个人信息安全风险与防范(共9321字).docVIP

个人信息安全风险与防范(共9321字) 摘要:云计算时代的个人信息安全体系初步形成，但个人信息安全技术风险和管理风险还大量存在，可能导致个人信息的违法收集、利用和处理，因而有必要构建云计算下的个人信息安全监控机制、侦查机制和应急机制，确保个人信息安全可控和云计算产业健康发展。 关键词:云计算;个人信息;安全风险 一、云计算及其潜在风险概述 云计算是继分布式计算、网格计算、对等计算之后的一种新型计算方式，通过互联网上异构、自治的服务，为用户提供定制化的计算。云计算是将网络储存技术、虚拟化技术、网格计算技术、并行处理技术、分布式处理技术等软硬件技术融合发展的集大成者，也是集合了网络、服务器、计算、储存、应用软件等资源并提供快速便捷、即需即取服务的共享平台。云计算具有按需服务、广泛的网络接入、资源池化、快速弹性以及按使用量计费等5个特点;涵盖私有云、社区云、公有云、混合云等4种开发模式］。云计算有3大优势: 一是具有强大的存储和计算能力，能提供即需即取的服务。最大的云计算平台的服务器数量达到百万级别，一般的云计算企业的服务器数量在几十万台，比较小的企业私有云服务器数量也要数百上千台。另外，云计算还能够弹性配置、动态伸缩，以满足用户规模和计算量增长的需要。二是具有开放性，能实现资源共享。云计算将虚拟化技术、分布式计算技术、效用计算技术和定制、计量、租用的商业模式相结合，最大效率地利用了随时连接、随时访问、分布存取的各个服务器，实现了资源的共享。三是具有管理成本最小化以及与服务供应商的交互最小化的优势，能降低使用成本。云计算具有规模效应和网络效应，在硬件成本、管理成本、电力成本、资源利用率方面都有极大的成本优势，企业和个人也省去了服务器的磨损、闲置和管理成本，只需按需要使用相应功能、按服务量支付费用。云计算潜在的安全风险与云计算的技术优势和经济效益总是如影随形。用户对于个人信息安全的担忧是云计算服务推广应用的首要障碍，云计算的理念是开放和共享，而个人信息安全注重封闭和私权，两者之间存在一定的矛盾。个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可识别特定个人的信息［5］。个人信息涉及用户的人身自由、人格尊严、财产权利等基本权利，事关重大，一般具有极高的敏感性。用户在决定是否使用云计算之前会对云计算的安全风险加以衡量。使用云计算功能在线存储的文档、图片、视频等文件大量涉及个人信息，一旦云计算的安全体系被攻破，则可能发生个人信息泄露、贩卖等事件，严重危及用户的人身财产安全，甚至会造成社会恐慌。与传统的互联网技术相比，云计算环境下保护个人信息的必要性更加突出。一是因为云计算下个人信息脱离了用户的控制范围，一旦云计算服务商的数据中心发生事故，用户无法知悉，也无法及时采取措施，只能被动挨打。 二是因为云计算的交互式、参与性、网络化的特点，用户几乎将所有个人信息被动或者主动地全部暴露在云计算服务商平台上，存在信息不对称和能力不对称的问题，一旦发生侵权事件，用户损失巨大，而且难以维权。 三是因云计算的普及性和规模性，小的漏洞都会造成巨大的破坏，损害具有连锁反应。比如，2011年亚马逊的EC2业务由于出现一点小的漏洞，整个云计算数据中心出现全范围宕机;2012年微软的WindowsAzure平台由于个人服务的设置问题，导致所有集群的功能不能使用。目前，研究云计算时代个人信息安全保护的学者大多从国家立法、行业立规的角度展开。针对个人信息保护的建章立法固然重要，特别是构建规制云计算环境下个人信息保护问题的法律规范和行业标准正当其时，法律的具体执行，特别是建立个人信息安全风险的防控机制和措施更是迫在眉睫，本文拟从这一角度进行探析。 二、云计算中的个人信息安全体系与技术风险 云计算架构分为基础设施层、平台层和软件服务层3个层次，分别对应简称IaaS、PaaS和SaaS3个服务类型。IaaS是由政府或者企业建立的大规模服务器和网络传输连接装置等基础设施，同时采用虚拟技术将分散到各个数据中心的服务器集中起来。PaaS包括基本硬件、基础软件、储存设备等，起到应用支持的作用。SaaS的作用是制定一系列标准和协议，构建公共平台，提供最终的应用服务。分层是横向的、纵向的管理系统将这些资源进行统一的配置和统一运行，实现一站式的服务。不同的云计算服务模式意味着不同的个人信息安全体系，目前大多数个人信息安全体系就是基于云计算服务模型构建的。 (一)IaaS层的个人信息安全体系与技术风险IaaS服务提供商将基础设施，包括服务器、储存、网络等IT设施进行组合，形成不同规模、不同用途