淺析社交網(wǎng)絡(luò)中個(gè)人信息安全保護(hù)

◆陳偉 林海釗

（解放軍31636 部隊(duì) 云南 641500）

1 社交網(wǎng)絡(luò)中個(gè)人信息安全保護(hù)的內(nèi)涵

本文所研究的個(gè)人信息安全保護(hù)，即個(gè)人信息本身的安全保護(hù)問(wèn)題。社交網(wǎng)絡(luò)中個(gè)人信息安全保護(hù)不僅包括網(wǎng)絡(luò)服務(wù)商對(duì)用戶(hù)個(gè)人信息的保護(hù)、用戶(hù)對(duì)自己個(gè)人信息的保護(hù)，也保護(hù)用戶(hù)對(duì)他人（如好友）個(gè)人信息的保護(hù)[1]。

2 社交網(wǎng)站保護(hù)措施

2.1 增強(qiáng)技術(shù)保護(hù)措施

針對(duì)社交網(wǎng)絡(luò)自身存在的安全漏洞問(wèn)題，社交網(wǎng)絡(luò)服務(wù)商應(yīng)該在進(jìn)行網(wǎng)絡(luò)安全評(píng)估的基礎(chǔ)上，采取必要的措施預(yù)防蠕蟲(chóng)入侵、黑客攻擊等行為。針對(duì)已經(jīng)發(fā)生的個(gè)人信息安全事件還要采取必要的救濟(jì)措施。具體來(lái)說(shuō)，主要有：

（1）防火墻控制

防火墻具有較好的保護(hù)功能，通過(guò)防火墻等級(jí)設(shè)置可以達(dá)到不同的保護(hù)效果。防火墻可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，過(guò)濾掉一些攻擊；還可以禁止特定端口的流出通信，封鎖特洛伊木馬；可以禁止來(lái)自特殊站點(diǎn)的訪(fǎng)問(wèn)，防止不明入侵者的所有通信等。因此，利用防火墻技術(shù)保護(hù)社交網(wǎng)絡(luò)安全，一定程度上可以阻止黑客對(duì)社交網(wǎng)站的攻擊。

（2）信息加密

對(duì)存儲(chǔ)在社交網(wǎng)絡(luò)后臺(tái)數(shù)據(jù)庫(kù)中的個(gè)人信息，特別是用戶(hù)的姓名、性別、手機(jī)號(hào)、身份證號(hào)、網(wǎng)絡(luò)賬號(hào)、密碼、cookies 文件等可以直接識(shí)別用戶(hù)個(gè)體的信息，網(wǎng)絡(luò)服務(wù)商應(yīng)該采用特殊的存儲(chǔ)管理方法，如對(duì)這些信息進(jìn)行加密保護(hù)，禁止明文存儲(chǔ)等。

（3）入侵檢測(cè)

采用專(zhuān)門(mén)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，進(jìn)行社交網(wǎng)絡(luò)的異常檢測(cè)、入侵檢測(cè)和攻擊報(bào)警，最大限度遏制、減少黑客的破壞。

2.2 完善社交網(wǎng)站個(gè)人信息保護(hù)功能

社交網(wǎng)站在開(kāi)發(fā)信息交流與共享服務(wù)的同時(shí)，也應(yīng)該開(kāi)發(fā)出對(duì)應(yīng)的個(gè)人信息保護(hù)功能。不同類(lèi)型社交網(wǎng)站其應(yīng)該改進(jìn)的方面各不相同：

（1）微博

針對(duì)微博訪(fǎng)問(wèn)限制缺失的問(wèn)題，網(wǎng)絡(luò)服務(wù)商可以考慮增加主頁(yè)訪(fǎng)問(wèn)控制功能，讓用戶(hù)有權(quán)力決定誰(shuí)可以訪(fǎng)問(wèn)自己的空間或者至少讓用戶(hù)知道誰(shuí)訪(fǎng)問(wèn)過(guò)自己的空間。

對(duì)于評(píng)論功能，用戶(hù)不僅僅可以設(shè)定其他用戶(hù)的評(píng)論權(quán)限，還應(yīng)該可以自主選擇不同群體對(duì)評(píng)論信息的可見(jiàn)度，如今“密友圈”的人可見(jiàn)等。

關(guān)于用戶(hù)信息的公共可檢索性，也應(yīng)該征得用戶(hù)的同意，將是否能被公共搜索引擎檢索到的權(quán)力交給用戶(hù)，網(wǎng)站只需提供必要的選擇功能即可。

此外，微博還應(yīng)該提供“停用或注銷(xiāo)賬號(hào)”功能，而不僅僅是“賬號(hào)鎖定”。對(duì)于想退出微博的用戶(hù)，網(wǎng)站應(yīng)該向其提供注銷(xiāo)賬號(hào)功能，并在特定時(shí)間后將用戶(hù)數(shù)據(jù)全部刪除。

（2）人人網(wǎng)

針對(duì)人人網(wǎng)在注冊(cè)認(rèn)證方面的問(wèn)題，應(yīng)該加強(qiáng)認(rèn)證管理，如通過(guò)手機(jī)驗(yàn)證、身份證號(hào)驗(yàn)證等方法，確保用戶(hù)只能注冊(cè)唯一賬號(hào)，避免他人隨意注冊(cè)造成的冒名頂替、網(wǎng)絡(luò)欺騙等行為。

關(guān)于人人中的“好友列表”，人人網(wǎng)可以只顯示用戶(hù)的好友數(shù)量，對(duì)具體的好友列表限制于僅用戶(hù)自己可見(jiàn)，這樣一定程度上可以保護(hù)用戶(hù)的人際關(guān)系信息。

對(duì)于用戶(hù)的狀態(tài)信息，人人應(yīng)該向用戶(hù)提供一個(gè)可見(jiàn)度的選擇功能，用戶(hù)可以自主選擇自己狀態(tài)信息的傳播范圍。

此外，網(wǎng)站應(yīng)該向用戶(hù)提供刪除功能，用戶(hù)可以自主對(duì)自己不想展示的信息進(jìn)行刪除。

2.3 將第三方應(yīng)用納入網(wǎng)站安全管理范疇

社交網(wǎng)站中的第三方應(yīng)用，是單獨(dú)在自己的服務(wù)器上運(yùn)行，沒(méi)有任何監(jiān)控，這樣就會(huì)導(dǎo)致個(gè)人信息的隨意收集與泄露。[2]因此，網(wǎng)站要加強(qiáng)對(duì)第三方應(yīng)用的管理。在保證第三方程序?qū)崿F(xiàn)其功能的前提下，對(duì)第三方應(yīng)用的信息流進(jìn)行監(jiān)控。此外社交網(wǎng)站還要加強(qiáng)對(duì)第三方應(yīng)用的審核，及時(shí)剔除存在安全隱患的應(yīng)用，為用戶(hù)提供安全保障。

3 用戶(hù)自身保護(hù)措施

3.1 提高用戶(hù)個(gè)人信息安全保護(hù)意識(shí)

社交網(wǎng)絡(luò)中個(gè)人信息安全事件的發(fā)生，很大一部分原因是用戶(hù)的個(gè)人信息安全保護(hù)意識(shí)不夠。用戶(hù)不僅過(guò)多地發(fā)布自己的信息，還可能泄露好友的信息。因此，用戶(hù)在發(fā)布信息之前應(yīng)該斟酌一下，這些信息會(huì)不會(huì)對(duì)個(gè)人及他人造成影響。

用戶(hù)還應(yīng)該全面了解網(wǎng)站的個(gè)人信息保護(hù)政策，對(duì)自己的信息如何被收集、存儲(chǔ)、利用等有清楚的了解，避免社交網(wǎng)站對(duì)個(gè)人信息的隨意收集、利用。一定程度上，這也能起到對(duì)網(wǎng)站監(jiān)督的作用。

對(duì)用戶(hù)個(gè)人信息安全意識(shí)的培養(yǎng)，還應(yīng)該重視宣傳、教育的作用。通過(guò)報(bào)紙、電視、網(wǎng)絡(luò)宣傳的力量，讓用戶(hù)意識(shí)到個(gè)人信息安全保護(hù)的重要性。通過(guò)網(wǎng)絡(luò)安全教育、用戶(hù)培訓(xùn)等加強(qiáng)用戶(hù)的個(gè)人信息安全保護(hù)素養(yǎng)及能力。

3.2 充分利用網(wǎng)站的個(gè)人信息保護(hù)功能

即使社交網(wǎng)站的個(gè)人信息保護(hù)功能再完善，假如用戶(hù)不知道使用，那么同樣會(huì)發(fā)生個(gè)人信息安全事件。對(duì)于網(wǎng)站提供的各種信息保護(hù)功能，用戶(hù)要視個(gè)人實(shí)際情況合理使用。

用戶(hù)要合理設(shè)置個(gè)人主頁(yè)的訪(fǎng)問(wèn)權(quán)限；對(duì)自己的個(gè)人資料信息，如教育背景、工作信息、聯(lián)系信息等合理選擇公開(kāi)范圍；對(duì)自己的日志、照片、狀態(tài)、留言信息等信息通過(guò)是否公開(kāi)、對(duì)誰(shuí)公開(kāi)、是否允許轉(zhuǎn)載、是否允許共享等功能來(lái)保證其在安全的范圍內(nèi)傳播。

充分利用網(wǎng)站提供的個(gè)人信息安全保護(hù)功能，是用戶(hù)保護(hù)個(gè)人信息安全最直接、有效的措施。

3.3 防范cookies 泄密

Cookies 本身是中性的，不存在對(duì)與錯(cuò)。[3]對(duì)于使用cookie 技術(shù)的網(wǎng)站，用戶(hù)要加強(qiáng)防范，及時(shí)刪除網(wǎng)站的cookies 文件或拒絕接受任何不必要的cookies 追蹤等，具體可以采取以下幾種措施：

（1）配置安全的瀏覽器

ⅠE、360、搜狗等瀏覽器都提供了關(guān)于cookie 的設(shè)置，用戶(hù)點(diǎn)擊“工具”―“Ⅰnternet 選項(xiàng)”“隱私”就可以對(duì)cookie 進(jìn)行必要設(shè)置。瀏覽器提供了“接受所有cookie”、“低”、“中”、“中高”、“高”、“阻止所有cookie”五個(gè)不同的等級(jí)。用戶(hù)可以根據(jù)自己需要，配置適當(dāng)?shù)腸ookie等級(jí)。

此外，用戶(hù)還可在“Ⅰnternet 選項(xiàng)”“常規(guī)”選項(xiàng)中勾選是否“退出時(shí)刪除瀏覽歷史記錄”，以確定退出瀏覽器時(shí)，是否刪除cookies 文件。

（2）安裝cookie 管理工具

Cookie Crusher 和Cookie Pal 都是典型的Cookie 管理軟件。

Cookie Crusher 可以管理計(jì)算機(jī)上的Cookies，設(shè)置禁止或允許創(chuàng)建Cookie 的網(wǎng)站列表，在創(chuàng)建新Cookie 或修改已存在的Cookie時(shí)發(fā)出警告，禁止第三方網(wǎng)站的Cookie 等。

Cookie Pal 可以幫助我們自動(dòng)接收或拒絕某些制定服務(wù)器所存放的Cookie，用戶(hù)也可以查看或刪除系統(tǒng)中已經(jīng)存在的Cookie，根據(jù)過(guò)期時(shí)間過(guò)濾Cookie，記錄Cookie 的活動(dòng)等。

（3）使用AAS 技術(shù)

AAS 技術(shù)，即Active Application Security，是美國(guó)Ⅰngrian Network公司開(kāi)發(fā)的以防Cookie 篡改的平臺(tái)。AAS 平臺(tái)能對(duì)Cookie 內(nèi)部的重要信息進(jìn)行加密處理，并附上電子簽名。如果惡意用戶(hù)刪除了電子簽名或?qū)ookie 進(jìn)行了修改，將不能再完成匹配。

社交網(wǎng)絡(luò)中個(gè)人信息安全保護(hù)的措施多種多樣，社交網(wǎng)站和用戶(hù)要根據(jù)自身的需要采取合理的措施保護(hù)自己的個(gè)人信息安全，盡力達(dá)到信息共享與信息保護(hù)的平衡。