大數(shù)據(jù)及云計(jì)算技術(shù)從熱詞到落地，從企業(yè)到個(gè)人都在享受其帶來(lái)的福利，數(shù)據(jù)存儲(chǔ)、計(jì)算、整合及利用為許多企業(yè)帶來(lái)商機(jī)，也為個(gè)人提供了更為便捷的互聯(lián)網(wǎng)服務(wù)。但與此同時(shí)，用戶存儲(chǔ)在云端的個(gè)人信息數(shù)據(jù)安全也面臨著極大的挑戰(zhàn)。

“泄密門”頻發(fā)

2014年12月底，春運(yùn)售票初期，鐵路客戶服務(wù)中心12306網(wǎng)站被曝出大量用戶數(shù)據(jù)泄露并在網(wǎng)上傳播售賣，這些用戶數(shù)據(jù)包括13萬(wàn)條賬號(hào)、密碼、手機(jī)、身份證號(hào)、郵箱地址等個(gè)人私密信息。一時(shí)間，互聯(lián)網(wǎng)上個(gè)人隱私安全及其保護(hù)的話題再次成為關(guān)注焦點(diǎn)。12306“泄密門”并不單一，近兩年，同類事件層出不窮：

2014年3月，烏云漏洞平臺(tái)曝出在線旅游服務(wù)平臺(tái)攜程網(wǎng)支付系統(tǒng)存在技術(shù)漏洞，安全支付日志可下載，導(dǎo)致大量用戶銀行卡信息泄露，這些信息包括持卡人姓名、身份證信息、銀行卡號(hào)、卡CVV碼（即卡號(hào)、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字）以及6位卡Bin（用于支付的6位數(shù)字）等。

2014年4月，某黑客對(duì)國(guó)內(nèi)兩家大型物流公司內(nèi)部系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊，非法獲取快遞用戶個(gè)人信息1400多萬(wàn)條，并出售給不法分子。這些個(gè)人信息包括用戶的姓名、聯(lián)系電話以及住址等。

2014年5月，電商網(wǎng)站eBay要求近1.28億活躍用戶全部重新設(shè)置個(gè)人賬號(hào)密碼，eBay透露這是因?yàn)楹诳湍軓膃Bay獲取用戶密碼、電話號(hào)碼、地址及其他個(gè)人數(shù)據(jù)。

2014年9月，黑客采取突破密碼嘗試次數(shù)的方式破解了眾多好萊塢女星的iCloud賬號(hào)，從而引發(fā)了全球轟動(dòng)的“好萊塢艷照門”事件。雖然事后蘋果緊急修復(fù)了該黑客利用的漏洞，但該事件足以讓云服務(wù)上用戶隱私的保護(hù)獲得足夠重視。

以上事件僅是具有代表性的個(gè)人信息泄露事件。在互聯(lián)網(wǎng)技術(shù)高度發(fā)達(dá)的今天，幾乎所有人都在使用各式各樣的互聯(lián)網(wǎng)服務(wù)，我們已經(jīng)與互聯(lián)網(wǎng)服務(wù)融為一體，從昵稱、姓名到銀行賬號(hào)、密碼，幾乎所有信息都存在于互聯(lián)網(wǎng)的各類云端、服務(wù)器中，個(gè)人信息隨時(shí)都可能遭遇泄露或被竊取。這些個(gè)人信息按照敏感與重要程度可分為四類：個(gè)人身份信息、個(gè)人行為信息、個(gè)人隱私信息和個(gè)人賬號(hào)信息（見表1），其重要性呈逐層遞增狀，如個(gè)人賬號(hào)信息一旦泄露，前面三類信息的獲取相對(duì)來(lái)說(shuō)輕而易舉。并且，個(gè)人隱私具有極大的商業(yè)價(jià)值，容易成為獵取目標(biāo)，以“個(gè)人行為信息”為例，此類信息的收集及應(yīng)用最直接的表現(xiàn)是在電子商務(wù)網(wǎng)絡(luò)廣告中，無(wú)論微博還是門戶網(wǎng)站，我們通常會(huì)發(fā)現(xiàn)廣告位置展現(xiàn)的是我們?cè)陔娮由虅?wù)網(wǎng)站上瀏覽過(guò)的商品或類似商品，更不用說(shuō)如果“個(gè)人賬號(hào)信息”被盜取可能帶來(lái)的損害。

　　誰(shuí)是“泄密者”？

盡管互聯(lián)網(wǎng)應(yīng)用服務(wù)商、網(wǎng)站服務(wù)商及云服務(wù)提供商皆承諾能夠保護(hù)用戶數(shù)據(jù)信息，但互聯(lián)網(wǎng)環(huán)境下沒(méi)有所謂的百分之百的安全。低級(jí)手段如內(nèi)部人員偷盜售賣數(shù)據(jù)，高級(jí)手段如黑客攻破服務(wù)商系統(tǒng)盜取數(shù)據(jù)等，都是用戶數(shù)據(jù)泄露的罪魁禍?zhǔn)住?/p>

1. 服務(wù)商內(nèi)部人員偷盜售賣

內(nèi)部人員偷盜售賣數(shù)據(jù)是典型的非技術(shù)用戶信息泄露方式，但此類方式難以避免，防不勝防。任何一家服務(wù)提供商都無(wú)法保證其接觸用戶個(gè)人信息數(shù)據(jù)的員工能夠?yàn)榈赖乱?guī)范所約束，在利益誘惑下，個(gè)別員工鋌而走險(xiǎn)通常難以避免。如2013年11月，從事電商工作的張某因“涉嫌非法獲取公民個(gè)人信息罪”被杭州市公安局西湖分局刑事拘留。隨后，此案牽出某寶前技術(shù)員工李某，李某利用工作之便在2010年分多次在公司后臺(tái)下載了超過(guò)20G的用戶資料，并與兩名同伙將用戶信息多次出售給電商公司、數(shù)據(jù)公司。這些用戶資料包括用戶真實(shí)姓名、手機(jī)、電子郵箱、家庭住址、消費(fèi)記錄等。

2. 網(wǎng)絡(luò)服務(wù)安全漏洞被利用

互聯(lián)網(wǎng)服務(wù)由于其特殊性，總是存在有安全漏洞?？梢哉f(shuō)沒(méi)有不存在安全漏洞的互聯(lián)網(wǎng)服務(wù)，只是沒(méi)有被發(fā)現(xiàn)而已。

我們來(lái)看網(wǎng)站服務(wù)方面的安全漏洞情況分析，360互聯(lián)網(wǎng)安全中心最新發(fā)布的《2014年中國(guó)網(wǎng)站安全報(bào)告》顯示，在接受360網(wǎng)站安全監(jiān)測(cè)平臺(tái)掃描的164.2萬(wàn)個(gè)網(wǎng)站中，存在安全漏洞的網(wǎng)站為61.7萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的37.6%。其中，存在高危安全漏洞的網(wǎng)站共有27.9萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的17.0%（見圖1）。

由于不同漏洞對(duì)網(wǎng)站安全性影響有所不同，360互聯(lián)網(wǎng)安全中心將網(wǎng)站安全漏洞劃分為高危、中危和低危三個(gè)級(jí)別。其中高危安全漏洞可以讓黑客取得服務(wù)器控制權(quán)限，可以對(duì)網(wǎng)站進(jìn)行肆意更改；中危安全漏洞會(huì)造成黑客入侵網(wǎng)站，且可以篡改部分?jǐn)?shù)據(jù)；而低危安全漏洞允許黑客掃描網(wǎng)站數(shù)據(jù)信息，也可能給網(wǎng)站帶來(lái)危害。

由此可見，我們?nèi)粘ＴL問(wèn)的網(wǎng)站中，超過(guò)三分之一的網(wǎng)站都存在安全漏洞，而這些漏洞，隨時(shí)都可能成為個(gè)人信息數(shù)據(jù)泄露的發(fā)力點(diǎn)。網(wǎng)絡(luò)服務(wù)的安全漏洞，一方面是由安全技術(shù)人員發(fā)掘找出，如上述360互聯(lián)網(wǎng)安全中心通過(guò)掃描發(fā)現(xiàn)的安全漏洞，這些漏洞會(huì)被廠商知曉并修復(fù)；另一方面是被黑客發(fā)現(xiàn)，如果是白帽子黑客，如在360補(bǔ)天漏洞響應(yīng)平臺(tái)上的白帽子黑客，則會(huì)提交給廠商進(jìn)行修復(fù)，但如果是抱有惡意的黑客，則可能借機(jī)竊取用戶數(shù)據(jù)信息。

網(wǎng)絡(luò)服務(wù)安全漏洞中破壞性最強(qiáng)的莫過(guò)于通用性網(wǎng)絡(luò)軟件/服務(wù)/協(xié)議的漏洞，如在2014年4月曝出的“心臟滴血（HeartBleed）”重大安全漏洞。OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議。多數(shù)SSL加密網(wǎng)站是用名為OpenSSL的開源軟件包，而在OpenSSL源代碼中發(fā)現(xiàn)的“心臟滴血”安全漏洞，可以讓黑客每次從服務(wù)器或客戶端內(nèi)存中獲取最大64K的數(shù)據(jù)內(nèi)容。由于OpenSSL是互聯(lián)網(wǎng)應(yīng)用最廣泛的安全傳輸協(xié)議，被網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站廣泛使用。因此，該漏洞會(huì)造成黑客可以從使用OpenSSL協(xié)議的網(wǎng)路服務(wù)上盜取大量用戶數(shù)據(jù)信息。

3. 木馬、釣魚網(wǎng)站惡意盜取

木馬在PC互聯(lián)網(wǎng)時(shí)代最為常見，黑客通過(guò)網(wǎng)絡(luò)入侵、軟件安裝包偽裝等方式將木馬放置到用戶個(gè)人電腦中，然后通過(guò)木馬盜取用戶電腦上的個(gè)人信息、賬號(hào)等。得益于免費(fèi)殺毒軟件的出現(xiàn)，殺毒軟件普及率大大提升，現(xiàn)在木馬病毒已經(jīng)越來(lái)越少。但在移動(dòng)互聯(lián)網(wǎng)時(shí)代，偶爾還會(huì)出現(xiàn)偽裝成手機(jī)應(yīng)用的木馬病毒出現(xiàn)，多數(shù)存在于Android操作系統(tǒng)環(huán)境中。

釣魚網(wǎng)站無(wú)論在PC互聯(lián)網(wǎng)時(shí)代還是如今的移動(dòng)互聯(lián)網(wǎng)時(shí)代都屢禁不止，它們通常是向用戶發(fā)送與大型正規(guī)網(wǎng)站、服務(wù)網(wǎng)站類似的釣魚網(wǎng)站地址，用戶一旦打開登陸并輸入賬號(hào)密碼，賬號(hào)密碼便會(huì)被不法分子收集利用。

打造“殺手锏”

個(gè)人隱私保護(hù)在大數(shù)據(jù)時(shí)代變得愈發(fā)艱難，從個(gè)人角度來(lái)講，想要規(guī)避隱私泄漏風(fēng)險(xiǎn)，首先要提高個(gè)人賬號(hào)密碼復(fù)雜度，尤其是涉及支付類網(wǎng)絡(luò)服務(wù)的賬號(hào)密碼要使用非常用密碼，對(duì)能夠進(jìn)行多重密碼保護(hù)的賬號(hào)盡可能的完成多重保護(hù)操作；其次是下載軟件或手機(jī)應(yīng)用時(shí)要選擇正規(guī)下載站點(diǎn)或應(yīng)用商店，尤其是Android用戶，不要隨便安裝不明應(yīng)用；最后是要養(yǎng)成良好的上網(wǎng)習(xí)慣，謹(jǐn)慎提交個(gè)人信息，對(duì)于安裝的手機(jī)應(yīng)用服務(wù)，可查看設(shè)置權(quán)限，禁止獲取不必要的個(gè)人數(shù)據(jù)信息。

而從廠商方面來(lái)講，此處引用360公司董事長(zhǎng)兼CEO周鴻祎在2014年互聯(lián)網(wǎng)安全大會(huì)上提出的用戶信息安全三原則作為指導(dǎo)。他表示，在大數(shù)據(jù)來(lái)臨的時(shí)代，在憧憬大數(shù)據(jù)產(chǎn)生商業(yè)效應(yīng)的同時(shí)，也應(yīng)考慮如何保護(hù)用戶信息，并提出了三原則：

第一，用戶信息是用戶個(gè)人資產(chǎn)。用戶在使用廠商設(shè)備、軟件及服務(wù)所產(chǎn)生的數(shù)據(jù)與信息，應(yīng)該是用戶個(gè)人資產(chǎn)，雖然存儲(chǔ)在廠商的服務(wù)器或云端，但從所有權(quán)方面講應(yīng)該明確地屬于用戶，是用戶財(cái)產(chǎn)。

第二，廠商獲取用戶數(shù)據(jù)信息，用戶要有選擇權(quán)、知情權(quán)和拒絕權(quán)。大數(shù)據(jù)時(shí)代，廠商為用戶提供服務(wù)同時(shí)，會(huì)從用戶身上獲取大量數(shù)據(jù)信息。對(duì)此用戶要有知情權(quán)，并且，廠商要得到用戶授權(quán)才能使用用戶信息，用戶要有選擇權(quán)、有拒絕權(quán)。

第三，安全責(zé)任原則。有人認(rèn)為網(wǎng)絡(luò)信息安全只是互聯(lián)網(wǎng)安全公司的事，是殺毒軟件的事。但在大數(shù)據(jù)時(shí)代，任何一家互聯(lián)網(wǎng)公司，包括做可穿戴硬件的公司，都會(huì)變成一個(gè)互聯(lián)網(wǎng)服務(wù)公司，用戶使用這些硬件、服務(wù)都會(huì)產(chǎn)生大量的數(shù)據(jù)。所以，任何一家互聯(lián)網(wǎng)公司都有責(zé)任保護(hù)用戶信息安全，要在云端對(duì)用戶數(shù)據(jù)進(jìn)行足夠強(qiáng)度加密，包括安全存儲(chǔ)和安全傳輸。

結(jié)語(yǔ)

互聯(lián)網(wǎng)剛興起時(shí)，有人說(shuō)，你不知道互聯(lián)網(wǎng)另一端坐的是一個(gè)人還是一條狗。在大數(shù)據(jù)及云計(jì)算落地應(yīng)用的現(xiàn)在，我們不但可以知道另一端是不是一條狗，還可以知道是雪納瑞還是薩摩耶。

云端信息數(shù)據(jù)量還在不斷膨脹，文字、圖片以及視頻的數(shù)量在不斷增加，這些數(shù)字化事物看似凌亂不堪，但如果某一天被泄露或竊取，稍加梳理，也許我們最不為人知最隱私的一面就會(huì)曝光于世。那時(shí)，你就是一只藏獒，也只是一只被扒光了皮的狗。