公民做好信息安全工作如何才能做到真正安全

来源:蜘蛛抓取(WebSpider) 时间:2018-07-28 07:52 标签: 做好信息安全工作

每隔一段时间个人做好信息安铨工作这一话题总会重回公众视线,这一次上了安全圈头条的事件是“50亿条公民信息泄露 京东前员工牵涉其中”笔者读到这条新闻的时候只觉得汗毛竖起,不仅是感叹于50亿这一庞大的数量更是对新闻所披露的细节细思极恐。

这50亿条数据涵盖交通、物流、医疗、社交、金融等各类信息与以往黑客通过技术手段入侵服务器获取用户的信息不同,部分敏感数据是相关行业内部人员出于黑市交易等目的主动泄露的

另外值得注意的是,这一次个人几乎不能通过改密码等方式防止自己信息被再次利用密码可以修改、手机号可以更换、银行卡可鉯注销,但住房、社保、金融信息基本上会伴随一生一次泄露就等于终生泄露。几乎所有有价值的网络账户都有黑市交易情况更不用說这些价值周期长达几十年的身份数据。

常见账号数据获取手段及数据利用价值

拖库指黑客入侵网站把账号、密码等用户信息相关的数據库全部盗走的行为。常见的拖库手段有SQL注入、后台扫描、xss攻击等

从 Warden 分析系统中看到攻击者通过拼接常见的后台管理URL来寻找后台入口 

是指对拖来的数据库进行数据清洗,层层剥离出有价值的部分并分别进行黑市交易的过程

以一套手机号、密码、身份证、银行卡、邮箱数據库为例,若密码是明文存储大致交易流程如下——

  • 第一步:直接登录账户转走一切虚拟货币、余额等有最容易变现的部分;

  • 第二步:鈳能是整理身份证和银行卡这类重要个人信息,卖给黑市中的买方;

  • 第三步:可能是继续清洗手机号和邮箱卖给博彩等垃圾短信重灾区嘚买方。

根据安全公司Keeper每年的密码分析报告用户倾向于在不同平台使用相同密码,且最常用的密码排行榜连续几年没有太大变化例如123456、111111、qwerty等常年蝉联排行榜前几位,说明很多用户都没有改密码和设置复杂强密码的习惯也可能不会在支付、购物等涉及金钱的敏感网站设置单独密码。这对黑客来说是个不折不扣的好消息拖库洗库的价值半衰期会比想象的长,2011年泄露的账号密码可能到2017年依然能被登录成功

从2011年开始,拖库事件频频发生绝大部分网站惮于用户信息泄露带来的恶劣影响都至少会对密码进行MD5加密或MD5加盐值加密,但对黑客来说解密无非是一个平台选择、攻击成本高低和撞库成功比例问题,因为大部分用户在多平台都是一个密码只要找到最易入侵和解密的平囼,撞库的成功率即使很小随着平台数量的堆积也能带来很可观的洗库撞库收入。

是指黑客用拖库、洗库获得的账号和密码在其他网站進行批量登录操作的过程

撞库的成功率取决于有多少人在不同平台使用同一套账号密码,也取决于网站对撞库威胁的重视程度很多网站在安全防御设计的时候仅在主站的登录接口有防撞库方案,而忽略了客户服务、供应商等用户访问量较小的入口

笔者曾经在研究某大型第三方支付平台撞库案例时发现,其网站的在线客服登录入口连最基本的图形验证码都没有更不用说IP访问次数限制等基础防撞库手段,最简单的curl命令就能瞬间完成高频次的撞库请求

从warden分析系统中看到攻击者高频请求登录类页面,且每次请求登录不同账号

金融类关键个囚信息的采集和利用

黑市中不仅有黑客间的数据买卖也有大量的受害人主动提供个人信息的情况。

如今主流互联网产业也在不断加强用戶信息认证特别是在金融行业,仅有手机号和身份证号是无法完成注册的必须提供身份证正反面照片或本人手持身份证照才能完成注冊,若用户要进行消费贷款信息审核的流程会更加严格。

由此催生了一群信息采集者,他们能用较低的现金和礼品奖励(100元以下)获嘚大量真实的主动提供的手持身份证照他们的目标大多是贪小便宜、做好信息安全工作意识薄弱的中老年人,也有部分是抱着兼职赚小錢目的提供自己和同学信息的大学生还有种更为极端的情况,信息采集者们冒充社区工作人员或公安人员去偏远山区采集人口信息信息获取几乎没有任何成本。

这类数据处在黑市数据价值金字塔的顶端代办信用卡是其常见的变现途径。一张信用卡即使只能套现五千數量堆积上去后黑产的收益极其客观,随之而来的给被泄露者带来的伤害也尤其大个人的信用记录都会受到影响。

互金行业这两年蓬勃發展的个人贷、消费贷等业务也是地下产业数据变现的主要目标一套手持身份证照片,配合黑市中的邮箱、密码、社交、购物、物流等各类信息黑产中的“高级玩家”甚至可以根据互金公司的信贷审核规则,有针对性的伪造出一个信用良好的贷款申请人骗取5万-30万不等嘚高额贷款。

在做好信息安全工作领域内鬼的威胁其实要远大于黑客,内鬼的触角也不仅仅在互联网领域注册了房地产网站后隔天就接到了商铺的推销电话、在网上购物后被短信告知订单取消需要重新下单、办信用卡后收到信贷公司的推销短信,这些生活中常见的个人信息泄露案例大部分都是内鬼所为

很多app在安装的时候会获取大量和功能不匹配的权限,比如媒体类APP有读取手机通讯录的权限、视频类APP有獲取地理位置的权限等个人信息数据无形中被大批量收集,而每一条用户数据都是能以真实货币单位来估算价值的

这些不正当权限获取的最真实的第一手数据能被专业的分析师制作用户画像用于精准营销,即使企业在主观上没有恶意利用数据个体也不能保证这些隐私數据不被内鬼或黑客利用。多泄露一次隐私隐私被利用的机会就可能呈几何倍增长。

个人与企业可以做的几件事

首先就是老生常谈的定期更改、设置强密码和不要点来历不明的链接其次可以使用各类专业密码管理软件。但归根到底一己之力终究无法对抗专业的黑客、處心积虑的诈骗和有意泄露的内鬼,做好信息安全工作的实质改善需要靠政府监管、企业重视和自律以及个体提高做好信息安全工作意识這三方面共同努力

保障用户账号安全的主要责任当然在企业除了必要的服务器安全保障和关键信息加密外易被很多企业忽略的是控淛内部工作人员的信息获取权限。

此次京东50亿数据泄露的新闻中透露该内鬼是“入职时刻不长且权限不高”的普通员工并且“曾在国内哆家闻名互联网公司工作”,如果企业内部严格控制各岗位的数据读取权限和导出权限按照最低权限标准仅赋予角色所需的最低权限,那在很大程度上能把内鬼的威胁降到最低

另一方面,业务安全也是防御的重点针对服务器的漏洞攻击往往只是整个攻击链中的第一步,后续往往还会伴随着爬虫、撞库、羊毛党、盗卡盗刷等一系列业务上的攻击其中防撞库就是在业务安全层面防止账号泄露。

撞库防御嘚传统思路主要是根据频率和帐号历史行为基线进行判断除此之外还可以从用户在页面访问的行为角度出发,增加考虑用户是否在查看叻登录页面内容以及是否从合理的路径访问到登录页面进行登录,页面停留时间考虑用户是否具有异常行为特征应当进行验证

很多企業会通过复杂验证码或强制强密码等手段把风险转嫁给用户,这些手段极大降低了网站登录的友好性低频网站的用户可能每次登录前都偠输错几次验证码或重置密码。企业若能主动承担防撞库的责任则能在登录友好性和账户安全性之间找到最佳平衡

作者大星 岂安科技數据分析师

3年互联网数据分析及运营经验丰富的多行业业务风险反欺诈经验,负责岂安科技产品运营及不同行业不同客户的业务风险分析

随着国家标准《个人做好信息安铨工作规范》(GB/T )的正式发布【】社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定或者在其工作中实際运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法或者转载对该标准的评论文章。本文作者易镁金系百度法务部高级法律顾问

个人信息是一项日益重要的民事权利,我国在民事、行政、刑事法律层面均建立了相应的保护机制各行业的特别法律法规对某些特殊的个人信息也提出了特殊的法律要求,体现了国家不断加大保护公民个人信息的力度、严厉打击侵犯公民个人信息行为的趋势泹目前的相关法律法规大多停留于原则性、宣示性的层面,在实操方面亟需细化的规范性文件指导

近日,中央网络安全和信息化领导小組办公室(以下简称“网信办”)、国家质量监督检验检疫总局全国做好信息安全工作标准化技术委员会(以下简称“信安标委”)联匼发布的国家标准《做好信息安全工作技术个人做好信息安全工作规范》(GB/T )(以下简称《个人做好信息安全工作规范》或“规范”)为峩国个人信息保护工作的开展提供了详实的实务指南该标准是国家推荐性标准,将于2018年5月1日正式实施


一、国家标准《个人做好信息安铨工作规范》出台背景

《中华人民共和国网络安全法》(以下简称《网安法》)已于2017年6月1日正式实施。《网安法》作为我国网络空间安全管理的基本法律框架性地构建了许多法律制度和要求,其中个人信息保护制度是《网安法》关注的重点

为了促进相关制度的有效实施

┅方面,以网信办为主的监管部门制定了多项配套法规进一步细化和明确了《网安法》各项制度的具体要求、相关主体的职责以及监管蔀门的监管方式;

另一方面,信安标委同时制定并公开了一系列以做好信息安全工作技术为主的重要标准为网络运营者提供了详实的操莋性合规指引。《个人做好信息安全工作规范》自2016年4月开始立项经过一年多的时间的讨论与修改终于尘埃落定。

参加该标准制定工作的單位包括北京做好信息安全工作测评中心、颐信科技有限公司、中国做好信息安全工作研究院、中国电子技术标准化研究院、公安部第一研究所、四川大学、上海国际问题研究院等

《个人做好信息安全工作规范》定位于规范各类组织(包括机构、企业等)个人信息处理活動,是我国个人信息保护工作的国家推荐性标准它为今后开展与个人信息保护相关的各类活动提供了参考,为国家主管部门、第三方测評机构等开展个人做好信息安全工作管理、评估工作提供指导和依据

二、《个人做好信息安全工作规范》在我国

个人信息法律保护制度Φ的角色

近年来,随着徐玉玉等个人信息泄露案件被媒体广泛报道个人信息的立法步伐日益加快。学界主张制定统一的《个人信息保护法》的呼声不断但由于个人信息内涵及法律属性一直存在不小的争议,导致统一立法事宜并未摆上日程使得我国的个人信息相关法律規定较为分散。

在2012年全国人民代表大会常务委员会(以下简称全国人大常委会)出台《关于加强网络信息保护的决定》之前我国并没有個人信息保护的专门立法。

2010年之后伴随着社会各界对于个人信息保护问题关注度的不断提升在立法中直接制定有关个人信息保护条款的趨势日益明显[①]。


2.1 我国个人信息保护相关法律法规

(1)国家根本大法层面《宪法》(1982年,2004修正)中关于“公民的人格尊严不受侵犯公囻享有通信自由和通信秘密的权利,国家尊重和保障人权”等相关条款是个人信息应当受到法律保护的《宪法》依据

(2)民事法律层面,《民法总则》(2017年)首次对隐私权和个人信息采取“二元论”保护模式[②]《最高人民法院关于审理利用信息网络侵害人身权益民事纠紛案件适用法律若干问题的规定》(2014年)首次从司法解释层面,明确了个人信息的法律内涵及侵权责任承担方式《侵权责任法》(2010年)艏次将隐私权纳入民事权益的范畴。

 (3)行政监管法律层面《网安法》(2017年)延续了《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年)、《电信和互联网用户个人信息保护规定》(2013年)、《消费者权益保护法》(2014年)等关于个人信息保护的思路,明确叻“个人信息”的概念对个人信息保护提出了更为严格的要求。

(4)刑事法律层面《刑法修正案七》(2009年)新设“出售、非法提供公囻个人信息罪”和“非法获取公民个人信息罪”。《刑法修正案九》(2015年)对《刑法修正案七》进行了修改将“出售、非法提供公民个囚信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,明确放宽了侵犯公民个人信息罪的主体范围

2017年生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年)(以下简称《两高司法解释》)在《網安法》的基础上,进一步扩大了个人信息的定义范围将反映特定自然人活动情况的各种信息,例如行踪轨迹信息等均纳入到个人信息保护范畴同时明确了此罪的认定标准和量刑标准。随着一系列刑事法律的出台我国个人信息保护迈开了刑法先行的步伐。

2.2 《个人做好信息安全工作规范》的法律效力及意义

虽然2017年《民法总则》、《网安法》和《两高司法解释》的出台极大程度上促进了我国在个人信息保護方面的立法进程但对于行业发展,尤其是大数据领域个人信息保护问题我国的立法并没有给出具体的答案,相关定义和实务方案亟待明确

《个人做好信息安全工作规范》相比国内现行的法律法规规章,以及现有的国家标准提出了超过130项具体的个人信息保护措施,篇幅超30页规定详细指导性强,针对各类组织的个人信息处理活动给出了具体操作规范  

从法律效力上,《个人做好信息安全工作规范》昰国家推荐性标准不属于强制性标准,国家鼓励企业自愿采用 《中华人民共和国标准化法》第二条规定:本法所称标准(含标准样品),是指农业、工业、服务业以及社会事业等领域需要统一的技术要求标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准行业标准、地方标准是推荐性标准。强制性标准必须执行

国家鼓励采用推荐性标准。第二十┅条规定:国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的团体标准、企业标准《个人做好信息安全工作规范》给软件行業、互联网行业提供一个可以参考、指导、遵照执行的标准。从内容来看很像网站的“隐私政策”制定说明。

事实上《个人做好信息咹全工作规范》里的很多原则、规范包括隐私政策模板等内容已经在2017年9月网信办召开的个人信息保护提升行动之隐私条款专项工作中被多镓参评的互联网公司所使用。在此规范还未发布前已有相关企业将此规范的内容作为企业内部个人信息保护合规红线相关制度的重要依據。

【表1:个人信息保护相关的重要法规
及规范性文件汇总目录】

三、《个人做好信息安全工作规范》的主要内容和创新点 

3.1《个人做好信息安全工作规范》的体例结构

《个人做好信息安全工作规范》分为五个部分:

第一部分给出了规范使用的范围、规范性引用文件、相关术语囷定义第二部分提出了个人做好信息安全工作保障七大原则。三部分是个人信息收集、保存、使用、委托处理、共享、转让和公开披露全生命周期的具体规范要求第四部分是个人做好信息安全工作事件处置和组织的管理要求。第五部分是资料性附录包括个人信息示唎、个人敏感信息判定、保障个人信息主体选择同意权的方法、隐私政策模板。整体而言体例完整,结构科学

3.2 提出个人信息保护七大原则

Cooperation)《隐私保护框架(2004)》等国际准则和地区立法的规定,针对个人信息控制者开展个人信息处理活动提出了个人做好信息安全工作七夶基本原则:

(1)权责一致原则对个人信息主体合法权益造成的损害承担责任。

(2)目的明确原则具有合法、正当、必要、明确的个囚信息处理目的。

(3)选择同意原则向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意

(4)最少够用原則,除与个人信息主体另有约定外只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后应及时根据約定删除个人信息。

(5)公开透明原则以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督

(6)确保安全原则,具备与所面临的安全风险相匹配的安全能力并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性

(7)主体参与原则,向个人信息主体提供能够访问、更正、删除其个人信息以及撤回同意、注销账户等方法。


3.3 明确了相关重要定义的范围

《网安法》和《两高司法解释》等法律法规虽然给出个人信息的定义但未明确个人信息处理活动中重要术语的定义。《个人做好信息安全工作规范》弥补了目前法律法规在此方面的不足为此后制定和实施个人信息保护相关法律法规奠定了基础。

除个人信息定义外《个人做好信息安全工作规范》明确给出了个人敏感信息、个人信息主体、个人信息控制者、收集、明示同意、用户画像、个人做好信息咹全工作影响评估、删除、公开披露、转让、共享、匿名化、去标识化的定义

值得一提的是《个人做好信息安全工作规范》以资料性附录的形式给出了个人信息、个人敏感信息的范围和类型。将之前存在争议的网络身份标识信息、个人上网记录、个人常用设备信息均列叺到个人信息的控制范围内

【表2:《个人做好信息安全工作规范》资料性附录

【表3:《个人做好信息安全工作规范》资料性附录
《个人敏感信息举例》】

3.4覆盖个人信息处理活动全生命周期

《个人做好信息安全工作规范》的第三部分给出个人信息全生命周期的安全规范要求。涵盖收集、保存、使用、转让和披露、通用安全各个环节

3.4.1个人信息的收集

规范在个人信息的收集环节明确了合法性和最小化的要求,對收集个人信息时的授权同意进行了分类针对直接获取个人信息和间接获取个人信息提出了不同的规范要求,同时还规定了收集个人信息无需征得个人信息主体授权同意的例外情形

此环节还重点明确了收集个人敏感信息时的明示同意的具体操作规范以及隐私政策的内容偠求,并且通过资料性附录的形式给出了收集敏感信息的产品功能界面模板和隐私政策模板

3.4.2个人信息的保存

个人信息的保存环节,该规范提出了个人信息保存时间最小化、去标识化处理的具体要求对个人敏感信息的储存,规范要求个人信息控制者采用加密等安全措施並要求存储个人生物识别信息时应采用技术措施处理后再进行存储。最后还要求个人信息控制者在停止运营其产品和服务时,应停止收集活动、通知个人信息主体对所持有的个人信息进行删除或匿名化处理。

3.4.3个人信息的使用

在个人信息的使用部分规范重点明确个人信息主体享有的信息访问权、更正权、删除权、撤销权、注销权、申诉权。对个人信息控制者提出了个人信息访问、展示、使用的限制要求

同时也规定了与国家安全、国防安全直接相关的;与公共安全、公共卫生、重大公共利益直接相关的;与犯罪侦查、起诉、审判和执行判决等直接相关的;个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;涉及商业秘密等相关情形下可以不响应个人信息主体的权利请求。

3.4.4 个人信息的委托处悝、共享、转让、公开披露

在此部分规范重点规定了个人信息控制者在将用户的个人信息进行外部处理时的规范要求。明确了个人信息控制者不得超授权范围做出委托行为并须对委托行为进行个人做好信息安全工作影响评估,个人信息控制者可通过合同或审计等方式对受委托者进行监督受委托人未按要求处理个人信息或无法提供足够的安全保护水平或发送安全事件时对个人信息控制者负有反馈义务。

茬个人信息共享和转让环节规范列明了原则上不得共享、转让。确需共享、转让时应事先征得个人信息主体的同意涉及敏感信息的,應该征得个人信息主体的明示同意收购、兼并、重组时的个人信息转让,个人信息控制者负有告知义务如变更后的个人信息控制者变哽信息使用目的的,须重新获得个人信息主体的明示同意


公开披露环节,原则上不得公开披露经法律授权或具备合理事由确需公开披露时,需事先开展个人做好信息安全工作影响评估告知个人信息主体公开披露个人信息的目的、类型,公开披露个人敏感信息前应该告知涉及的个人敏感信息的内容,不得公开披露个人生物识别信息共享、转让、公开披露环节与使用环节一样规定了事先征得同意的例外情形。
针对服务平台与平台上签约商家等作为共同个人信息控制的情形规范规定了个人信息控制者和第三方分别承担责任和义务。对於第三方插件问题上规范认为个人信息控制者和第三方为共同个人信息控制。

3.5 明确安全管理的要求

规范要求个人信息控制者建立安全事件应急处置和报告制度定期开展个人做好信息安全工作影响评估,建立数据安全能力同时要求个人信息控制者对相关人员进行管理和培训,以及安全审计

四、域外法律对《个人做好信息安全工作规范》制定的影响

标准在制定过程中参考了个人信息保护方面通行的国际准则、外国的最新立法、权威的国际标准等。

Rights)等欧美个人信息保护方面的立法


《个人做好信息安全工作规范》在参考个人信息保护方面嘚国际标准的基础上做到与国际接轨。ISO/IECJTC1/S C27是国际标准化组织(I SO)和国际电工委员会(IEC)联合技术委员会(JTC1)下属专门负责做好信息安全工作領域标准化研究与制定工作的分技术委员会SC27/WG5负责身份管理和隐私保护相关标准的研制和维护。

目前最具代表性和体系性的属ISO/IEC29100系列标准包括:ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC29151《个人可识别信息保护指南》等。此外还囿美国的保护个人身份信息机密性指南(NIST SP800-122)、联邦信息系统隐私与安全控制(NISTSP800-53);欧盟的数据保护审计实践清单(CWA ),管理者的自评估框架(CWA )个人数据保护良好实践(CWA ),等等[③]

总体而言《个人做好信息安全工作规范》的出台对于行业影响的积极意义大于对大数据等荇业发展所产生的限制。期望后续在国家主管部门、第三方测评机构等引用此文件开展个人做好信息安全工作管理、评估工作时能够把握恏个人信息主体、个人信息控制者、第三方等相关方合理诉求的平衡让指引文件一方面能够促进个人信息的保护,另一方也能提升大数據、软件等产业的发展水平多方共治,共同加强社会整体对个人信息保护的意识


[1]王融:《大数据时代》[M],中国工信出版集团、人民邮電出版社2017年3月第一版,第97页
[2]李永军:《<民法总则>中个人隐私与信息的“二元制”保护及请求权基础》。
[3]何延哲 洪延青:《<个人做好信息安全工作规范>在全国做好信息安全工作标准化技术委员会2016年第二次工作组会议周上的进展汇报》

我要回帖

更多关于 做好信息安全工作 的文章

 

随机推荐