(信息安全)大揭秘-找出数据泄露真凶.doc

信息安全大揭秘：找出数据泄露真凶 2009年2月28日，全国人大常委会通过了《中华人民共和国刑法修正案（七）》，该法第七条规定：国家机关或金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或非法提供给他人，情节严重的，处三年以下有期徒刑或拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。 此法规定的罪名为：非法获取公民个人信息罪。而以该罪名被判刑的第一人周建平，被判处1年6个月徒刑，并处罚金2000元。如今，保护个人信息安全的相关法律出台已久，贩卖手机用户信息的移动运营商等强势机构虽被媒体曝光，但从未究责。作为一名网上贩卖个人信息的二道贩子，周建平本不应该成为受罚“第一人”。 个人信息安全保护：欺软怕硬 只拍苍蝇 山东移动公司出售客户信息，只受到内部处理。曾被曝光的济南移动公司将用户信息出售给“代理商”，并转售给垃圾短信发送公司。据移动“合作伙伴”介绍，所有信息资料均来自移动公司，通常是直接购买。时至今日，这一涉嫌触犯刑法的行为，只是由中国移动内部处理，当地公安并未对此事立案侦查。 侵犯个人信息安全的“老虎”未被究责，贩卖个人信息的末端小人物却被处罚。诸多侵犯个人信息安全的案件，几乎全是个人贩卖者。北京、安徽等地的警方查获利用个人信息进行诈骗的案件均被破获，但个人手机号、车主信息究竟是如何外泄的，至今未被查实。刑法新条例出台近一年的时间，泄露个人信息的机构工作人员也未被以该罪名判罚。 个人信息安全保护立法是法制管理的一大进步，但没有打到如移动公司工作人员这样的“老虎”，不禁让数据安全专家山丽疑惑，该法的出台到底有何实质意义？ 个人信息安全维权 仍然举步维艰 “非法获取公民个人信息罪”是一种须由公安机关侦查的普通刑事案件。一些个人信息泄露事件，如手机号码、考生信息等，对于信息被泄露者来说，即使察觉，一方面很难发现被泄渠道；另一方面，即使报案，因证据不足或者泄露行为未达到刑事犯罪标准，公安机关一般不会立案。同时，刑法修正案（七）并未明确侵犯个人信息安全的具体界定标准，何为“情节严重”，在实际生活中不好判断。 同时，罪名中的犯罪行业范围限定过窄。互联网公司、物业公司、汽车销售、宾馆酒店、会计事务所等机构同样掌握着个人信息和企业信息，这些机构也存在“出售、非法提供”和“窃取、非法获取”的现象。不仅如此，非法采集、非法存储、非法处理以及非法使用等侵犯个人信息安全的行为，并未收录于刑法修正案（七）中。 个人信息安全遭到威胁，但无处维权。目前，国内对于个人信息安全保护还没有出台专门的法律法规，只是在《民法通则》和《刑法》中有涉及保护个人隐私权和信息安全的条款。相比之下，国际上许多国家已有一系列的法律加强对个人信息安全的保护。同时，触犯信息安全保护法的制裁也非常严厉。 信息安全保护法空白 技防安全以求心安 作为因“非法获取公民个人信息罪”被判刑的第一周建平，有着诸多偶然因素。只拍苍蝇，不打老虎的现象既有法律不完善、取证困难等客观原因，也有执法机关不作为的主观原因。那些直接泄露个人信息的电信、金融等机构以及工作人员，何时才能得到惩罚，我们只能静观其变???但是山丽呼吁，对于自身信息安全的保护，运用目前先进的数据安全技术，不要等到泄露事件发生，再后悔莫及。 反病毒技术 使用专业的反病毒软件，若可以制定反病毒策略最好。部署多层防护，定期更新病毒库。 数据加密技术 数据加密技术是保障个人信息安全最基本、最核心的技术措施。对数据信息进行加密处理，防止信息泄露、篡改和破坏。目前众多数据加密技术已经发展成熟，多模加密技术则是其中的代表之一。 权限管理技术 设置多级人员管理机制。企业可以建立入网访问控制，运用山丽安全网关+TPM管理模块建立分层管理；建立网络权限控制，对用户操作权限分级；对企业服务器设定上传、下载控制。 以上列举的数据安全技术可以让个人在应付日常安全问题时，可以得心应手。选择忍气吞声或者逃避，只能沦为他人盈利的工具。武装自己，提高信息安全技能，才能找出数据泄露的真凶！