《互联网上个人信息安全如何保护》由会员分享,可在线阅读,更多相关《互联网上个人信息安全如何保护(17页珍藏版)》请在金锄头文库上搜索。
1、网络个人信息防护策略一、个人信息内容一般情况下个人资料包括姓名、性别、年龄、家庭住址、工作单位、身份证号码、遗传特征、指纹、婚姻、健康、病历、财务情况通信地址、E-mail地址、学历、经历、账号与密码等。还包括社会活动及其他可以识别该个人的信息,如通话记录、网上购物记录、网站浏览痕迹、IP地址等网上活动。(一)个人的账户与隐私信息安全问题,已经构成了大数据时代最大的威胁。1、2014年以来,我国网民由于 个人隐私泄露,而上当受骗,直接或间接造成的经济损失多达 805亿元,个人损失近124元;其中,有近4500万网民遭受的经济损失超过1000元。2、拨通电话时、 送短信时、登录支付宝时,电话公司
2、、银行、电商都会在第一时间“关注”你。可怕的不是我们在不经意间泄露了个人隐私,而 是我们无法把这种危害和损失降到最低或是完全消除,因为决定权不在我们的手中。3、2011 年年底发生的“泄密门”事件中,上千万的用户数据被黑客窃取;还有近期发生的支付宝大规模故障,携程网因“内错误操作”宕机近 12 小时等,都引发了一系列连锁反应,公众对个人信息泄露的恐慌达到顶点。4、2011年12月21口,国内最大程序员社区CSDN上的600万用户账号和密码被公开。随后,密码泄露事件开始大范围发酵,天涯社区、世纪佳缘、当当网等国内知名网站也被曝出存在“类似泄密问题”,上千万用户账号和密码在网上被公开扩散,该事件被
3、媒体称为“中国互联网史上最大规模的用户信息泄露事件”。5、2012年3月19口,当当网发布公告,要求用户在3月19口至3月22口修改账户密码。在此期间账户中的礼品卡和余额将被冻结。据称,事件源于极个别账户被盗,造成少数消费者的账户余额被盗用。当当网还对外透露,信息的根源在CSDN。6、2014年初,韩国金融行业发生最大规模个人信息泄露案, 三大信用卡公司存有的一亿多条用户个人信息遭泄露;7、2014年3月22日,乌云漏洞平台发现携程网支付日志存在漏洞。因携程网将银行卡数据保存于本地,同时支付日志存在漏洞,致使用户支付敏感信息可被非授权用户下载,最终导致大量用户银行卡信急泄露。同时携程支付日志中
4、存储的信息远超银联卡收单机构账户信息安全管理标准的允许范围,暴露出第三方支付机构风险管理存在隐患。8、2014年4月8日,OpenSSL heartbleed漏洞曝光,该漏洞因代码实现不严谨造成,存在于OpenSSL1.0.1系列版本。该漏洞可泄露私钥、网站用户密码及服务器配置和源码等,人侵者每次可窃取用户64K信息,经足够时间,可窃取大量数据拼凑用户银行密码、私信等敏感数据。该漏洞将导致http站点的加密内容被破解、用户支付敏感信息被盗取及网站服务器被攻破等。9、2015年 5 月,号称拥有 6000 多万会员的全球最大成人交友网站之一 “成人交友中心”(AdultFriendFinder)
5、遭黑客入侵,超过350万名用户的秘密资料被曝光;家得宝公司、摩根大通银行等企业亦 因被“黑”,致使数百万顾客的信息外泄。10、2015年10月底,补天漏洞响应平台爆出中国电信某系统的重大漏洞。通过该漏洞可以查询上亿用户信息,涉及姓名、 证件号、余额,并可以进行任意金额充值、销户、换卡等操作。 10月29日上午10点,该漏洞已得到中国电信厂商确认。补天 漏洞响应平台负责人向21世纪经济报道记者表示“黑客发现 这个漏洞的入口不是很难,比较低微的弱口令和越权操作就能 进入这个系统。进到系统之后,黑客发现有很多高危漏洞,竟 然可以看到全国电信用户的敏感信息。” 2010年6月9日,据中国之声央广新闻2
6、2时42分报道, 北京市朝阳法院曾公开审理一起个人信息泄露案件。案件中3 名被告人分别是中国网通、中国联通、中国移动的工作人员。 起诉书指控他们利用工作之便,向调查公司非法提供、出售用户的个人信息。二、个人信息安全面临的挑战(一)来自互联网攻击傻瓜化。(二)个人信息的控制权也在逐渐减弱。(三)中国互联网协会于2015年7月22日,公布中国网民权益保护调查报告,中国网民信息泄露问题“非常严重”。(四)相关个人信息保护法律缺失。(五)病毒、黑客攻击泛滥。(六)信息霸权横行也是信息泄露的一大原因。(七) 信息泄露案例。三、主要泄露途径:(一)个人自身泄露。因信息安全意识不强,未足够重视自身隐私等原因
7、,个人自身敏感信息在无意识中泄露。(二)互联网、商家、金融机构、医疗等拥有个人敏感信息的单位因信息安全意识不强、内部信息安全管理薄弱等原因,导致个人敏感信息被内部人员窃取。(三)互联网安全漏洞等致使个人敏感信息泄露。互联网安全防护措施不到位,致使所存储的个人敏感信息通过安全协议漏洞、木马病毒或非授权网络交易等手段被盗用、复制和传播。(四)具体主要分为现实生活获取与网络虚拟生活获取:1、现实生活:而非法获取个人信息的渠道主要有以下几种:旅馆住宿、保险公司投保、租赁公司、银行办证、电信、移动、联通、房地产、邮政部门等需要身份证件实名登记的场所,利用登记的便利条件,泄露他人信息;复印店利用复印、打字
8、之便,将那些个人信息资料存档留底,装订成册,进行对外出售;借各种“问卷调查”之名,窃取市民个人信息。商家宣称市民只要在“调查问卷表”上填写详细联系方式、收入情况、信用卡情况等内容,以及简单的“勾挑式”调查,就能获得不等奖次的奖品,以此诱使市民填写其个人信息。此外,购物中的抽奖活动也有可能泄露你的个人隐私。商家通过在抽奖券的正副页上填写姓名、家庭住址、联系方式等方法,获取个人信息;在购买电子产品、车辆等物品时,一些非正规的商家填写非正规的“售后服务单”,从而被人利用了个人信息;各大超市、商场通过向市民邮寄免费资料、申办会员卡等促销方式,从而轻松掌握到市民的个人信息。2、网络获取网络安全导致个人信
9、息泄露的几种主要渠道:第一种是通过利用互联网搜索引擎搜索个人信息,汇集成册,并按照一定的价格出售给需要购买的人;第二种是用发送垃圾电子邮件或者电话查询等方式,以各种“诱饵”,诱使受害人透露个人信息;第三种是用户的电脑或手机被术马软件劫持,也就是说远在天边的术马直接控制用户的硬盘;第四种是网站的服务商对个人信息没有尽到妥善保管的义务,在使用过程当中把个人隐私泄露出去;第五种是个人信息在互联网传输的过程中,经过一些传输路由时被他人控制。很多网民在不知不觉中己经将个人信息存储在网站运营商的服务器中。例如,利用即时通讯工具聊天,聊天过程中涉及大量包括电话、邮箱以及更为私密的内容在内的信息,都作为聊天记
10、录存储在服务器上;在电子商城购物,包括个人银行卡、支付密码、家庭住址等信息也都存储在网站运营商的服务器上。而公众所熟悉的杀毒软件重点在保护用户端的电脑安全对于存储在运营商服务器上的数据安全鞭长莫及四、应对方法:(一)互联网外信息安全:1、不泄露。为了便民及办证、办卡而需要登记个人信息的商家、培训班、银行、电信等单位,必须要保护好市民的个人信息,切勿将个人信息非法转让出售。2、不留底。在复印店复印时,市民要确保个人资料不被留底复印。而在打印店打印时要确保资料不被复制,并要确保资料不被留存在回收站。同时,对废弃的资料,一定要带走或通过碎纸机进行处理。3、不相信。不要相信街头各种不规范的市场调查,如
11、确实需要协助调查,切勿填写自己真实的个人身份信息,以防被陌生人利用。4、“节约”使用个人信息,如必须填写个人信息,尽可能少填写信息,使用身份证复印件等证明材料时,在身份证复印件上写明用途,重复复印无效等。(二)账号密码安全:1、注册账户时,“节约”使用个人信息,如必须填写个人信息,尽可能少提供个人信息。2、按一定的标准或模式分级分类设置密码并保证重要账户的独立性。密码设置可依照密码模型。不法分子把得到的个人敏感信息进行整理,制作成社工库。利用社工库对其他网站进行撞库攻击。撞库攻击以大量的个人敏感信息为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登录其它的网站,以此获得更多的利益等。
12、密码模型:(1)类似于 md5(md5() + ) 这种方法算出一个密码. 有一个chrome插件flowerpassword有这种功能。(2)随机+有据+固定模型:固定就是指你经常使用的密码,在你每个密码中都会出现的一个字符段,假如你已经用惯了某个密码,并且这个密码你把他用在绝大多数的地方,那么,就以这个密码作为固定序列,放在你新密码之中;所谓“随机”,指的是你设置的时候事先并不知道要设置什么样的字符,而是根据不同的网站或客户端进行变动,但是,其变动是有规则的,这个规则是你自己定的,而且不会让任何人知道;所谓“有据”,这个根据,则与 网站的某一种要素挂钩,我推荐使用网站的名字,目的是方便你自
13、己的记忆。以下我举个例子,你就会很清楚地理解这种所谓的“随机有据字符加固定序列密码”的特点了。假如你以往所常用的密码是abcde111,那么,在你的新密码中,同样保留这个字段,现在你自己定义这样一种规则:以网站的名称作为依据,登录任何一个网站,就以其名称作为参照物,截取其名称的第一个字母(或数字)和最后一个字母(数字),分别放在固定密码段的开头和结尾。例如:上新浪网,其名称为 sina,那么,分别截取s和a,添加在你的固定密码组开头和结尾,首字母大写,那么,你在新浪上的密码就是Sabcde11a;如果是迅雷的客户端,取其网站名 Thunder的首字母t和最后一个字母r,这样你的迅雷地址就变成了
14、Tabcde111r,由于多了这样一层保护,那么,即使你的新浪微博密码丢失了,那 么,别人也不容易用这个密码来盗取你的迅雷账号、qq号码,而且由于这种密码命名规则简单,你完全可以照用你原来的密码段,不用去修改密码输入的习惯。简而言之,这个密码模型就是固定:abcde111随机:网站首尾字母有据:首字母大写,首位字母非别置于密码首尾即:网站首字母(首字母大写)+abcde111+网站尾字母4、保证每种账号至少对应一套密码,而且设置的密码要稍微复杂些。设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码,最好采用字符与数字混合的密码。5、对账号进行分类,且每
15、类账号对应的找回密码的邮箱要尽量不同,且各邮箱之间无关联,确保一个邮箱泄露不会牵连出另一个邮箱。如:重要账户绑定邮箱A;一般账户绑定邮箱B;其他账户绑定邮箱C.6、用户要养成定期修改和整理密码的习惯。7、用户要时常用安全软件对电脑进行查毒、杀毒。8、严禁账号及密码外借他人:有些朋友常常将自己的账号与密码借给他人,虽然心想才借一下不要紧,但却不知这是相当危险的行为。就算对方是多么熟的朋友,但毕竟密码已经不只自己知道而已,这就可能造成账号与密码外流,被人拿来做些犯法的事情了。因此若是你不得已将账号及密码借给他人,也希望你能在最短的时间内更改原来的密码,以避免他人用原来的密码登录你的账号。9、不要贪
16、图方便选择“保存密码”选项因为虽然密码在机器中是以加密方式存储的,但是这样的加密往往并不保险,一些初级的黑客即可轻易地破译你的密码,像谷歌浏览器,使用密码保存功能还会将你的帐号密码保存网络,一旦别人得到你的谷歌帐号密码,那么所有保存的帐号密码将被对方几乎毫无阻碍的得到。10、如何废弃自己不想要的账号首先切记改掉所有的个人资料,然后注册一个微软账号,把所有的账号唯一验证方式改为微软邮箱,然后停用这个邮箱(微软邮箱注销后无法进行回收),嗯相当于到最后一步验证时信息无法达到,最后把密码改成一个自己也记不住的,自己用不了,别人盗不了,完美。13、联系方式不要再一个地方留下超过1种。包括某些网站注册时候要你输入邮箱注册,你在某个回帖里又贴
