【文章內(nèi)容簡介】 2年，這類現(xiàn)象呈愈演愈烈的趨勢。據(jù)了解，個人姓名、住址、Email地址、聯(lián)系電話甚至是身份證號碼、駕照信息和車輛行駛證信息等都可以在網(wǎng)上買到。圖14：非法提供個人隱私信息的廣告郵件及“一套隱私信息可以反復(fù)售賣，這種生意一本萬利，所以誘惑性極大?！比鹦前踩珜＜医榻B，黑客利用社會工程學(xué)原理及許多現(xiàn)代化手段大量套取用戶信息，然后將這些信息賣給“下家”，而“下家”則利用自己手上的資料群發(fā)短信或者利用郵件渠道推銷這些隱私信息。同時，他們還會在網(wǎng)上公開發(fā)布廣告，使用搜索引擎或者聊天工具也可以搜索到他們。2. 非法遠程控制軟件盜取私密信息相較于大面積的個人身份信息泄露，非法遠程控制軟件則成為了個人機密信息的泄露源頭。報告期內(nèi)，瑞星“云安全”系統(tǒng)就攔截到不少專門提供監(jiān)聽軟件的網(wǎng)站。與正規(guī)的遠程協(xié)助軟件及企業(yè)信息安全監(jiān)控系統(tǒng)不同，該類遠程控制軟件會采取一些不正當?shù)氖侄我?guī)避殺毒軟件的監(jiān)測，同時還會修改被監(jiān)控電腦的系統(tǒng)日志，以實現(xiàn)“隱身”的目的。圖15：非法遠程控制軟件銷售網(wǎng)站瑞星安全專家指出，“這類軟件多數(shù)都是帶有惡意的遠程控制程序，它能由監(jiān)聽者強制安裝在被監(jiān)聽的電腦上，并監(jiān)視對方的所有動作。有些甚至可以讀取、修改或轉(zhuǎn)移對方電腦上的任意文件，并強制開啟攝像頭。最近出現(xiàn)多起名人隱私照片、視頻泄露的事件，跟該類軟件的盛行不無關(guān)系?！保ǘ┕駛€人隱私信息泄露原因分析1. APT攻擊及網(wǎng)絡(luò)釣魚成為信息泄露的重要源頭目前，套取個人身份信息的方法主要有兩種——APT攻擊及網(wǎng)絡(luò)釣魚。現(xiàn)今，大多數(shù)網(wǎng)站都要求用戶提供一些必要的個人身份信息，才能使用某些擴展性服務(wù)。而黑客看重的正是存儲該類信息的企業(yè)服務(wù)器。通常，他們會花費幾天到幾個月不等的時間，對目標服務(wù)器進行滲透，然后找到該服務(wù)器的系統(tǒng)漏洞，進而獲取服務(wù)器的控制權(quán)限，盜取數(shù)據(jù)庫內(nèi)的重要資料。網(wǎng)絡(luò)釣魚則是仿冒一些知名網(wǎng)站，再利用社會工程學(xué)原理，誘騙用戶在網(wǎng)站上填寫個人信息。瑞星安全專家指出：“無論是APT攻擊還是網(wǎng)絡(luò)釣魚，都可以大量獲取個人身份信息，造成大規(guī)模隱私信息泄露?！?. 第三方外包泄密風(fēng)險大，涉密人員素質(zhì)參差不齊目前，無紙化辦公、電子政務(wù)等技術(shù)逐步成熟，用戶的個人信息被大量采集用于公共事業(yè)管理及服務(wù)行業(yè)。許多單位、組織，在維護這些信息系統(tǒng)的時候，都選擇雇傭第三方外包公司。然而，這樣做雖然節(jié)省了人力、物力，卻使得用戶隱私外泄的危險性加大，各類企業(yè)、單位、組織的核心數(shù)據(jù)庫都處于外包公司的管控之中。與此同時，從行業(yè)角度上講，近年來我國的互聯(lián)網(wǎng)技術(shù)發(fā)展極快，市場規(guī)模也呈幾何式增長，然而從業(yè)人員的職業(yè)素養(yǎng)卻一直落后于行業(yè)發(fā)展速度。2012年爆發(fā)的上海特大個人信息泄露案就是一個典型的例子：涉案人員張某是承接衛(wèi)生局數(shù)據(jù)庫維護的運維公司技術(shù)部經(jīng)理，他利用工作之便，每個月都會從家里訪問衛(wèi)生局數(shù)據(jù)庫，從中下載大量用戶隱私信息，并將這些信息轉(zhuǎn)手倒賣給他人。除此之外，近年來全國各地的公安機關(guān)都開展了打擊侵害個人隱私的專項行動，抓獲相關(guān)犯罪嫌疑人1,700余人。由此可見，提高涉密人員職業(yè)素養(yǎng)、加強企業(yè)信息安全管理制度的建設(shè)已經(jīng)迫在眉睫。3. 信息安全防護意識普及率低雖然部分業(yè)內(nèi)人士表示，目前殺毒軟件的普及率已經(jīng)超過90%，然而信息安全現(xiàn)狀卻并不樂觀?！捌渲幸粋€重要的原因是信息安全防護意識薄弱”，瑞星安全專家指出，目前無論是個人用戶還是中小型企業(yè)用戶，普遍對信息安全保護缺乏正確認識。許多個人用戶認為，只要安裝了殺毒軟件或者防火墻，就可以高枕無憂。但是，互聯(lián)網(wǎng)環(huán)境卻時時變化，近年來網(wǎng)絡(luò)釣魚愈演愈烈，各種詐騙手段更是層出不窮，網(wǎng)民稍不小心就會誤入不法分子設(shè)下的圈套，被套取隱私信息。而對于企業(yè)用戶來說，許多企業(yè)為了節(jié)約運營成本，只安裝免費的個人版殺毒軟件，這是相當危險的，尤其是一些對保密性要求較高的行業(yè)。因為個人版殺毒軟件無法解決病毒在企業(yè)內(nèi)網(wǎng)交叉感染的問題，更不可能對病毒大面積爆發(fā)、ARP攻擊等重大安全事件進行追蹤定位，甚至就連簡單的殺毒軟件升級都不可能做到全網(wǎng)統(tǒng)一。在這種情況下，員工一個小小的違規(guī)操作就有可能給黑客帶來可乘之機。一旦企業(yè)內(nèi)網(wǎng)遭到入侵，所有存儲于IT設(shè)備上的數(shù)據(jù)就將暴露給黑客。（三）隱私信息泄露帶來嚴重危害1. 個人身份信息泄露恐導(dǎo)致嚴重后果“垃圾短信和騷擾電話并不是最嚴重的后果?！比鹦前踩珜＜抑赋?，不法分子有可能利用網(wǎng)民的身份證號碼、復(fù)印件、電子掃描件等信息冒名申請電話卡或信用卡，并惡意透支。除此之外，像汽車駕駛證、行駛證等信息，也可能被不法分子利用偽造“套牌車”。屆時，該“套牌車”的所有違法行為，均將記錄在被“套牌”的車主名下。2. 大規(guī)模數(shù)據(jù)泄露今后將嚴重影響企業(yè)生存在信息化時代的今天，企業(yè)間的競爭愈加激烈，用戶群已成為許多企業(yè)的生存命脈。用戶資料一旦泄露，企業(yè)所面對的不止是同行業(yè)的爭搶瓜分，還將面臨來自公眾的信任危機。同時，對于很多靠虛擬貨幣盈利的互聯(lián)網(wǎng)企業(yè)來說，用戶資料的失竊很有可能意味著用戶賬號內(nèi)的虛擬財產(chǎn)被濫用，企業(yè)也將面臨巨大的經(jīng)濟損失。（四）立法保護才是個人信息泄漏的根本解決之道從2012年國內(nèi)發(fā)生的幾起個人信息大規(guī)模泄露事件上可以看出，互聯(lián)網(wǎng)行業(yè)需要一個明確的法律規(guī)定來約束公民個人信息的收集者及相關(guān)涉密從業(yè)人員。同時，為從根本上震懾非法竊取個人信息的不法分子，網(wǎng)絡(luò)實名制也勢在必行。有業(yè)內(nèi)人士指出：盜取個人隱私信息的不法分子，在網(wǎng)上從事非法活動時多沒有登記真實信息，這些人不在公安機關(guān)的監(jiān)控當中，導(dǎo)致一旦出現(xiàn)個人信息泄露事件，執(zhí)法機關(guān)往往面臨取證難、查處難的困境，對該類事件的處理效率也會隨之大打折扣。為解決上述問題，人大常委于2012年12月28日通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》。決定明確了一個重要原則，就是國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。同時，該決定還對個人信息收集者的義務(wù)作了多項規(guī)定。這對肅清行業(yè)秩序，建立行業(yè)規(guī)范，引導(dǎo)行業(yè)健康有序發(fā)展，起到了至關(guān)重要的作用。四、 移動互聯(lián)網(wǎng)信息安全（一）2012年手機病毒概述據(jù)瑞星“云安全”系統(tǒng)監(jiān)測顯示：2012年1至12月共截獲手機病毒樣本6,842個。其中，“功夫系列”、“給你米系列”的家族式病毒非常猖獗。瑞星安全專家表示，在數(shù)量和類型上，2012年的手機病毒有了更多的變化。尤其是盜取用戶隱私信息的病毒開始在總體數(shù)量上占據(jù)優(yōu)勢，這些惡意程序通常都是利用App商店審查不嚴的漏洞，將自己喬裝成正常App，誘騙用戶下載安裝。該類App會在后臺收集手機通訊錄中的信息，同時搜索手機短信內(nèi)的關(guān)鍵字，并讀取相關(guān)信息，最終發(fā)送至黑客指定的網(wǎng)址。瑞星安全專家介紹，目前一些正常的App程序也出現(xiàn)帶有惡意推廣代碼的現(xiàn)象。有些是開發(fā)者迫于生存壓力在程序代碼中添加的，有些則是不法分子利用黑客手段惡意植入的。（二）移動互聯(lián)網(wǎng)信息安全趨勢分析1. 二維碼功能強問題多二維碼以信息量大、高效識別、反應(yīng)迅速等優(yōu)勢成為信息時代的新寵，人們通過智能手機隨手一掃就能快速獲得各類信息。由于二維碼將圖片、漢字、字符等以電子圖片形式存儲起來，視覺上改變了原有內(nèi)容，因此也為不法分子提供了犯罪