1. 数据泄露与隐私保护问题
1.1 数据泄漏事件
-
数据的价值已经得到高度的认可
-
不可避免的面临安全威胁
-
2018年华住集团数据泄露事件
-
中国电信超2亿条用户信息被卖
1.2 隐私数据
2017年5月9日颁布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》指出,刑法第253条之一规定的“公民个人信息",是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
2020- 2021年规划的立法《中华人民共和国个人信息保护法》
2. 信息的泄露途径
2.1 公开收集
- 公开的信息经过搜集汇总、分析后,其中会暴露组织机构、个人的内部、敏感信息,也会导致一定程度的信息泄露
2.2 非法窃取
- 非法窃取是目前信息泄露的主要途径
- 22%的泄露事件涉及云资产,而本地资产占报告事件的71%;
- 45%的泄露行为是黑客攻击,22%涉及社会工程攻击,22%的涉及恶意软件;
- 55%的违规事件和有组织犯罪相关,外部攻击者占70%,30%的为企业内部攻击者;
- 81%的泄露是在几天或更短的时间内发现的;
- 72%的事件涉及大型企业;
- 58%的事件涉及个人数据泄露;
- 43%的泄露涉及Web应用程序。
2.3 合法收集
- 数据采集收集合法
- 采集组织本身管理因素
- 数据被非法利用导致泄露
2.4 无意泄漏
- 组织机构或个人没有意识到数据的重要性;
- 没有了解攻击者数据收集的实现方式
- 在数据发布上缺乏足够的安全防护及安全意识
- 个人的无意泄露
3. 个人隐私信息保护
3.1 个人隐私信息受到法律保护
- 《宪法》
- 在宪法第40条中明确规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护,除因国家安全或者追究刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
- 《网络安全法》
- 《个人信息保护法》即将出台
3.2 如何保护我们的个人隐私
- 尽量不要注册不知名的网站,不要下载不知名的APP,这些网站和APP应用对用户信息保护能力不足,容易导致信息泄露,如果的确需要注册,应使用与常用网站不同的用户名、口令,例如不用主要手机号进行注册验证;
- 在论坛、 微博等开放的平台尽量不要发布照片、行程、生日、纪念日等信息;
- 在非自己可控的计算机上避免输入账户信息,更不要使用“记住账号密码"的功能;
- 包含个人信息的资料不要随意丟弃,进行敏感信息销毁后再处置;
- 不随意使用公共场所中的Wifi,特别未经加密的Wif;
- 无法确认安全的二 维码,不要随意扫码;
- 废旧电子设备不要随意丢弃或卖给二手设备回收商,应进行数据粉碎再处置
4. 组织机构敏感信息保护
4.1 组织敏感信息保护技术措施
- 数据加密
- 信息拦截
- 访问控制
4.2 组织敏感信息保护管理措施
- 技术与管理并重
- 在风险评估的基础上,形成数据泄露防护的安全需求
- 制定相应的管理制度,对数据泄露的风险进行控制