网络安全 频道

畅游互联网,用户安全如何保障?

  对话嘉宾:

  腾讯桌面安全产品部副总经理 吴波

  网秦首席安全官 严挺

  金山安全反病毒专家 李铁军

  中国互联网最具火药味的焦点不是搜索,也不是即时通信,而是安全。此前有媒体报道,试图将国内某软件公司作恶隐秘链条揭示在世人面前,然而,在这背后的更多的是厂商之间的博弈和商业良心的讨论。

  3月初,“3.15剑指流氓软件 网民隐私保护和软件良性发展研讨会”在北京举行。虽然并未像此前预告的那样,会有诸多安全厂商参与,但是值得注意的是,在隔壁房间,另一个业界讨论会也在召开,主办方则是奇虎360。

  为了了解安全是如何对用户产生影响的,《通信世界》就此采访了几家安全厂商相关负责人。

  《通信世界》:文件扫描的过程备受争议,软件在执行这个操作的时候是否扫描了用户的文件内容?

  吴波:在杀毒过程中,扫描文件是不会对文件的内容进行扫描的。比如word宏病毒,在扫描的时候是直接定位到word文件中宏的部分并进行解析,不会扫描其中的明文内容。

  严挺:通常在杀毒、清理内存时并不需要扫描文件内容,而是根据特征文件进行扫描,这不会涉及到用户的隐私。以电子书IReader为例,在查杀病毒的过程中,在扫描过程中不会扫描书的内容,只是根据安全的特征文件进行扫描看是否是恶意软件,以确定该软件是否安全。其文件和电子书内容文件是分开的。

  《通信世界》:收集用户使用信息有哪些作用?如何辨别正常上传与窃取用户隐私?

  吴波:我们不会收集用户个人的隐私信息,如信用卡,上网记录、购物内容等;对于安全软件本身的使用,如问题和建议、使用的时长等我们会显式询问用户,征得他们同意的情况下来上传后台服务器,最终用于产品的改进和提高,但是这里不会涉及到用户个人的隐私和身份信息,更多是一种统计上的数据分析。

  严挺:如果网友愿意帮助改善产品做上传,可以自行根据个人意愿自由选择。事实上,工信部对此也提出了明确的要求,即生产企业不能在移动终端中安装含有恶意代码的软件;不得安装未向用户明示并经用户同意就擅自收集、修改用户个人信息的软件;不得安装未向用户明示并经用户同意,擅自调用终端通信功能,造成流量耗费、费用损失、信息泄露等的软件。

  网秦会遵循“最小特权原则”,不会涉及保护用户安全无关的个人隐私,给予软件“必不可少”的特权,把选择权给用户,保证其能完成相应的任务。

  李铁军:流氓软件的上传通道是有特别的加密,在实际中,我们抓到了很多这样的后门,或者是恶意的广告插件都具备这样的功能,它的地址会经常变更,所以有些信息你必须要反复的追踪之后才能把它破解,这与一般的安全软件上传信息的规律并不相同,用户很难察觉。

  《通信世界》:安全厂商应当如何监督?是否需要政府介入?

  吴波:安全厂商需要监督。可以由政府出面,制定一系列详细的关于用户隐私数据的收集、使用、公布等环节的规范和准则,对企业的行为进行必要的审查,并建立一套行之有效的惩罚机制,完善这方面的法律,这样才能真正对部分无良企业起到有效的约束。

  严挺:一般而言,个人信息获得者必须明确在获取个人信息时,要明确告知用户,个人信息的收集方式和手段、收集的具体内容和留存时限、使用范围、被收集后的个人信息保护措施、个人信息主体的投诉渠道等。如果要将个人信息转移或委托于其他组织和机构时,也必须向用户明确告知转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。而这些能否落实到位,除了企业自律外,关键都在于有法可依,要让企业的行为在一定的规则内行事,才能最大程度上保护用户的隐私信息。

  目前,工业和信息化部正在推动信息安全条例,其中就包含了隐私问题,强调了顶层设计。政府机构并不是对隐私问题不关注,实际上是越来越关注,而且将来在法律、司法、生活习惯等方面越来越多地关注隐私保护和企业自律。

  此外,中国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》已于2月1日起开始实施,该标准有望在个人信息收集和利用方面给出一定的规范。但如何具体落实,执行力度是否到位,还需时间检验。

0
相关文章