有：窃取商业机密；泄漏商业机密；

篡改交易信息，破坏信息的真实性和完整性；接收或发送虚假信息，破坏交易、盗取交易成

果；伪造交易信息；非法删除交易信息；交易信息丢失；病毒破坏；黑客入侵等。”

目前，一个突出问题是网络上个人信息的丢失和被非法窃取。2009年3月15日，央视315晚会曝光了海量信息科技网盗窃个人信息的实录，给国人极大震惊。“海量信息科技网，全国各地的车主信息，各大银行用户数据，甚至股民信息等等，这个网站一应俱全，而

且价格也极其低廉。我们仅仅花了100元就买到了1000条各种各样的信息，上面详细记录

了姓名、手机号码、身份证号码等等，应有尽有。如果说上面这些信息你觉得还不够全面，

接下来的这个木马程序一定会让你心惊肉跳，种了这种木马后，电脑会在你毫不知情的情况

下在网上随意任人摆布。”这个事件典型的反映在信息化时代高速发展的今天，个人信息安

全问题的解决提上日程已是刻不容缓。

其实，在2007年12月17日的《瞭望新闻周刊》杂志的热点观察上，就发表了一篇题

为《解密网络黑色产业链》的文章，指出“互联网的?地下经济?已经组织化、规模化、公开化，制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱，分工明确。形成了一个非常

完善的流水性作业的程序。病毒制售传产业链上的每一环都有不同的牟利方式。据不完全统

计，?灰鸽子?病毒程序直接售卖价值就达2000万元以上，用于窃取账号等的幕后黑色利益

可想而知。”

随着网上交易和电子商务的发展，个人信息网上流通日益频繁，加上“产业化的一个明显标志是病毒制造者从单纯的炫耀技术，转变为以获利为目的。前者希望病毒尽量被更多人

知道，而后者希望最大程度地隐蔽以更多地获利”，而且，目前国内对于这方面并无专门的法律予以裁制，因此，网络上个人信息安全问题已经日益凸显。

2 应对措施

2.1 法律措施

据了解，目前的《计算机信息网络国际联网安全保护管理办法》中规定，制造和传播病

毒是违法的，但是对于木马、黑客程序等并没有清晰的界定，这也是?灰鸽子?等木马程序制

造者敢于利用网络公开叫卖的根本原因。此外，目前在打击新形式犯罪中还存在着立案难、

取证难、定罪难等难题。黄澄清说，面对黑色病毒产业链，必须站在维护国家安全和促进中

国互联网健康快速发展的高度来保障网络安全，建立网络安全国家应急体系，加大对网络安

全领域犯罪的打击，完善立法。

从个人来说，很多网络个人信息安全问题的产生，一方面是利益的驱动，但是另一个很

重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁，并且被侵权

者也不能够借助法律的武器有效的保护自己的利益，这就更加助长了侵权行为的发生。从我

国经济发展趋势来说，经济发展和信息发展联系愈益紧密，必须加快法治建设水平，使之适

应我国经济快速发展的需要。

在实践层面上：“一是要准确界定利用网络技术犯罪案件的管辖范围，这样有利于划清

国家安全公安、检察、法院等单位的职责#打击违法犯罪!二是针对当前利用网络技术犯罪的独特特点和发展趋势，制定一套完整的法律，如制定《国家网络安全法》等，并在实践中加

以完善!三是对各类利用电脑犯罪的立案标准，应有明确的司法解释。以便于基层安全、司

法部门操作，保证查办工作的顺利进行!”

2.2 自我保护措施

防患于未然，自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须

输入个人信息才能登录的网址或完成操作时，我们输人的个人数据必须限于最小的范围，并

且，妥善保管自己的口令、帐号密码，并不时修改。其次，谨慎注意该网站是否有针对个人

数据保护的声明和措施，对那些可以匿名登录的网站要坚决匿名登录。最后，对于移动存储

设备，因其传染病毒的可能性加大，因此，要选择相对比较保险的移动存储设备。如选用趋

势维C片，它“价格更加便宜，更重要的趋势科技将独有的安全存储扫描引擎植入到u盘中，

而不只是将杀毒软件向u盘简单复制。也正因为此，趋势维C片具备个人防火墙，防间谍软件防网络欺诈。漏洞检查、垃圾邮件过滤、家长控制、专用网络控制、无线网络安全等其

它所谓杀毒u盘产品所不具备的功能。”

2.3 技术保护措施

2.3.1 网络防火墙技术

防火墙主要是用来隔离内部网和外部网，对内部网的应用系统加以保护。目前的防火墙

分为两大类：一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系

统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、

所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和

代理服务器，可针对特别的网络应用服务协议及数据过滤协议，并且能够对数据包分析并形

成相关的报告。

2.3.2 采用安全通信措施，保障个人数据的传输安全

为保证数据传输线路的安全，可将集中器和调制解调器放在受监视的地方，定期检测是

否有搭线窃听、外连或破坏行为。通过路由选择控制来限制某些不安全通路。也可采用鉴别

技术来鉴别通信方的实体身份和特权，常用的方法有报文鉴别，数字签名和终端识别。此外，

还可以通过加密算法来实现数据的加密，例如美国数据加密标准DES和因特网免费提供的PGP系统。

2.3.3 加强对用户的管理

在网上银行管理中，身份验证和访问授权是网上管理用户的基本措施。口令、安全帐号

和密码是最常用的验证，可以通过采用加长口令，使用较大字符集构造口令、限制用户键人

口令次数及用户注册时间等方法来保证用户登录的安全性，或通过采用访问授权来控制或限

制用户对资源的利用。

2.3.4 加强对病毒的测控

网络个人信息主要是由病毒和木马进行窃取，病毒对计算机系统的危害最大，为防止计

算机病毒和木马的危害，可以通过限制软盘的拷贝进入；采用集中式防病毒管理模式，对整

个局域网中所有节点实行集中管理和控制，通过各种检测方法(特征码扫描、完整性检查、变形分析、推断分析等)检测病毒，自动进行特征码更新，实时清除病毒。

网络个人信息安全探析_论文

网络个人信息安全探析

摘要:网络的普及～可以使人们更快捷地共事信息和利用信息～但是～随之而来的网络个人信息安全问题～越来越引起人们的担忧和重视～探析了网络个人信息安全的现状～在此基础上～提出了解决此问题的法律和技术措施。

关键词:网络,个人信息安全,信息窃取,?地下经济?

1 情况分析

?信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等～以及由此带来的风险。具体的表现有:窃取商业机密,泄漏商业机密,篡改交易信息～破坏信息的真实性和完整性,接收或发送虚假信息～破坏交易、盗取交易成果,伪造交易信息,非法删除交易信息,交易信息丢失,病毒破坏,黑客入侵等。?

目前～一个突出问题是网络上个人信息的丢失和被非法窃取。2017年3月15日～央视315晚会曝光了海量信息科技网盗窃个人信息的实录～给国人极大震惊。?海量信息科技网～全国各地的车主信息～各大银行用户数据～甚至股民信息等等～这个网站一应俱全～而且价格也极其低廉。我们仅仅花了100元就买到了1000条各种各样的信息～上面详

1 / 6

细记录了姓名、手机号码、身份证号码等等～应有尽有。如果说上面这些信息你觉得还不够全面～接下来的这个木马程序一定会让你心惊肉跳～种了这种木马后～电脑会在你毫不知情的情况下在网上随意任人摆布。?这个事件典型的反映在信息化时代高速发展的今天～个人信息安全问题的解决提上日程已是刻不容缓。

其实～在2017年12月17日的《瞭望新闻周刊》杂志的热点观察上～就发表了一篇题为《解密网络黑色产业链》的文章～指出?互联网的‘地下经济’已经组织化、规模化、公开化～制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱～分工明确。形成了一个非常完善的流水性作业的程序。病毒制售传产业链上的每一环都有不同的牟利方式。据不完全统计～‘灰鸽子’病毒程序直接售卖价值就达2000万元以上～用于窃取账号等的幕后黑色利益可想而知。?

随着网上交易和电子商务的发展～个人信息网上流通日益频繁～加上?产业化的一个明显标志是病毒制造者从单纯的炫耀技术～转变为以获利为目的。前者希望病毒尽量被更多人知道～而后者希望最大程度地隐蔽以更多地获利?～而且～目前国内对于这方面并无专门的法律予以裁制～因此～网络上个人信息安全问题已经日益凸显。

2 应对措施

2 / 6

法律措施

据了解～目前的《计算机信息网络国际联网安全保护管理办法》中规定～制造和传播病毒是违法的～但是对于木马、黑客程序等并没有清晰的界定～这也是‘灰鸽子’等木马程序制造者敢于利用网络公开叫卖的根本原因。此外～目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。黄澄清说～面对黑色病毒产业链～必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障网络安全～建立网络安全国家应急体系～加大对网络安全领域犯罪的打击～完善立法。

从个人来说～很多网络个人信息安全问题的产生～一方面是利益的驱动～但是另一个很重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁～并且被侵权者也不能够借助法律的武器有效的保护自己的利益～这就更加助长了侵权行为的发生。从我国经济发展趋势来说～经济发展和信息发展联系愈益紧密～必须加快法治建设水平～使之适应我国经济快速发展的需要。

在实践层面上:?一是要准确界定利用网络技术犯罪案件的管辖范围～这样有利于划清国家安全公安、检察、法院等单位的职责#打击违法犯罪!二是针对当前利用网络技术犯罪的独特特点和发展趋势～制定一套完整的法律～如制定

3 / 6

《国家网络安全法》等～并在实践中加以完善!三是对各类利用电脑犯罪的立案标准～应有明确的司法解释。以便于基层安全、司法部门操作～保证查办工作的顺利进行!? 自我保护措施

防患于未然～自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须输入个人信息才能登录的网址或完成操作时～我们输人的个人数据必须限于最小的范围～并且～妥善保管自己的口令、帐号密码～并不时修改。其次～谨慎注意该网站是否有针对个人数据保护的声明和措施～对那些可以匿名登录的网站要坚决匿名登录。最后～对于移动存储设备～因其传染病毒的可能性加大～因此～要选择相对比较保险的移动存储设备。如选用趋势维C片～它?价格更加便宜～更重要的趋势科技将独有的安全存储扫描引擎植入到u盘中～而不只是将杀毒软件向u盘简单复制。也正因为此～趋势维C片具备个人防火墙～防间谍软件防网络欺诈。漏洞检查、垃圾邮件过滤、家长控制、专用网络控制、无线网络安全等其它所谓杀毒u盘产品所不具备的功能。?

技术保护措施

网络防火墙技术

防火墙主要是用来隔离内部网和外部网～对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的

4 / 6

包过滤技术～它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑～检查数据流中每个数据包后～根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器～可针对特别的网络应用服务协议及数据过滤协议～并且能够对数据包分析并形成相关的报告。

采用安全通信措施～保障个人数据的传输安全

为保证数据传输线路的安全～可将集中器和调制解调器放在受监视的地方～定期检测是否有搭线窃听、外连或破坏行为。通过路由选择控制来限制某些不安全通路。也可采用鉴别技术来鉴别通信方的实体身份和特权～常用的方法有报文鉴别～数字签名和终端识别。此外～还可以通过加密算法来实现数据的加密～例如美国数据加密标准DES和因特网免费提供的PGP系统。

加强对用户的管理

在网上银行管理中～身份验证和访问授权是网上管理用户的基本措施。口令、安全帐号和密码是最常用的验证～可以通过采用加长口令～使用较大字符集构造口令、限制用户键人口令次数及用户注册时间等方法来保证用户登录的安全性～或通过采用访问授权来控制或限制用户对资源的利用。

加强对病毒的测控

网络个人信息主要是由病毒和木马进行窃取～病毒对计

5 / 6

算机系统的危害最大～为防止计算机病毒和木马的危害～可以通过限制软盘的拷贝进入,采用集中式防病毒管理模式～对整个局域网中所有节点实行集中管理和控制～通过各种检测方法(特征码扫描、完整性检查、变形分析、推断分析等)检测病毒～自动进行特征码更新～实时清除病毒。

6 / 6

转载请注明出处范文大全网 » 大数据时代社交网络个人信息安全问题