1. 我國(guó)的信息安全現(xiàn)狀

近些年來(lái)捌袜，隱私泄露事件頻發(fā)被盈，導(dǎo)致當(dāng)事人發(fā)生嚴(yán)重的惡性后果，個(gè)人隱私的保護(hù)被不知不覺(jué)中提高到前所未有的高度伍绳，當(dāng)在科技高速進(jìn)步的今天踊挠，人們?cè)谌粘Ｉ詈凸ぷ髦卸紵o(wú)法擺脫個(gè)人信息數(shù)據(jù)被采集和傳播的情況。但是網(wǎng)絡(luò)攻擊還是大范圍的存在冲杀。中國(guó)互聯(lián)網(wǎng)信息中心在《2013年中國(guó)網(wǎng)民信息安全狀況研究報(bào)告》中指出效床，“整體上，我國(guó)信息安全環(huán)境不容樂(lè)觀权谁，有74.1%的網(wǎng)民在過(guò)去半年內(nèi)遇到過(guò)信息安全問(wèn)題剩檀，總?cè)藬?shù)達(dá)4.38億”，“信息安全事件對(duì)人們的影響較大旺芽。遭受安全事件的人群中沪猴，50.4%的人認(rèn)為‘花費(fèi)時(shí)間和精力’辐啄，有28.2%的人學(xué)習(xí)或工作受到了影響，13.1%的人重要資料或聯(lián)系人信息丟失运嗜，還有8.8%的人經(jīng)濟(jì)受到損失”壶辜，在2015年4月發(fā)布的《2014年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》中指出，“網(wǎng)站數(shù)據(jù)和個(gè)人信息泄露仍呈高發(fā)態(tài)勢(shì)”担租，“移動(dòng)應(yīng)用程序成為數(shù)據(jù)泄露的新主體”砸民，“具有短信攔截功能的移動(dòng)惡意程序大量爆發(fā)”，“智能終端將成為新的攻擊入口奋救，物聯(lián)網(wǎng)面臨安全挑戰(zhàn)”岭参。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心2016年4月發(fā)布的《2015年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示，2015年互聯(lián)網(wǎng)應(yīng)急中心獲得移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量近148萬(wàn)個(gè)尝艘，較2014年增長(zhǎng)55.3%演侯，惡意程序數(shù)量連續(xù)三年大幅增長(zhǎng)。報(bào)告顯示利耍，近年來(lái)移動(dòng)互聯(lián)網(wǎng)惡意程序呈現(xiàn)爆發(fā)增長(zhǎng)趨勢(shì)蚌本，主要針對(duì)安卓平臺(tái)。中國(guó)互聯(lián)網(wǎng)信息中心在2017年1月發(fā)布的《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中指出隘梨，“截至2016年12月，我國(guó)網(wǎng)民規(guī)模達(dá)7.31億”舷嗡，“手機(jī)網(wǎng)民規(guī)模達(dá)6.95億”轴猎，“11月7日，十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議表決通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》”进萄，“12月27日捻脖，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》”，“數(shù)據(jù)顯示中鼠，2016年遭遇過(guò)網(wǎng)絡(luò)安全事件的用戶占比達(dá)到整體網(wǎng)民的70.5%”可婶，其中網(wǎng)絡(luò)詐騙和個(gè)人信息泄露占比分別是39.1%和32.9%。

我們可以看到信息安全已經(jīng)引起高度重視援雇，信息系統(tǒng)將變得更加安全矛渴，特別是企業(yè)用戶的信息安全系統(tǒng)表現(xiàn)較好，但是針對(duì)個(gè)人信息安全的攻擊事件在逐年變多情況嚴(yán)重惫搏，且非常接近大眾的日常生活具温，情況較為嚴(yán)重，這樣導(dǎo)致的結(jié)果是個(gè)人隱私很容易被泄露筐赔。

2. 網(wǎng)絡(luò)信息安全面臨的問(wèn)題和挑戰(zhàn)

網(wǎng)絡(luò)安全威脅的現(xiàn)狀及主要因由：

1. 主要涉及以下幾個(gè)方面法律法規(guī)和管理不完善铣猩，制定不及時(shí)

隨著信息技術(shù)快速發(fā)展和廣泛應(yīng)用，國(guó)內(nèi)相關(guān)法律法規(guī)和管理政策等在解決信息資源保密性茴丰、完整性达皿、可用性天吓、可控性、可審查性等方面應(yīng)用中出現(xiàn)的一些問(wèn)題峦椰，顯得相對(duì)滯后且不夠健全與完善失仁。出現(xiàn)了一些企事業(yè)機(jī)構(gòu)或個(gè)人用戶法制觀念淡薄，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)和隱患不甚了解们何，網(wǎng)絡(luò)安全意識(shí)不強(qiáng)萄焦、自身管理措施和方法不完善等問(wèn)題，甚至出現(xiàn)內(nèi)部監(jiān)守自盜案件冤竹。重技術(shù)拂封、輕管理和網(wǎng)絡(luò)安全知識(shí)不夠普及成為一個(gè)重要問(wèn)題。

2. 企業(yè)和政府的側(cè)重點(diǎn)不一致

政府注重信息及網(wǎng)絡(luò)安全的可管性和可控性鹦蠕，企業(yè)則注重其可用性冒签、效益和可靠性。

3. 網(wǎng)絡(luò)安全技術(shù)和手段滯后

計(jì)算機(jī)技術(shù)不斷發(fā)展钟病，伴隨的各種網(wǎng)絡(luò)安全問(wèn)題層出不窮萧恕，網(wǎng)絡(luò)攻擊及計(jì)算機(jī)病毒變化多端，相應(yīng)的網(wǎng)絡(luò)安全技術(shù)和手段相對(duì)滯后肠阱，更新不及時(shí)票唆、不完善。

4. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患增強(qiáng)

在現(xiàn)代信息化社會(huì)屹徘，電子商務(wù)走趋、網(wǎng)絡(luò)銀行、電子政務(wù)噪伊、辦公自動(dòng)化和其他各種業(yè)務(wù)的應(yīng)用對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度越來(lái)越高簿煌，計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性、共享性鉴吹、交互性和分散性等特點(diǎn)姨伟，以及網(wǎng)絡(luò)系統(tǒng)及協(xié)議等從設(shè)計(jì)到實(shí)現(xiàn)自身存在的安全漏洞、缺陷和隱患豆励，致使網(wǎng)絡(luò)存在著巨大的風(fēng)險(xiǎn)和威脅夺荒。個(gè)人敏感信息竊取盜賣、惡意攻擊肆糕、病毒般堆、垃圾郵件嚴(yán)重威脅到了國(guó)家網(wǎng)絡(luò)安全。

3. 標(biāo)準(zhǔn)對(duì)保護(hù)個(gè)人信息的作用

個(gè)人信息安全保護(hù)規(guī)范是針對(duì)個(gè)人信息面臨的安全問(wèn)題诚啃，規(guī)范個(gè)人信息控制者在收集淮摔、保存、使用始赎、共享和橙、轉(zhuǎn)讓仔燕、公開(kāi)披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個(gè)人信息非法收集魔招、濫用晰搀、泄漏等亂象，最大程度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益办斑。

1外恕、 為法律法規(guī)的實(shí)踐提供了具體指導(dǎo)

2017年6月《網(wǎng)絡(luò)安全法》正式生效，其中在第四章對(duì)網(wǎng)絡(luò)信息安全作出了要求乡翅，法律只能在行為上的進(jìn)行約束鳞疲，無(wú)法給出具體的操作實(shí)踐，而個(gè)人信息安全規(guī)范標(biāo)準(zhǔn)整好彌補(bǔ)了這個(gè)空缺蠕蚜，對(duì)企業(yè)的軟件產(chǎn)品的具體行為給出了做什么尚洽、如何做的建議。

2靶累、 為相關(guān)測(cè)試標(biāo)準(zhǔn)提供了基礎(chǔ)標(biāo)準(zhǔn)

軟件產(chǎn)品的面市要經(jīng)過(guò)安全可控的測(cè)試環(huán)節(jié)才可以腺毫，目前的相關(guān)測(cè)試只是從功能和性能上進(jìn)行了檢測(cè)評(píng)估，而沒(méi)有從個(gè)人信息安全的角度進(jìn)行評(píng)估挣柬，個(gè)人信息安全規(guī)范標(biāo)準(zhǔn)給出了軟件的具體行為操作綱要潮酒，對(duì)于制定測(cè)試標(biāo)準(zhǔn)的工作者來(lái)說(shuō)，按照這套標(biāo)準(zhǔn)再進(jìn)行測(cè)評(píng)標(biāo)準(zhǔn)的制定凛忿，就可以有效評(píng)估一個(gè)軟件是否能夠保護(hù)個(gè)人的信息安全澈灼，同時(shí)也能讓相關(guān)企業(yè)了解如何做才能更好保護(hù)個(gè)人資產(chǎn)。

3店溢、 為企業(yè)開(kāi)發(fā)新產(chǎn)品提供了參考

原來(lái)企業(yè)在開(kāi)發(fā)新產(chǎn)品的時(shí)候，要滿足功能和性能上的要求委乌，就可以面向市場(chǎng)進(jìn)行應(yīng)用和推廣床牧。當(dāng)積累大量的用戶的時(shí)候，該公司和軟件的行為就會(huì)產(chǎn)生的社會(huì)效應(yīng)遭贸。在今天不斷爆發(fā)的個(gè)人信息泄漏事件就是由于企業(yè)沒(méi)有重視對(duì)個(gè)人信息的保護(hù)戈咳。發(fā)布了個(gè)人信息安全規(guī)范后，企業(yè)開(kāi)發(fā)軟件就有了一個(gè)參考標(biāo)準(zhǔn)：哪些屬于個(gè)人敏感信息壕吹，這些敏感信息如何處理著蛙，涉及到敏感信息的軟件在運(yùn)營(yíng)中如何管理等等。產(chǎn)品的開(kāi)發(fā)新產(chǎn)品保護(hù)個(gè)人信息安全具有很大的指導(dǎo)意義耳贬。

4踏堡、 為企業(yè)風(fēng)險(xiǎn)管理提供了參考

一個(gè)企業(yè)在進(jìn)行信息化建設(shè)的時(shí)候，風(fēng)險(xiǎn)管理團(tuán)隊(duì)需要對(duì)建設(shè)的信息化系統(tǒng)進(jìn)行全面的評(píng)估咒劲，無(wú)論是ISO270001還是等級(jí)保護(hù)標(biāo)準(zhǔn)都是從管理流程和軟件系統(tǒng)安全的角度進(jìn)行評(píng)估顷蟆，無(wú)法做到針對(duì)個(gè)人信息安全的細(xì)的粒度的檢查和評(píng)估诫隅，現(xiàn)在有了個(gè)人信息安全規(guī)范，在做安全評(píng)估的時(shí)候帐偎，就更加有針對(duì)性逐纬。

5、 有利于加強(qiáng)企業(yè)和個(gè)人信息安全意識(shí)的培養(yǎng)

目前雖然安全事件頻發(fā)削樊，其中占比最大的是個(gè)人信息泄露豁生，說(shuō)明企業(yè)包括相關(guān)的軟件研發(fā)人員對(duì)這部分的安全重視程度不夠，通過(guò)本標(biāo)準(zhǔn)的頒布和宣傳漫贞，就可以引起企業(yè)和研發(fā)人員的重視甸箱，從而采取行動(dòng)對(duì)這一塊薄弱環(huán)節(jié)進(jìn)行補(bǔ)強(qiáng)。

4. 企業(yè)該如何落實(shí)個(gè)人信息安全規(guī)范

1. 組織相關(guān)部門(mén)參加培訓(xùn)學(xué)習(xí)

達(dá)到思想上的高度統(tǒng)一才能將個(gè)人信息安全保護(hù)落到實(shí)處绕辖，組織產(chǎn)品開(kāi)發(fā)以及運(yùn)營(yíng)團(tuán)隊(duì)學(xué)習(xí)該規(guī)范摇肌，讓相關(guān)責(zé)任人知道哪些能做哪些不能做，讓架構(gòu)師在設(shè)計(jì)研發(fā)方案的時(shí)候提前規(guī)劃保護(hù)方案仪际，不要等產(chǎn)品做出來(lái)再進(jìn)行補(bǔ)充完善围小，最后就可能無(wú)法做到。同時(shí)還要組織風(fēng)控團(tuán)隊(duì)認(rèn)真學(xué)習(xí)树碱，從而能夠正確修改流程落實(shí)到對(duì)應(yīng)的管理流程中肯适。

2. 在新產(chǎn)品設(shè)計(jì)和產(chǎn)品研發(fā)中遵照標(biāo)準(zhǔn)要求設(shè)計(jì)流程和數(shù)據(jù)使用方式

個(gè)人信息安全規(guī)范清晰的定義了個(gè)人信息以及對(duì)個(gè)人敏感信息給出了示例和判定，同時(shí)給出了個(gè)人信息的增刪改查的最佳實(shí)踐要求成榜，對(duì)于產(chǎn)品研發(fā)團(tuán)隊(duì)來(lái)說(shuō)框舔，在產(chǎn)品需求階段就應(yīng)該對(duì)這一部分提出完整的約束性定義，這樣在產(chǎn)品研發(fā)設(shè)計(jì)階段就可以全盤(pán)考慮這一部分赎婚，在測(cè)試階段測(cè)試也會(huì)將其編入測(cè)試用例刘绣，作為重點(diǎn)測(cè)試評(píng)估點(diǎn)。

3. 對(duì)原有產(chǎn)品的改造

由于很多產(chǎn)品已經(jīng)上線使用挣输，出問(wèn)題的就在這些軟件產(chǎn)品中纬凤，而這些產(chǎn)品的改造也是最迫切的，之前企業(yè)已經(jīng)建立相應(yīng)的安全基線撩嚼，但還是應(yīng)該從根本上進(jìn)行安全防護(hù)處理停士，這樣防止一旦最后的防線被破壞，惡意攻擊者也無(wú)法拿到有效的數(shù)據(jù)完丽×导迹考慮到線上系統(tǒng)進(jìn)行更新升級(jí)的困難較大，建議進(jìn)行分階段分批次進(jìn)行更新優(yōu)化逻族。比如先考慮已保存數(shù)據(jù)的去標(biāo)識(shí)化處理和保存時(shí)間的最小化處理這樣讓用戶無(wú)感知蜻底，由于修改個(gè)人信息收集和使用涉及到與使用者的交互，所以逐漸添加流程引導(dǎo)用戶進(jìn)行確認(rèn)瓷耙，這一步可以教育用戶進(jìn)行使用朱躺，同時(shí)也是培養(yǎng)全社會(huì)個(gè)人信息安全保護(hù)意識(shí)的過(guò)程刁赖。

4. 安全制度的修訂和實(shí)施

為了保證產(chǎn)品上線以及產(chǎn)品運(yùn)維階段都已經(jīng)滿足個(gè)人信息安全規(guī)范的各個(gè)要求，需要從流程上規(guī)范在各個(gè)檢查點(diǎn)進(jìn)行檢查长搀，安全管理制度上進(jìn)行修訂是必不可少的宇弛。在個(gè)人信息安全規(guī)范中也提到了對(duì)組織的管理要求：要明確責(zé)任的部門(mén)和人員、開(kāi)展個(gè)人信息安全影響的評(píng)估源请、數(shù)據(jù)的安全能力枪芒、人員的管理與培訓(xùn)以及安全審計(jì)。企業(yè)修訂安全制度后一定要按照修訂后的流程進(jìn)行監(jiān)督執(zhí)行谁尸，這樣才能把對(duì)個(gè)人信息安全的保護(hù)落到實(shí)處舅踪。

5. 未來(lái)展望

個(gè)人信息安全保護(hù)標(biāo)準(zhǔn)的頒布是網(wǎng)絡(luò)安全法的有效補(bǔ)充，對(duì)目前社會(huì)上不斷出現(xiàn)竊取個(gè)人信息進(jìn)行倒賣的黑色良蛮、灰色產(chǎn)業(yè)鏈的有效打擊抽碌，也是企業(yè)行為自律的有效手段，相信在信息安全技術(shù)個(gè)人信息安全規(guī)范標(biāo)準(zhǔn)頒布實(shí)施以后决瞳，將會(huì)制定出越來(lái)越多的相關(guān)系列標(biāo)準(zhǔn)货徙、檢測(cè)標(biāo)準(zhǔn)來(lái)指導(dǎo)企業(yè)行為。未來(lái)會(huì)有效降低信息泄露事件皮胡，給國(guó)家人民資產(chǎn)得到有效保障痴颊，是我國(guó)積極實(shí)施網(wǎng)絡(luò)空間安全戰(zhàn)略重要步驟。