【文章內(nèi)容簡(jiǎn)介】 2年，這類現(xiàn)象呈愈演愈烈的趨勢(shì)。據(jù)了解，個(gè)人姓名、住址、Email地址、聯(lián)系電話甚至是身份證號(hào)碼、駕照信息和車輛行駛證信息等都可以在網(wǎng)上買到。圖14：非法提供個(gè)人隱私信息的廣告郵件及“一套隱私信息可以反復(fù)售賣，這種生意一本萬(wàn)利，所以誘惑性極大?！比鹦前踩珜＜医榻B，黑客利用社會(huì)工程學(xué)原理及許多現(xiàn)代化手段大量套取用戶信息，然后將這些信息賣給“下家”，而“下家”則利用自己手上的資料群發(fā)短信或者利用郵件渠道推銷這些隱私信息。同時(shí)，他們還會(huì)在網(wǎng)上公開(kāi)發(fā)布廣告，使用搜索引擎或者聊天工具也可以搜索到他們。2. 非法遠(yuǎn)程控制軟件盜取私密信息相較于大面積的個(gè)人身份信息泄露，非法遠(yuǎn)程控制軟件則成為了個(gè)人機(jī)密信息的泄露源頭。報(bào)告期內(nèi)，瑞星“云安全”系統(tǒng)就攔截到不少專門提供監(jiān)聽(tīng)軟件的網(wǎng)站。與正規(guī)的遠(yuǎn)程協(xié)助軟件及企業(yè)信息安全監(jiān)控系統(tǒng)不同，該類遠(yuǎn)程控制軟件會(huì)采取一些不正當(dāng)?shù)氖侄我?guī)避殺毒軟件的監(jiān)測(cè)，同時(shí)還會(huì)修改被監(jiān)控電腦的系統(tǒng)日志，以實(shí)現(xiàn)“隱身”的目的。圖15：非法遠(yuǎn)程控制軟件銷售網(wǎng)站瑞星安全專家指出，“這類軟件多數(shù)都是帶有惡意的遠(yuǎn)程控制程序，它能由監(jiān)聽(tīng)者強(qiáng)制安裝在被監(jiān)聽(tīng)的電腦上，并監(jiān)視對(duì)方的所有動(dòng)作。有些甚至可以讀取、修改或轉(zhuǎn)移對(duì)方電腦上的任意文件，并強(qiáng)制開(kāi)啟攝像頭。最近出現(xiàn)多起名人隱私照片、視頻泄露的事件，跟該類軟件的盛行不無(wú)關(guān)系。”（二）公民個(gè)人隱私信息泄露原因分析1. APT攻擊及網(wǎng)絡(luò)釣魚成為信息泄露的重要源頭目前，套取個(gè)人身份信息的方法主要有兩種——APT攻擊及網(wǎng)絡(luò)釣魚?，F(xiàn)今，大多數(shù)網(wǎng)站都要求用戶提供一些必要的個(gè)人身份信息，才能使用某些擴(kuò)展性服務(wù)。而黑客看重的正是存儲(chǔ)該類信息的企業(yè)服務(wù)器。通常，他們會(huì)花費(fèi)幾天到幾個(gè)月不等的時(shí)間，對(duì)目標(biāo)服務(wù)器進(jìn)行滲透，然后找到該服務(wù)器的系統(tǒng)漏洞，進(jìn)而獲取服務(wù)器的控制權(quán)限，盜取數(shù)據(jù)庫(kù)內(nèi)的重要資料。網(wǎng)絡(luò)釣魚則是仿冒一些知名網(wǎng)站，再利用社會(huì)工程學(xué)原理，誘騙用戶在網(wǎng)站上填寫個(gè)人信息。瑞星安全專家指出：“無(wú)論是APT攻擊還是網(wǎng)絡(luò)釣魚，都可以大量獲取個(gè)人身份信息，造成大規(guī)模隱私信息泄露。”2. 第三方外包泄密風(fēng)險(xiǎn)大，涉密人員素質(zhì)參差不齊目前，無(wú)紙化辦公、電子政務(wù)等技術(shù)逐步成熟，用戶的個(gè)人信息被大量采集用于公共事業(yè)管理及服務(wù)行業(yè)。許多單位、組織，在維護(hù)這些信息系統(tǒng)的時(shí)候，都選擇雇傭第三方外包公司。然而，這樣做雖然節(jié)省了人力、物力，卻使得用戶隱私外泄的危險(xiǎn)性加大，各類企業(yè)、單位、組織的核心數(shù)據(jù)庫(kù)都處于外包公司的管控之中。與此同時(shí)，從行業(yè)角度上講，近年來(lái)我國(guó)的互聯(lián)網(wǎng)技術(shù)發(fā)展極快，市場(chǎng)規(guī)模也呈幾何式增長(zhǎng)，然而從業(yè)人員的職業(yè)素養(yǎng)卻一直落后于行業(yè)發(fā)展速度。2012年爆發(fā)的上海特大個(gè)人信息泄露案就是一個(gè)典型的例子：涉案人員張某是承接衛(wèi)生局?jǐn)?shù)據(jù)庫(kù)維護(hù)的運(yùn)維公司技術(shù)部經(jīng)理，他利用工作之便，每個(gè)月都會(huì)從家里訪問(wèn)衛(wèi)生局?jǐn)?shù)據(jù)庫(kù)，從中下載大量用戶隱私信息，并將這些信息轉(zhuǎn)手倒賣給他人。除此之外，近年來(lái)全國(guó)各地的公安機(jī)關(guān)都開(kāi)展了打擊侵害個(gè)人隱私的專項(xiàng)行動(dòng)，抓獲相關(guān)犯罪嫌疑人1,700余人。由此可見(jiàn)，提高涉密人員職業(yè)素養(yǎng)、加強(qiáng)企業(yè)信息安全管理制度的建設(shè)已經(jīng)迫在眉睫。3. 信息安全防護(hù)意識(shí)普及率低雖然部分業(yè)內(nèi)人士表示，目前殺毒軟件的普及率已經(jīng)超過(guò)90%，然而信息安全現(xiàn)狀卻并不樂(lè)觀。“其中一個(gè)重要的原因是信息安全防護(hù)意識(shí)薄弱”，瑞星安全專家指出，目前無(wú)論是個(gè)人用戶還是中小型企業(yè)用戶，普遍對(duì)信息安全保護(hù)缺乏正確認(rèn)識(shí)。許多個(gè)人用戶認(rèn)為，只要安裝了殺毒軟件或者防火墻，就可以高枕無(wú)憂。但是，互聯(lián)網(wǎng)環(huán)境卻時(shí)時(shí)變化，近年來(lái)網(wǎng)絡(luò)釣魚愈演愈烈，各種詐騙手段更是層出不窮，網(wǎng)民稍不小心就會(huì)誤入不法分子設(shè)下的圈套，被套取隱私信息。而對(duì)于企業(yè)用戶來(lái)說(shuō)，許多企業(yè)為了節(jié)約運(yùn)營(yíng)成本，只安裝免費(fèi)的個(gè)人版殺毒軟件，這是相當(dāng)危險(xiǎn)的，尤其是一些對(duì)保密性要求較高的行業(yè)。因?yàn)閭€(gè)人版殺毒軟件無(wú)法解決病毒在企業(yè)內(nèi)網(wǎng)交叉感染的問(wèn)題，更不可能對(duì)病毒大面積爆發(fā)、ARP攻擊等重大安全事件進(jìn)行追蹤定位，甚至就連簡(jiǎn)單的殺毒軟件升級(jí)都不可能做到全網(wǎng)統(tǒng)一。在這種情況下，員工一個(gè)小小的違規(guī)操作就有可能給黑客帶來(lái)可乘之機(jī)。一旦企業(yè)內(nèi)網(wǎng)遭到入侵，所有存儲(chǔ)于IT設(shè)備上的數(shù)據(jù)就將暴露給黑客。（三）隱私信息泄露帶來(lái)嚴(yán)重危害1. 個(gè)人身份信息泄露恐導(dǎo)致嚴(yán)重后果“垃圾短信和騷擾電話并不是最嚴(yán)重的后果?！比鹦前踩珜＜抑赋?，不法分子有可能利用網(wǎng)民的身份證號(hào)碼、復(fù)印件、電子掃描件等信息冒名申請(qǐng)電話卡或信用卡，并惡意透支。除此之外，像汽車駕駛證、行駛證等信息，也可能被不法分子利用偽造“套牌車”。屆時(shí)，該“套牌車”的所有違法行為，均將記錄在被“套牌”的車主名下。2. 大規(guī)模數(shù)據(jù)泄露今后將嚴(yán)重影響企業(yè)生存在信息化時(shí)代的今天，企業(yè)間的競(jìng)爭(zhēng)愈加激烈，用戶群已成為許多企業(yè)的生存命脈。用戶資料一旦泄露，企業(yè)所面對(duì)的不止是同行業(yè)的爭(zhēng)搶瓜分，還將面臨來(lái)自公眾的信任危機(jī)。同時(shí)，對(duì)于很多靠虛擬貨幣盈利的互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)，用戶資料的失竊很有可能意味著用戶賬號(hào)內(nèi)的虛擬財(cái)產(chǎn)被濫用，企業(yè)也將面臨巨大的經(jīng)濟(jì)損失。（四）立法保護(hù)才是個(gè)人信息泄漏的根本解決之道從2012年國(guó)內(nèi)發(fā)生的幾起個(gè)人信息大規(guī)模泄露事件上可以看出，互聯(lián)網(wǎng)行業(yè)需要一個(gè)明確的法律規(guī)定來(lái)約束公民個(gè)人信息的收集者及相關(guān)涉密從業(yè)人員。同時(shí)，為從根本上震懾非法竊取個(gè)人信息的不法分子，網(wǎng)絡(luò)實(shí)名制也勢(shì)在必行。有業(yè)內(nèi)人士指出：盜取個(gè)人隱私信息的不法分子，在網(wǎng)上從事非法活動(dòng)時(shí)多沒(méi)有登記真實(shí)信息，這些人不在公安機(jī)關(guān)的監(jiān)控當(dāng)中，導(dǎo)致一旦出現(xiàn)個(gè)人信息泄露事件，執(zhí)法機(jī)關(guān)往往面臨取證難、查處難的困境，對(duì)該類事件的處理效率也會(huì)隨之大打折扣。為解決上述問(wèn)題，人大常委于2012年12月28日通過(guò)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。決定明確了一個(gè)重要原則，就是國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。同時(shí)，該決定還對(duì)個(gè)人信息收集者的義務(wù)作了多項(xiàng)規(guī)定。這對(duì)肅清行業(yè)秩序，建立行業(yè)規(guī)范，引導(dǎo)行業(yè)健康有序發(fā)展，起到了至關(guān)重要的作用。四、 移動(dòng)互聯(lián)網(wǎng)信息安全（一）2012年手機(jī)病毒概述據(jù)瑞星“云安全”系統(tǒng)監(jiān)測(cè)顯示：2012年1至12月共截獲手機(jī)病毒樣本6,842個(gè)。其中，“功夫系列”、“給你米系列”的家族式病毒非常猖獗。瑞星安全專家表示，在數(shù)量和類型上，2012年的手機(jī)病毒有了更多的變化。尤其是盜取用戶隱私信息的病毒開(kāi)始在總體數(shù)量上占據(jù)優(yōu)勢(shì)，這些惡意程序通常都是利用App商店審查不嚴(yán)的漏洞，將自己?jiǎn)萄b成正常App，誘騙用戶下載安裝。該類App會(huì)在后臺(tái)收集手機(jī)通訊錄中的信息，同時(shí)搜索手機(jī)短信內(nèi)的關(guān)鍵字，并讀取相關(guān)信息，最終發(fā)送至黑客指定的網(wǎng)址。瑞星安全專家介紹，目前一些正常的App程序也出現(xiàn)帶有惡意推廣代碼的現(xiàn)象。有些是開(kāi)發(fā)者迫于生存壓力在程序代碼中添加的，有些則是不法分子利用黑客手段惡意植入的。（二）移動(dòng)互聯(lián)網(wǎng)信息安全趨勢(shì)分析1. 二維碼功能強(qiáng)問(wèn)題多二維碼以信息量大、高效識(shí)別、反應(yīng)迅速等優(yōu)勢(shì)成為信息時(shí)代的新寵，人們通過(guò)智能手機(jī)隨手一掃就能快速獲得各類信息。由于二維碼將圖片、漢字、字符等以電子圖片形式存儲(chǔ)起來(lái)，視覺(jué)上改變了原有內(nèi)容，因此也為不法分子提供了犯罪