信息安全中的隱私危機(jī)
談到信息安全,過去人們往往狹義地理解為殺毒、防毒 、反垃圾郵件等軟件產(chǎn)品。國內(nèi)的殺毒廠商如金山、瑞星、江民等等,早先也大多以開發(fā)旨在抵御外來人為攻擊的防火墻和旨在抵御 和過濾外來病毒攻擊的殺毒軟件為主。至于反間諜軟件、防泄密軟件這些更高端的安全產(chǎn)品,國內(nèi)殺毒廠家以往則很少涉及,不管是 個人產(chǎn)品還是企業(yè)級產(chǎn)品。
一般的個人用戶,只要安裝了殺毒軟件和防火墻,對付一些流行的計(jì)算機(jī)病毒、垃圾郵件 、流氓軟件等等似乎也就綽綽有余了。但對國家機(jī)構(gòu)和企業(yè),單一的殺毒和防毒軟件就顯得不夠。比如,要抵御間諜竊密或者防止內(nèi) 部信息外泄,要保護(hù)知識產(chǎn)權(quán)和企業(yè)機(jī)密,以往的殺毒軟件就有所不逮。
在國外,不少企業(yè)其實(shí)早已在內(nèi)部使用類似 反泄密軟件這樣的安全產(chǎn)品。一個很多人都知道的例子是微軟。在微軟訴李開復(fù)違反競業(yè)禁止協(xié)議一案中,由于微軟通過防泄密系統(tǒng) 從李開復(fù)的計(jì)算機(jī)回收站捕獲到其與Google的來往信件并作為呈堂證供,Google最終不得不以支付一筆為數(shù)可觀的費(fèi)用與微軟和解。 如果不是微軟留了這一手,這件官司多半會因證據(jù)不足而成為一樁懸案。
但防泄密軟件的采用也會引發(fā)人們對個人隱 私問題的擔(dān)憂。如果通過互聯(lián)網(wǎng)和短信等工具傳送的個人數(shù)據(jù)被防泄密軟件跟蹤,或被用于其他商業(yè)目的,用戶的隱私權(quán)就有受到侵 害的可能。
也是因?yàn)殡[私權(quán)的問題,今年3月美國眾議院投票通過的《愛國者法案》修訂版,就曾 經(jīng)在美國社會遭致不小的反彈。該法案的某些條款授權(quán)美國聯(lián)邦調(diào)查局收集大量的私人信息,包括醫(yī)療和商業(yè)記錄等等。
實(shí)際上,美國的多數(shù)網(wǎng)絡(luò)公司為了長期保留海量的客戶資料,也大多默認(rèn)設(shè)置了Cookies。這些Cookies的時效非常長,微軟在 2016年過期,雅虎的是2010年,Google的是2038年。用戶瀏覽網(wǎng)站時,如果不對瀏覽器選項(xiàng)做特別設(shè)置,該網(wǎng)站的Cookie就會自動存 放在用戶的電腦里,于是該用戶的瀏覽習(xí)慣、愛好、行蹤等類似隱私就會被記錄在案。這些資料很容易成為黑客攻擊的目標(biāo)或用于其 他商業(yè)目的。
有些軟硬件廠商也會在自己開發(fā)的產(chǎn)品中設(shè)置某種未公開的功能,對網(wǎng)絡(luò)用戶的數(shù)據(jù) 隱私進(jìn)行收集。據(jù)報道,微軟的Windows98系統(tǒng)在辦公軟件Word和Excel文件上就生成了包含用戶計(jì)算機(jī)信息的唯一的確認(rèn)號碼,通過 這個“后門程序”,用戶信息可以不知不覺進(jìn)入微軟數(shù)據(jù)庫。此外,有消息稱,英特爾在其奔騰Ⅲ處理器芯片中也接入了 可進(jìn)行遠(yuǎn)程識別的序列碼,用于跟蹤用戶的私人信息。跟蹤工具如此之多,也真是防不勝防。
對于國家機(jī)關(guān)和企業(yè)用 戶而言,采用反泄密軟件自然也會引發(fā)員工個人隱私被跟蹤的問題,但防止信息外泄和抵御間諜軟件攻擊可以是一個更充分的理由。
據(jù)報道,金山最近已推出一款名為“防水墻”的軟硬一體的企業(yè)級反泄密裝置,用于企業(yè)用戶防御間諜軟 件和內(nèi)部泄密。這個防水墻從外觀看像一個盒子,其實(shí)是一個分步式的文件加密系統(tǒng),設(shè)置于企業(yè)的服務(wù)器網(wǎng)關(guān)以及客戶端上,通過 服務(wù)器和客戶端的所有信息,都會被系統(tǒng)自動存檔。這一來,被保護(hù)的文件就無法以拷貝、文件傳輸、打印、FTP、郵件等方式泄露出 去。另外,防水墻也可以在網(wǎng)關(guān)處對敏感內(nèi)容進(jìn)行阻斷,不讓其流出企業(yè)內(nèi)部,甚至可以對一些可能干擾企業(yè)日常工辦的軟件如BT、 QQ等作出限制,防止未經(jīng)授權(quán)的人使用。
相比于以往很多企業(yè)為防止機(jī)密泄漏而采取的在辦公區(qū)間安裝攝像頭、做內(nèi) 外網(wǎng)隔離、禁止聯(lián)入互聯(lián)網(wǎng)等逆潮流而動的舉措,防水墻的做法可算得人道,但也并不是沒有流弊的,端看怎么用和用于什么目的了 。
另一個問題是,在關(guān)及國家信息安全的政府采購等領(lǐng)域,是應(yīng)該用國產(chǎn)產(chǎn)品還是國外產(chǎn)品?顯然 ,這是一個見仁見智的問題,不同立場的人,自會有不同的結(jié)論。