网络、网页和信息基础设施/病毒、隐私和安全

网络、网页和信息基础设施

前言 — 介绍 — 进入网络 — 病毒、隐私和安全 — 进一步阅读 — 注释 — 词汇表 — 致谢 — 关于作者

什么是病毒？

PCWebopedia (http://www.webopedia.com) 将计算机病毒定义为“在您不知情的情况下加载到您的计算机上并违背您的意愿运行的程序或代码片段。病毒还可以自我复制。”

术语病毒已成为所有恶意计算机程序的总称。严格来说，病毒是一种电子感染。最常见的感染形式是电子邮件病毒、蠕虫和木马程序。

电子邮件病毒在电子邮件中传播，通常通过自动将自身发送到受害者电子邮件地址簿中的地址来复制。

蠕虫通过安全漏洞渗透到现有的计算机网络。它使用网络扫描其他可能驻留和复制自身的计算机。

木马程序是一种声称执行一项操作的计算机程序（例如，它声称是一个游戏），而执行其他用户不知情的操作（例如，将文件复制并发送到另一台计算机）。木马程序通常不会自动复制。它们的活动范围可能包括删除或修改文件、发送电子邮件或通过互联网发送私人信息。

为什么病毒爆发会让公司损失金钱？

以下是病毒爆发增加公司支出的几种方式

计算机故障。病毒能够通过删除或更改重要文件来使计算机瘫痪。它们会堵塞网络，导致合法计算任务延迟。这会降低生产力。

需要清除病毒。当计算机感染病毒时，需要 IT 人员的专业知识才能清除病毒。一些公司会聘请 IT 专家来清除病毒。其他公司选择雇用全职人员来解决问题并保护他们的系统免受病毒爆发的影响。

数据丢失/数据恢复。在某些情况下，数据会因病毒爆发而丢失。这些数据将需要重新构建或重新收集。

安全措施。公司将部分 IT 预算用于防止病毒污染其网络。这意味着投资反病毒和其他安全软件或硬件。

技术如何预防病毒爆发？

通过结合良好的反病毒软件和良好的用户习惯，可以预防病毒感染。

病毒扫描 - 扫描是指检查计算机数据以查看是否存在病毒。一些扫描软件会在数据被引入计算机时对其进行检查。

常识 - 防御病毒的最有效方法是用户使用计算机的习惯。例如，用户不应该在没有扫描病毒的情况下下载电子邮件附件。

病毒修复 - 病毒修复在受感染的计算机上运行，以修复由病毒造成的任何损坏。病毒修复是研究病毒对计算机影响的结果。因此，病毒修复的本质是，只有在报告了新的病毒后才能使用。

什么是 Cookie？

在互联网领域，Cookie 是网站存储在用户计算机上的信息。它包含网站可以在用户重新访问网站时检索的信息。在用户后续访问期间，网站的外观会根据 Cookie “记住”的信息进行调整。（严格来说，因为 Cookie 存储在计算机中，所以网站“记住”的是计算机而不是用户。）

Cookie 的工作原理就像医生将数据输入患者的卡片一样。当患者回到医生那里时，有关患者上次访问的信息可以帮助医生更好地为患者提供服务。

Cookie 中存储了哪些信息？

Cookie 可以存储登录信息，以便用户无需每次返回网站时都输入这些信息。Cookie 还可以通过用户访问的网站顺序、用户提交的信息或用户选择查看的主题来确定特定用户的兴趣。Cookie 还可以存储有关正在进行的交易的数据，以便在以后继续进行交易。

例如，在线购物者阿米拉去一家在线书店（如 Amazon.com）购买一本关于猫王的书。阿米拉将有一个虚拟购物车，她可以在其中存储与猫王相关的书籍。Cookie 用于存储购物车的數據。使用 Cookie，网站还可以推荐猫王的 CD 或电影。阿米拉可能会看到关于其他热门 70 年代唱片专辑或包含猫王博物馆之旅或出售猫王纪念品的网站的广告。这些都是基于 Cookie 对阿米拉对猫王的兴趣的感知，如她对猫王书籍的搜索所示。最后，如果阿米拉选择推迟购买，Cookie 会存储数据，以便当她回来继续购物时，她之前留在虚拟购物车中的书籍或其他商品仍然在那里。

Cookie 如何构成隐私泄露？

Cookie 收集信息以帮助为用户提供便利。但是，当信息可以直接识别特定人员并用于除用户方便以外的其他目的时，就可能构成隐私泄露。

回到饼干作为病人卡片的类比，如果医生开始向第三方（例如，医疗保险公司或制药公司）泄露有关病人的信息，则该人的隐私将受到损害。在 Almira 的案例中，当在线书店收集的信息被出售给其他供应商时，她的隐私就会被侵犯。

当网站没有告知用户关于存储在 Cookie 中的信息类型以及如何使用这些信息时，就会发生隐私泄露。

Cookie 能“读取”电脑中的其他文件吗？

不，Cookie 无法访问个人电脑中的文件。Cookie 也无法传播病毒。Cookie 唯一可以访问的信息是用户已公开的信息，例如姓名、地址和信用卡号码。网站的隐私政策与这里相关。在隐私声明中，网站应说明它们如何处理网站与其访问者计算机之间交换的信息。

什么是隐私政策？为什么它很重要？

隐私政策是网站或公司发布的声明，告知访问者关于网站收集的信息类型以及如何使用这些信息。它说明了网站如何保护访问者的隐私。

根据 Forrester Research, Inc. 的一项研究，90% 的网站未能遵守基本的隐私原则。^[9] 此外，绝大多数此类政策使用含糊不清的术语和法律术语，这些术语旨在保护公司而不是个人。研究表明，只有约 10% 的被研究公司充分解决了用户的基本隐私问题。

政府应该如何处理网络隐私问题？

解决隐私问题有四种通用方法：自由放任、自我监管、技术和立法/政府。

自由放任或“不干预”是指政府无需监管市场的原则，因为市场受到“看不见的手”的引导，从而实现供求关系的最佳平衡。在线隐私方面，自由放任方法指出，如果人们真的担心自己的隐私，他们只会访问具有明确定义的隐私政策的网站。如果作为结果，没有或没有充分隐私政策的网站的点击次数实际上减少了，这种发展将促使这些网站改善在线隐私。在这种情况下，消费者行为决定了消费者获得的隐私保护水平。

行业自我监管是指行业部门之间在适当的隐私政策方面进行合作和达成协议。该政策将基于行业专家的建议，以平衡企业和消费者的需求。行业自我监管的实施工具包括印章计划、行业指南和隐私组织。

例如，万维网联盟 (W3C；www.w3c.org) 开发了一个名为隐私偏好项目平台 (P3P) 的隐私标准。W3C 的创建是为了帮助实现网络的全部潜力，方法是开发通用的协议，促进其发展并确保其互操作性。简单地说，P3P 允许用户声明一组自定义的隐私规则。这些规则将用于确定网站是否具有可接受的隐私政策。基于 P3P 的软件将帮助用户确定当网站的隐私政策不符合用户的隐私规则时要采取的行动。

技术是个人、企业和利益集团可以采用的解决方案。许多技术解决方案涉及与浏览器配合使用，浏览器会告知用户所访问网站所遵循的隐私级别。

框 3. P3P 工具示例

AT&T 的 Privacy Bird http://privacybird.com

P3P 演示网站 http://p3p.jrc.it/modelsite/index.php

P3P 工具箱 http://www.p3ptoolbox.org/

技术和行业标准已成为隐私问题的互补解决方案。例如，有一些基于 P3P 标准开发的工具可以自动查找网站的隐私声明。如果网站的隐私政策符合用户指定的标准，则继续浏览网站。否则，系统会将网站提供的隐私保护级别告知用户。所有这些都是通过嵌入机器可读代码来完成的，这些代码由 P3P 工具读取，从而最大限度地减少用户的干预。独立于 W3C 的公司正在开发工具，这鼓励私营公司开发能够使用 P3P 的软件。

政府有时会在保护互联网上的隐私方面发挥积极作用。例如，韩国一直警惕地保护公民隐私，于 2001 年颁布了“信息基础设施保护法”和“信息通信网络利用促进与数据保护法”。^[10]

已经颁布了哪些类型的隐私立法？

对 15 个司法管辖区^[11] 的隐私法的研究表明以下内容

11 个司法管辖区对跨境数据传输实施限制。只有巴西、俄罗斯和美国没有。中国法律没有涉及跨境数据传输。

12 个司法管辖区拥有现有的或拟议中的法律，这些法律同时处理传统隐私和数据保护。日本和瑞典的隐私法主要侧重于数据保护。

大多数司法管辖区要求向数据主体告知正在收集数据及其用途，数据主体对收集和使用数据进行某种形式的同意，保护数据主体访问数据的权利，以及数据控制者维护数据安全。

除了澳大利亚、香港和日本以外的所有司法管辖区，数据主体都可以提起诉讼以执行隐私法。

在调查的 13 个司法管辖区，违反隐私法可能会构成刑事犯罪。

框 4. 美国的公平信息实践和经合组织

美国和经济合作与发展组织 (OECD) 拥有自己的公平信息实践版本。

在美国，联邦贸易委员会已将公平信息实践的主要要素总结为五类：通知、选择、访问、安全和联系。

通知 - 告知个人确切收集了哪些信息，如何收集这些信息，如何使用这些信息以及与谁共享这些信息。

选择 - 允许消费者对他们数据的使用进行控制（例如，是否加入或排除在电子通讯或营销活动之外）。

访问 - 允许个人查看已收集的有关他们的信息。它还赋予个人更正或删除不准确信息的权利。

安全 - 要求数据收集者在传输和存储期间保护他们收集的信息。

联系 - 要求信息收集者向个人提供可靠的联系信息。

经合组织扩展了这些原则，采纳了一套八项公平信息实践。另外三项原则是目的具体化、使用限制和个人参与。

目的具体化 - 收集个人数据的目的应不迟于数据收集时指定。

使用限制 - 数据收集者有义务对任何个人信息保密，除非在获得个人同意或法律授权的情况下披露。

个人参与 - 个人有权获得有关数据存在的确认，请求访问，质疑数据，并要求删除、更正、补充或修改数据。

来源：Jared Straus 和 Ken Rogerson，“美国和欧盟的在线隐私政策”，监管互联网：欧盟与美国视角 [主页在线]；可从 http://jsis.artsci.washington.edu/ programs/europe/Netconference/Strauss-RogersonPaper.htm 访问；访问日期为 2002 年 9 月 4 日。

James S. Huggins，“经合组织隐私 - 个人数据隐私走向国际化”，James S. Huggins 的冰箱门 [主页在线]；可从 http://www.jamesshuggins.com/h/bas1/oecd_privacy_d.htm 访问；访问日期为 2002 年 9 月 4 日。

互联网上的安全问题是什么？

CERT 协调中心 (CERT/CC；http://www.cert.org) 是互联网安全专业知识中心，它建议攻击工具速度和复杂性不断提高、漏洞发现速度更快以及防火墙渗透性不断提高是与互联网安全相关的重大趋势。^[12]

值得注意的是，基础设施攻击的威胁越来越大。基础设施攻击主要有四种类型。第一种是拒绝服务 (DoS) 攻击，恶意攻击导致的网络流量过载，使合法用户无法使用网络。第二种攻击是通过蠕虫，蠕虫是自我复制的恶意代码，例如“Code Red”、“Nimda”和“Klez”。“Code Red”蠕虫在短短九个小时内感染了超过 250,000 个系统。第三，对互联网域名系统 (DNS) 的攻击会导致网站无法访问、破坏合法网站或将网站流量重定向到攻击者的网站。政府和军方网站是此类攻击的常见目标。第四种攻击包括针对路由器或利用路由器的攻击。对路由器的攻击会导致信息被截取或信息传递速度变慢。

可以采取哪些措施来防止计算机破解和其他安全漏洞？

针对破解威胁，有三种应对措施：技术、人员和政策。

技术进步不断提高计算机系统的安全性。软件和硬件正在开发以防止计算机入侵。可以实施的应对措施包括安全的 DSL 连接、安装个人防火墙、安装防病毒软件、安全的电子邮件实践以及定期备份。

但技术只在下一个破解者发现另一个安全漏洞之前有效。因此，人员（安全专家、程序员、管理员）能够有效地监控系统非常重要。尤其是当计算机、网络或服务器包含敏感信息时，专家必须保护系统的安全性。

最后，惩罚破解者的政策很重要。最近，网络犯罪的新法律已接受考验。立法者正在了解法律是否有效地解决网络犯罪。在网络法入门中阅读有关此主题的更多内容。

定义

黑客 - 指计算机爱好者，即喜欢学习编程语言和计算机系统，并且通常被认为是该主题（或主题）的专家的人。

破解者 - 指为窃取和破坏数据而未经授权访问计算机系统的人。

“黑客”和“破解者”这两个词被错误地互换使用。但黑客坚持认为，他们有一套严格的行为准则，限制他们只进行不造成伤害且非恶意意图的行为。

来源：Webopedia.com

方框 5. 韩国信息安全局

韩国信息安全局 (KISA) 成立于 1996 年，旨在有效应对各种电子侵权和入侵行为，从而营造安全可靠的信息传播环境。KISA 致力于通过开发和提供加密算法（包括 SEED 和 KCDSA）来增强电子交易的安全性与可靠性。此外，KISA 还通过 IT 安全系统评估、信息安全教育和公众意识宣传以及信息安全政策和立法框架研究，引领韩国信息安全的发展。

随着 2001 年 7 月《信息基础设施保护法》和《促进信息通信网络利用和数据保护法》的生效，KISA 获得了更多职责，例如分析和评估关键信息基础设施的漏洞、IT 安全系统认证以及个人信息调解委员会秘书处的运作。

韩国信息安全局，“关于韩国信息安全局”，KISA [主页在线]；可从 http://www.kisa.or.kr/english/about_kisa_01.html 获取；访问日期：2002 年 9 月 18 日。

网络世界中，国家安全与公民隐私之间是否存在冲突？

挑战在于保护公民在网络上的隐私，同时不损害国家审查可能威胁国家安全的文档和传输的权利。美国 911 恐怖袭击为国家安全与公民隐私辩论带来了新的视角。一方面，保护个人隐私的呼声不断高涨。另一方面，各国政府（尤其是美国政府）已经将信息技术作为打击恐怖主义的工具。

在 911 袭击之前的几年里，金融机构开发了用于保护直邮、信用卡优惠和其他类型的目标营销的系统。^[13] 其他系统专门针对洗钱活动的检测。这涉及从各种金融机构收集数百万笔交易，并识别出看起来可疑的趋势。这种金融机构之间信息的共享被放弃，因为许多人认为这侵犯了隐私。然而，在 911 袭击之后，“一些专家认为，政府代表对消费者的审查正在变得更加深入”。^[14]