网络个人信息安全问题研究计算机科学与技术本科论文.docx

1、网络个人信息安全问题研究计算机科学与技术本科论文继续教育学院 毕业设计（论文） 题 目 网络个人信息安全 问题研究 学 习 中 心 航三教育中心 专 业 计算机科学与技术 层 次 专升本 学 生 xxx 班 号 201109计算机 学 号 xxx 指 导 教 师 xxx 答 辩 日 期 xxx工业大学远程教育毕业设计（论文）评语姓名： xxx 班号： 201109计算机 学号： 201109056730310002 专业：计算机科学与技术 层次： 专升本 学习中心： 航三教育中心 毕业设计（论文）题目： 网络个人信息安全问题研究 工作起止日期：_2014_ 年_9_ 月_19_ 日起 _201

2、4_ 年_11_ 月_23_ 日止指导教师对毕业设计（论文）进行情况、完成质量的评价意见： 该同学：在毕设期间能主动的与导师取得联系。查阅大量的有关资料。基础知识较好，论文格式书写正确，纹理较好，并具有独立的工作能力。 指导教师签字： xxx 指导教师职称： 教授 评阅人评阅意见： 该同学：毕设论文书写规范，论文内容正确，图表格式清晰，纹理较好。 有实用价值。 评阅教师签字： xxx 评阅教师职称： 副教授 答辩委员会评语： 根据毕业设计（论文）的材料和学生的答辩情况，答辩委员会作出如下评定：学生 毕业设计（论文）答辩成绩评定为： 对毕业设计（论文）的特殊评语： 答辩委员会主 任（签字）： 职

3、 称： 答辩委员会副主任（签字）： 答辩委员会委 员（签字）： 年 月 日xxx工业大学远程教育毕业设计（论文）任务书 姓 名：xxx 学习中心：航三教育中心 班 号：201109计算机 层 次：专升本 学 号：201109056730310002 专 业：计算机科学与技术 任务起止日期： 2014 年 9 月 19 日 至 2014 年 11 月 23 日 毕业设计（论文）题目： 网络个人信息安全问题研究 立题的目的和意义：21世纪，个人计算机几乎覆盖每个家庭，网络技术日新月异，互联网在提供便利的同时，也存在着不容忽视的安全隐患。而我们所说的“安全”也不仅仅局限于系统安全、账户安全这些涉及切

4、身物质财富的“安全”，如今慢慢浮现出的又一大安全隐患网络个人信息安全，也可称为“隐私安全”，逐渐被人们所关注和重视。为了更安心地畅游互联网，更好地利用网络改善我们的生活，本文通过查阅资料、案例分析的方式，并结合所学知识，针对网络个人信息安全问题进行分析和研究。分析个人信息泄露的原因和攻击手段，再提出对应的保护性建议。对于日益增多的网民朋友们，本文的研究能帮助其更加重视个人信息的安全，建立起安全防范意识，更为积极主动且快速有效地保护自己的个人信息，谨防个人信息在网络环境下泄露，保护自身隐私安全。而对于网络运营商而言，本文意在更清楚地使其认识个人信息的重要性，对其做好用户的个人信息保护工作起到一定

5、的促进作用。同时，本文也有助于相关法律法规的制定和完善，如此，不给违法犯罪之人可乘之机，共同营造健康和谐的网络环境。技术要求与主要内容：1、主要内容第一章：绪论。介绍了选题背景和意义；分析了国内外对本课题的研究现状；讲述了课题研究的方法。第二章：网络个人信息安全。主要是对相关概念的阐述，具体包括：个人信息（个人隐私）、信息安全、网络安全，以及网民对个人信息所拥有的权利和网络运营商对用户信息安全应尽的责任。第三章：案例分析。通过网上交易造成的财产损失，以及iCloud遭攻击导致的隐私泄露，这两大典型案例分析，列举网络环境下个人信息泄露的主要攻击手段，并总结相应的防范措施。第四章：网络个人信息保护

6、。阐述了网络个人信息保护的意义，并分别从技术层面、法律层面、个人层面提出了防范建议。 2、技术要求本课题主要借助文献检索和资料收集的手段，明确个人信息和网络安全的定义，并且，正视目前网络安全的现状和问题。通过案例分析网络安全的漏洞和攻击手段，并综合所学知识和前车之鉴分别从软硬件配置使用，法律保障以及增强个人意识方面讲述如何防范个人信息泄露。 进度安排：时间阶段工作2014年9月19日9月29日拟定题目、撰写开题报告2014年9月30日10月20日文献检索和资料收集，撰写毕业论文（设计）初稿2014年10月21日11月6日与指导教师沟通，修改毕业论文（设计）2014年11月7日11月19日进一步

7、完善毕业论文（设计），完成终稿提交2014年11月20日11月21日从管理平台下载终稿2014年11月22日11月23日装订毕业论文（设计）同组设计者及分工：独立完成指导教师签字：_ 年 月 日 教研室主任意见： 教研室主任签字：_ 年 月 日摘 要随着信息技术的快速发展以及信息基础设施的不断完善，近年来我国互联网网民规模日渐增长。互联网在一定程度上影响着人们的生活方式，使人们的生活更加轻松便捷。但与此同时，个人信息在网络环境下的安全问题也不容忽视。借助不断发展的信息技术，个人信息也更易被收集和泄露，由此浮现出的又一大安全隐患网络个人信息安全，也可称为“隐私安全”，逐渐被人们所关注。因此，无论

8、是从网民个人，还是从网络运营商，都应该重视个人信息安全的保护。相应的，研究网络环境下个人信息不安全因素以及有效的保护措施是具有理论和实践意义的。本课题主要研究网络环境下个人信息安全问题。首先，本课题在研究总结已有相关学术成果的基础上对个人信息、信息安全等的定义及其在网络环境下范围的扩展和所具备的新特征做了分析和归纳。其次，结合具体案例，分析了网络环境下个人信息泄露的原因和攻击手段。第三，阐述了网络个人信息保护的意义。最后，从技术层面、法律层面、个人层面对如何有效地保护个人信息提出了防范建议。关键词 网络；个人信息；信息安全；个人信息保护目 录摘 要 I目 录 II第1章 绪论 11.1 研究背

9、景 11.2 研究目的和意义 21.3 国内外研究现状 21.4 研究内容和方法 41.4.1 研究内容 41.4.2 研究方法 5第2章 网络环境下的个人信息及个人信息安全 62.1 概念阐述 62.1.1 个人信息 62.1.2 信息安全 62.1.3 网络安全 72.2 网络环境下的个人信息安全 72.2.1 网民对个人信息所拥有的权利 72.2.2 网络运营商对用户信息安全应尽的责任 92.2.3 网络环境下个人信息的泄露 9第3章 案例分析 103.1 网购中个人信息泄露造成财产损失 103.1.1 消费者个人信息泄露原因 113.1.2 网购过程中的防范措施 113.2 iClou

10、d遭黑客攻击，好莱坞女星隐私照泄露 123.1.1 iCloud概念 133.1.2 黑客攻击iCloud的手段 133.1.3 针对iCloud的防范措施 16第4章 网络个人信息保护 194.1 网络个人信息保护的意义 194.2 网络个人信息保护措施 194.2.1 技术层面 194.2.2 法律层面 204.2.3 个人层面 23结 论 24参考文献 25致谢 26附录 27第1章 绪论1.1 研究背景在2014年8月26日，中国互联网大会（第十三届）在北京举行，会上据工信部副部长尚冰介绍，我国互联网网民目前达到6.32亿，普及率达到46.9%，如图1.1所示。另外，据统计，2014年

11、上半年，我国信息通信业基于互联网的业务收入已经突破4000亿元，在行业总收入中的占比接近47%。此外，从去年到现在，我国互联网领域发生了30多起涉及金额超过1亿美元的投资收购，跨界投资不断涌现，跨界并购的领域日益多样化。与此同时，腾讯微信的用户已经突破2亿，UC浏览器已经成为全球使用量最大的第三方移动浏览器；2014年上半年，又有8家互联网企业相继赴海外上市。由此可见，我国互联网行业无论是从网络规模、用户规模、产业规模来看，还是从国际地位和影响力来评估，无疑已经成为名副其实的互联网大国。图1.1 2014年中国网民规模和互联网普及率成绩举世瞩目，而问题也日益突出，“信息安全”成2014中国互联

12、网大会第一词。细数近几年国内外现状，国内市场，2014年上半年，有74.1%的网民遭遇信息安全问题，2013年3月至9月全国因信息安全遭受的经济损失高达196.3亿元；国产手机领导品牌小米被曝存在信息安全漏洞并一直疲于解释；全球层面，继斯诺登事件曝光后，信息泄露事件层出不穷，其中不乏有谷歌、微软、IBM、苹果这些世界知名大公司，也都因涉嫌泄密而遭到诟病，这使得世界各国对于信息安全问题的重视程度前所未有的增加。综上所述，个人信息安全及保护问题已经成为互联网的社会信息化带来的最大困扰之一，给网民的财产安全和隐私安全造成了直接的威胁。1.2 研究目的和意义21世纪，个人计算机几乎覆盖每个家庭，网络技

13、术日新月异，互联网在提供便利的同时，也存在着不容忽视的安全隐患。而我们所说的“安全”也不仅仅局限于系统安全、账户安全这些涉及切身物质财富的“安全”，如今慢慢浮现出的又一大安全隐患网络个人信息安全，也可称为“隐私安全”，逐渐被人们所关注和重视。为了更安心地畅游互联网，更好地利用网络改善我们的生活，本文通过查阅资料、案例分析的方式，并结合所学知识，针对网络个人信息安全问题进行分析和研究。分析个人信息泄露的原因和攻击手段，再提出对应的保护性建议。对于日益增多的网民朋友们，本文的研究能帮助其更加重视个人信息的安全，建立起安全防范意识，更为积极主动且快速有效地保护自己的个人信息，谨防个人信息在网络环境下

14、泄露，保护自身隐私安全。而对于网络运营商而言，本文意在更清楚地使其认识个人信息的重要性，对其做好用户的个人信息保护工作起到一定的促进作用。同时，本文也有助于相关法律法规的制定和完善，如此，不给违法犯罪之人可乘之机，共同营造健康和谐的网络环境。1.3 国内外研究现状国内外对个人信息以及个人信息保护的研究均较多，尤其是在技术层面和法律层面的保护上，对网络中存在的个人信息安全问题（如：网络中个人信息泄露的原因等）的研究不太全面，也较为零碎。（1） 个人信息对于个人信息的定义，学界主要存在两种观点：“隐私说”和“识别说”1。美国的Parent教授就是“隐私说”的代表，他认为个人信息是指信息主体所不愿向

15、外透露的或是个人极其敏感不愿他人知道的信息。Milberg认为个人信息就是个人隐私，而隐私侵犯基本是指个人信息XX而进行收集和传播。A.F.Westin认为隐私是个人、组织或机构有权决定何时、如何将自身更多的信息与他人交流。1995年欧盟颁布的欧洲联盟数据保护规章，将个人信息定义为“有关一个被识别或可识别的自然人（数据主体）的任何信息”。徐敬宏则认为个人信息除了包括能对个人进行识别的基本信息和个人隐私外，还应包括这两类信息内容之外的关于个人的一些琐碎信息。田桂兰在网络环境下个人信息安全问题及其保护中认为，个人信息是指一切可以识别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、

16、智力的、个体的、社会的、经济的、文化的、家庭的等等方面1。查先进认为个人隐私包括个人信息、私人活动和私有领域三个方面2。任伊珊认为在网络环境下个人信息表现为数字，数字成为网络环境下个人信息的载体。周武华认为在网络环境下个人信息的范围更广，涉及到了邮件地址、IP地址、域名及网络用户名等。（2） 信息安全到目前为止学界对信息安全还没有一个较为统一的定义，但是综合国内外对信息安全的定义，可将其分为两类：一是指信息系统的安全性；二是指某一特定信息体系3。但是这两类定义都不全面。美国国家安全通信以及信息系统安全委员会（NSTISSC）对信息安全所作的定义认为，信息安全是对信息及信息系统关键要素的保护，包

17、括信息的使用、存储方式、信息的传输过程和系统硬件4。冯登国认为信息安全所包含的内容在随着信息技术的不断发展和具体应用在不断扩展。信息安全的内涵已从最初的强调信息的保密性发展到信息的完整新、可用性、可控性和不可否认性，进而又发展到包括“防范、攻击、控制、检测、管理、评估”等多方面的实际操作理论和技术5。林柏钢认为信息安全指的是在网络环境下信息系统中的数据受到特定地保护，使信息不会因为某些偶然和恶意的原因而遭到破坏、更改、泄露，使信息系统能够连续、可靠、正常地运行，还包括信息系统被破坏后能迅速恢复正常运转的安全过程6。（3） 个人信息安全保护在个人信息安全保护方面，国内外均有较多的研究，主要是从技

18、术层面、法律层面、个人层面和道德层面上来进行研究。在个人信息保护技术方面，主要包括加密技术、防火墙技术、数字签名技术以及数字时间戳技术。在法律层面，国内外都制定了相关的法律进行约束，如美国国会在1974年通过了隐私权法，这部法律是美国用以保障公民个人信息安全的一部最重要的法律；1984年英国议会通过了数据保护法，并于1998年对该法进行了修订。此后，英国又陆续通过了一系列旨在保护公民个人信息安全的法律。在亚洲，日本2005年4月颁布实施了个人信息保护法，它是日本保护个人信息安全的根本法律。而我国在个人信息保护的立法方面还比较滞后。刑法中对于个人信息安全的保护还是空白的，宪法第38、39、40条

19、对个人隐私权的保护提供了一定的依据。另外，民法通则等相关法律法规指出对公民的个人隐私加以保护，但是并没有较为具体和详实的解决办法，缺乏可操作性。目前，我国个人信息保护法已经步入立法阶段，但尚未颁布。在个人层面上，国内外研究学者均认为个人良好的上网习惯是保护自身信息安全的重要保证。比如：在个人信息填写的过程中适当地隐藏某些对于个人来说较为重要的信息；设置安全等级较高的密码，如大小写和字符混合等。在道德层面上，网络运营商应该对网民的个人信息进行保密，若要公开，应告知用户个人信息的用途，并获取其同意。在信息保护方面，比较典型的是美国与欧盟个人信息跨国流通安全协议的签订。安全协议包含七大原则，其中包括

20、知情原则（信息收集者有义务告知信息主体其信息收集的目的以及信息的使用方向）、同意原则（信息控制者必须给予信息主体机会，以选择是否将其个人资料透露给第三方）、安全原则（信息控制者在整理、使用和传播个人信息时，必须采取有效的措施来确保个人信息不被滥用和泄露）。这个协议的内容在一定程度上为我国制定相应的个人信息保护措施提供了借鉴。1.4 研究内容和方法1.4.1 研究内容第一章：绪论。介绍了选题背景和意义；分析了国内外对本课题的研究现状；讲述了课题研究的方法。第二章：网络个人信息安全。主要是对相关概念的阐述，具体包括：个人信息（个人隐私）、信息安全、网络安全，以及网民对个人信息所拥有的权利和网络运营

21、商对用户信息安全应尽的责任。第三章：案例分析。通过网上交易造成的财产损失，以及iCloud遭攻击导致的隐私泄露，这两大典型案例分析，列举网络环境下个人信息泄露的主要攻击手段，并总结相应的防范措施。第四章：网络个人信息保护。阐述了网络个人信息保护的意义，并分别从技术层面、法律层面、个人层面提出了防范建议。1.4.2 研究方法1、文献分析法本课题的写作是建立在对相关知识的收集和理解上的。通过阅读图书馆资料和浏览网上资源对国内外文献进行收集和总结，进一步了解目前国内外个人信息及其安全的相关研究和现状。这些研究成果不仅为本论文提供了坚实的理论基础，在归纳、研究的基础上，更准确深刻地分析和认识问题，从而

22、使文章更合理，层次更清晰。2、案例分析法本课题在对网络环境下信息泄露的原因和攻击手段的分析引用了相关案例。第2章 网络环境下的个人信息及个人信息安全2.1 概念阐述2.1.1 个人信息所谓个人信息，是指一切可以识别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面，即指有关个人的一切数据、资料。这些信息有些是其自身产生的，如年龄、收入、爱好等；有些是非自身产生的，如他人对该人的评价等。也可以根据其公开的程度将个人信息分为两类，一类是极其个人化、永远不能公开的个人信息，如信用卡号、财务状况等；另一类是在某些范围和一定程度上可以

23、公开的个人信息，如姓名、性别等。与“个人信息”相关的一个概念是“个人数据”（Personal Data）。所谓个人数据，是指标识个人基本情况的一组数据资料。从广义上说，一切有关个人的数据都属于个人数据的范畴。根据信息与数据两者之间的关系，一般认为个人数据属于个人信息的范围，个人信息包含了个人数据。与“个人信息”相关的另一个概念是“隐私”，在现代汉语词典中，隐私是指不愿告人的或不愿公开的个人的事。严格按照法律的要求解释“隐私”，就是公民与公共利益无关的个人私生活秘密。它所包含的内容，就是私人信息、私人活动和私人空间。具体来说，诸如身高、体重、收入、生活经历、家庭电话号码、病患经历等等属于私人信息

24、；私人活动是一切个人的、与公共利益无关的活动，如日常生活、社会交往、夫妻之间的两性生活等；私人空间也称为私人领域，是指个人的隐秘范围，如身体的隐秘部位、个人居所、旅客行李、学生书包、日记、通信等。从形式逻辑出发,“个人信息”和“个人隐私”是包含关系,即个人信息包含个人隐私,个人隐私是个人信息的下位概念,是个人信息的一部分。因此当与公共利益无关的个人信息，信息主体不愿公开时就成为隐私。之所以主张保护个人信息，也是因为其涉及到个人的隐私。2.1.2 信息安全信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不遭受偶然的或者恶意的破坏、更改、泄露，系统连续、可靠、正常地

25、运行，信息服务不中断，最终实现业务连续性。信息安全主要包括以下五方面内容，即需要保证信息的保密性、真实性、完整性，以及未授权拷贝和所寄生的系统的安全性。其根本目的就是使信息不受内外部和自然等因素的威胁。为了保障信息安全，要求有信息源认证、访问控制，不允许有非法软件驻留，不能有XX的操作等行为。2.1.3 网络安全 网络安全是指网络系统的硬件、软件以及系统中的数据受到保护，不遭受偶然的或者恶意的破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。网络安全包括网络设备安全、网络软件安全和网络信息安全三个方面内容。从广义上来讲，凡是涉及到网络上信息的保密性、真实性、完整性、可用性和可控性的

26、相关理论和技术都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。2.2 网络环境下的个人信息安全2.2.1 网民对个人信息所拥有的权利2.2.1.1 个人信息权 个人信息权，是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。其权利内容具体包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权。第一，信息决定权。信息决定权，简称决定权，是指本人得以直接控制与支配其个人信息，并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用的权

27、利。决定权集中反映了个人信息权的人格权属性绝对性与支配性，在各项权利内容中居于核心地位。第二，信息保密权。信息保密权，简称保密权，是指本人得以请求信息处理主体保持信息隐秘性的权利。第三，信息查询权。信息查询权，简称查询权。是指本人得以查询其个人信息及其有关的处理的情况，并要求答复的权利。对信息的控制与支配，必须首先了解哪些个人信息被收集、处理与利用的情况，特别是在此过程中信息是否被保持完整、正确与适时。信息查询权是重要的当事人权利，除非因公益或保密之需要，任何机关不得任意剥夺。第四，信息更正权。信息更正权，简称更正权，是指本人得以请求信息处理主体对不正确、不全面、不时新的个人信息进行更正与补充

28、的权利。更正权具体包括：个人信息错误更正权，即对于错误的个人信息本人有更正的权利；个人信息补充权，即对于遗漏或新发生的个人信息，本人有补充的权利。个人信息更正权是本人要求对于过时的个人信息及时更新的权利。第五，信息封锁权。信息封锁权，简称封锁权，是指在法定或约定事由出现时，本人得以请求信息处理主体以一定方式暂时停止信息处理的权利。该项请求权是依照公平信息使用原则建构的，根据该原则，在没有通知当事人并获得其书面同意之前，信息处理主体不可以将个人为某种特定目的所提供的资料用在另一个目的上。德国联邦个人资料保护法规定，所谓封锁，就是以限制继续处理和使用个人资料为目的而对个人资料加注特定“符号”。第六

29、，信息删除权。信息删除权，简称删除权，是指在法定或约定事由出现时，本人得以请求信息处理主体删除其个人信息的权利。第七，信息报酬请求权。信息报酬请求权，简称报酬请求权，是指本人因其个人信息被商业性利用而得以向信息处理主体请求支付对价的权利。报酬请求权来源于 “信息有价”的社会观念，特定的信息处理主体必须在对信息控制、处理与利用前后向本人提供一定的报酬。从性质上讲，个人信息控制权是人格权的一种，但它在客体、内容、行使方式等方面有别于传统的具体人格权(如隐私权、肖像权)，发挥着这些权利不可替代的作用，是个人信息保护法应该确认的一项新生的独立权利。2.2.1.2 “被遗忘的权利”的提出2011年3月1

30、2日，全国人大代表、湖北省统计局副局长叶青做客某访谈节目，在谈及网络虚拟社会管理时，他提出一个全新的观点：网民对个人信息应该拥有“被遗忘的权利”。叶青说，现在互联网技术已经能够达到对个人登记的任何信息资料进行“人肉搜索”的程度。个人信息一旦发布到网络上，可能其终身所有东西都会永久留在上面，覆水难收。个人信息的外露，可能会遭到某一方或者某一人的“攻击”，一方面是无中生有的，另一方面则会对其真实的负面信息进行炒作。据介绍，中国在这方面还没有较为明显的诉讼，但是国外已经开始有人向法院提出叫做“被遗忘的权利”的请求。叶青认为，一些个人信息到了一定时候就应该从网络上被删除，用一把科学的火烧掉。“这应该是

31、一种权利，我有权希望自己的一些资料消失。”他说。2.2.2 网络运营商对用户信息安全应尽的责任 在网络环境下，个人信息更易被获取、修改和删除。个人信息安全更多的涉及到了计算机科学、网络通信技术、信息安全技术以及信息主体。因此，网络运营商有义务通过采取必要的措施和手段来保证消费者个人信息的安全。（1） 网络运营商对个人信息收集和使用的合法性。运营商对网民个人信息的收集应是建立在合理和合法的基础上，其有义务将使用的目的和使用权限告知网民，征得网民的同意，并且对网民个人信息的使用应限定在合理的范围之内，以维护网民的利益。（2） 网络运营商对个人信息管理的可控性。运营商有义务采取可靠成熟的技术和物理措施，积极有效地保证设备的稳定性和安全性，以防止因设备被攻击而导致网民个人信息被滥用、篡改和丢失。（3） 网络运营商应保证网民个人信息内容的完整性。网民个人信息的完整性包括网民个人信息内容的完整，其个人信息不会被非法的修改和删除。运营商还应保证其使用的网民个人信息与网民最新状态保持一致，以