青島市公安局 王玉清

網絡信息安全是一個關系國家安全、主權安全、社會穩定、民族文化繼承和發揚的重要問題。隨著全球信息化步伐的加快，網絡信息安全已經變得越來越重要，隨著信息技術的深入發展，網絡信息安全問題也變得日益嚴峻，據《中國互聯網絡發展狀況統計報告》統計顯示，截至 2018年6月，中國網民規模為8.02億，較 2017 年末增加 3.8%，互聯網普及率達 57.7%，其中手機網民規模達7.88億，在上網人群中的占比達98.3%。高比例的上網人群催生出來大量的應用程序，這些應用程序為廣大網民提供各式各樣的便捷服務，但其中也出現了對個人信息違法收集、濫用、泄露等問題，這不僅會導致個人隱私數據泄露，同時還嚴重影響個人生命和財產安全。

一、網絡安全目前來說有三個層面的變化

一是網絡安全威脅手段在不斷的升級。從2000年的計算機病毒，到2005年黑客開始成為產業，再到現今網絡攻擊社工化，重要信息系統定向滲透，再往后隨著暗網，虛擬貨幣不斷的增加，可以看到網絡安全威脅越來越大。“暗網”(不可見網)是指那些存儲在網絡數據庫里，但不能通過超鏈接訪問而需要通過動態網頁技術訪問的資源集合，它的服務器均在國外，不會被我們日常所用的搜索引擎抓取。“暗網”上的內容，除了兜售公民信息外，售賣槍支彈藥、毒品、假幣等違禁品或非法交易的帖子比比皆是。違法分子通過“暗網”購買和操縱海量互聯網賬號，可以刷流量，可以騙點贊，可以薅盡商家的羊毛，還能傳播淫穢信息、竊取銀行款項，乃至將相關信息用于電話詐騙、線下犯罪。

二是計算機技術發展帶來新的安全挑戰。新技術的應用和網絡基礎設施的進展，推動中國互聯網由消費互聯網進入到工業互聯網的新階段，工業互聯網是推動互聯網、大數據、人工智能和實體經濟深度融合的主要載體，也是數字經濟的新動能和智慧社會的支柱。原來在消費互聯網上的安全問題，現在還在繼續涌現甚至發酵，比如大數據下如何保障個人隱私，而工業互聯網的發展，尤其是人工智能、云計算、智慧城市等新興技術的應用，讓新型的安全挑戰也不斷出現。這些新技術的使用意味著目前網絡安全的攻擊面越來越大，可利用的攻擊面變的越來越多，新技術的使用導致邊界模糊，不可見。

三是網絡安全法律法規持續的完善。如2012年全國人大常委會通過了《關于加強網絡信息保護的決定》；2015年《中華人民共和國刑法修正案（九）》中明確了對個人信息保護的規定；2016年《中華人民共和國網絡安全法》確定了個人信息保護的基本規則；2017年《中華人民共和國民法總則》中也明確規定了自然人的個人信息受法律保護；2019年《中華人民共和國電子商務法》中也納入了保護消費者個人信息等規定。2019年5月13日等級保護2.0正式發布。

從這三個層面可以看到攻擊手段的不斷演進，使安全威脅更加突出；計算機技術的發展意味著我們面臨風險的幾率在不斷的增多；法律法規不斷的強化使我們在做信息化系統建設的時候，必須要有更多的安全考慮。

二、個人信息安全保障

信息網絡安全是指防止信息網絡本身及其采集、加工、存儲、傳輸的信息數據被故意或偶然的非授權泄露、更改、破壞或使信息被非法辨認、控制，即保障信息的可用性、機密性、完整性、可控性、不可抵賴性。目前國內在多項法律中都關注和強化對個人信息的保護，《網絡安全等級保護條例（征求意見稿）》和《關鍵信息基礎設施安全保護條例（征求意見稿）》中也對個人信息保護進行了相關規定，要求網絡運營者落實重要數據和個人信息安全保護制度，采取保護措施，保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全。《中華人民共和國網絡安全法》在第四章網絡信息安全部分，較大篇幅的對個人信息安全進行了規定，并且明確規定了“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”。為了落實《中華人民共和國網絡安全法》《消費者權益保障法》，2019年1月25日，中央網信辦、工業和信息化部、公安部、市場監管總局正式對外發布《關于開展App違法違規收集使用個人信息專項治理的公告》。從中我們也看出政府治理違規收集使用個人數據方面的決心。

三、針對個人的安全建議

隨著互聯網的蓬勃發展，互聯網給我們帶來方便的同時，也使我們每個人面臨了更多的網絡安全風險，如：電腦反復中毒、敏感信息泄露、各類賬號被盜等網絡安全威脅。如何安全的上網，給大家提供一些參考意見：

一是注意防范WiFi陷阱。不法分子在賓館、飯店、咖啡廳等公共場所搭建免費WiFi，誘騙用戶使用，暗中記錄上網者包括支付寶賬號、銀行賬號信息等在內的所有操作記錄，甚至破解用戶密碼，對用戶機器進行遠程控制。

防范建議：慎重連接免費WiFi，盡量使用可靠的WiFi接入點；關閉自己手機和平板電腦等設備的無線網絡自動連接功能，僅在需要的時候開啟；在公共場所使用陌生的無線網絡時，盡量不要進行與資金相關的操作。

二是確保密碼安全。賬號密碼設置簡單或者使用特別意義的數字（比如生日），容易被不法分子破解，威脅個人賬戶安全，導致個人重要信息甚至財產損失。

防范建議：不要在多個賬號使用同一個密碼；推薦使用特殊字符+字母+數字密碼組合（如：%^a113jobBole#@），并定期更新密碼；如果你有多個賬號密碼，建議使用專業的密碼管理軟件。

三是保持軟件更新。軟件不及時升級，你的個人終端很可能會成為是黑客眼中的肉雞，被不法分子植入木馬或者病毒，操控電腦，盜取你的重要文件或者賬號密碼，獲取你的敏感信息，造成網絡癱瘓等問題。

防范建議：保持軟件更新不僅是操作系統要堅持更新，殺毒軟件和其他常用的應用軟件也要保持最新版本。

四是加強普法教育。個人信息安全從身邊的小事做起，不隨意丟棄快遞單、不隨便參加掃碼抽獎活動、不輕信中獎信息、不隨意點擊不明鏈接等，使用App要做好權限控制，謹慎放權。

四、針對應用建設者的安全建議

隨著信息化建設不斷的深入，各行各業對應用系統的依賴程度越來越高，越來越多的內部流程和數據都需要在應用系統中流轉和處理。但在實際建設中，普遍存在重業務輕安全的情況，在應用安全建設方面給出幾點建議。

一是加強安全保密培訓，提高內部安全認識。應用系統的安全是應用系統的一個有機組成部分，只有兩者緊密結合才能構成一個安全的信息系統。在應用系統建設的過程中，需要加強應用系統規劃方、審批方、用戶方等的安全保密培訓，需要在思想層面統一各方的認識。

二是實現安全與應用的同步規劃、同步設計、同步建設。在應用系統規劃和建設的過程中，需要加強頂層設計，實現對應用系統業務功能和安全功能的整體規劃，同時在設計和建設過程中，將安全的目標和策略貫穿到整個系統建設過程中，確保最終交付的應用系統達到設計目標。

三是制定內部應用安全規范。制定內部應用安全的基線標準，對內部應用系統的安全功能進行強制約束。如：身份認證，基于安全的考慮建議采用雙因素的認證方式；訪問控制，根據應用的實際選擇自主訪問控制模型、強制訪問控制模型和基于角色的訪問控制模型等；數據傳輸保護，采用安全的傳輸協議，確保系統數據傳輸的安全；數據完整性保護，在系統中數據處理的各個環節都應該提供完整性效驗手段，確保數據的一致性。

四是加強數據安全是重中之重。數據安全是核心，需要建立完善數據全生命周期的安全保障措施，確保數據采集、數據傳輸、數據存儲、數據應用、數據分發及數據銷毀過程中的安全。遵循最小授權原則，根據實際業務需求確定應用數據使用權限；依法依規開展數據采集、授權和安全管理，確保數據的安全使用有法可依，有章可循；根據應用實際并結合數據重要性、保密性和性能要求，對敏感數據進行加密存儲；涉及公民個人隱私數據，必須依法采集、共享、脫敏使用；按照等保的要求規范使用密碼算法，確保數據安全。

五是應用開發商的選擇。由于應用系統提供的安全機制是內嵌在應用系統中，因此應用開發商的安全開發能力至關重要，可根據應用廠商的案例、資質等判斷應用開發商安全能力。

網絡信息安全事關國家安全和國家發展、事關廣大人民群眾工作生活，深刻影響政治、經濟、文化、社會、軍事等各領域的安全。加強信息安全保護不僅需要國家立法保障，更加需要行業單位加強落地執行，同時也需要全民積極參與，從自身做起，只有做好個人信息安全防護，才能做好各單位、各行業的安全防護，從而做好國家的安全防護，只有在社會各界共同的努力下，才能構建出天朗氣清的網絡信息安全空間。