哈尔滨工业大学远程教育本科毕业设计(论文) A.F.Westin认为隐私是个人、组织或机构有权决定何时、如何将自身更多的信息与他人交流。1995年欧盟颁布的《欧洲联盟数据保护规章》,将个人信息定义为“有关一个被识别或可识别的自然人(数据主体)的任何信息”。徐敬宏则认为个人信息除了包括能对个人进行识别的基本信息和个人隐私外,还应包括这两类信息内容之外的关于个人的一些琐碎信息。田桂兰在《网络环境下个人信息安全问题及其保护》中认为,个人信息是指一切可以识别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面[1]。查先进认为个人隐私包括个人信息、私人活动和私有领域三个方面[2]。任伊珊认为在网络环境下个人信息表现为数字,数字成为网络环境下个人信息的载体。周武华认为在网络环境下个人信息的范围更广,涉及到了邮件地址、IP地址、域名及网络用户名等。
(2) 信息安全
到目前为止学界对信息安全还没有一个较为统一的定义,但是综合国内外对信息安全的定义,可将其分为两类:一是指信息系统的安全性;二是指某一特定信息体系[3]。但是这两类定义都不全面。美国国家安全通信以及信息系统安全委员会(NSTISSC)对信息安全所作的定义认为,信息安全是对信息及信息系统关键要素的保护,包括信息的使用、存储方式、信息的传输过程和系统硬件[4]。冯登国认为信息安全所包含的内容在随着信息技术的不断发展和具体应用在不断扩展。信息安全的内涵已从最初的强调信息的保密性发展到信息的完整新、可用性、可控性和不可否认性,进而又发展到包括“防范、攻击、控制、检测、管理、评估”等多方面的实际操作理论和技术[5]。林柏钢认为信息安全指的是在网络环境下信息系统中的数据受到特定地保护,使信息不会因为某些偶然和恶意的原因而遭到破坏、更改、泄露,使信息系统能够连续、可靠、正常地运行,还包括信息系统被破坏后能迅速恢复正常运转的安全过程
[6]
。
(3) 个人信息安全保护
在个人信息安全保护方面,国内外均有较多的研究,主要是从技术层
面、法律层面、个人层面和道德层面上来进行研究。 [1][2]
田桂兰.网络环境下个人信息安全问题及其保护[J].信息化建设,2007(6):42-44 查先进.信息政策与法规[M].科学出版社,2004 [3]
李飞,陈艾东.信息安全理论与技术[M].西安电子科技大学出版社,2010 [4]
王春东.信息安全管理[M].武汉大学出版社,2008 [5]
冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用,2001(1):8-13 [6]
林柏钢.网络与信息安全教程[M].机械工业出版社,2004
3
哈尔滨工业大学远程教育本科毕业设计(论文) 在个人信息保护技术方面,主要包括加密技术、防火墙技术、数字签名技术以及数字时间戳技术。在法律层面,国内外都制定了相关的法律进行约束,如美国国会在1974年通过了《隐私权法》,这部法律是美国用以保障公民个人信息安全的一部最重要的法律;1984年英国议会通过了《数据保护法》,并于1998年对该法进行了修订。此后,英国又陆续通过了一系列旨在保护公民个人信息安全的法律。在亚洲,日本2005年4月颁布实施了《个人信息保护法》,它是日本保护个人信息安全的根本法律。而我国在个人信息保护的立法方面还比较滞后。刑法中对于个人信息安全的保护还是空白的,宪法第38、39、40条对个人隐私权的保护提供了一定的依据。另外,民法通则等相关法律法规指出对公民的个人隐私加以保护,但是并没有较为具体和详实的解决办法,缺乏可操作性。目前,我国《个人信息保护法》已经步入立法阶段,但尚未颁布。在个人层面上,国内外研究学者均认为个人良好的上网习惯是保护自身信息安全的重要保证。比如:在个人信息填写的过程中适当地隐藏某些对于个人来说较为重要的信息;设置安全等级较高的密码,如大小写和字符混合等。在道德层面上,网络运营商应该对网民的个人信息进行保密,若要公开,应告知用户个人信息的用途,并获取其同意。
在信息保护方面,比较典型的是美国与欧盟个人信息跨国流通安全协议的签订。安全协议包含七大原则,其中包括知情原则(信息收集者有义务告知信息主体其信息收集的目的以及信息的使用方向)、同意原则(信息控制者必须给予信息主体机会,以选择是否将其个人资料透露给第三方)、安全原则(信息控制者在整理、使用和传播个人信息时,必须采取有效的措施来确保个人信息不被滥用和泄露)。这个协议的内容在一定程度上为我国制定相应的个人信息保护措施提供了借鉴。
1.4 研究内容和方法
1.4.1 研究内容
第一章:绪论。介绍了选题背景和意义;分析了国内外对本课题的研究现状;讲述了课题研究的方法。
第二章:网络个人信息安全。主要是对相关概念的阐述,具体包括:个人信息(个人隐私)、信息安全、网络安全,以及网民对个人信息所拥有的权利和网络运营商对用户信息安全应尽的责任。
第三章:案例分析。通过网上交易造成的财产损失,以及iCloud遭攻击
4
哈尔滨工业大学远程教育本科毕业设计(论文) 导致的隐私泄露,这两大典型案例分析,列举网络环境下个人信息泄露的主要攻击手段,并总结相应的防范措施。
第四章:网络个人信息保护。阐述了网络个人信息保护的意义,并分别从技术层面、法律层面、个人层面提出了防范建议。
1.4.2 研究方法
1、文献分析法
本课题的写作是建立在对相关知识的收集和理解上的。通过阅读图书馆资料和浏览网上资源对国内外文献进行收集和总结,进一步了解目前国内外个人信息及其安全的相关研究和现状。这些研究成果不仅为本论文提供了坚实的理论基础,在归纳、研究的基础上,更准确深刻地分析和认识问题,从而使文章更合理,层次更清晰。
2、案例分析法
本课题在对网络环境下信息泄露的原因和攻击手段的分析引用了相关案例。
5
哈尔滨工业大学远程教育本科毕业设计(论文) 第2章 网络环境下的个人信息及个人信息安全
2.1 概念阐述
2.1.1 个人信息
所谓个人信息,是指一切可以识别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面,即指有关个人的一切数据、资料。这些信息有些是其自身产生的,如年龄、收入、爱好等;有些是非自身产生的,如他人对该人的评价等。也可以根据其公开的程度将个人信息分为两类,一类是极其个人化、永远不能公开的个人信息,如信用卡号、财务状况等;另一类是在某些范围和一定程度上可以公开的个人信息,如姓名、性别等。
与“个人信息”相关的一个概念是“个人数据”(Personal Data)。所谓个人数据,是指标识个人基本情况的一组数据资料。从广义上说,一切有关个人的数据都属于个人数据的范畴。根据信息与数据两者之间的关系,一般认为个人数据属于个人信息的范围,个人信息包含了个人数据。
与“个人信息”相关的另一个概念是“隐私”,在《现代汉语词典》中,隐私是指不愿告人的或不愿公开的个人的事。严格按照法律的要求解释“隐私”,就是公民与公共利益无关的个人私生活秘密。它所包含的内容,就是私人信息、私人活动和私人空间。具体来说,诸如身高、体重、收入、生活经历、家庭电话号码、病患经历等等属于私人信息;私人活动是一切个人的、与公共利益无关的活动,如日常生活、社会交往、夫妻之间的两性生活等;私人空间也称为私人领域,是指个人的隐秘范围,如身体的隐秘部位、个人居所、旅客行李、学生书包、日记、通信等。从形式逻辑出发,“个人信息”和“个人隐私”是包含关系,即个人信息包含个人隐私,个人隐私是个人信息的下位概念,是个人信息的一部分。因此当与公共利益无关的个人信息,信息主体不愿公开时就成为隐私。之所以主张保护个人信息,也是因为其涉及到个人的隐私。
2.1.2 信息安全
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统连续、
6
哈尔滨工业大学远程教育本科毕业设计(论文)
可靠、正常地运行,信息服务不中断,最终实现业务连续性。
信息安全主要包括以下五方面内容,即需要保证信息的保密性、真实性、完整性,以及未授权拷贝和所寄生的系统的安全性。其根本目的就是使信息不受内外部和自然等因素的威胁。为了保障信息安全,要求有信息源认证、访问控制,不允许有非法软件驻留,不能有未经授权的操作等行为。
2.1.3 网络安全
网络安全是指网络系统的硬件、软件以及系统中的数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。
网络安全包括网络设备安全、网络软件安全和网络信息安全三个方面内容。从广义上来讲,凡是涉及到网络上信息的保密性、真实性、完整性、可用性和可控性的相关理论和技术都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
2.2 网络环境下的个人信息安全
2.2.1 网民对个人信息所拥有的权利
2.2.1.1 个人信息权
个人信息权,是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。其权利内容具体包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权。
第一,信息决定权。信息决定权,简称决定权,是指本人得以直接控制与支配其个人信息,并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用的权利。决定权集中反映了个人信息权的人格权属性——绝对性与支配性,在各项权利内容中居于核心地位。
第二,信息保密权。信息保密权,简称保密权,是指本人得以请求信息处理主体保持信息隐秘性的权利。
第三,信息查询权。信息查询权,简称查询权。是指本人得以查询其个人信息及其有关的处理的情况,并要求答复的权利。对信息的控制与支配,必须首先了解哪些个人信息被收集、处理与利用的情况,特别是在此过程中信息是否被保持完整、正确与适时。信息查询权是重要的当事人权利,除非因公益
7