信息安全中的隐私危机
作者:艾索  日期:2010-07-13  [关闭]

  谈到信息安全,过去人们往往狭义地理解为杀毒、防毒 、反垃圾邮件等软件产品。国内的杀毒厂商如金山、瑞星、江民等等,早先也大多以开发旨在抵御外来人为攻击的防火墙和旨在抵御 和过滤外来病毒攻击的杀毒软件为主。至于反间谍软件、防泄密软件这些更高端的安全产品,国内杀毒厂家以往则很少涉及,不管是 个人产品还是企业级产品。

 

  一般的个人用户,只要安装了杀毒软件和防火墙,对付一些流行的计算机病毒、垃圾邮件 、流氓软件等等似乎也就绰绰有余了。但对国家机构和企业,单一的杀毒和防毒软件就显得不够。比如,要抵御间谍窃密或者防止内 部信息外泄,要保护知识产权和企业机密,以往的杀毒软件就有所不逮。

 

  在国外,不少企业其实早已在内部使用类似 反泄密软件这样的安全产品。一个很多人都知道的例子是微软。在微软诉李开复违反竞业禁止协议一案中,由于微软通过防泄密系统 从李开复的计算机回收站捕获到其与Google的来往信件并作为呈堂证供,Google最终不得不以支付一笔为数可观的费用与微软和解。 如果不是微软留了这一手,这件官司多半会因证据不足而成为一桩悬案。

 

  但防泄密软件的采用也会引发人们对个人隐 私问题的担忧。如果通过互联网和短信等工具传送的个人数据被防泄密软件跟踪,或被用于其他商业目的,用户的隐私权就有受到侵 害的可能。
 
   也是因为隐私权的问题,今年3月美国众议院投票通过的《爱国者法案》修订版,就曾 经在美国社会遭致不小的反弹。该法案的某些条款授权美国联邦调查局收集大量的私人信息,包括医疗和商业记录等等。

 

  实际上,美国的多数网络公司为了长期保留海量的客户资料,也大多默认设置了Cookies。这些Cookies的时效非常长,微软在 2016年过期,雅虎的是2010年,Google的是2038年。用户浏览网站时,如果不对浏览器选项做特别设置,该网站的Cookie就会自动存 放在用户的电脑里,于是该用户的浏览习惯、爱好、行踪等类似隐私就会被记录在案。这些资料很容易成为黑客攻击的目标或用于其 他商业目的。
 
   有些软硬件厂商也会在自己开发的产品中设置某种未公开的功能,对网络用户的数据 隐私进行收集。据报道,微软的Windows98系统在办公软件Word和Excel文件上就生成了包含用户计算机信息的唯一的确认号码,通过 这个“后门程序”,用户信息可以不知不觉进入微软数据库。此外,有消息称,英特尔在其奔腾Ⅲ处理器芯片中也接入了 可进行远程识别的序列码,用于跟踪用户的私人信息。跟踪工具如此之多,也真是防不胜防。

  对于国家机关和企业用 户而言,采用反泄密软件自然也会引发员工个人隐私被跟踪的问题,但防止信息外泄和抵御间谍软件攻击可以是一个更充分的理由。

 

  据报道,金山最近已推出一款名为“防水墙”的软硬一体的企业级反泄密装置,用于企业用户防御间谍软 件和内部泄密。这个防水墙从外观看像一个盒子,其实是一个分步式的文件加密系统,设置于企业的服务器网关以及客户端上,通过 服务器和客户端的所有信息,都会被系统自动存档。这一来,被保护的文件就无法以拷贝、文件传输、打印、FTP、邮件等方式泄露出 去。另外,防水墙也可以在网关处对敏感内容进行阻断,不让其流出企业内部,甚至可以对一些可能干扰企业日常工办的软件如BT、 QQ等作出限制,防止未经授权的人使用。

 

  相比于以往很多企业为防止机密泄漏而采取的在办公区间安装摄像头、做内 外网隔离、禁止联入互联网等逆潮流而动的举措,防水墙的做法可算得人道,但也并不是没有流弊的,端看怎么用和用于什么目的了 。
 
   另一个问题是,在关及国家信息安全的政府采购等领域,是应该用国产产品还是国外产品?显然 ,这是一个见仁见智的问题,不同立场的人,自会有不同的结论。

 


 
上一篇:
社会工程学信息安全对抗新领域
下一篇:
ISO27000信息安全风险评估FAQ