网络个人信息安全问题研究计算机科学与技术本科论文.doc

《网络个人信息安全问题研究计算机科学与技术本科论文.doc》由会员分享，可在线阅读，更多相关《网络个人信息安全问题研究计算机科学与技术本科论文.doc（34页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、继续教育学院 毕业设计（论文） 题 目 网络个人信息安全 问题研究 学 习 中 心 航三教育中心 专 业 计算机科学与技术 层 次 专升本 学 生 xxx 班 号 201109计算机 学 号 xxx 指 导 教 师 xxx 答 辩 日 期 xxx工业大学远程教育毕业设计（论文）评语姓名： xxx 班号： 201109计算机 学号： 201109056730310002 专业：计算机科学与技术 层次： 专升本 学习中心： 航三教育中心 毕业设计（论文）题目： 网络个人信息安全问题研究 工作起止日期：_2014_ 年_9_ 月_19_ 日起 _2014_ 年_11_ 月_23_ 日止指导教师对毕业

2、设计（论文）进行情况、完成质量的评价意见： 该同学：在毕设期间能主动的与导师取得联系。查阅大量的有关资料。基础知识较好，论文格式书写正确，纹理较好，并具有独立的工作能力。 指导教师签字： xxx 指导教师职称： 教授 评阅人评阅意见： 该同学：毕设论文书写规范，论文内容正确，图表格式清晰，纹理较好。 有实用价值。 评阅教师签字： xxx 评阅教师职称： 副教授 答辩委员会评语： 根据毕业设计（论文）的材料和学生的答辩情况，答辩委员会作出如下评定：学生 毕业设计（论文）答辩成绩评定为： 对毕业设计（论文）的特殊评语： 答辩委员会主 任（签字）： 职 称： 答辩委员会副主任（签字）： 答辩委员会委

3、 员（签字）： 年 月 日xxx工业大学远程教育毕业设计（论文）任务书 姓 名：xxx 学习中心：航三教育中心 班 号：201109计算机 层 次：专升本 学 号：201109056730310002 专 业：计算机科学与技术 任务起止日期： 2014 年 9 月 19 日 至 2014 年 11 月 23 日 毕业设计（论文）题目： 网络个人信息安全问题研究 立题的目的和意义：21世纪，个人计算机几乎覆盖每个家庭，网络技术日新月异，互联网在提供便利的同时，也存在着不容忽视的安全隐患。而我们所说的“安全”也不仅仅局限于系统安全、账户安全这些涉及切身物质财富的“安全”，如今慢慢浮现出的又一大安全

4、隐患网络个人信息安全，也可称为“隐私安全”，逐渐被人们所关注和重视。为了更安心地畅游互联网，更好地利用网络改善我们的生活，本文通过查阅资料、案例分析的方式，并结合所学知识，针对网络个人信息安全问题进行分析和研究。分析个人信息泄露的原因和攻击手段，再提出对应的保护性建议。对于日益增多的网民朋友们，本文的研究能帮助其更加重视个人信息的安全，建立起安全防范意识，更为积极主动且快速有效地保护自己的个人信息，谨防个人信息在网络环境下泄露，保护自身隐私安全。而对于网络运营商而言，本文意在更清楚地使其认识个人信息的重要性，对其做好用户的个人信息保护工作起到一定的促进作用。同时，本文也有助于相关法律法规的制定

5、和完善，如此，不给违法犯罪之人可乘之机，共同营造健康和谐的网络环境。技术要求与主要内容：1、主要内容第一章：绪论。介绍了选题背景和意义；分析了国内外对本课题的研究现状；讲述了课题研究的方法。第二章：网络个人信息安全。主要是对相关概念的阐述，具体包括：个人信息（个人隐私）、信息安全、网络安全，以及网民对个人信息所拥有的权利和网络运营商对用户信息安全应尽的责任。第三章：案例分析。通过网上交易造成的财产损失，以及iCloud遭攻击导致的隐私泄露，这两大典型案例分析，列举网络环境下个人信息泄露的主要攻击手段，并总结相应的防范措施。第四章：网络个人信息保护。阐述了网络个人信息保护的意义，并分别从技术层面

6、、法律层面、个人层面提出了防范建议。 2、技术要求本课题主要借助文献检索和资料收集的手段，明确个人信息和网络安全的定义，并且，正视目前网络安全的现状和问题。通过案例分析网络安全的漏洞和攻击手段，并综合所学知识和前车之鉴分别从软硬件配置使用，法律保障以及增强个人意识方面讲述如何防范个人信息泄露。 进度安排：时间阶段工作2014年9月19日9月29日拟定题目、撰写开题报告2014年9月30日10月20日文献检索和资料收集，撰写毕业论文（设计）初稿2014年10月21日11月6日与指导教师沟通，修改毕业论文（设计）2014年11月7日11月19日进一步完善毕业论文（设计），完成终稿提交2014年11

7、月20日11月21日从管理平台下载终稿2014年11月22日11月23日装订毕业论文（设计）同组设计者及分工：独立完成指导教师签字：_ 年 月 日 教研室主任意见： 教研室主任签字：_ 年 月 日xxx工业大学远程教育本科毕业设计（论文）摘 要随着信息技术的快速发展以及信息基础设施的不断完善，近年来我国互联网网民规模日渐增长。互联网在一定程度上影响着人们的生活方式，使人们的生活更加轻松便捷。但与此同时，个人信息在网络环境下的安全问题也不容忽视。借助不断发展的信息技术，个人信息也更易被收集和泄露，由此浮现出的又一大安全隐患网络个人信息安全，也可称为“隐私安全”，逐渐被人们所关注。因此，无论是从网

8、民个人，还是从网络运营商，都应该重视个人信息安全的保护。相应的，研究网络环境下个人信息不安全因素以及有效的保护措施是具有理论和实践意义的。本课题主要研究网络环境下个人信息安全问题。首先，本课题在研究总结已有相关学术成果的基础上对个人信息、信息安全等的定义及其在网络环境下范围的扩展和所具备的新特征做了分析和归纳。其次，结合具体案例，分析了网络环境下个人信息泄露的原因和攻击手段。第三，阐述了网络个人信息保护的意义。最后，从技术层面、法律层面、个人层面对如何有效地保护个人信息提出了防范建议。关键词 网络；个人信息；信息安全；个人信息保护目 录摘 要I目 录II第1章 绪论11.1 研究背景11.2

9、研究目的和意义21.3 国内外研究现状21.4 研究内容和方法41.4.1 研究内容41.4.2 研究方法5第2章 网络环境下的个人信息及个人信息安全62.1 概念阐述62.1.1 个人信息62.1.2 信息安全62.1.3 网络安全72.2 网络环境下的个人信息安全72.2.1 网民对个人信息所拥有的权利72.2.2 网络运营商对用户信息安全应尽的责任92.2.3 网络环境下个人信息的泄露9第3章 案例分析103.1 网购中个人信息泄露造成财产损失103.1.1 消费者个人信息泄露原因113.1.2 网购过程中的防范措施113.2 iCloud遭黑客攻击，好莱坞女星隐私照泄露123.1.1

10、iCloud概念133.1.2 黑客攻击iCloud的手段133.1.3 针对iCloud的防范措施16第4章 网络个人信息保护194.1 网络个人信息保护的意义194.2 网络个人信息保护措施194.2.1 技术层面194.2.2 法律层面204.2.3 个人层面23结 论24参考文献25致谢26附录2725第1章 绪论1.1 研究背景在2014年8月26日，中国互联网大会（第十三届）在北京举行，会上据工信部副部长尚冰介绍，我国互联网网民目前达到6.32亿，普及率达到46.9%，如图1.1所示。另外，据统计，2014年上半年，我国信息通信业基于互联网的业务收入已经突破4000亿元，在行业总收

11、入中的占比接近47%。此外，从去年到现在，我国互联网领域发生了30多起涉及金额超过1亿美元的投资收购，跨界投资不断涌现，跨界并购的领域日益多样化。与此同时，腾讯微信的用户已经突破2亿，UC浏览器已经成为全球使用量最大的第三方移动浏览器；2014年上半年，又有8家互联网企业相继赴海外上市。由此可见，我国互联网行业无论是从网络规模、用户规模、产业规模来看，还是从国际地位和影响力来评估，无疑已经成为名副其实的互联网大国。图1.1 2014年中国网民规模和互联网普及率成绩举世瞩目，而问题也日益突出，“信息安全”成2014中国互联网大会第一词。细数近几年国内外现状，国内市场，2014年上半年，有74.1

12、%的网民遭遇信息安全问题，2013年3月至9月全国因信息安全遭受的经济损失高达196.3亿元；国产手机领导品牌小米被曝存在信息安全漏洞并一直疲于解释；全球层面，继斯诺登事件曝光后，信息泄露事件层出不穷，其中不乏有谷歌、微软、IBM、苹果这些世界知名大公司，也都因涉嫌泄密而遭到诟病，这使得世界各国对于信息安全问题的重视程度前所未有的增加。综上所述，个人信息安全及保护问题已经成为互联网的社会信息化带来的最大困扰之一，给网民的财产安全和隐私安全造成了直接的威胁。1.2 研究目的和意义21世纪，个人计算机几乎覆盖每个家庭，网络技术日新月异，互联网在提供便利的同时，也存在着不容忽视的安全隐患。而我们所说

13、的“安全”也不仅仅局限于系统安全、账户安全这些涉及切身物质财富的“安全”，如今慢慢浮现出的又一大安全隐患网络个人信息安全，也可称为“隐私安全”，逐渐被人们所关注和重视。为了更安心地畅游互联网，更好地利用网络改善我们的生活，本文通过查阅资料、案例分析的方式，并结合所学知识，针对网络个人信息安全问题进行分析和研究。分析个人信息泄露的原因和攻击手段，再提出对应的保护性建议。对于日益增多的网民朋友们，本文的研究能帮助其更加重视个人信息的安全，建立起安全防范意识，更为积极主动且快速有效地保护自己的个人信息，谨防个人信息在网络环境下泄露，保护自身隐私安全。而对于网络运营商而言，本文意在更清楚地使其认识个人

14、信息的重要性，对其做好用户的个人信息保护工作起到一定的促进作用。同时，本文也有助于相关法律法规的制定和完善，如此，不给违法犯罪之人可乘之机，共同营造健康和谐的网络环境。1.3 国内外研究现状国内外对个人信息以及个人信息保护的研究均较多，尤其是在技术层面和法律层面的保护上，对网络中存在的个人信息安全问题（如：网络中个人信息泄露的原因等）的研究不太全面，也较为零碎。（1） 个人信息对于个人信息的定义，学界主要存在两种观点：“隐私说”和“识别说”1 齐爱民.论个人资料J.法学，2003（8）：80-85。美国的Parent教授就是“隐私说”的代表，他认为个人信息是指信息主体所不愿向外透露的或是个人极

15、其敏感不愿他人知道的信息。Milberg认为个人信息就是个人隐私，而隐私侵犯基本是指个人信息未经授权而进行收集和传播。A.F.Westin认为隐私是个人、组织或机构有权决定何时、如何将自身更多的信息与他人交流。1995年欧盟颁布的欧洲联盟数据保护规章，将个人信息定义为“有关一个被识别或可识别的自然人（数据主体）的任何信息”。徐敬宏则认为个人信息除了包括能对个人进行识别的基本信息和个人隐私外，还应包括这两类信息内容之外的关于个人的一些琐碎信息。田桂兰在网络环境下个人信息安全问题及其保护中认为，个人信息是指一切可以识别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、智力的、个体的

16、、社会的、经济的、文化的、家庭的等等方面1 田桂兰.网络环境下个人信息安全问题及其保护J.信息化建设，2007（6）：42-44。查先进认为个人隐私包括个人信息、私人活动和私有领域三个方面2 查先进.信息政策与法规M.科学出版社，2004。任伊珊认为在网络环境下个人信息表现为数字，数字成为网络环境下个人信息的载体。周武华认为在网络环境下个人信息的范围更广，涉及到了邮件地址、IP地址、域名及网络用户名等。（2） 信息安全到目前为止学界对信息安全还没有一个较为统一的定义，但是综合国内外对信息安全的定义，可将其分为两类：一是指信息系统的安全性；二是指某一特定信息体系3 李飞，陈艾东.信息安全理论与技

17、术M.西安电子科技大学出版社，2010。但是这两类定义都不全面。美国国家安全通信以及信息系统安全委员会（NSTISSC）对信息安全所作的定义认为，信息安全是对信息及信息系统关键要素的保护，包括信息的使用、存储方式、信息的传输过程和系统硬件4 王春东.信息安全管理M.武汉大学出版社，2008。冯登国认为信息安全所包含的内容在随着信息技术的不断发展和具体应用在不断扩展。信息安全的内涵已从最初的强调信息的保密性发展到信息的完整新、可用性、可控性和不可否认性，进而又发展到包括“防范、攻击、控制、检测、管理、评估”等多方面的实际操作理论和技术5 冯登国.国内外信息安全研究现状及其发展趋势J.网络安全技术

18、与应用，2001（1）:8-13。林柏钢认为信息安全指的是在网络环境下信息系统中的数据受到特定地保护，使信息不会因为某些偶然和恶意的原因而遭到破坏、更改、泄露，使信息系统能够连续、可靠、正常地运行，还包括信息系统被破坏后能迅速恢复正常运转的安全过程6 林柏钢.网络与信息安全教程M.机械工业出版社，2004。（3） 个人信息安全保护在个人信息安全保护方面，国内外均有较多的研究，主要是从技术层面、法律层面、个人层面和道德层面上来进行研究。在个人信息保护技术方面，主要包括加密技术、防火墙技术、数字签名技术以及数字时间戳技术。在法律层面，国内外都制定了相关的法律进行约束，如美国国会在1974年通过了隐

19、私权法，这部法律是美国用以保障公民个人信息安全的一部最重要的法律；1984年英国议会通过了数据保护法，并于1998年对该法进行了修订。此后，英国又陆续通过了一系列旨在保护公民个人信息安全的法律。在亚洲，日本2005年4月颁布实施了个人信息保护法，它是日本保护个人信息安全的根本法律。而我国在个人信息保护的立法方面还比较滞后。刑法中对于个人信息安全的保护还是空白的，宪法第38、39、40条对个人隐私权的保护提供了一定的依据。另外，民法通则等相关法律法规指出对公民的个人隐私加以保护，但是并没有较为具体和详实的解决办法，缺乏可操作性。目前，我国个人信息保护法已经步入立法阶段，但尚未颁布。在个人层面上，

20、国内外研究学者均认为个人良好的上网习惯是保护自身信息安全的重要保证。比如：在个人信息填写的过程中适当地隐藏某些对于个人来说较为重要的信息；设置安全等级较高的密码，如大小写和字符混合等。在道德层面上，网络运营商应该对网民的个人信息进行保密，若要公开，应告知用户个人信息的用途，并获取其同意。在信息保护方面，比较典型的是美国与欧盟个人信息跨国流通安全协议的签订。安全协议包含七大原则，其中包括知情原则（信息收集者有义务告知信息主体其信息收集的目的以及信息的使用方向）、同意原则（信息控制者必须给予信息主体机会，以选择是否将其个人资料透露给第三方）、安全原则（信息控制者在整理、使用和传播个人信息时，必须采

21、取有效的措施来确保个人信息不被滥用和泄露）。这个协议的内容在一定程度上为我国制定相应的个人信息保护措施提供了借鉴。1.4 研究内容和方法1.4.1 研究内容第一章：绪论。介绍了选题背景和意义；分析了国内外对本课题的研究现状；讲述了课题研究的方法。第二章：网络个人信息安全。主要是对相关概念的阐述，具体包括：个人信息（个人隐私）、信息安全、网络安全，以及网民对个人信息所拥有的权利和网络运营商对用户信息安全应尽的责任。第三章：案例分析。通过网上交易造成的财产损失，以及iCloud遭攻击导致的隐私泄露，这两大典型案例分析，列举网络环境下个人信息泄露的主要攻击手段，并总结相应的防范措施。第四章：网络个人

22、信息保护。阐述了网络个人信息保护的意义，并分别从技术层面、法律层面、个人层面提出了防范建议。1.4.2 研究方法1、文献分析法本课题的写作是建立在对相关知识的收集和理解上的。通过阅读图书馆资料和浏览网上资源对国内外文献进行收集和总结，进一步了解目前国内外个人信息及其安全的相关研究和现状。这些研究成果不仅为本论文提供了坚实的理论基础，在归纳、研究的基础上，更准确深刻地分析和认识问题，从而使文章更合理，层次更清晰。2、案例分析法本课题在对网络环境下信息泄露的原因和攻击手段的分析引用了相关案例。第2章 网络环境下的个人信息及个人信息安全2.1 概念阐述2.1.1 个人信息所谓个人信息，是指一切可以识

23、别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面，即指有关个人的一切数据、资料。这些信息有些是其自身产生的，如年龄、收入、爱好等；有些是非自身产生的，如他人对该人的评价等。也可以根据其公开的程度将个人信息分为两类，一类是极其个人化、永远不能公开的个人信息，如信用卡号、财务状况等；另一类是在某些范围和一定程度上可以公开的个人信息，如姓名、性别等。与“个人信息”相关的一个概念是“个人数据”（Personal Data）。所谓个人数据，是指标识个人基本情况的一组数据资料。从广义上说，一切有关个人的数据都属于个人数据的范畴。根据

24、信息与数据两者之间的关系，一般认为个人数据属于个人信息的范围，个人信息包含了个人数据。与“个人信息”相关的另一个概念是“隐私”，在现代汉语词典中，隐私是指不愿告人的或不愿公开的个人的事。严格按照法律的要求解释“隐私”，就是公民与公共利益无关的个人私生活秘密。它所包含的内容，就是私人信息、私人活动和私人空间。具体来说，诸如身高、体重、收入、生活经历、家庭电话号码、病患经历等等属于私人信息；私人活动是一切个人的、与公共利益无关的活动，如日常生活、社会交往、夫妻之间的两性生活等；私人空间也称为私人领域，是指个人的隐秘范围，如身体的隐秘部位、个人居所、旅客行李、学生书包、日记、通信等。从形式逻辑出发,

25、“个人信息”和“个人隐私”是包含关系,即个人信息包含个人隐私,个人隐私是个人信息的下位概念,是个人信息的一部分。因此当与公共利益无关的个人信息，信息主体不愿公开时就成为隐私。之所以主张保护个人信息，也是因为其涉及到个人的隐私。2.1.2 信息安全信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不遭受偶然的或者恶意的破坏、更改、泄露，系统连续、可靠、正常地运行，信息服务不中断，最终实现业务连续性。信息安全主要包括以下五方面内容，即需要保证信息的保密性、真实性、完整性，以及未授权拷贝和所寄生的系统的安全性。其根本目的就是使信息不受内外部和自然等因素的威胁。为了保障信

26、息安全，要求有信息源认证、访问控制，不允许有非法软件驻留，不能有未经授权的操作等行为。2.1.3 网络安全 网络安全是指网络系统的硬件、软件以及系统中的数据受到保护，不遭受偶然的或者恶意的破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。网络安全包括网络设备安全、网络软件安全和网络信息安全三个方面内容。从广义上来讲，凡是涉及到网络上信息的保密性、真实性、完整性、可用性和可控性的相关理论和技术都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。2.2 网络环境下的个人信息安全2.2.1 网民对个人信

27、息所拥有的权利2.2.1.1 个人信息权 个人信息权，是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。其权利内容具体包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权。第一，信息决定权。信息决定权，简称决定权，是指本人得以直接控制与支配其个人信息，并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用的权利。决定权集中反映了个人信息权的人格权属性绝对性与支配性，在各项权利内容中居于核心地位。第二，信息保密权。信息保密权，简称保密权，是指本人得以请求信息处理主体保持信息隐秘性的权利。第三，信息查询权。信息查询权

28、，简称查询权。是指本人得以查询其个人信息及其有关的处理的情况，并要求答复的权利。对信息的控制与支配，必须首先了解哪些个人信息被收集、处理与利用的情况，特别是在此过程中信息是否被保持完整、正确与适时。信息查询权是重要的当事人权利，除非因公益或保密之需要，任何机关不得任意剥夺。第四，信息更正权。信息更正权，简称更正权，是指本人得以请求信息处理主体对不正确、不全面、不时新的个人信息进行更正与补充的权利。更正权具体包括：个人信息错误更正权，即对于错误的个人信息本人有更正的权利；个人信息补充权，即对于遗漏或新发生的个人信息，本人有补充的权利。个人信息更正权是本人要求对于过时的个人信息及时更新的权利。第五

29、，信息封锁权。信息封锁权，简称封锁权，是指在法定或约定事由出现时，本人得以请求信息处理主体以一定方式暂时停止信息处理的权利。该项请求权是依照公平信息使用原则建构的，根据该原则，在没有通知当事人并获得其书面同意之前，信息处理主体不可以将个人为某种特定目的所提供的资料用在另一个目的上。德国联邦个人资料保护法规定，所谓封锁，就是以限制继续处理和使用个人资料为目的而对个人资料加注特定“符号”。第六，信息删除权。信息删除权，简称删除权，是指在法定或约定事由出现时，本人得以请求信息处理主体删除其个人信息的权利。第七，信息报酬请求权。信息报酬请求权，简称报酬请求权，是指本人因其个人信息被商业性利用而得以向信

30、息处理主体请求支付对价的权利。报酬请求权来源于 “信息有价”的社会观念，特定的信息处理主体必须在对信息控制、处理与利用前后向本人提供一定的报酬。从性质上讲，个人信息控制权是人格权的一种，但它在客体、内容、行使方式等方面有别于传统的具体人格权(如隐私权、肖像权)，发挥着这些权利不可替代的作用，是个人信息保护法应该确认的一项新生的独立权利。2.2.1.2 “被遗忘的权利”的提出2011年3月12日，全国人大代表、湖北省统计局副局长叶青做客某访谈节目，在谈及网络虚拟社会管理时，他提出一个全新的观点：网民对个人信息应该拥有“被遗忘的权利”。叶青说，现在互联网技术已经能够达到对个人登记的任何信息资料进行

31、“人肉搜索”的程度。个人信息一旦发布到网络上，可能其终身所有东西都会永久留在上面，覆水难收。个人信息的外露，可能会遭到某一方或者某一人的“攻击”，一方面是无中生有的，另一方面则会对其真实的负面信息进行炒作。据介绍，中国在这方面还没有较为明显的诉讼，但是国外已经开始有人向法院提出叫做“被遗忘的权利”的请求。叶青认为，一些个人信息到了一定时候就应该从网络上被删除，用一把科学的火烧掉。“这应该是一种权利，我有权希望自己的一些资料消失。”他说。2.2.2 网络运营商对用户信息安全应尽的责任 在网络环境下，个人信息更易被获取、修改和删除。个人信息安全更多的涉及到了计算机科学、网络通信技术、信息安全技术以

32、及信息主体。因此，网络运营商有义务通过采取必要的措施和手段来保证消费者个人信息的安全。（1） 网络运营商对个人信息收集和使用的合法性。运营商对网民个人信息的收集应是建立在合理和合法的基础上，其有义务将使用的目的和使用权限告知网民，征得网民的同意，并且对网民个人信息的使用应限定在合理的范围之内，以维护网民的利益。（2） 网络运营商对个人信息管理的可控性。运营商有义务采取可靠成熟的技术和物理措施，积极有效地保证设备的稳定性和安全性，以防止因设备被攻击而导致网民个人信息被滥用、篡改和丢失。（3） 网络运营商应保证网民个人信息内容的完整性。网民个人信息的完整性包括网民个人信息内容的完整，其个人信息不会

33、被非法的修改和删除。运营商还应保证其使用的网民个人信息与网民最新状态保持一致，以防止使用过期的网民个人信息给网民带来不良的影响。（4） 网络运营商应保证个人信息使用的可查性。运营商对网民个人信息的保管和使用有一个完整的记录，防止对个人信息的使用行为被否认，为个人信息事件的调查和处理工作提供可靠的依据1 郭玉梅.个人信息安全的风险规避J.软件工程师，2011(Z1)：71-72。2.2.3 网络环境下个人信息的泄露与个人信息安全相对应的一个词就是个人信息泄露。目前尚没有形成对个人信息泄露较为公认的概念。从语音上理解，个人信息泄露是指个人信息主体不愿被他人所知晓的个人信息被公开为他人所知晓。可以说

34、，信息泄露是一种不正当的信息传播行为，网民个人信息的泄露不仅会带给其经济损失，还有可能带来精神上的不良影响。第3章 案例分析3.1 网购中个人信息泄露造成财产损失2014年4月14日，由中国电子商务研究中心主办的“中国电子商务投诉与维权公共服务平台”接到用户对天猫的投诉（如图3.1所示，为天猫店首页）。图3.1 天猫店首页以下是杜先生投诉的部分内容：我于2014年4月10日中午在天猫征途旗舰店购买了一个导航，第二天中午，某人冒充该店的客服人员，利用很多订单的详细资料骗取我997.50元。以前在淘宝和天猫也曾购买过许多商品，都不曾有过资料泄露的问题，而在我购买了这款导航不到一天的时间内，骗子就获

35、取到了我订单中手机号之类的详细资料。随后询问该店的客服人员，其将泄漏客户资料的责任推卸给了淘宝平台，而淘宝平台又拒不承认，对我的投诉也不做任何的后续处理，只是让我无期限地等警方的追查结果。据2013年度中国电子商务用户体验与投诉检测报告监测统计，淘宝网/天猫（主要是C2C集市卖家及商城部分品牌卖家）、腾讯电商（包括拍拍网、QQ网购、易迅网）、当当网、国美在线（包括原国美在线、库巴网）、1号店、凡客诚品（包括凡客部分自营电商以及V+商城）、银泰网、唯品会、梦芭莎、好乐买为“2013年度中国网络购物十大被投诉网站”。3.1.1 消费者个人信息泄露原因原因一：商家买卖消费者信息牟利。在网购过程中，消

36、费者的个人信息是具有商业价值的。因此就存在一些商家在未征得消费者同意的情况下，为了牟取自身的经济利益而将收集到的消费者的各方面个人信息卖给其他的需求者。或者商家会同跟其有合作关系的公司之间交换各自的消费者信息，从而掌握更多的其他消费者的个人信息。这样，由于每个商家的合作伙伴不会单单仅有一个，如果共享范围得不到有效控制的话，个人信息就极有可能被众多的商家知晓。原因二：遭遇“木马”。木马程序是非常危险的恶意程序，远程入侵用户的计算机终端，以种种隐蔽的方式窃取用户信息，控制用户终端。木马程序可以通过邮件和下载的软件等手段植入用户的计算机内，当服务端程序在用户终端成功运行后，就可以在服务端和控制端之间

37、建立连接，从而控制被植入木马的用户终端。木马病毒会监视受感染计算机系统中正在访问的网页，如果发现用户正在登录某银行个人网上银行，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，并通过邮件将窃取到的信息发送出去。3.1.2 网购过程中的防范措施措施一：养成良好的上网习惯。消费者在上网时，应该注意一些黑客站点和不良网站。可以通过菜单栏中的“工具”菜单项中的“安全”设置来警醒站点的屏蔽，防止这些站点对个人信息的侵犯。目前大型的电子商务网站在交易页面都应用了安全传输技术，交易页面的网址都是“https”开头，如果发现不是“https”开头，则应该谨慎对待。需要定期清除缓存、历史记录以及临时文

38、件夹中的内容。消费者在上网浏览信息时，浏览器会记录网购过程中所浏览的信息，这样下次访问同样的信息时就可以很快地到达目的页面，从而提高浏览效率。但同时浏览器的缓存、历史记录以及临时文件夹中的内容都保存了太多的个人上网记录，这些记录一旦被人利用都将对消费者的个人信息造成危害。总而言之，网购需登录正规网站，并定期清除个人计算机内的个人信息记录。3.2 iCloud遭黑客攻击，好莱坞女星隐私照泄露2014年9月前后，黑客攻击了多位好莱坞女明星的iCloud帐号（如图3.2所示，为iCloud云上传），并且陆续在网上大量散布她们账号内储存的裸照。此次遭受黑客攻击的明星有JenniferLawrence、

39、VictoriaJustice、EmilyBrowning、MaryElizabethWinstead等人，这些照片最早出现在4Chan上，如今已经在Twitter上疯狂传播开来。图3.2 iCloud或许，iCloud并不像我们想象中的那么安全。JenniferLawrence和MaryElizabethWinstead已经确认了流出照片的真实性，JenniferLawrence的经纪公司表示，目前他们已经联系了相关部门，并将会起诉任何发布其被窃照片的人。苹果尚未对此做出回应，但这并不是苹果第一次面临用户iCloud账号被黑的问题。此前就有黑客通过呼叫苹果客服中心，以社会工程学的方式盗取了前

40、Gizmodo编辑MatHonan的iCloud。虽然方式并不相同，但是随着iCloud的普及，越来越多的黑客开始注意到这一块。3.1.1 iCloud概念iCloud是苹果公司所提供的云端服务，让用户可以免费储存5GB的资料。iCloud将苹果音乐服务、系统备份、文件传输、笔记本及平板设备等有机地结合在了一起，而且联系非常紧密。在乔布斯看来，iCloud是一个与以往云计算不同的服务平台，苹果提供的服务器不应该只是一个简单的存储介质，它还应该带给用户更多。简而言之，iCloud平台可以将你的个人信息存储到苹果的服务器，通过连接无线网络，这些信息会自动推送到你手中的每个设备上，这些设备包括iPh

41、one、iPod Touch、iPad，甚至是Mac电脑。3.1.2 黑客攻击iCloud的手段手段一：攻击Find My Phone功能漏洞。利用安全研究专家Alexey Troshichev开发的开源免费工具iLoot，这个工具以其成功在Find My iPhone软件中发现漏洞而闻名。黑客此前使用的破解软件是在网上出售的，而iLoot则可在社交编程及代码托管网站GitHub上免费获取。在iLoot于9月上线以后，黑客开始使用这个工具来入侵iCloud账号。iLoot使用“命令行界面”，这意味着黑客只需敲入几行代码命令即可操纵这个工具。如图3.3所示：图3.3 Python脚本据悉，采用这种攻击手段来“暴力穷举”账号的话，不仅不会被封锁，还不会向用户发出警告。据The Next Web报道，该脚本被放到了GitHub上，并且严重归咎于Find My Phone服务竟然没有对密码尝试次数做出限制。一旦账号密码被破除，黑客就能够肆意访问苹果所提供的全部服务。不过，苹果已紧急将尝试上限设定为五次，脚本作者也证实苹果已封堵上这一漏洞。据脚本作者（Twitter用户）Hackapp所述，该漏洞“在所有提供很多认证接口的服务中普遍存在”，而攻击者只需掌握简单的嗅探知识和反向技巧就能得逞。但是，尽管该脚本的出现时间与女星隐私照的泄露时间相同，目前仍没有任何