如何保护好个人信息？华农教授黄琼给职工上了堂“攻略课”

黄琼主讲《信息化时代的个人信息保护》  南方工报全媒体记者 郗建新/摄

　　南方工报讯（全媒体记者彭新启 通讯员王娅）身处信息技术高速发展的时代，如何保护好个人信息？9月21日上午，华南农业大学数学与信息学院副院长、教授黄琼结合最近两年信息安全事件案例，从信息安全现状、信息泄露的四大渠道、国际国内关于信息安全方面的法律法规三方面，给“广东职工大讲堂”的现场听众带来了一堂深入浅出的“攻略课”。

　　省总工会副巡视员李和森，省委网信办综合法规处处长余世才，广东南华工商职业学院党委委员、副院长王学真出席活动。省总工会、南方报业传媒集团、广东南华工商职业学院学生代表以及部分女职工代表近180人到场聆听讲座。

　　谈现状：信息安全威胁手段不断升级

　　“有人说，信息时代干什么最赚钱？盗取、贩卖个人信息最赚钱！”黄琼一开场便引用了一张网络漫画描述信息保护的重要性。“在信息技术高速发展的新时代，每隔一两年就有很多新的技术被应用。”他认为，信息技术给人们工作、学习、生活带来便利的同时，其技术本身也存在安全问题。

　　“当初设计互联网时，只考虑了其功能性的市场需求。”黄琼直言不讳地说，由于缺乏监管措施，使得信息安全事件频发。当下，如何确保网络安全、网络可用性、网络个人信息隐私性、如何做好访问控制是网络安全技术人员不可回避的一道考题。

　　“近年来，信息技术改变了人们的生活方式，这种积极的影响不用置疑。”黄琼说，它产生的影响不仅涉及政府机构、金融机构，还包括商业业态、企业及个人生活。在金融和商业方面，黄琼举例称，移动客户端支付、微信支付、支付宝支付就是很好的证明。人们在享受信息技术带来便利的同时，也存在安全威胁。“从上世纪八十年代到现在，安全威胁手段已在不断升级。”黄琼表示，从起初最简单的密码猜测、密码破解到蠕虫和病毒、网络爬虫、DDOS攻击，面对无线应用伪基站威胁、手机病毒、手机监听、钓鱼Wifi等日趋多元化的安全威胁，人们都应引起高度警惕。

　　谈防范：个人信息泄露主要有四大渠道

　　“日常生活中，人们信息主要通过移动互联网手机客户端、物联网、云计算、大数据等四大渠道发布，而这四大渠道便是个人信息泄露的路径。”黄琼结合个人从业经验总结认为，而这四大渠道的信息安全泄露都可找到防范措施和方法。

　　移动互联网安全方面，主要包括手机勒索软件施虐、安卓平台漏洞频出、智能控制潜在风险、骚扰短信诈骗电话等四项内容。黄琼举例介绍，在各类安卓应用程序中，每一个安卓程序都会获取手机终端的权限，包括拨打电话、访问通讯录、获取位置信息等，其中有一个核心隐私权限便是手机客户端已安装的各类APP都会获取，那就是读取位置信息。黄琼提醒现场听众说：“超过60%的安卓程序都会获取用户所在的GPS定位信息。”他认为，对于没有必须获取位置信息的APP，可以通过设置将获取位置信息的权限设置为关闭状态。

　　“自从勒索病毒开始疯狂传播之后，很多高校、政府机构专网、银行，甚至连中石油的加油站都相继被勒索病毒攻陷。”黄琼表示，这次全球性的网络攻击看成史上最大勒索软件攻击，一天之内全球有近百个国家和地区受到攻击。如何有效防止勒索病毒的攻击？黄琼介绍说，要及时关闭455端口的访问，升级防火墙，打上相应的补丁。尤其是使用操作系统的时候，要及时更新操作系统的补丁，及时做好相关防御措施。此外，还要及时进行多地、多媒介备份数据。

　　“今年上半年，中国用户所标记的骚扰电话数量每个月都在500万次上下。”黄琼表示，通过360安全软件所拦截的骚扰电话数量也是呈逐月上升的趋势。黄琼提醒现场听众，造成电话号码泄露的主要问题在下载APP时填写了各种个人信息，建议到手机生产商官网下载安卓应用程序，有效避免个人信息安全泄露。

　　“个人信息泄露还体现在丢失手机、更换手机之时，被相关商家以及其他不法分子利用。”黄琼建议，用户可打开微信“钱包”页面，找到“支付安全”，点击“钱包锁”，以多种方式对微信钱包加锁，支付之前要有相应的手段解开锁才能支付，保证财产安全。对于手机使用年限不长且需更换时，应及时清理原有手机存储的信息，以免二手手机回收商利用各种工具盗取个人信息，将个人照片、通讯录、聊天记录等数据拿出来卖钱。

　　“物联网安全是以网络链接的方式，将我们身边的各种物体连接起来，形成一张更大的网络。”黄琼表示，物联网可应用到农业、工业、军事、消防、环境保护、公共安全等各个领域，将智能硬件设备投入到各个经济业态活动中。黄琼举例认为，在使用智能家居设备时，需要做到以下几点：一是坚持每一台智能设备使用不同的密码，都要将默认密码改掉。而是首次登陆账号与设备绑定，可强制用户修改初始密码。三是定期提醒用户更改密码，提供异常登陆提示。

　　在云计算安全方面，黄琼认为，可采取可信访问控制、密文检索与处理、数据存在与可使用性证明、数据隐私保护等措施进行个人信息安全保护。黄琼提醒现场听众，在使用云计算服务器的时候，对于个人信息的关键数据不要轻易上传，特别是涉及个人隐私数据、工作商业机密数据等。如果必须要使用云服务器的话，可以将文档先加密，自己将加密密钥保存好，这样即使云服务器被黑客入侵，拿到的数据也是加密以后的版本，没有密钥就无法做解密。

　　谈法律：信息安全保护任重道远

　　“今年5月份，欧盟推出了《GDPR》，是一个非常重要的法律条例，用户要同意这些网站收集相应的信息，如果用户不同意就不能收集。”黄琼表示，对于个人信息安全保护方面，欧盟、英国、美国、俄罗斯、澳大利亚、菲律宾等国家都制定了与网络安全有关的法律法规。其实，中国在国家宪法、刑法、民法、诉讼法、行政法律相关条例均有部分条款对个人信息安全予以法律保护。比如，去年3月份通过的《民法总则》规定：“自然人的个人信息受法律保护，任何组织和个人需要获取他人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开个人信息。”

　　黄琼介绍说，2017年6月1日起施行的《网络安全法》，其中也有相应的条款对个人信息进行保护。“目前，我国还没有专门的法律保护用户的个人隐私，个人信息安全保护工作任重道远，未来还有很长的路要走。”

　　“工人在线”责编：李冠杰