信息泄露论文
信息泄露论文范文第1篇
关键词:供应链;信息共享;信息泄露
实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。
一、供应链信息泄露的概念
信息泄露最早见诸于经济学文献,grossman和stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在r&d的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在r&d过程中研发信息的无意传播,因为从r&d中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。
在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirect effect),也被称为“泄露效应”(leakage effect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。
综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。
从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。
二、供应链信息泄露的途径
(一)独立于供应链之外的第三方企业泄露信息
在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年wal-mart宣布不再和information resources inc.和acnielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了wal-mart的竞争对手,从而使walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。
(二)供应链上游企业泄露信息
供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是soundscan,还有newbury comic的上游供应商——唱片公司。
另外,从的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。
(三)供应链下游企业泄露信息
在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。
福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,gm公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。
(四)供应链管理系统泄露信息
供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于internet网络体系构建的。internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。
三、供应链信息泄露的防范措施
为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为人。在供应链信息共享过程中,人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。
(一)建立信息泄露识别机制
信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。
(二)签订保密协议
供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。
保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦人违反保密协议就给出相应的惩罚。
除了和人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。
(三)建立激励机制
信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。
(四)加强网络安全
构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网vpn来构架信息安全框架。vpn可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。
(五)建立应急处理机制
企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。
四、结论
众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。
参考文献:
[1] grossman s j, stiglitz j e. on the impossibility of informationally efficient markets[j].american economic review, 1980, 70(3):393-408.
[2] baccara m. outsourcing, information leakage, and consulting firms[j].rand journal of economics, 2007, 38(1):269-289.
[3] li l. information sharing in a supply chain with horizontal competition[j].management science, 2002, 48(9):1196-1212.
[4] hays c l. what wal-mart knows about customers′ habits[n].the newyork times, 2004.
[5] dye r a, sridhar s s. investment implications of information acquisition and leakage[j].management science, 2003,49(6):767-783.
信息泄露论文范文第2篇
近年来,许多企业内网数据信息泄露事件频繁出现,这预示企业内容数据信息泄露防御工作存在严重的缺陷。并且随着各种新型技术、热门应用的应用,增加了对企业内网的攻击频率和针对性,造成大量的数据信息泄露,这对于企业的健康、稳定以及长足发展是非常不利的。十之后,信息安全作为重大战略,上升到国家高度,加强并构筑企业信息防御能力显得更为重要和迫切。因此,文章针对信息泄露防御模型在企业内网安全中应用的研究具有一定的现实意义。
2企业内网安全现状分析
目前,黑客间谍、木马等在不停的给企业内网制造安全麻烦,并且利用各种新型技术、热门应用等,增加了对企业内网的攻击频率,并且攻击目标越来越具有针对性,盗取了企业内网中的众多重要数据信息,给企业内网安全埋下严重的隐患。同时,对企业内网数据信息泄露事件进行分析,影响企业内网信息安全的因素,不仅仅是黑客间谍、木马的攻击,还有一部分是由于企业并没有创建科学、有效的信息防御模型,再加上企业内网安全维护人员自身疏忽、操作不当或者其他原因可能引发内网数据信息的泄露。正是由于上述众多原因,并且企业在运行的过程中的业务流程以及数据信息量的不断的增多,加上泄露防御系统、员工失误等导致的信息泄露事件逐渐的增多,因此亟待采取有效的措施进行安全控制和处理。目前,企业针对内网信息泄露的防御措施包括以下几个方面:禁止使用打印机、光驱、软驱等;禁止使用可移动储存器;禁止使用网络连接等,上述“人治”的方式虽然组织了敏感信息进入到企业内网,但是却降低了系统的可用性,实用性不强。
3信息泄露防御模型在企业内网安全中的应用分析
3.1信息泄漏防御模型原理
本文提出了基于密码隔离的信息泄露防御模型,利用密码以及访问控制的方式,在企业内网中创建一个虚拟网,以此解决企业内网敏感信息泄露的问题。文章给出一个科学的秘钥管理协议,结合对称加密算法,赋予了该信息泄露防御模型一人加密指定多人解密的功能,即企业中的任何用户对敏感信息进行加密后,能够指定一个或者多个解密者,以此控制敏感信息的传播途径与范围。该信息泄露防御模型在企业内网安全中应用的最大特点在于拥有者与使用者不分离,例如,企业内部人员在不改变终端的前提下,同时不影响其任何权限,具有访问终端上的所有客体的权限,这样很容易导致企业内网的敏感信息外泄,但是这样必须控制用户的行为,因此,文章提出的基于密码隔离的信息泄露防御模型,将系统的主体、客体进行分级,即低安全级与高安全级,其中高安全级储存以及传递的信息需要受到保护,不能泄露到企业外部。因此,该模型的核心思想表现为:当模型判断信息为敏感信息时,将信息的安全等级提升为高安全级,如果高安全级的信息被传递至外部网络或者设备时,会对信息进行加密,然后将敏感信息相对应的数据文件标记成高安全级,在应用环境中形成一个密码隔离的虚拟网络,在该虚拟网络中敏感信息以密文的形式存在,即使黑客或者恶意用户将信息通过移动储存器、网络等传递到企业外部,但是得不到相应的解密密钥,也不会导致企业信息被泄露。
3.2CIBSM模型的应用
近年来,企业内网信息系统规模不断的扩大,覆盖范围越来越广,因此信息系统的组成也逐渐的向复杂化方向发展,威胁信息系统安全的因素不断的增多,如果仅仅提出保证企业内网信息安全的理论,并不能够保证企业内网信息安全,还需要给出科学、合理、可行的实施方法,基于此创建了OM/AM框架,即O-objective(目标)、M-model(模型)、A-architecture(架构)、M-mechanism(机制),该架构实现了“做什么”到“怎样做”的转变,即将CIBSM模型从理论到实践,从工程上给出可行的实施方法,有效的解决了企业内网信息外泄的隐患。CIBSM模型的工程实现采用安全内核方式,通过控制文件读写以及进程的方式防止信息泄露,在实际应用的过程中应该注意以下两个方面:3.2.1密钥管理协议方面密钥管理机制在一定程度上决定了CIBSM模型的实用性以及安全性,因此密钥管理机制应该保证企业内网的所有合法终端都能够对敏感信息进行加密,并且在企业的应用环境中对加密的敏感信息进行解密,并且保证非法终端部能够解密加密的敏感信息。同时,还应该保证解密秘钥的透明性,防止用户将密钥带到企业外部环境。基于此,CIBSM模型采用基于身份的密钥管理机制,便于实现企业内网信息的安全传递与储存。3.2.2可信终端引入方面通过引入可信终端,能够实现对敏感信息的降级处理,实现对企业内部敏感信息的正确管理,并且所有的敏感信息都需要经过可信终端的降级处理,即用户需要将敏感信息通过外部储存装置或者打印带至企业应用环境以外时,可信终端会对所有的敏感信息进行降级处理,以此保证企业内网敏感信息的安全性。可信终端的引入,在不降低系统可用性的基础上,提高了企业内网敏感信息的安全性。
4结束语
信息泄露论文范文第3篇
此后,希尔顿再次确认,公司内部系统遭入侵,尤其是HLT0.53%数据系统。这类恶意软件是专门设计用于收集个人支付卡信息,包括持卡人姓名、支付卡卡号、密码和有效期。此时,希尔顿公司才意识到他们低估了问题的严重性,于是立即开展深入调查并着手强化网络安全。事实上,他们已无法准确说出,被盗信息中包含了多少持卡人姓名、支付卡账号、安全代码和有效期。
个人信息泄露日趋严重
希尔顿是世界最著名的酒店服务公司之一。它在全球97个国家和地区拥有4500家连锁酒店。此案已发,若不尽快通知个人客户,希尔顿公司就可能承担刑责,或被告上法庭,赔偿客户因此遭遇的财物损失。他们不得不通知一定期限内曾住宿、用餐和购物的所有客户,要求其查询并核实自己的银行账单,修改密码,还向一定期限内购买服务的客户免费提供一年的信用监控与查询服务。其实,黑客盯上的酒店已不止希尔顿,美国万豪酒店公司曾同意并购拥有120亿美元资产的连锁酒店,但发现即将并购的外公司有54家的个人客户信息遭泄露,若并购,那么其他万豪连锁酒店也有可能遭入侵。
在美国历史上,公司曾把客户的姓名、年龄、购买情况、家庭住址、社会安全代码和其他个人信息视作有价资产加以收集利用,在某些情况下出售而不经用户同意。政府在过去也并无监管措施。但自从有了互联网,个人信息可轻易收集、使用、搜索和分享,因此滥用个人信息越来越普遍,引发的信息安全问题也越来越突出,这导致涉事机构和个人泄露有价值的信息问题日趋严重。为遏制这一势头,美国国会与各州议会相继推出法律规范措施并规定,无论是纸质还是电子文档,只要涉及个人敏感数据,涉事单位或个人都要给予分等级的管控,否则他们将承担法律责任。
然而,尽管联邦法院制定的法规严格限制了收集、使用和分享个人信息,但信息技术日新月异,法律的更新往往落后于技术的发展。在此之前,美国联邦贸易委员会(FTC)也相继推出行业自律规则,包括客户隐私信息的使用规范,也制定了隐私数据保护规定,即未经授权不得随意使用。
早在2009年初,《美国数据泄露成本研究》报告称,2008年美国公司信息泄露,导致客户人均损失202美元,而2007年仅为197美元,更比2005年提高了40%。公司因此造成损失更高,平均达665万美元。倘若提早应对,即可防患于未然。在过去三年中,美国执法部门对机构和个人的数据安全关注度进一步提高,原因是过去制定的相关法规越来越不适应需要,法不治众普遍存在,屡次出现大规模的泄露隐私数据的案情,用立法来遏制这一势头已成必然。
个人信息泄露给机构带来灾难
联邦贸易委员会已明文规定,任何机构只要泄露客户的个人信息,尤其是敏感信息,那么它必须承担相应的法律责任。公司泄露个人信息不仅要承担法律责任,而且还意味着丢失潜在的客户、收益和股份价值,同时也使公司深陷绝境,形象受损。当然,这要取决于公司的类型和泄露数据的性质。最普遍的泄露案件是网络遭入侵、非安全的无线通信、桌面终端被盗等等,也有邮件、恶意软件、人为操作和摄像失误等方式。一份调查发现,美国约有74%的隐私数据泄露属于外部劫取,32%属于商务搭档搞鬼,另有20%属内贼窃取。
资金或有价票据的信息泄露时,公司要付出高昂的代价。据彭那蒙研究,美国公司一台笔记本电脑丢失,平均造成价值20万美元的数据损失,若加上调查费、客户咨询、危机管控、中心呼叫、信用监控、律师费、罚款、诉讼费、传票费、法庭专家认定费等等,损失不可估量。
个人信息的泄露在美国也要分性质和严重程度。若敏感信息泄露,如金融机构和健康护理提供商泄露了客户个人信息,那么他们不仅要承担法律责任,而且还作为丑闻曝光,最大限度地披露出来。此外,若公司雇员泄露了未经授权的个人信息,那么这类案件将被刊登在当地头版头条新闻上,还会引发连锁反应。美国大陆航空公司就是最典型的一例。一笔记本电脑丢失在异地,内有200名乘客的姓名、地址、社会安全代码和指纹。随之,美国最大的信用卡支付系统公司之一HPS(Heartland Payment Systems)公司宣布,大陆航空的失窃案造成了美国有史以来最大的个人信息泄露案。窃贼依据盗取的个人社会安全代码进入这家支付系统公司内网,进行了大量的非法交易,导致该公司月均1亿美元被人从银行刷走,超过17万商人的账户受影响。随后,这家支付公司被,罪名是,他们未能及时通知相关用户而造成巨额损失。另一案例是2009年4月,俄克拉荷马州政府公共事业部遭遇一次意外事故。窃贼从政府雇员车中盗走一台笔记本电脑,内装100万居民的姓名、地址、家庭电话号码和社会安全代码,并且这份文件未加密。2010年,美国最大的折价商业公司TJX的网络系统有4570万张未加密的客户信用卡和借记卡遭黑客盗取。调查表明,该公司的所有电脑数据和现金记录机上的所有个人信息都遭到诈骗团伙用技术手段劫走。此案导致该公司直接损失在2.56亿-5亿美元之间,间接损失高达10亿美元,涉及全美众多的客户、发卡银行、州银行协会和股东。此后,美国FBI在全球范围内抓获11名相关嫌疑人。2008年,美国俄亥俄州一家医疗保险公司丢失11张光盘,内含3.6万雇员和退休人员的个人信息。最终这些光盘被找到,然后在寄往哥伦布市的途中再次丢失。消息一传出即在美国引发轩然大波。
公司淡漠客户个人信息,泄露了本可以避免泄露的客户敏感信息,他们不仅要造成巨额损失,而且还要面临法律的制裁并担刑责,还存在倒闭的风险。2005年,美国凯撒医疗公司(Kaiser Permanente)的一位雇员由于对老板不满,竟把公司一份文件链接到她自己的博客上,包括医疗客户个人姓名、IP地址、计算机代码,总共导致140名客户信息泄露。由此,她使公司违反了美国HIPAA法,即《健康保险携带和责任法》,该公司被罚20万美元。又如,2008年美国华盛顿都市地区高速运输管理局未经授权把所有雇员的社会安全代码在网站上。按理说,这是公司内部事务,但由于未经授权,因此被认定为“非法”,一时成为众矢之的。
美公民的个人信息丢失引发的社会犯罪日趋严重,最终迫使美国联邦政府与州政府两个层次采取立法措施。联邦政府立法部门先后推出系列法律,要求各机构采取措施保护个人信息,尤其是敏感信息,如财务、健康信息,儿童信息也在保护之列。各州立法部门还向个人消费者提供保护个人信息的方法。截至目前,美国已有44个州立法保护个人信息。最近哥伦比亚特区、美属维京群岛也列入其中,其总的要求是:商业企业务必制定严密的安全规章制度,采取自律措施,限制雇员的行为。
美国保护个人信息最著名的联邦与州法律措施
*联邦政府立法措施
・1996年联邦政府颁布并实施HIPAA法,即《健康保险携带和责任法》。该法明确规定,健康信息(PHI)权属于受保护的个人隐私,任何个人或机构未经授权,无论有意无意或任何形式,不管是纸质还是电子文档,均在保护之列。
・2009年,美国颁布实施《经济复苏及再投资法》,该法再次强制规定,在披露个人健康信息前必须经由本人同意。
・1999年,克林顿总统签署了当时最具影响力的《金融服务现代化法》,它要求美国的所有金融机构,一旦发生个人信息泄露,必须立即通知每一位相关客户,否则将承担因此引发的法律责任。
・2005年,美国立法部门在2003年颁布实施的《公平与准确信用交易法》(FACTA)基础上,再推出与之配套的《处置规则》(Disposal Rule),旨在进一步细化管控措施,杜绝非授权使用和其他不当使用个人信息,禁止机构保留、收集或另作他用。
・1998年,美国颁布实施《儿童在线隐私权保护法》(COPPA)。该法旨在赋予父母管控孩子上网使用信息的权利,同时预防不法分子从孩子处收集家庭敏感信息。
・《联邦贸易委员会法》(FTC ACT)是在20世纪初就已制定,此后随着时代的变迁历经多次修订。该法禁止不公平竞争或欺骗手段或以非公正的行为影响市场。最新修订的该法明文规定,若机构未经授权采集,使用和分享个人信息,将被视作“非公平”、“欺诈”的贸易行为,消费者可直接控告该机构。该法被视作美国最有实用性最普遍的个人信息安全管控法。
*州政府立法措施
美国加利福尼亚州2002年率先制定法律措施保护个人信息安全以来,已有44个州制定了与信息泄露和通知制度相关的法律。这些法律规定,一旦机构获知并确信客户信息被解密或被传输到其他机构并将直接影响客户前,公司应通知客户。加州该法实施以来已修订多次,要求通知更详细。美国宾夕法尼亚州最近通过一项法案,即机构的个人信息被泄露,须在7天内无条件通知相关的州公民个人。紧随其后,其他州的相关法律也做出类似修订。其中马萨诸塞州和内华达州的相关法案更为严格,他们要求任何机构把个人信息传输给商业安全系统之外的任何人或机构都必须加密,以确保安全。2010年,马萨诸塞州修订相关法律,推出新的个人信息泄露通知的最低标准,即无论是纸质还是电子文档,只要包含任何个人信息均须以书面的形式通知对方。
*机构的行业自律措施
信息泄露论文范文第4篇
关键词:网络技术;信息保密;信息泄露
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-02
Network Information Privacy and Security Maintenance
Tang Liang
(Head Office of China's Auto Industry International Cooperation,Beijing100080,China)
Abstract:Network information leakage and its information security safety hidden danger of more and more attention by people.This paper analyzes the network information leakage of the four kinds of performance,the maintenance information confidential and prevent information leakage puts forward the countermeasures.
Keywords:Network technology;Information secret;Information leakage
信息资源、信息技术和信息产业对社会和经济的发展关系密切,信息安全关系到一个企业、一个机构乃至一个国家、一个民族的盛衰兴亡。随着人类的生产和生活等一切社会活动越来越依赖于计算机网络系统,网络信息泄露及其给信息安全带来的安全隐患愈来愈受到人们的普遍关注,研究网络信息保密的安全维护有十分重要的意义。
一、网络信息保密安全维护的意义
信息论和控制论的奠基者美国学者维纳认为:“信息就是我们在适应外部世界和控制外部世界的过程中,同外部世界进行交换的内容的名称。”现在一般认为,信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。信息的保密性、完整性、可用性、真实性等是网络安全的关键。而信息的保密性是指信息不泄漏给非授权的用户、实体或过程,或供其利用的特性。一旦信息泄露给某个未经授权的实体,那么信息就会出现泄密问题。信息的保密性是信息安全中最主要的核心内容。
对个人来讲,通常个人电脑中发生的个人密码泄露、隐私信息泄露、银行账号泄露等事件通常都是病毒、木马以及恶意程序造成的,当然也可能是个人信息保管不善造成的信息泄露。当前,个人信息泄露正日益严重地妨碍着公众的正常生活,不仅让当事人不堪其扰,更可能为刑事犯罪提供土壤。
对社会经济来讲,信息保密性更为重要。信息作为社会的重要战略资源,已经成为人类最宝贵的资源,信息资源、信息技术和信息产业对社会和经济的发展关系密切信息关系到整个经济体系的良好运行,一旦重要信息非法泄露,就会对社会经济造成重大影响。
对国家安全来讲,信息保密最为重要。重要信息的泄露将直接导致国家安全的问题。当今各国都在努力的利用网络、间谍等方式来获得所需的情报,而网络又是最直接便利的途径,因此如何确保网络上的信息保密性就是摆在我们面前的突出问题。
二、网络信息泄漏的表现
目前,随着计算机科学技术的不断发展,信息的搜集渠道愈来愈多,范围也愈来愈广,信息泄露的机会也愈来愈多,使得信息保密性遭到极大威胁。下面主要介绍是常见的几种信息泄露的途径。
(一)各种途径和方法的窃听、窃取所造成的信息泄露
在网络时代,信息的传输干线主要通过光纤线路进行,传统的窃听手段和方法都将面临失效。当然,新的窃听、窃录、窃收方法和技术也在不断产生,比如把窃听、窃录、窃收装置放在计算器、打火机、电话或各种电器的插座内,甚至可以放在电容器、计算机芯片内。另外,在办公室、宿舍、汽车等地方谈话时声波在玻璃表面引起极微小的振荡,都可以通过光学接收机将其变为可以听到的谈话。美国甚至研究出了可以窃听海底光缆的先进潜艇。
(二)网络设备和线缆工作中电磁辐射造成的信息泄露
目前许多信息都离不开电脑和网络。除光纤外,这些设备在输入、输出、加工处理信息过程中,必然会产生电磁辐射。通过高科技设备就可以在离工作间几十米甚至上百米处检测测到计算机等设备的电磁辐射状况。将收集到的电磁辐射信号,经过专用仪器,就可以还原成正在处理的信息和显示装置上正在显示的内容。因此,在早期使用同轴缆线连接网络中,重要的军事部门的缆线必须在视力所及的范围内布线,主要就是为了防止电磁辐射造成的信息泄露。
(三)信息在有线网络及无线网络传输中的信息泄露
信息要通过电话线、网络、卫星等媒介来传输,如不采取有效的安全保护措施,这些信息就存在着传输泄露的可能性,随时可能被截获,甚至有人会以合法的身份访问网络内的信息。
随着近年来计算机和无线通信技术的发展,移动无线网络技术得到了越来越广泛的普及和应用,无线网络的安全问题也成为不可忽视的主题。由于不再受到线缆铺设的限制,配备移动计算机设备的用户能够方便而自由地移动,并可以与其他人在没有固定网络设施的情况下进行通讯。然而很多的无线网络都没有设置安全机制,使用默认的口令供人连接进入。这就给对无线网络进行非法攻击提供了机会,最终导致信息泄密的可能。
(四)信息储存介质管理不当造成的信息泄露
信息的存储介质没有统一的管理,在计算机软盘、硬盘、光盘,U盘等介质上随意存放一些十分重要的秘密资料。而存储在这些介质上的信息如不采取安全保护措施,就存在丢失和被人窃取的可能。另外,信息存储在芯片、软盘、硬盘等载体上,由于操作不当或机器发生故障等原因,可能造成这些信息载体的报废。而报废的载体,经过某种技术处理就可获得其内部的信息,导致信息的泄露。
三、维护信息保密和防止信息泄漏的策略
(一)树立全民的信息安全意识
三分技术和七分管理是网络安全的核心内容。在我国,网络用户乃至网站易受攻击的主要原因,是由于多数网民粗心大意、网站管理者缺乏保护意识。因此,强化人的信息安全意识是防止信息泄露的第一步。各级组织应该把加强网络信息安全教育,提高全民网络安全观念放到战略地位,使人人都能认识到网络信息安全的重要性,自觉地维护网络信息安全。这就要求对相关人员进行计算机软、硬件及数据信息和网络等方面的安全教育,提高他们的保密观念和责任心;加强业务、技术培训,提高操作技能;制定完善的管理机制并教育工作人员严格遵守操作规程和各项保密规定,专人负责定期或不定期对网络系统进行检查和维护。此外,国民的信息安全教育也不容忽视,当前环境下,彻底改变中国民众普遍存在的信息安全意识观念较差的状况,对于维护中国的信息安全极为重要。
(二)使用防火墙等有关的网络技术提供网络的安全保护。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙的核心技术是包过滤,就是根据定义好的过滤规则审查数据包是否与过滤规则匹配,从而决定数据包能否通过。当然,仅使用防火墙所提供的访问控制能力是不能够完全保护信息的安全,还需要与其它技术共同使用。如身份认证、负载平衡流量分析、网络地址翻译、服务器等。服务器是使用技术阻断内外网络间的通信,达到隐藏内部网络的目的。它具有设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权通过服务器访问Internet网。也可以利用在服务器上做安全设置,实现网络防火墙的功能。
(三)使用恰当的技术对信息进行加密处理
信息加密是使用数学或物理加密手段,来实现系统内信息传输和存储的安全、保密、真实和完整,它是保障信息安全最基本、最核心的技术手段。到目前为止,正式公布的加密算法已有数百种,主要有两种类型,一种是对称加密,用户使用同一个密钥加密和解密;一种是非对称加密,加密者和解密者各自拥有不同的密钥。比较著名的对称加密算法有的DES、RC4、RCS等,它要求密钥必须保密,需要用不同于发送信息的另一更安全的信道来分发密钥。RSA、RAB取则是较有名的不对称密码系统,它的密钥管理简单,可以实现数字签名和验证,更适应网络的开放性要求。使用数字签名可以保证信息的不可抵赖性,数字签名是利用字符串代替书写签名或印章,起到与手写签名或印章同样的法律效用。它在电子商务中应用广泛,通过电子签名证明当事人身份和数据的真实性,主要通过对称算法实现。
参考文献:
信息泄露论文范文第5篇
曾琳
内容摘要:完善和发展我国证券市场,需要进一步加强对内幕交易行为的控制和防范。本文通过比较各国关于内幕交易行为样态的规定,从内幕交易的概念入手,研究内幕交易行为样态的范围,分析利用、泄露、建议、短线交易四种内幕交易行为类型的特点,并针对我国内幕交易立法中存在的诸多问题,提出完善我国内幕交易罪的立法建议。
关键词:内幕交易 利用 泄露 建议 短线交易
近年来,随着我国证券业的逐步发展,内幕交易犯罪也呈上升趋势,如果不加防范,将严重破坏 “公开、公平、公正”为原则的信息保密制度,扰乱证券市场的正常秩序,在少数内幕信息的知情人获取暴利的同时,让更多不知情的投资者遭受重大损失,最终的结果是投资者对证券市场失去了信心,导致了证券市场的一泻千里。刑法中的行为是犯罪的核心,因此,加强对内幕交易罪控制的关键在于对内幕交易行为的制约。然而,对于什么是内幕交易行为,理论和实践中仍有争议,我国《刑法》对内幕交易罪的规定也存在诸多问题,需要对其作进一步的分析研究。
一、内幕交易罪行为样态的范围
(一) 内幕交易的含义
内幕交易作为证券市场的一种伴生现象,是证券交易双方信息不对称的必然结果。那么,什么是内幕交易呢?这个问题是一切有关内幕交易理论的逻辑起点,也是研究本罪行为样态所要解决的前提条件。美国是最早制定反内幕交易法的国家,但是其并没有对内幕交易作出定义,根据布莱克词典解释,内幕交易(insider trading)是指公司的职员、董事和持有公司10%以上股份的登记在册的股东买入或卖出该公司证券的行为,而这些交易行为必须每月向证监会报告。(1)欧盟1989年4月20日签订的“反内幕交易公约”(the Convention on Insider Trading)的第一章第一条对内幕交易作了如下定义:“证券发行公司的董事会主席或成员、管理和监督机构、有授权的人及公司雇员,故意利用尚未公开、可能对证券市场有重要影响、认为可以保障其本人或第三人特权的信息,在有组织的证券市场进行的‘非常操作’”。(2)我国法律并未对内幕交易作定义,学者对内幕交易的定义也不尽统一,如有的学者从行为的不当性角度指出,“内幕交易又称内部交易、内线交易,是指掌握内幕信息的人滥用信息优势实施的证券欺诈行为,即在证券发行、交易过程中,内幕人员或者非内幕人员围绕有关的内幕信息所实施的欺诈行为”。(3)有的学者强调行为的违法性,认为“内幕交易是指证券交易内幕信息的知情人员或者非法获取证券交易内幕信息的人员,在涉及证券的发行、交易或者其他对证券价格有重大影响的信息尚未公开前,买入或卖出该证券,或者泄露该信息的行为。”(4)由于人们对构成内幕交易诸要素的内容和范围还存在分歧,因此内幕交易的概念并没有权威和统一的定义,但我们仍可以从中总结出一些具有普遍意义的结论:其一,内幕交易首先必须是一种与证券交易相关的行为,行为人或是自己对证券进行买卖,或是参与他人对证券的买卖;其二,内幕交易涉及的交易者的身份特殊,行为人必须是与内幕信息有关联的人士,或是直接掌握,或是间接得知;其三,交易双方缺乏信息的对等性(接触的平等和占有的平等),交易者所凭借的条件是未公开的能够影响证券价格的内部信息;其四,内幕交易发生的场所不限于上市公司股票的证券交易市场,还包括场外交易。综上,我们可以把内幕交易界定为:掌握未公开而对证券价格有重大影响的内幕信息的人,利用该信息从事证券交易或使他人从事证券交易的行为。其既包括内幕人员自己实施证券交易行为,也包括将内幕信息泄露给他人或建议他人进行证券交易的行为。
(二) 广义的内幕交易行为与狭义的内幕交易行为
