黄琼主讲《信息化时代的个人信息保护》 南方工报全媒体记者 郗建新/摄
南方工报讯(全媒体记者彭新启 通讯员王娅)身处信息技术高速发展的时代,如何保护好个人信息?9月21日上午,华南农业大学数学与信息学院副院长、教授黄琼结合最近两年信息安全事件案例,从信息安全现状、信息泄露的四大渠道、国际国内关于信息安全方面的法律法规三方面,给“广东职工大讲堂”的现场听众带来了一堂深入浅出的“攻略课”。
省总工会副巡视员李和森,省委网信办综合法规处处长余世才,广东南华工商职业学院党委委员、副院长王学真出席活动。省总工会、南方报业传媒集团、广东南华工商职业学院学生代表以及部分女职工代表近180人到场聆听讲座。
谈现状:信息安全威胁手段不断升级
“有人说,信息时代干什么最赚钱?盗取、贩卖个人信息最赚钱!”黄琼一开场便引用了一张网络漫画描述信息保护的重要性。“在信息技术高速发展的新时代,每隔一两年就有很多新的技术被应用。”他认为,信息技术给人们工作、学习、生活带来便利的同时,其技术本身也存在安全问题。
“当初设计互联网时,只考虑了其功能性的市场需求。”黄琼直言不讳地说,由于缺乏监管措施,使得信息安全事件频发。当下,如何确保网络安全、网络可用性、网络个人信息隐私性、如何做好访问控制是网络安全技术人员不可回避的一道考题。
“近年来,信息技术改变了人们的生活方式,这种积极的影响不用置疑。”黄琼说,它产生的影响不仅涉及政府机构、金融机构,还包括商业业态、企业及个人生活。在金融和商业方面,黄琼举例称,移动客户端支付、微信支付、支付宝支付就是很好的证明。人们在享受信息技术带来便利的同时,也存在安全威胁。“从上世纪八十年代到现在,安全威胁手段已在不断升级。”黄琼表示,从起初最简单的密码猜测、密码破解到蠕虫和病毒、网络爬虫、DDOS攻击,面对无线应用伪基站威胁、手机病毒、手机监听、钓鱼Wifi等日趋多元化的安全威胁,人们都应引起高度警惕。
谈防范:个人信息泄露主要有四大渠道
“日常生活中,人们信息主要通过移动互联网手机客户端、物联网、云计算、大数据等四大渠道发布,而这四大渠道便是个人信息泄露的路径。”黄琼结合个人从业经验总结认为,而这四大渠道的信息安全泄露都可找到防范措施和方法。
移动互联网安全方面,主要包括手机勒索软件施虐、安卓平台漏洞频出、智能控制潜在风险、骚扰短信诈骗电话等四项内容。黄琼举例介绍,在各类安卓应用程序中,每一个安卓程序都会获取手机终端的权限,包括拨打电话、访问通讯录、获取位置信息等,其中有一个核心隐私权限便是手机客户端已安装的各类APP都会获取,那就是读取位置信息。黄琼提醒现场听众说:“超过60%的安卓程序都会获取用户所在的GPS定位信息。”他认为,对于没有必须获取位置信息的APP,可以通过设置将获取位置信息的权限设置为关闭状态。
“自从勒索病毒开始疯狂传播之后,很多高校、政府机构专网、银行,甚至连中石油的加油站都相继被勒索病毒攻陷。”黄琼表示,这次全球性的网络攻击看成史上最大勒索软件攻击,一天之内全球有近百个国家和地区受到攻击。如何有效防止勒索病毒的攻击?黄琼介绍说,要及时关闭455端口的访问,升级防火墙,打上相应的补丁。尤其是使用操作系统的时候,要及时更新操作系统的补丁,及时做好相关防御措施。此外,还要及时进行多地、多媒介备份数据。
“今年上半年,中国用户所标记的骚扰电话数量每个月都在500万次上下。”黄琼表示,通过360安全软件所拦截的骚扰电话数量也是呈逐月上升的趋势。黄琼提醒现场听众,造成电话号码泄露的主要问题在下载APP时填写了各种个人信息,建议到手机生产商官网下载安卓应用程序,有效避免个人信息安全泄露。
“个人信息泄露还体现在丢失手机、更换手机之时,被相关商家以及其他不法分子利用。”黄琼建议,用户可打开微信“钱包”页面,找到“支付安全”,点击“钱包锁”,以多种方式对微信钱包加锁,支付之前要有相应的手段解开锁才能支付,保证财产安全。对于手机使用年限不长且需更换时,应及时清理原有手机存储的信息,以免二手手机回收商利用各种工具盗取个人信息,将个人照片、通讯录、聊天记录等数据拿出来卖钱。
“物联网安全是以网络链接的方式,将我们身边的各种物体连接起来,形成一张更大的网络。”黄琼表示,物联网可应用到农业、工业、军事、消防、环境保护、公共安全等各个领域,将智能硬件设备投入到各个经济业态活动中。黄琼举例认为,在使用智能家居设备时,需要做到以下几点:一是坚持每一台智能设备使用不同的密码,都要将默认密码改掉。而是首次登陆账号与设备绑定,可强制用户修改初始密码。三是定期提醒用户更改密码,提供异常登陆提示。
在云计算安全方面,黄琼认为,可采取可信访问控制、密文检索与处理、数据存在与可使用性证明、数据隐私保护等措施进行个人信息安全保护。黄琼提醒现场听众,在使用云计算服务器的时候,对于个人信息的关键数据不要轻易上传,特别是涉及个人隐私数据、工作商业机密数据等。如果必须要使用云服务器的话,可以将文档先加密,自己将加密密钥保存好,这样即使云服务器被黑客入侵,拿到的数据也是加密以后的版本,没有密钥就无法做解密。
谈法律:信息安全保护任重道远
“今年5月份,欧盟推出了《GDPR》,是一个非常重要的法律条例,用户要同意这些网站收集相应的信息,如果用户不同意就不能收集。”黄琼表示,对于个人信息安全保护方面,欧盟、英国、美国、俄罗斯、澳大利亚、菲律宾等国家都制定了与网络安全有关的法律法规。其实,中国在国家宪法、刑法、民法、诉讼法、行政法律相关条例均有部分条款对个人信息安全予以法律保护。比如,去年3月份通过的《民法总则》规定:“自然人的个人信息受法律保护,任何组织和个人需要获取他人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开个人信息。”
黄琼介绍说,2017年6月1日起施行的《网络安全法》,其中也有相应的条款对个人信息进行保护。“目前,我国还没有专门的法律保护用户的个人隐私,个人信息安全保护工作任重道远,未来还有很长的路要走。”
“工人在线”责编:李冠杰
同一单位在编的员工以干部和职工身份划分购买一类事业单位机关险和企业保险,是什么明文规定?
广东职工大讲堂第39场,华农教授黄琼结合信息安全事件案例,从信息安全现状、信息泄露的四大渠道、国际国内关于信息安全方面的法律法规三方面,给听众带来了一堂深入浅出的“攻略课”。
3月30日上午,南方传媒大厦四楼报告厅内,著名山水画家、广东省博物馆藏品管理与研究部研究员罗兵做客职工大讲堂,“以文化视野的介入,谈中国山水画”。