關(guān)于個(gè)人信息的網(wǎng)絡(luò )安全保護的論文

　　隨著(zhù)計算機及網(wǎng)絡(luò )技術(shù)的飛速發(fā)展，擁有大量個(gè)人信息的公共事業(yè)部門(mén)對個(gè)人信息的處理與傳遞更加方便和快捷了，這類(lèi)系統注①需要在互聯(lián)網(wǎng)環(huán)境下實(shí)時(shí)地進(jìn)行數據傳遞以實(shí)現為用戶(hù)提供服務(wù)的目的。在為用戶(hù)提供可查詢(xún)的信息服務(wù)和數據交流的同時(shí)，大量的個(gè)人信息隨時(shí)面臨著(zhù)被泄露或被篡改的危險。就當今的個(gè)人信息管理者注②而言，這種以計算機網(wǎng)絡(luò )為載體、以電子介質(zhì)為存儲方式管理的個(gè)人信息比傳統的無(wú)網(wǎng)絡(luò )載體、以紙介質(zhì)為存儲方式具有更大的挑戰性，面臨著(zhù)更大的個(gè)人信息安全風(fēng)險。近年來(lái)，國內外不斷發(fā)生的個(gè)人信息泄露事件，對公民的個(gè)人隱私安全造成了極大的威脅甚至使其蒙受了巨大的財產(chǎn)損失，引發(fā)了公民對個(gè)人信息安全的擔憂(yōu)以及對個(gè)人信息管理者的質(zhì)疑，代表公民愿望的新聞媒體對個(gè)人信息保護的要求和呼聲也愈加強烈。因此，建設安全的網(wǎng)絡(luò )運行環(huán)境以保證公民個(gè)人信息的安全已成為個(gè)人信息管理者當前亟待解決的問(wèn)題。

　　確系統的安全隱患

　　通常，這類(lèi)系統是由內網(wǎng)和外網(wǎng)構成的，內網(wǎng)構造了一個(gè)完整的業(yè)務(wù)處理環(huán)境，運行和處理個(gè)人信息核心業(yè)務(wù)；外網(wǎng)則為利用互聯(lián)網(wǎng)登錄的用戶(hù)提供了聯(lián)接、使用本系統的服務(wù)窗口。由于互聯(lián)網(wǎng)使用的自由性、廣泛性以及網(wǎng)絡(luò )攻擊的頻繁性，組織內部注③保管的個(gè)人信息隨時(shí)面臨著(zhù)非正常用戶(hù)的非授權訪(fǎng)問(wèn)。信息被篡改、泄漏甚至丟失等安全威脅，要達到系統安全、可靠、穩定的目標，首先應通過(guò)風(fēng)險分析明確系統的安全隱患，為最終規劃系統的網(wǎng)絡(luò )安全解決方案提供可靠的依據。

　　由于這類(lèi)系統構造的龐大性和復雜性，為便于分析，我們一般采用系統工程的方法將系統劃分為物理層、網(wǎng)絡(luò )層、系統層、應用層和管理五個(gè)部分來(lái)進(jìn)行分析，各部分存在的主要安全隱患是：

　　物理層安全隱患：物理層的安全隱患主要是網(wǎng)絡(luò )周邊環(huán)境和物理特性導致的網(wǎng)絡(luò )、線(xiàn)路和設備的不可用(如設備被盜、被毀壞、意外故障等)，進(jìn)而造成網(wǎng)絡(luò )系統的癱瘓，它是網(wǎng)絡(luò )安全的前提。

　　網(wǎng)絡(luò )層安全隱患：網(wǎng)絡(luò )層的安全隱患主要是數據傳輸中的風(fēng)險(如：信息的泄漏、丟失、偽造、篡改等攻擊)、網(wǎng)絡(luò )邊界風(fēng)險、服務(wù)器安全風(fēng)險、用戶(hù)安全風(fēng)險等。

　　系統層安全隱患：系統層的安全隱患主要是來(lái)自于信息系統采用的操作系統、數據庫及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅。

　　應用層安全隱患：應用層的安全隱患主要是身份認證漏洞和非授權訪(fǎng)問(wèn)，提供信息數據服務(wù)的服務(wù)器因缺乏安全保護，可能會(huì )被非法用戶(hù)直接訪(fǎng)問(wèn)網(wǎng)絡(luò )資源，造成信息外泄。

　　管理的安全隱患：管理是網(wǎng)絡(luò )安全中最重要的一環(huán)，管理制度不健全或缺乏可操作性、各崗位責權不明或管理混亂等都可能造成安全隱患，這些缺陷使得系統在受到安全威脅的情況下不能實(shí)時(shí)地檢測、監控、報告、預警，并可能導致事故發(fā)生后，缺乏對系統運行的可控性和可審計性。

　　建系統的安全保障體系

　　從個(gè)人信息安全隱患的分析中可以看出：系統面臨著(zhù)多層次、多形態(tài)的安全隱患，解決系統的安全問(wèn)題，只依靠某個(gè)單一的或孤立的安全技術(shù)手段是遠遠不夠的，不僅需要有完善的技術(shù)和可靠的設備做支撐，同樣需要有與之配套的安全管理制度作保障。因此，組織內部應對系統的過(guò)程、策略、標準、監督、法規、技術(shù)進(jìn)行綜合后，構建一套完整可行的系統安全保障體系，如下圖所示的《系統安全保障體系框架》。

　　“基礎安全服務(wù)設施”、“內部安全管理保障機制”、“安全技術(shù)支撐平臺”、“緊急事件處理與恢復機制”等組成了《系統安全保障體系框架》，各組成部分是相互制約的�！断到y安全保障體系框架》表明：完善的“內部安全管理保障機制”是實(shí)現系統安全之根本；而“基礎安全服務(wù)設施”、“安全技術(shù)支撐平臺”是相互依賴(lài)的，只有實(shí)現了下層的安全，才能在真正意義上保證上層的安全；“緊急事件處理與恢復機制”是當系統一旦發(fā)生緊急事件時(shí)，為保障系統盡快恢復運行并將事故損失降到最低的保障預案。

　　劃系統的安全保護策略

　　從以上的分析中我們知道，控制、管理網(wǎng)絡(luò )系統和應用操作過(guò)程是實(shí)現系統安全的重要途徑，任何組織內部的系統安全都是制度和技術(shù)的結合，要保證系統的個(gè)人信息安全，必須根據安全風(fēng)險分析的結果，從安全管理、安全技術(shù)兩大方面規劃系統的安全保護策略，以實(shí)現個(gè)人信息在網(wǎng)絡(luò )環(huán)境下的可靠性、保密性、完整性、可用性、可核查性和可控性。

　　(一)安全管理

　　安全管理制度是各類(lèi)安全保障措施的前提，也是其它安全保障措施實(shí)施的基礎。安全管理保障體系是以文檔化的方式管理系統中各種角色的活動(dòng)，以組織內部的政策和制度為準則，規范操作流程，以工作日志等手段記錄和審計操作過(guò)程。它主要包括：

　　1組織管理

　　應識別組織內部的安全風(fēng)險，制定對應的安全制度，明確信息安全事故報告流程，確保使用持續有效的方法管理信息安全事故，建立信息安全監查工作制度，發(fā)現問(wèn)題及時(shí)改進(jìn)。

　　2員工管理

　　員工是系統安全的操作者，因而是系統安全的管理對象，要提高員工的信息安全意識，落實(shí)安全管理責任，責任分離以減少潛在的損失，定期進(jìn)行信息安全知識培訓。

　　(二)安全技術(shù)

　　安全技術(shù)是通過(guò)在系統中正確地部署軟、硬件，利用各類(lèi)安全產(chǎn)品和技術(shù)手段達到無(wú)偏差地實(shí)現既定的安全策略和安全目標，為整個(gè)網(wǎng)絡(luò )構筑起一個(gè)真實(shí)的安全環(huán)境。這里重點(diǎn)介紹：

　　1物理安全要點(diǎn)

　　物理安全是保證系統所涉及場(chǎng)所的環(huán)境、設備、線(xiàn)路的實(shí)體安全，防止基礎設施的非法使用或遭受破壞。應建立完善的電力保障系統及適宜的溫度、濕度等物理運行環(huán)境；具有良好的防雷擊、抗電磁干擾等基本保障設施；具備抵御地震、洪澇災害等抗自然災害能力；等等。

　　重要工作區域應設置物理安全控制區，建立視頻監控系統和防盜設施，鑒別進(jìn)入人員的身份并登記在案，將準入重要工作區域的人員限制在可監控的范圍內。

　　2主要技術(shù)手段

　　由于網(wǎng)絡(luò )安全存在很多問(wèn)題，抵御網(wǎng)絡(luò )攻擊，防止信息泄密，預防信息破壞，控制用戶(hù)訪(fǎng)問(wèn)范圍和權限是規劃網(wǎng)絡(luò )安全的重要內容，通常采用的主要技術(shù)手段是：

　　(1)身份認證，識別技術(shù)

　　身份認證，識別技術(shù)是通過(guò)物理級、網(wǎng)絡(luò )級、系統級等多種手段，對網(wǎng)絡(luò )中用戶(hù)的訪(fǎng)問(wèn)權限進(jìn)行控制，是判斷和確認用戶(hù)真實(shí)身份的重要環(huán)節。它通過(guò)識別用戶(hù)的身份決定是否執行其提出的訪(fǎng)問(wèn)要求，可信的身份服務(wù)為驗證提供準確的用戶(hù)身份確認信息，沒(méi)有可信的身份驗證服務(wù)，防火墻就可能根據偽造的合法用戶(hù)身份做出錯誤的判斷。

　　(2)網(wǎng)絡(luò )反病毒及安全漏洞掃描技術(shù)

　　反病毒及安全漏洞掃描技術(shù)是防御網(wǎng)絡(luò )病毒和惡意代碼侵害的主要手段，反病毒技術(shù)可通過(guò)預防、查殺等技術(shù)手段實(shí)現對侵入計算機網(wǎng)絡(luò )系統的病毒實(shí)施安全地防御；而安全漏洞掃描技術(shù)則是通過(guò)對系統的工作狀態(tài)進(jìn)行檢測、掃描并加以分析，找出可能威脅系統的異常系統配置，并及時(shí)做出反應。

　　(3)訪(fǎng)問(wèn)控制技術(shù)

　　訪(fǎng)問(wèn)控制技術(shù)可用于防止非法用戶(hù)的侵入并控制合法用戶(hù)對系統資源的非法使用行為，阻斷攻擊者從任何一個(gè)終端利用現有的大量攻擊工具發(fā)起對主機的攻擊、控制并進(jìn)行非法操作或修改數據。

　　(4)防火墻技術(shù)

　　防火墻是保護網(wǎng)絡(luò )系統不受另一個(gè)網(wǎng)絡(luò )攻擊的網(wǎng)絡(luò )設備，它能夠隔離安全區域，根據制定的安全策略控制進(jìn)出網(wǎng)絡(luò )的信息流向和信息包，提供使用和流量的日志和審計，隱藏內部IP地址及網(wǎng)絡(luò )結構的細節，防止內部信息的外泄。

　　(5)入侵檢測技術(shù)

　　入侵檢測是能夠監視網(wǎng)絡(luò )或網(wǎng)絡(luò )設備的網(wǎng)絡(luò )資料傳輸行為的網(wǎng)絡(luò )安全設備，能夠即時(shí)的中斷、調整或隔離一些不正�；蚴蔷哂袀�害性的網(wǎng)絡(luò )資料傳輸行為，完成對網(wǎng)絡(luò )攻擊的決策分析，可分為實(shí)時(shí)入侵檢測和事后入侵檢測。

　　(6)設備／數據備份技術(shù)

　　設備／數據備份技術(shù)是保證系統持續運行的一項重要技術(shù)。設備備份是在網(wǎng)絡(luò )構建時(shí)，對重要的連接點(diǎn)考慮鏈路及設備的冗余和備份，確保網(wǎng)絡(luò )的高可用性；數據備份是對重要信息進(jìn)行備份，并提供恢復重要信息的功能。

　　(7)數據加密技術(shù)

　　數據加密技術(shù)是網(wǎng)絡(luò )技術(shù)安全的基礎，是用加密密約和加密函數的方式偽裝需要保護的數據，使網(wǎng)絡(luò )設備、操作系統、數據庫系統和應用系統的鑒別信息、敏感的系統管理數據和敏感的用戶(hù)數據采用加密的方式實(shí)現存儲和傳輸過(guò)程中的完整性、保密性和安全性。

　　(8)日志、審計技術(shù)

　　日志、審計技術(shù)可用于檢測系統重要的安全相關(guān)事件，包括重要的用戶(hù)行為和重要系統功能的執行等操作，經(jīng)對檢測數據分析后，盡早地發(fā)現可疑事件或行為，給出報警或對抗措施。(注意：審計記錄應受到保護，避免受到未預期的刪除、修改或覆蓋等。)

　　處理個(gè)人信息的公共服務(wù)系統，與公民的切身利益息息相關(guān)，選擇最優(yōu)的網(wǎng)絡(luò )安全解決方案，是保證個(gè)人信息安全、防止公民隱私泄漏的關(guān)鍵環(huán)節。因此，個(gè)人信息管理者在系統的建設初期，應根據所建設系統的應用環(huán)境、網(wǎng)絡(luò )結構和業(yè)務(wù)需求等特點(diǎn)，從可能導致個(gè)人信息安全的風(fēng)險隱患分析人手，面向需求，構建一個(gè)能夠規避系統風(fēng)險的、符合本部門(mén)業(yè)務(wù)需要的個(gè)人信息安全之網(wǎng)絡(luò )解決方案。

　　注①系統：本文泛指公共事業(yè)部門(mén)擁有的利用互聯(lián)網(wǎng)提供用戶(hù)服務(wù)(含用戶(hù)個(gè)人信息)的信息服務(wù)系統。

　　注②個(gè)人信息管理者：本文指“獲個(gè)人信息主體授權，基于特定、明確、合法目的，管理個(gè)人信息的機關(guān)、企業(yè)、事業(yè)、社會(huì )團體等組織及個(gè)人”。參見(jiàn)《個(gè)人信息保護規范》(DB21／T1628.1-2012)

　　注③組織內部：本文指個(gè)人信息管理者組織內部。

【個(gè)人信息的網(wǎng)絡(luò )安全保護的論文】相關(guān)文章：

保護網(wǎng)絡(luò )安全倡議書(shū)12-04

關(guān)于網(wǎng)絡(luò )安全的論文范文（精選14篇）09-11

對部隊信息網(wǎng)絡(luò )安全管制探究論文08-21

個(gè)人信息系統總結12-13

介紹自己個(gè)人信息的英語(yǔ)作文07-23

個(gè)人信息真實(shí)承諾書(shū)08-22

經(jīng)濟發(fā)展與環(huán)境保護的關(guān)系論文08-12

個(gè)人信息安全評估報告（精選6篇）09-29

個(gè)人信息技術(shù)能力計劃范文09-30

對于計算機網(wǎng)絡(luò )安全的入侵檢測技術(shù)分析論文11-01