試論計算機(jī)安全與隱私權(quán)

1、 試論 計算機(jī)安全和隱私權(quán) -Dream摘要： 信息技術(shù)的飛速發(fā)展徹底便捷了人們的生活，但與此同時計算機(jī)信息的易共享和易擴(kuò)散特性，導(dǎo)致計算機(jī)數(shù)據(jù)始終面臨被泄露篡改和破壞的危險，其中必然也包括個人重要的隱私。所以，計算機(jī)安全和隱私防護(hù)已成為一個亟待解決的問題。關(guān)鍵詞：計算機(jī)安全 隱私權(quán) 隱私數(shù)據(jù) 網(wǎng)絡(luò)系統(tǒng)的脆弱性 計算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計算機(jī)網(wǎng)絡(luò)安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。 計算機(jī)網(wǎng)絡(luò)安全不僅包括組

2、網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)。參照ISO給出的計算機(jī)安全定義，認(rèn)為計算機(jī)網(wǎng)絡(luò)安全是指：“保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序。” 計算機(jī)網(wǎng)絡(luò)本身存在一些固有的弱點(diǎn)(脆弱性)，非授權(quán)用戶利用這些脆弱性可對網(wǎng)絡(luò)系統(tǒng)進(jìn)行非法訪問，這種非法訪問會使系統(tǒng)內(nèi)數(shù)據(jù)的完整性受到威脅，也可能使信息遭到破壞而不能繼續(xù)使用，更為嚴(yán)重的是有價值的信息被竊取而不留任何痕跡。網(wǎng)絡(luò)系統(tǒng)的脆弱性主要表現(xiàn)為以下幾方面：1.操作系統(tǒng)的脆弱性網(wǎng)絡(luò)操作系統(tǒng)體系結(jié)構(gòu)本身就是不安全的，具體表現(xiàn)為：動態(tài)聯(lián)接。

3、為了系統(tǒng)集成和系統(tǒng)擴(kuò)充的需要，操作系統(tǒng)采用動態(tài)聯(lián)接結(jié)構(gòu)，系統(tǒng)的服務(wù)和I/O操作都可以補(bǔ)丁方式進(jìn)行升級和動態(tài)聯(lián)接。這種方式雖然為廠商和用戶提供了方便，但同時也為黑客提供了入侵的方便(漏洞),這種動態(tài)聯(lián)接也是計算機(jī)病毒產(chǎn)生的溫床。創(chuàng)建進(jìn)程。操作系統(tǒng)可以創(chuàng)建進(jìn)程，而且這些進(jìn)程可在遠(yuǎn)程節(jié)點(diǎn)上被創(chuàng)建與激活，更加嚴(yán)重的是被創(chuàng)建的進(jìn)程又可以繼續(xù)創(chuàng)建其他進(jìn)程。這樣，若黑客在遠(yuǎn)程將“間諜”程序以補(bǔ)丁方式附在合法用戶，特別是超級用戶上，就能擺脫系統(tǒng)進(jìn)程與作業(yè)監(jiān)視程序的檢測。超級用戶。操作系統(tǒng)的另一個安全漏洞就是存在超級用戶，如果入侵者得到了超級用戶口令，整個系統(tǒng)將完全受控于入侵者。2.計算機(jī)系統(tǒng)本身的脆弱性計算機(jī)

4、系統(tǒng)的硬件和軟件故障可影響系統(tǒng)的正常運(yùn)行，嚴(yán)重時系統(tǒng)會停止工作。系統(tǒng)的硬件故障通常有硬件故障、電源故障、芯片主板故障、驅(qū)動器故障等；系統(tǒng)的軟件故障通常有操作系統(tǒng)故障、應(yīng)用軟件故障和驅(qū)動程序故障等。3.電磁泄漏計算機(jī)網(wǎng)絡(luò)中的網(wǎng)絡(luò)端口、傳輸線路和各種處理機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽而造成電磁信息輻射，從而造成有用信息甚至機(jī)密信息泄漏。4.數(shù)據(jù)的可訪問性進(jìn)入系統(tǒng)的用戶可方便地復(fù)制系統(tǒng)數(shù)據(jù)而不留任何痕跡；網(wǎng)絡(luò)用戶在一定的條件下，可以訪問系統(tǒng)中的所有數(shù)據(jù)，并可將其復(fù)制、刪除或破壞掉。5.通信系統(tǒng)和通信協(xié)議的弱點(diǎn)網(wǎng)絡(luò)系統(tǒng)的通信線路面對各種威脅顯得非常脆弱，非法用戶可對線路進(jìn)行物理破壞、搭線竊聽、通過未保護(hù)

5、的外部線路訪問系統(tǒng)內(nèi)部信息等。通信協(xié)議TCP/IP及FTP、E-mail、NFS、WWW等應(yīng)用協(xié)議都存在安全漏洞，如FTP的匿名服務(wù)浪費(fèi)系統(tǒng)資源；E-mail中潛伏著電子炸彈、病毒等威脅互聯(lián)網(wǎng)安全；WWW中使用的通用網(wǎng)關(guān)接口（CGI）程序、Java Applet程序和SSI等都可能成為黑客的工具；黑客可采用Sock、TCP預(yù)測或遠(yuǎn)程訪問直接掃描等攻擊防火墻。6.數(shù)據(jù)庫系統(tǒng)的脆弱性由于數(shù)據(jù)集庫管理系統(tǒng)對數(shù)據(jù)庫的管理是建立在分級管理的概念上，因此，DBMS的安全必須與操作系統(tǒng)的安全配套，這無疑是一個先天的不足之處。黑客通過探訪工具可強(qiáng)行登錄或越權(quán)使用數(shù)據(jù)庫數(shù)據(jù)，可能會帶來巨大損失；數(shù)據(jù)加密往往與D

6、BMS的功能發(fā)生沖突或影響數(shù)據(jù)庫的運(yùn)行效率。由于服務(wù)器/瀏覽器(B/S)結(jié)構(gòu)中的應(yīng)用程序直接對數(shù)據(jù)庫進(jìn)行操作，所以，使用B/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序的某些缺陷可能威脅數(shù)據(jù)庫的安全。7.網(wǎng)絡(luò)存儲介質(zhì)的脆弱各種存儲器中存儲大量的信息，這些存儲介質(zhì)很容易被盜竊或損壞，造成信息的丟失；存儲器中的信息也很容易被復(fù)制而不留痕跡。而由以上計算機(jī)網(wǎng)絡(luò)脆弱特點(diǎn)導(dǎo)致的信息安全威脅使隱私保護(hù)變得艱難，隱私權(quán)受到嚴(yán)重挑戰(zhàn)。網(wǎng)絡(luò)系統(tǒng)面臨的威脅主要來自外部的人為影響和自然環(huán)境的影響，它們包括對網(wǎng)絡(luò)設(shè)備的威脅和對網(wǎng)絡(luò)中信息的威脅。這些威脅的主要表現(xiàn)有：非法授權(quán)訪問，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統(tǒng)正常運(yùn)行，

7、修改或刪除數(shù)據(jù)等。這些威脅大致可分為無意威脅和故意威脅兩大類。1.無意威脅無意威脅是在無預(yù)謀的情況下破壞系統(tǒng)的安全性、可靠性或信息的完整性。無意威脅主要是由一些偶然因素引起，如軟、硬件的機(jī)能失常，人為誤操作，電源故障和自然災(zāi)害等。2.故意威脅故意威脅實際上就是“人為攻擊”。由于網(wǎng)絡(luò)本身存在脆弱性，因此總有某些人或某些組織想方設(shè)法利用網(wǎng)絡(luò)系統(tǒng)達(dá)到某種目的，如從事工業(yè)、商業(yè)或軍事情報搜集工作的“間諜”，對相應(yīng)領(lǐng)域的網(wǎng)絡(luò)信息是最感興趣的，他們對網(wǎng)絡(luò)系統(tǒng)的安全構(gòu)成了主要威脅。 攻擊者對系統(tǒng)的攻擊范圍，可從隨便瀏覽信息到使用特殊技術(shù)對系統(tǒng)進(jìn)行攻擊，以便得到有針對性的信息。這些攻擊又可分為被動攻擊和主動攻

8、擊。 被動攻擊是指攻擊者只通過監(jiān)聽網(wǎng)絡(luò)線路上的信息流而獲得信息內(nèi)容，或獲得信息的長度、傳輸頻率等特征，以便進(jìn)行信息流量分析攻擊。被動攻擊不干擾信息的正常流動，如被動地搭線竊聽或非授權(quán)地閱讀信息。被動攻擊破壞了信息的保密性。 主動攻擊是指攻擊者對傳輸中的信息或存儲的信息進(jìn)行各種非法處理，有選擇地更改、插入、延遲、刪除或復(fù)制這些信息。主動攻擊常用的方法有：篡改程序及數(shù)據(jù)、假冒合法用戶入侵系統(tǒng)、破壞軟件和數(shù)據(jù)、中斷系統(tǒng)正常運(yùn)行、傳播計算機(jī)病毒、耗盡系統(tǒng)的服務(wù)資源而造成拒絕服務(wù)等。主動攻擊的破壞力更大，它直接威脅網(wǎng)絡(luò)系統(tǒng)的可靠性、信息的保密性、完整性和可用性。被動攻擊和主動攻擊有以下四種具體類型：竊取

9、：攻擊者未經(jīng)授權(quán)瀏覽了信息資源。這是對信息保密性的威脅，例如通過搭線捕獲線路上傳輸?shù)臄?shù)據(jù)等。中斷：攻擊者中斷正常的信息傳輸，使接收方收不到信息，正常的信息變得無用或無法利用，這是對信息可用性的威脅，例如破壞存儲介質(zhì)、切斷通信線路、侵犯文件管理系統(tǒng)等。篡改：攻擊者未經(jīng)授權(quán)而訪問了信息資源，并篡改了信息。這是對信息完整性的威脅，例如修改文件中的數(shù)據(jù)、改變程序功能、修改傳輸?shù)膱笪膬?nèi)容等。偽造：攻擊者在系統(tǒng)中加入了偽造的內(nèi)容。這也是對數(shù)據(jù)完整性的威脅，如向網(wǎng)絡(luò)用戶發(fā)送虛假信息，在文件中插入偽造的記錄等。 其中所導(dǎo)致的隱私的竊取等問題已涉及到法律中的隱私權(quán)。 隱私權(quán)是指自然人享有的私人生活安寧與私人信息

10、秘密法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、收集、利用和公開的一種人格權(quán)，而且權(quán)利主體對他人在何種程度上可以介入自己的私生活，對自己是否向他人公開隱私以及公開的范圍和程度等具有決定權(quán)。 隨著 網(wǎng)絡(luò)的不斷發(fā)展，相關(guān)的安全性問題特別是個人隱私的保護(hù)備受關(guān)注，據(jù)媒體調(diào)查顯示，互聯(lián)網(wǎng)時代，55.8%的受訪者認(rèn)為保護(hù)個人隱私“越來越難”，29.3%的人認(rèn)為，“個人信息被隨意公開泄露”。而提高保護(hù)意識是杜絕個人信息外泄的重要方法。 2000年以來，從 劉嘉玲的受辱照、 璩美鳳的性愛視頻、 陳冠希的“ 艷照門”、 帕里斯希爾頓的性愛視頻以及 獸獸門等，女人的隱私和安全變成了一個不容忽視的大問題。手機(jī)攝像頭無處不

11、在，稍微不小心，自己和戀人的親密過程可能第二天就會成為網(wǎng)絡(luò)里的頭條，頓時天下皆知。 對于每個人來說，計算機(jī)安全不再空泛的概念而是越來越關(guān)乎自身的隱私安全的方面。 然而在保護(hù)隱私問題上，中國與歐美的差距很大。美國1974年制定聯(lián)邦隱私權(quán)法，1986年通過聯(lián)邦電子通訊隱私法案，2000年4月出臺了第一部關(guān)于網(wǎng)上隱私的聯(lián)邦法律兒童網(wǎng)上隱私保護(hù)法，還有公民網(wǎng)絡(luò)隱私權(quán)保護(hù)暫行條例、個人隱私權(quán)與國家信息基礎(chǔ)設(shè)施等法律作為業(yè)界自律的輔助手段。歐盟在1997年通過電信事業(yè)個人數(shù)據(jù)處理及隱私保護(hù)指令之后，又先后制定了Internet上個人隱私權(quán)保護(hù)的一般原則、信息公路上個人數(shù)據(jù)收集、處理過程中個人權(quán)利保護(hù)指南等相關(guān)法。 所以說我們在信息安