漏洞频繁爆发 建立用户信息安全三原则防御

    ■本报记者  陶海青

    每天都在产生海量数据，正成为企业和个人的财富，这是黑客的目标。为窃取这些数据，黑客整日忙碌着。

    4月26日，微软证实，在所有版本的IE浏览器中发现新的零日漏洞，该漏洞允许黑客通过执行远程代码获得系统控制权，删除或盗取受害用户数据，影响IE6至IE11的所有版本IE浏览器。微软官方表示正在修复此漏洞，但WinXP用户无法获得补丁更新，继续使用IE6-IE8浏览器的XP用户将面临严重风险。这是微软停止对XP支持后首个重大漏洞，安全软件正迎来第一次大考。

    360公司董事长兼CEO周鸿祎在接受《中国贸易报》记者采访时说：“360XP盾甲可防御零日漏洞攻击。在大数据时代，有两件事无法避免。第一，现在用户产生的数据都存在云端，都存在各个厂商的服务器上。第二，与过去相比，数据采集能力更强大，采集范围更广阔。现在不仅有移动互联网，未来还会有物联网、车联网，将有更多的可穿戴智能设备。这些硬件普及后，用户使用这些设备产生的数据规模将是空前的。因此，数据安全和网络安全尤为重要。”

    隐患黑洞无限放大

    周鸿祎坦言：“在移动互联网上，厂商对用户了解之深入，是PC互联网完全不能比的。”

    比如，原来在PC互联网里，用户信息很可能还存在本地目录里。但有了智能手机以后，手机变成了机主的钱包，手机里有太多私密的东西。

    毋庸置疑，手机作为硬件，是个人财产的一部分，而它真正的价值却在软实力上。很多人把智能手机比作一个迷你型电脑。在无线的状态下，智能手机一个简单的定位功能，就有可能让整个世界都认识你，甚至还可以用微信去买这个世界上最昂贵的奢侈品。

    但当智能手机带来乐趣与便捷的同时，它的隐患黑洞也被无限放大。手机互联网或者移动互联网，使得智能手机拥有比PC互联网更实时、更广阔的数据采集能力，让每个人都变得无比透明，很多数据会被厂商拿到，而带来最大的问题就是安全问题。

    与此同时，移动化办公使得数据从企业内部走到企业外部，机密数据变得更加难以管理和控制。移动办公势必要让服务器对一些外部设备开放远程权限，这让主动性泄密变得更为容易。

    共建用户信息安全三原则

    鉴于上述种种问题，周鸿祎提出：“用户信息是用户的个人资产；平等交换，授权使用；安全传输，安全存储”三原则，对企业用户和个人用户的信息和数据进行管理。

    一、用户的信息是用户的个人资产。这意味着用户使用厂商的服务产生的信息，属于用户自己的个人资产。用户使用各种设备、各种软件产生的数据，虽然存储在厂商的服务器上，但是从所有权方面讲，它应该明确地属于用户，是用户的财产。

    无论是用户的通讯录，用户的好友列表都是如此，这一点是要特别明确，这些不属于厂商。

    二、平等交换原则。在大数据时代，通过云端的数据交换，厂商为用户提供服务。只要用户使用了厂商的服务，就产生相关的数据。比如，与朋友聊天时，你的聊天记录自然会保存在厂商的服务器上。但是，用户的信息和厂商之间，应该遵循平等交换的原则。用户享受服务，厂商获取信息，但在这个过程中，用户要有知情权，厂商要得到用户授权才能使用用户信息。这意味着，用户要有选择权，也有拒绝权。

    三、安全处理原则。任何一家互联网公司，包括现在做可穿戴硬件的公司，都会变成一个互联网服务公司，用户会使用这些硬件产生大量的数据。所以，任何一家互联网公司都有责任保护用户信息的安全，要在云端对用户数据进行足够强度的加密，包括安全存储和安全传输。

    周鸿祎认为，这三原则不是一家公司，也不是几家公司能做得的，必须从行业巨头到创业公司，共同摒弃门户之见，把这三原则推动起来，让企业和个人用户对互联网建立真正的信心。