首页资料文库正文

个人信息泄露论文十篇

时间：2023-03-19 14:08:23

个人信息泄露论文

个人信息泄露论文篇1

关键词：计算机；信息泄露；屏蔽；技术

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）20-4699-02

How to Prevent Computer Information Leakage

WANG Gui-feng，TAN Jing-jing

（Zhengzhou Vocational College of Tourism Henan，Zhengzhou 450009，China）

Abstract： From the computer was born has been developed to today， the computer technology has experienced a number of updates， application scope of computer technology is now widely used in complex， group level number， in the past only for Scientific Research Office of the computer has entered the tens of thousands of households daily life. In order to make computer technology into daily life， computer technology is more and more humanization of simplicity， easy operation， auxiliary industries operation is already unable to escape the application of computer technology. However， when people more to record their personal information or binding information document in the computer， the computer information leakage problem is more and more people's attention. This article on how to prevent computer information leakage of this problem are briefly discussed analysis.

Key words： computer； information disclosure； shielding； Technology

现代社会生活中，无论是科学研究、商业发展、日常办公还是医疗或教育，无一例外地都与计算机技术息息相关。计算机技术的发展使计算机这一高新科技切实地走入了千家万户，渗透到了社会的每一个角落。人们的日常生活对于计算机的依赖度越来越高，尤其是网络应用软件的不断推陈出新，打破了日常时间与空间上的阻碍后，人们对于计算机的应用更加广泛。随着各种新型的软件的开发，人们在电脑上储存了大量的个人信息，每一台电脑中都存有持有者的许多个人隐私，有的甚至是机密要件等等。由于计算机中存有的信息量巨大而且重要，计算机信息泄露的问题就越来越受到人们的关注。

所谓计算机信息泄露，指的是计算机主机或相关设备在非人为有意操作之下对外发射出的电磁辐射，尽管微量，但对于某些有心人士来说依然是可以利用的窃取计算机信息的一种途径，无论从哪方面而言，对计算机持有者来说都是一种信息风险。

1 抑制计算机信息泄露的必要性

如今计算机的应用率非常高，无论是什么行业什么人群都会接触到，计算机的工作范围要比我们想象中的广泛得多，世界上许多的信息操作都由计算机来进行，计算机中承载的信息量绝对是海量的存在。许多计算机中承载的信息对于国家、行业、单位、个人而言，都具有非常重要的意义，一旦损失后果是非常严重的。因此有效防范计算机信息泄露，保障计算机内部信息的安全，无论是对经济、政治还是国计民生来说都是非常重要的。

所谓道高一尺魔高一丈，当人们不断更新计算机信息的安保系统和技术时，同样有各种不法分子在想方设法突破计算机信息的安保系统，想要窃取宝贵的信息资料。黑客攻击电脑窃取信息的原因有很多，但无论是处于何种理由，黑客的行为都是违法犯罪的，是不允许的。但黑客的攻击会使计算机系统形成漏洞，使计算机信息暴露出来，遭受巨大风险，从而使个人、单位、行业乃至国家遭受到巨大威胁。因此有效防范计算机信息泄露是非常必要的。对于计算机本身来说，加强计算机信息泄露抑制技术的研究开发，也是加强计算机系统的一种体现。

2 计算机信息泄露的原因分析

计算机信息的主要泄露途径为电磁波泄露和传导波泄露：

2.1 电磁波泄露

电磁波辐射能够产生一种带有极高代表性的空间电磁波，这种空间电磁波实际上就是高速传输数字逻辑信号。作为电磁波辐射的载体的计算机本身就具备了高速传播这一特点，这位电磁波辐射提供了非常有利的条件。

计算机通常都是在低电压、高电流的情况下进行数字信号的处理工作的，数字信号中存有许多谐波，这些谐波对于射频来说极具干扰性。另外，计算机以及相关设备中流通的电流，在计算机和设备的工作过程中，通常呈现高速变化的状态，这种高速变化的电流状态同样为电磁波辐射大开方便之门。在各种推力之下，电磁波辐射显得毫无防备，许多黑客就是通过电磁波辐射来窃取计算机信息的，也就是说，电磁波辐射会造成计算机信息的泄露。

2.2 传导波泄露

传导波主要由电磁感应现象引起，当前计算机的内部构件、外部设备等等各种器件，在工作过程中都会使计算机长期处于各种电磁场中，这种工作状况使计算机内部产生了电磁感应现象，从而产生了传导波。传导波能够通过电源装置耦合等渠道，形成天线效应，从而将计算机内部的信息泄露出去。

3 抑制计算机信息泄露的技术

本文所探讨的计算机信息泄露防范技术，主要是对计算机信息泄露途径进行屏蔽。当前盛行的屏蔽技术可分为静电屏蔽、电磁屏蔽和磁屏蔽这几类。静电屏蔽主要是防止静电的耦合干扰，主要采用接地导体来起到屏蔽效果；导体的内外部对于电磁波有着反射以及吸收的原理作用，电磁屏蔽就是应用这一原理，对高频磁场进行屏蔽。计算机信息泄露的屏蔽技术主要应用在电路、电缆或计算机的某些设备上。

3.1 屏蔽材料

计算机屏蔽技术的效果质量很大一部分取决于用来制作屏蔽器具的材料属性。屏蔽性能计算公式是Se=A+R+B，简化为Se=A+R，A是指吸收损耗，R是指反射损耗。优质的材料可以带来优质的效用，选择优质的电子屏蔽材料所起到的信息泄露屏蔽效果也更好更高效，从而为计算机信息设立有效的安全网。通常屏蔽材料的阻抗会受到电场和磁场的比例变化的影响，从公式A=0.1314√（fuσ）中可以看出，对于屏蔽效果会产生影响的因素主要有屏蔽材料的厚度、相对磁导率以及相对导电率。为了提高屏蔽材料吸收损耗的效果，建议使用铁质材料进行制作；而为了提高屏蔽材料的反射效果，建议选用价格适中、反射性能较好的坡镆合金来做反射材料。

一般来说，计算机持有者只要对自身的计算机设置干扰或跳频，就可以对外隐藏自己的计算机是否正在工作中的这一状态，从而达到防范他人对计算机信息进行窃取的这一目的。白噪声干扰器能够对计算机上的幅度和频谱的电磁信号进行覆盖掩饰，干扰他人截取电磁信号的进行，而且能够大大降低计算机收发信息时产生的机器运作噪音，提高了黑客窃取信息的作业难度。为了保证设备的正常运转，建议使用发射功率较强的干扰器来进行信息泄露屏蔽。

对于一般家庭而言，白噪音是很好的屏蔽技术选择。白噪音能够对电磁信号乱数加密这一现象进行扰乱，使计算机信息通过传导波泄露出去的信息量大大降低，从而起到了计算机信息泄露防范的作用。由于白噪音的应用成本低廉，应用技术简单，是一般家庭最好的选择。

3.2 物理屏蔽技术

要对计算机信息进行泄露屏蔽，除了采用上述所讲的屏蔽材料，还能使用物理屏蔽技术进行屏蔽。主要分为包容法和抑源法两种。

1）包容法：包容法是指对计算机系统整体进行信息泄露屏蔽处理，而非局部屏蔽，并全面加强计算机系统的整体性能，从而达到信息不泄露的目的。这种屏蔽技术的保密性较高，防范性较强，经常使用在保存军事机密、国家机密要件等保密等级高的计算机系统上，能够有效加强计算机系统的安保效果和质量，防止我国高级机密被窃取或对外泄露形成国家威胁。

2）抑源法：顾名思义即是从计算机的源头对计算机信息的泄露现象进行抑制。主要是指从计算机的电路或组成元件入手，对可能出现信息泄露的部件进行筛选更换，采用低辐射元件来进行计算机的组装，再通过过滤技术或光纤传输技术等接地完成整个信息泄露屏蔽工作。

3.3 计算机软件技术

上述两点，都是从计算机的硬件层面来进行计算机信息的泄露屏蔽，这一点我们从计算机软件层面，简要谈谈可以用来对计算机信息进行泄露屏蔽的软件技术。

计算机的信息泄露屏蔽技术主要是通过计算机软件技术对计算机信息进行加密保存，从而防止计算机信息的泄露和曝光。通过改造了计算机的硬件和软件，抑制计算机信息的对外泄露。常用的软件屏蔽技术有TEMPEST字体、视屏显示加密和数据压缩加密三种。

1） TEMPEST字体：这种软件屏蔽技术主要是提高文字质量，从而降低信息泄露量或降低信息泄露可能性的一种技术。这种技术在计算机应用中可行性较强，而且改装价格低廉，性价比较高，防范信息泄露的效果也较好，对于一般家庭而言是不错的选择。

2）视屏显示加密：视屏显示加密方法主要是通过更改视频的显示方法，从而起到对视频内容信息进行加密的一种信息泄露屏蔽技术。这种屏蔽技术操作起来较为人性化，技术含量较低，一般非专业的操作人员也可以独立完成，方便快捷，而且实时性高，能够对视频文件进行即时的加密保护。然而这种加密方法只是降低了信息对外泄露的可能性，并没有解决信息泄露的问题，也就是说，一旦有人破解了加密，信息同样可能会泄露出去。因此视屏显示加密方法最好和其他屏蔽技术配套使用，才能发挥出锦上添花的作用。

3）数据压缩加密：日常生活中大多数人都接触过压缩文件，有的压缩文件是附带密码加密的，这种加密技术和加密行为同样也是在防止计算机信息泄露。而数据压缩加密技术的应用，主要是加强这一类压缩文件信息的接收难度，防止文件在传输过程中被黑客截取到导致信息泄露；同时数据压缩加密技术还会提高信息原本附带的加密密码的破译难度，即便黑客截取或窃取到了信息，想要破译密码获得信息也并不容易。数据压缩加密同样能起到信息泄露屏蔽作用，能够为计算机系统起到一点保护作用，日常生活中也常常会应用到。

要防范计算机信息泄露，不能一味靠防护，计算机系统中也必须要装载相应的攻击性软件和预警防护软件，当出现有入侵现象或信息窃取现象时，要第一时间发出警告并对扫描到的危险信号进行排除。有攻有防，才能妥善地防护计算机系统，防止计算机信息的泄露。

4 结束语

计算机技术的高速发展使得计算机中承载的信息量每日都以海量为单位在快速增长，这些信息拥有着极为巨大的情报力量，对于不法分子来说是非常具有诱惑性的犯罪武器。要保护好计算机中承载的个人信息，防范计算机信息的泄露，从各方各面杜绝黑客窃取信息的可能性和途径，让大家可以安心地使用计算机，放心地享受绚烂多彩的网络世界。

参考文献：

[1] 李杰.抑制字计算机信息泄露的屏蔽技术[J].百科论坛，2013（18）.

个人信息泄露论文篇2

2011年12月21日，中文IT技术社区CSDN网站数据库遭黑客入侵，600万用户的登录名及密码惨遭泄露，用户隐私信息沦为了黑客炫耀的战利品。更有甚者将泄露用户信息做成压缩包，上传至网络供人下载，构成以获取利益为目标的违法行为。至此，泄密事件一发不可收拾，逐步衍化为一起波及多方的社会事件。

中国软件开发联盟CSDN（Chinese Software Develop Net）是中国最大的IT知识服务集团，从事IT信息传播、技术交流、教育培训和专业技术人才服务。CSDN拥有超过1800万注册会员、10000名CTO、50万注册企业及合作伙伴，全球中文网站排名第27位。可以想象，这样一个企业的用户数据被泄露，后果不堪设想。

CSDN“泄密门”事件之所以有如此广泛的影响，还因为作为一个开发者、程序员汇集的技术社区网站，普遍被认为安全级别很高，被黑客袭击似乎是件很讽刺的事情。

祸不单行的是，之后几天里，人人网、天涯社区、百合网等众多知名网站也相继中招，纷纷卷入“泄密门”。这种大范围的用户信息泄漏在公众中造成了很大的不安和恐慌，一时之间，关于网站和数据库安全、用户密码设置和安全意识提升的讨论如火如荼，各种防盗宝典、安全贴士铺天盖地。

2012年1月10日，北京市公安局称，CSDN两名涉案黑客已经被抓获，并指出此次泄密与实名制无关，对此前广为流传的“黑客向实名制的挑战”传闻做了澄清。1月12日，CSDN董事长蒋涛在事件爆发20天后首次直面媒体，正面解释泄密事件。鉴于此前CSDN同大多网络公司一样，没有配备专门的安全系统或安全工程师，CSDN宣布将与阿里云公司的专业安全团队合作，共同打造安全可信的服务平台。

然而，从CSDN泄密事件爆发到宣布与阿里云公司合作，对互联网安全的讨论和反思，仅持续了一个月便淡出公众视线。从泄密发生后舆论爆发，到调查结果出台后事态迅速冷却，再至春节气氛下彻底遗忘，CSDN“泄密门”像很多之前曾轰动一时的事件一样，在时间面前败下阵来。但如何从中吸取教训、构筑互联网信息安全，是一件我们必须时常考虑的事情。

信息泄露，谁之过？

泄密事件发生后，CSDN网站的回应速度远远赶不上事态的扩张和舆论的蔓延。在1月12日的见面会上，董事长蒋涛向媒体介绍了事件爆发后CSDN采取的3方面措施：重置所有遭泄露用户的密码、提醒使用前100个最常用密码的用户自行修改密码、请第三方信息技术公司进行安全审计。而蒋涛表示：“审计发现，CSDN确实存在应用程序漏洞、系统后台认证漏洞等一系列安全问题。”

但问题不仅仅存在于这场悲剧的主角CSDN，许多大型网站都存在安全意识薄弱的问题。据统计，有80%的常用网站和60%的安全类网站也存在漏洞，70%的密码库可以被破解。蒋涛称：“这些数据早都存在，长久以来国内整个信息系统都存在问题，只是在CSDN事件爆发后，才被摊在桌面上。这是我们互联网的现状。”

此次CSDN的泄密事件让很多网站开始反思自己的安全问题。

按照蒋涛的说法，国内互联网公司普遍存在的问题是重视业务、缺乏安全意识、对于数据安全和系统安全认识不够，由此导致了用于安全维护的投入不高。多数企业还在采取老旧的信息安全防护方法，与目前先进的IT技术完全脱节，无法抵御形式多样的攻击。

有资料表明，在欧美国家，互联网公司的信息安全投入占整体支出的8%—10%，而中国企业这个投入的比例还不到1%。互联网数据中心IDC（Internet Data Center）对来自多个国家近3000家公司的调查也显示，国外信息安全投入远大于中国。

另一个同样严重的问题是，目前在我国互联网行业，信息安全和信息技术是分离的。蒋涛也表示：“一般只有像百度、腾讯这样的网络公司才会有安全工程师，其他网站很少有这样的人才配备。”当然，要求每一个IT企业都有专门的安全系统或安全工程师也不现实。因此，网站同信息安全公司结合的模式或许会成为许多公司未来的选择。

网站信息安全的建设不是一朝一夕的事，能意识到问题只是第一步，和信息安全公司的磨合也需要时间。与此同时，网站自身还需要采取一些具体的措施，力保用户信息安全。

为防止信息泄露，网站首先要做的是全面掌握自己有哪些信息，清楚信息安全维护的短板何在。比如，许多网络安全专家认为，明文保存密码是使包括CSDN在内的多个商业网站用户信息轻易被攻破的重要原因。然后要做的是根据现存的安全问题，结合各部门的具体情况进行相应管理。

同时，网站应建立规范的制度，如签署保密协议、对信息的获取权限、流程等进行严格规定。此外，还需要建立严格的审计机制，对内部人员，尤其是有高权限的IT管理人员的行为进行定期审计，若有问题，及早发现。

除了技术性的防护手段和操作规范以外，网站自身的管理也必不可少。网站企业应普及并提高保护用户隐私的意识。一些企业长期忽视用户利益，责任意识淡薄，更不排除在看到内部资料，如客户信息的价值后，有些员工会突破职业底线。如此一来，这类事件的后果会比由外部攻击引起的信息泄露事故更为严重。为杜绝这些隐患，网站企业需加强内部管理，如利用企业文化规范员工行为，提升员工凝聚力等。

对于某些信息安全问题，装在客户端的杀毒软件无能为力，用户更是束手无策。但实际上，有些安全问题不仅限于服务端，也存在于用户端。

很多用户不重视账户安全，以为账号不值得被利用，殊不知黑客会用程序批量扫描获取密码。终端自身和访问目标是否安全也常常被人们忽略。其实，不论网站还是用户，安全意识淡薄都是发生信息泄露的根本原因。

密码是用户在保护自身信息安全中的重要部分。但通过一组数据数据便可看出，密码设置并没有引起大部分用户的重视：在我国，100个最常用的密码被22.6%的用户使用、60%以上的用户使用纯数字口令。拿CSDN事件为例，即便在信息遭泄露、网站反复提醒下，也仅有30%密码遭泄露的用户对密码进行了修改。

根据安全专家的建议，网友应该把日常使用的网络服务分类。“邮箱就像保险箱，里面有打开其他服务的全部钥匙”，所以重要服务如邮箱等，设置密码时需要尤为注意，避免一但被黑客恶意进入，暴露更多真实信息。同时，应尽量在不同网站设置不同的登录密码，以防其中之一被攻破，其它的全军覆没。至少银行、金融支付等重要密码应和其它网站进行区别。最后，养成定期更换密码的习惯，且设置的密码安全等级要有一定强度。

除了在密码上花些心思，确保终端电脑和访问网站的安全也十分重要。具体如及时给系统升级、修补漏洞、定期杀毒、不在公共场所进行涉及个人信息的操作、不随意访问不可信网站等。

相比于一般企业，网站内保存大量客户资料和智力资产。电子商务平台里有许多真实的用户信息，如姓名、地址、手机号码，一旦泄漏，后果将不堪设想。而政府服务网站泄露信息危害更大。有专家指出，此次CSDN事件值得我们反思的地方很多。除了网站应加强安全建设、用户应注意隐私保护外，法律方面，主管部门应尽快出台法规，从权利保护、责任认定、责任追究和法律保障上，对个人信息予以保护，明确个人、网站和监管机构各方所应承担的责任、义务。

同时，有律师表示，不管是黑客入侵还是内部泄露，网站既构成侵权，又构成违约。如果用户因为信息泄露造成损失，有权向网站索赔。

而目前，我国对个人信息安全保护的相关法律条例仍有待完善。更有通过法律的明确规定，才能让企业真正实行其义务，有力保障个人信息。在制定公民信息法律方面，美、德、法、英四国就为我们做出了很好的表率。

美国是隐私权相关概念和理论的发祥地，其保护隐私权的法案早在1974年就已生效。之后，又有《财务隐私权法》、《联邦电子通信隐私权法》、《家庭教育权利及隐私法》、《计算机对比和隐私权保护法》等不断补充进来。随着信息技术的发展，联邦政府及各州还不断出台新法、升级老法，使隐私权保护能紧跟时代步伐。

在德国，隐私权作为一项独立的人格权受到民法典保护。1970年，德国黑森州颁布了德国首部地方性《数据保护法》，从而在全球开辟了一个新的立法领域。《联邦数据保护法》和《州数据保护法》在1977年和1981年也先后出台。1983年，德国立法机构全面修订了《数据保护法》。为适应时代变化，德国又于2001年和2006年根据欧盟的新规定两度修订《联邦数据保护法》。

法国国家信息技术与自由委员会成立于1978年，目的是保证信息技术不妨碍人权、个人隐私和自由。2004年，法国国民议会通过法律，赋予委员会对违规机构进行经济处罚的权利。

英国议会于1984年通过了《数据保护法》，并于1998年对该法进行修订。此后，英国陆续通过了《调查权法》、《通信管理条例》和《通信数据保护指导原则》等一系列旨在保护公民个人信息的法律。

做好信息安全，需要网站企业、用户个人、监管部门三方共同促进。一种处在这三种角色之间的新力量，能否肩负起维护信息安全的重任？

在媒体见面会上，蒋涛曾承认，CSDN当时对乌云平台发出的预警没有足够的重视，导致事件不断扩大。乌云网是国内一家披露互联网厂商安全漏洞的网站，其信息来源于注册用户的提交，旨在为厂商和安全研究者之间搭建一个平台：企业可通过该平台获知自己网站的潜在危险，后者可以在此学习、交流和研究。

去年岁末，作为许多网络泄密事件的源头，乌云网先后曝出了CSDN、天涯社区、当当网、京东商城等网站存在安全漏洞。12月29日又披露了1,500万至2500万支付宝用户资料泄露事件和广东出入境政务网站后台存在的严重漏洞。据称，444万网上申请用户的真实信息，如姓名、护照号码、港澳通行证号码等已经遭到泄密。

鉴于以上几起泄密事件为自身带来的巨大压力，12月31日，乌云网宣布暂时关闭网站，理由是“对系统做短暂升级”。同时，网站还公告称：“最近频繁披露的安全事件及带来的影响表明，一方面我们企业的整体安全建设还不够完善，但是同样反馈出乌云平台无论是沟通渠道还是响应机制都存在一些问题。在漏洞公开机制上，乌云考虑是否逐渐向公众披露，以减少实际可能带来的影响。”但分析人士指出，网站选择暂时关闭，更可能是来自政府以及企业的压力。“社会影响太大，已经远远超出漏洞公布的技术层面了。”有专家这样说。

结语

个人信息泄露论文篇3

关键词：信息公开环境；档案信息；保密

从宏观上来说，我国的档案管理工作经历了从封闭到开放、从人治到法治、从重视保管到重视服务、从传统到向现代的管理模式的转变。而这些转变，都是针对国家、政府等档案来说的。对于企业之间、个人之间的档案信息保密工作，目前依然处于较为封闭的状态，这也是现阶段经济发展的必然要求。但无论是国家、政府还是企业、个人的档案，即使处于较为开放的状态，也要在一定程度上遵循保密条例，对于不该泄露的信息要有非常强的保密意识，保守国家及合作对象的各项机密。

一、目前信息公开环境下档案信息保密工作存在的问题

目前我国网络环境较为开放，信息公开力度较大。加之相应的保密机制不完善等，使得档案信息保密工作出现了一系列问题。

1.保密制度不健全

目前在我国的档案信息保密工作中，相关保密制度还不够健全，管理也不够规范。具体表现在企业内部就是企业并没有根据自身的实际情况建立起一套系统的保密制度，没有对保密工作的各种规则进行规定，导致员工的行为无法得到有效的规范。而且在管理方面也存在疏漏，从而导致泄密事件的发生。

2.保密意识不强烈

保密意识的强弱决定了能否对档案信息进行彻底保密。目前我国很多企事业单位的工作人员保密观念薄弱，保密意识淡漠，导致对客户的基本信息以及其他需要保密的信息随意泄露，结果不但破坏了双方的合作关系，还对己方的经济利益及信誉造成了不良影响，阻碍了企业的长远发展。3.对信息泄露责任追究方面的相关规定不明确使得信息泄露频发的一个重要原因，是对信息泄露责任追究方面的相关规定不明确。由于没有明确的追责办法或追责办法，无法对泄密事件的影响进行彻底消除，而且对责任人的处理也采取最基本的方式，例如辞退等等，却没有对其信誉等问题进行公开，也没有使用舆论的力量对其进行谴责等等，使得处理结果无法对泄密责任人起到制约作用。

二、信息公开环境下档案信息保密的重要性和必要性

1.档案信息保密的重要性

在信息公开环境下，档案信息保密的重要性主要体现在：一方面，对客户的档案信息进行保密，能够使客户对企业更加信任，双方的合作关系更加稳定，以此来促进双方的互利共赢。另一方面，在信息传播速度非常快的当今社会，企业很好地对客户信息进行保密，能够为企业树立良好的信誉和企业形象，从而使更多的企业有意向与本企业进行合作，而且合作对象会越来越多，从而促使本企业不断发展壮大。

2.档案信息保密的必要性

在信息公开环境下，档案信息保密的必要性主要体现在：一方面，档案信息属于企业的机密，也是企业竞争力的重要组成部分。它对企业发展具有重要意义，因此对其进行保密是非常必要的。另一方面，在信息公开环境下，极易发生信息泄露事件。一旦信息泄露，企业所具有的竞争力就会下降。在市场竞争如此激烈的今天，竞争力下降可能就意味着企业将要面临“被吃掉”的命运。因此必须对信息进行保密。

三、促进信息公开环境下档案信息保密工作的有效途径

1.不断建立健全相应的档案信息保密制度

一方面，根据我国《保密法》的相关规定，并结合本企业的具体特点和实际状况，以及各项相关制度，制定出与本企业的发展相契合的保密制度，使之更好地为本企业的保密工作服务。制度中应该包括对保密工作的内涵、重要性、必要性、专门针对本企业所制定的条款以及贯彻落实的基本措施等等。另一方面，根据企业的发展特点不断对其进行调整。随着企业新业务的不断拓展以及新项目的不断推出，关于保密的范围等等可能会发生相应变化，因此应及时进行调整，以便对员工的行为进行约束和规范。

2.不断强化工作人员的保密意识

总体来说，不断强化工作人员的保密意识，就是不断加强对工作人员保密意识的教育工作。具体来说，一方面，以座谈会的形式对员工进行教育，使其畅所欲言地表达自身对保密工作的意见和看法，并组织专门的讨论环节，加强员工对保密重要性和必要性的认识。另一方面，组织员工进行相关案例的学习，并对因保密意识不强导致的无意或有意的信息泄露及其严重后果进行讨论，使员工能够深刻认识到其中利弊。

3.建立明确的档案信息泄露追责制

企业要建立明确的档案信息泄露追责制，并对其具体的贯彻落实程度及效果进行监督检验，这是对员工的行为进行制约的有效方法。具体来说，在追责制中可对员工有意及无意泄露信息进行区分，并做出不同的处理结果。对于故意泄露档案信息者，可加大对其处罚的力度，例如首次发生时只做扣除工资或警告处理，但后面继续发生者无论情节是否严重，都对其信誉度进行公开，使其很多经济活动都受到限制，从而对信息泄露行为进行严厉打击。

四、结束语

综上所述，在信息公开环境下，档案信息泄露发生的可能性较大。此时就需要工作人员具有较强的保密意识和信念，对客户信息守口如瓶，做到在任何情况下都绝不泄露相关信息。但目前由于制度等方面的原因，导致保密工作的结果不尽如人意。企业领导层要不断完善相关制度，并加强对员工的教育，同时明确泄密追责制，从而对员工行为进行规范和制约，减少泄密事件的发生。

参考文献

[1]，陈燕.新形势下的档案信息保密与公开机制研究[J].兰台世界，2011，（2）：6-7.

[2]张宝玲.大数据时代如何做好发电企业档案信息保密工作[J].办公室业务，2014，（23）：158.

[3]关明杰.新《保密法》实施后应如何做好档案信息保密与公开工作[J].黑龙江档案，2011（，2）：20.

个人信息泄露论文篇4

曾琳

内容摘要：完善和发展我国证券市场，需要进一步加强对内幕交易行为的控制和防范。本文通过比较各国关于内幕交易行为样态的规定，从内幕交易的概念入手，研究内幕交易行为样态的范围，分析利用、泄露、建议、短线交易四种内幕交易行为类型的特点，并针对我国内幕交易立法中存在的诸多问题，提出完善我国内幕交易罪的立法建议。

关键词：内幕交易利用泄露建议短线交易

近年来，随着我国证券业的逐步发展，内幕交易犯罪也呈上升趋势，如果不加防范，将严重破坏 “公开、公平、公正”为原则的信息保密制度，扰乱证券市场的正常秩序，在少数内幕信息的知情人获取暴利的同时，让更多不知情的投资者遭受重大损失，最终的结果是投资者对证券市场失去了信心，导致了证券市场的一泻千里。刑法中的行为是犯罪的核心，因此，加强对内幕交易罪控制的关键在于对内幕交易行为的制约。然而，对于什么是内幕交易行为，理论和实践中仍有争议，我国《刑法》对内幕交易罪的规定也存在诸多问题，需要对其作进一步的分析研究。

一、内幕交易罪行为样态的范围

（一）内幕交易的含义

内幕交易作为证券市场的一种伴生现象，是证券交易双方信息不对称的必然结果。那么，什么是内幕交易呢？这个问题是一切有关内幕交易理论的逻辑起点，也是研究本罪行为样态所要解决的前提条件。美国是最早制定反内幕交易法的国家，但是其并没有对内幕交易作出定义，根据布莱克词典解释，内幕交易（insider trading）是指公司的职员、董事和持有公司10％以上股份的登记在册的股东买入或卖出该公司证券的行为，而这些交易行为必须每月向证监会报告。（1）欧盟1989年4月20日签订的“反内幕交易公约”（the Convention on Insider Trading）的第一章第一条对内幕交易作了如下定义：“证券发行公司的董事会主席或成员、管理和监督机构、有授权的人及公司雇员，故意利用尚未公开、可能对证券市场有重要影响、认为可以保障其本人或第三人特权的信息，在有组织的证券市场进行的‘非常操作’”。（2）我国法律并未对内幕交易作定义，学者对内幕交易的定义也不尽统一，如有的学者从行为的不当性角度指出，“内幕交易又称内部交易、内线交易，是指掌握内幕信息的人滥用信息优势实施的证券欺诈行为，即在证券发行、交易过程中，内幕人员或者非内幕人员围绕有关的内幕信息所实施的欺诈行为”。（3）有的学者强调行为的违法性，认为“内幕交易是指证券交易内幕信息的知情人员或者非法获取证券交易内幕信息的人员，在涉及证券的发行、交易或者其他对证券价格有重大影响的信息尚未公开前，买入或卖出该证券，或者泄露该信息的行为。”（4）由于人们对构成内幕交易诸要素的内容和范围还存在分歧，因此内幕交易的概念并没有权威和统一的定义，但我们仍可以从中总结出一些具有普遍意义的结论：其一，内幕交易首先必须是一种与证券交易相关的行为，行为人或是自己对证券进行买卖，或是参与他人对证券的买卖；其二，内幕交易涉及的交易者的身份特殊，行为人必须是与内幕信息有关联的人士，或是直接掌握，或是间接得知；其三，交易双方缺乏信息的对等性（接触的平等和占有的平等），交易者所凭借的条件是未公开的能够影响证券价格的内部信息；其四，内幕交易发生的场所不限于上市公司股票的证券交易市场，还包括场外交易。综上，我们可以把内幕交易界定为：掌握未公开而对证券价格有重大影响的内幕信息的人，利用该信息从事证券交易或使他人从事证券交易的行为。其既包括内幕人员自己实施证券交易行为，也包括将内幕信息泄露给他人或建议他人进行证券交易的行为。

（二）广义的内幕交易行为与狭义的内幕交易行为

由于人们对内幕交易要素的认识难以达到统一，反映在证券交易立法上则主要有两种对内幕交易行为的控制模式。第一种是以美国为代表的对广义内幕交易行为控制模式，包括行为人知悉公司内幕信息且从事证券交易或其他有偿转让行为，泄露内幕信息或建议他人买卖证券的行为，以及短线交易行为，即证券交易法第16条b款规定的公司的主要受益股东、董事或者官员在6个月的任何时间内购买和出售该发行人股票的行为。受美国这种立法影响的国家还有日本和我国台湾地区。如日本现行的证券交易法规定的内幕交易包括三种：一是公司内幕人利用未公开的内幕信息进行有关证券的买卖；二是收购要约人内幕人利用未公开的有关收购要约信息买卖证券，三是短线交易行为，即公司的高级职员和主要股东不得就其在该公司之股份，于买进股份后六个月内即行卖出，或卖出股份后六个月内即行买进。又如我国台湾地区《证券交易法》第157条内幕交易行为规定了禁止董事、监事、经理人员及持有股份占该公司发行股份5％以上的股东在6个月内的短线交易行为以及获悉内幕信息之人在该信息未公布前买入或卖出该公司之股票的行为。以英国、德国为代表的欧盟国家则采取狭义的内幕交易行为概念进行立法。如英国禁止内幕人利用内幕信息进行买卖，禁止在内幕信息的基础上为第三人提供咨询或推荐，禁止传播内幕信息。又如德国现行的证券交易法第14条规定内幕人禁止如下行为：1、利用其所得内幕事实以自营或受他人委托方式或者为他人购买或转让内幕人证券；2、未经授权将内幕人事实告知他人或使他人购买得知；3、基于其所得知的内幕人事实建议他人购买或转让内幕人证券。禁止知悉内幕事实的第三人利用此种信息自营或受他人委托方式或者为他人购买或转让内幕人证券。

从上述罗列的种种规定，我们可以得出两个结论：首先，无论是广义的内幕交易行为控制模式还是狭义的内幕交易行为控制模式，凡是对泄露内幕信息行为进行控制的国家和地区，均把泄露内幕信息行为视为内幕交易罪范围内的行为方式之一，而未设置泄露内幕信息之罪名；其次，采取广义的限制内幕交易行为和采取狭义的限制内幕交易行为的主要区别在于是否把短线交易行为纳入内幕交易的范畴，即要么直接把短线交易视为内幕交易行为，要么对短线交易作另行的规定。对于第一个结论，我们认为，我国刑法与他国规定不同，将泄露内幕信息罪设置为与内幕交易罪并列的选择性罪名的原因主要根源于中西方思维习惯的差异。按照汉语传统的思维模式，既然称之为内幕交易，行为人一定要有交易行为，如果行为人只实施了泄露内幕信息的行为而没有进行证券交易，则只能对其泄露内幕信息的行为负责；西方国家习惯用发散性思维联想问题，认为正是因为行为人泄露了内幕信息，才引起信息接受人利用该信息进行证券交易（假定人都具有趋利性），泄密与交易之间具有必然的因果关系，因此这种泄密行为就是一种内幕交易行为。虽然罪名的内容实质上并无太大差异，但是从精练罪名的角度出发，我们完全可以就将泄密行为规定为内幕交易。对于第二个结论，我们认为，在判断短线交易是否构成内幕交易行为之前，有必要先对内幕交易行为的特点作分析。首先，内幕交易是一种证券投机行为，行为人利用了证券信息公开前与证券价格反映之间的时间差，是一种谋取私利的行为；其次，内幕交易是一种交易欺诈行为，内幕人员在不告知其交易相对人真相的情况下，用并不代表证券实际价格的证券与之进行交易；再次，内幕交易是一种不正当竞争行为，内幕人员利用了本不属于自己所有的内幕信息，以不当利用公司职务或工作便利为条件，实质上剥夺了普通投资者平等获得信息的机会；最后，内幕交易是一种损害社会公共利益的行为，其损害了证券市场的运行效率，造成市场运行成本的增加，打击了投资者的信心，危害了证券市场的安全。（5）所谓短线交易（short-swing trading），是指公司特定的内部人员在买入证券后，在短期内（通常限定为6个月）再行卖出；或在卖出证券后，再行买入的行为。短线交易完全符合上述内幕交易行为的特点，它是董事、监事、大股东等凭借其对公司的控制权投机取巧，不当利用内幕信息的欺诈性证券交易行为，最初对短线交易立法的目的也正是为了防止这种行为的发生，以维护投资大众对市场的信心和市场交易的公平。与狭义的内幕交易行为相比，控制短线交易是一种事前防范机制，它假定公司内幕人都会利用内幕信息进行投机性交易以牟利，采取无过错归责原则，避开了在指控中难以取证的问题。狭义的内幕交易行为，则要求证明行为人主观上明知其利用的信息是内幕信息，采取过错归责原则。由此可见，两者的主要差别只是对行为人主观过错的刑事证明要求上的不同，本质上并无区别，都是一种滥用内幕信息的交易行为，为各国证券立法所规范。因此，为了全面分析内幕交易行为样态，揭示其行为特点，本文采取广义的内幕交易行为说，将短线交易行为作为内幕交易的一种表现方式进行研究和探讨。

二、内幕交易罪行为样态的具体表现

（一）获取内幕信息的手段

获取证券交易的内幕信息是内幕交易的前提条件，如果没有这个前提，行为人的交易就是一种合法的交易。因此，在探讨内幕交易的行为样态之前，我们有必要对获取内幕信息的手段作分析。尽管采取不同的划分标准，内幕人员就会有不同的分类，但从内幕人员与内幕信息的接触或获取方式来看，可以将内幕人员划分为以下两类。

1、第一类内幕人员的合法获知

第一类内幕人员，虽然各国称谓不同，但所指大体相同。如我国法律将第一类内幕人员规定为证券内幕交易知情人员（6），美国则包括传统内幕人（Traditional Insider）和临时内幕人（Temporary Insider）两类，即公司董事、监察人以及公司内具有控制权之股东和来自公司外部但与公司有一定业务关系（含服务关系）的人员。欧共体则称之为第一内幕人（primary insiders），包括任何因为其作为发行人的行政管理机构、经营机构和监督机构的成员而获得内幕信息的人员；因为持有发行人股份而获得内幕信息的任何人以及因雇佣关系、职业或履行其职责而获得内幕信息的人。可见，无论是我国规定的证券交易的知情人员还是美国的传统交易人、临时交易人或是欧共体所称的第一内幕人，其获知内幕信息的手段均是通过法律许可的合法途径：其一，公司的董事、监事、经理等高级管理人员和持股超过5％以上的股东凭借其作为公司决策层的特殊地位，通过董事会或股东大会直接接触到内幕信息，甚至参与制定内幕信息的具体内容；其二，担任公司某些职务的人员，如会计、投资顾问等，由于职务或业务的需要，需要执行内幕信息的具体内容，由此获知内幕信息；其三，证券监督管理机构、登记结算机构、交易服务机构的有关工作人员虽然不是公司的内部人员，但是可以通过对该公司的监管、登记结算、提供会计或法律服务了解到该公司尚未公开的内幕信息。由此可见，以上人员都是在职责范围之内为正常开展工作而必须接触内幕信息的情况下获取的，如果行为人不是通过合法的职务或业务关系，而是非法地利用职务之便，或者超越职务权限获取内幕信息的，就并非本处探讨的第一类内幕人员的合法获知。

2、第二类内幕人员的非法获取

第二类内幕人员，是指我国法律规定的非证券内幕信息知情人员，即内幕信息知情人员之外的，不是基于职务或者业务关系，而是通过非法手段获取证券内幕信息的人员。美国把该类人员称之为消息受领人（Tippee），即从内幕人泄露内幕信息行为中获取内幕信息的人。欧共体国家则定义为第二内幕人（secondary insiders），即通过直接或间接的渠道占有内幕信息的除第一内幕人以外的其他人。第二类内幕人员非法获取内幕信息的手段通常包括秘密窃取、骗取、偷听、监听、行贿、胁迫、私下交易等等方式从知情人员处套取、索取，从手段本身来看，是积极的且具有非法性。那么，如果手段本身是消极的且并无非法性可言呢？如第一类内幕人的主动告知，或者无意中听见他人讨论内幕信息，或者拾得他人遗失的内幕信息资料等方式获得内幕信息的情况是否属于“非法获取”呢？我们认为，对“非法获取”的界定应该趋于宽泛，而不宜过窄。首先，“非法获得”的内涵应指“不该知道而知道”，“不该知道”指行为人与内幕信息之间并无的职务或业务上的信赖关系，其属于被法律法规禁止接触或获取证券交易内幕信息的人员；“不该知道而知道”本身就是对特定范围内幕信息知情权的违背。其次，行为人采取非法手段获得内幕信息并不构成本罪，这只是构成本罪的前提条件，还需要行为人进一步非法利用该信息。如果无意获取内幕信息是合法手段，那么其后故意利用该信息交易或再泄露信息，就缺少本罪规定的非法获取内幕信息的要件。因此，不管非内幕信息知情人员是采取什么样的方式，只要最终的结果是获得了其不该知悉的内幕信息，就属于第二类内幕人员的“非法获取”。

（二）内幕交易的具体行为样态分析

1、我国内幕交易行为样态的现状分析

我国证监会公布处罚的内幕交易行为要素特征1993.10－2001.4（7）

案例简称行为主体行为类型内幕信息

1、华阳公司、龙岗公司案大股东短线交易公司收购

2、农行襄樊上证案证券公司利用公司收购

3、张家界旅游公司案上市公司利用送股协议

4、王川案上市公司高级管理人员利用公司收购

5、戴礼辉案上市公司高级管理人员利用公司重组

6、俞梦文案上市公司中级管理人员利用公司重组

7、轻骑集团案上市公司利用年度报告协议收购

8、南方证券、北大车行案证券公司、上市公司泄露利用增资配股重大投资

9、高法山案大股东高级管理人员利用协议收购

从上述反映近年来我国证监会公布处罚的内幕交易行为的图表来看，我们可以得出我国内幕交易行为样态主要有以下几个特点；其一，行为主体的绝大部分集中在第一类内幕人员，即大股东和高级管理人员（董事、监事、经理等），法人作为行为主体所占比重较大（40％），可见第一类内幕人员较第二类内幕人员更易滥用内幕信息；其二，内幕交易的主要行为类型是行为人直接利用内幕信息进行证券交易，占行为方式的83％，主要是因为该类行为方式更能直接获益或避免可能遭受的损失，与内幕交易的牟利性密切相连；其三，行为发生的时间多集中在公司收购、兼并过程中，这与我国频繁的上市公司与其集团公司或者子公司之间的资产重组有关。据此，我们认为，控制内幕交易行为的重心应放在监控公司资产重组过程中的第一类内幕人员利用内幕信息进行证券交易的行为。

2、内幕交易行为样态的类型

（1）利用行为

如上所述，利用内幕信息进行证券买卖的行为是内幕交易行为中最常见的类型。其行为主体包括第一类内幕人员和第二类内幕人员。“利用”是指行为人在涉及证券的发行、交易或者其他对证券交易价格有重大影响的信息尚未正式公开前，利用自己所知道的内幕信息，掌握有利的条件和时机，进行证券的买入或者卖出。这里的买入或者卖出证券的行为有以下两个特点：其一，买卖包括以自己的名义买卖，与他人合伙买卖，借他人名义或他人证券户头买卖，或者受他人之托为他人买卖。其二，买卖应作广义理解，包括直接的买卖和间接的买卖，前者是指转移证券所有权的买卖行为，包括现金交易和非现金交易，如互换证券；后者是指不转移证券所有权的交易，如通过证券的出借赚取利润。可以预计，随着我国证券市场的发展和加入WTO后证券行业的多元化业务的要求，间接买卖行为将越来越多，因此，我们更应加强对间接买卖行为的防范和控制。

这里需要探讨的是，如果行为人在获知内幕信息后，本欲购买该公司证券却不再买入或者本打算抛出该证券却不再抛出，因此避免了可能遭受的损失，对这种不作为的行为应如何认定呢？我们认为，该行为不构成内幕交易的买卖行为。首先，内幕交易的买入或卖出是一种积极的行为方式，采取的是一种主动出击的姿态，而不买或不卖是一种消极的行为方式，其并未进入到交易领域；其次，行为人利用内幕信息进行交易，危害性不仅仅在于行为人违反了公平竞争的原则，获得不正当利益或使自己避免了损失，更重要的是破坏了证券交易的正常运行秩序，甚至引起价格和交易量的异常波动。而不买或不卖的行为只是行为人自己避免了可能遭受的损失，只存在受益人即行为人本身，证券市场并未受到不良影响。最后，从司法实践的角度来看，对不作为方式定罪的可行度较低，因为行为人没有买入或卖出证券的积极作为，很难判断其是否利用获知的内幕信息改变了投资的主观决定，证明难度较大。因此，内幕交易罪中的“利用”仅限于积极的证券交易行为。

（2）泄露内幕信息

行为人泄露内幕信息，是指行为人将处于保密状态的内幕信息公开化，通过明示、暗示、书面或口头等方式，透露、提供给不应知悉该信息的人员，使信息受领人利用内幕信息买卖证券。该行为既包括公开范围上的泄露，即将内幕信息告知不应或无权知道该信息的人员；也包括时间范围上的泄露，即在保密期届满前解密，让可以知悉或有权知悉的人员提前知悉。泄露的内容是使受领人得知可以作为证券交易依据的内幕信息的全部或主要事实，如果只是透露一点风声，不能作为受领人进行证券投资依据的，就不构成泄露行为。泄露内幕信息包括“泄密”和“再泄密”两种行为方式。其中，“泄密”是指第一类内幕人员直接将其掌握的内幕信息泄露给第二类内幕人员；“再泄密”，是指第二类内幕人员在获取内幕信息后，又将该内幕信息泄露给他人。“再泄密”行为往往在传播面广泛的内幕交易中扮演重要的角色。如美国自1934年证监会成立以来最大的“IBM收购莲花公司内幕交易案”中，涉及的24名被告中只有一名直接来源于泄密者劳伦•卡双乐，最远的被告离劳伦相隔6层之远。之所以将泄露内幕信息作为犯罪处理，原因在于与直接买卖证券相比，虽然泄露者本人不一定有直接的证券买卖行为，但通过为他人提供内幕信息，间接地参与了证券交易，而且泄露内幕信息的行为对证券市场、投资者及发行人所造成的损害，往往更为严重。因为，内幕信息的知悉人员一般人数较少，财力有限，买卖证券数量不会太大；而泄露内幕信息则可能在受领人之间辗转告知，使得参与证券买卖的人数和交易量剧增，从而引起严重后果。

如前面所谈到的，非内幕人员获取内幕信息的手段包括积极地主动获知和消极地被动接受，因此，有的学者提出，对于主动积极获取内幕信息的非内幕人员，负有不得利用该信息并保密的义务，泄露内幕信息按本罪处理；对于消极的内幕信息获取者，不存在着承担保密义务的问题，因而不应当认定为本罪。（8）笔者认为，不管非内幕人员是积极还是消极地获取内幕信息，其泄密行为均构成本罪。首先，从承担保密义务的责任来看，并不以行为人获取内幕信息的方式是积极的或消极的为划分手段。不应知悉内幕信息的人员从获取内幕信息的那一刻起就应承担保密的义务，因为不管其获取内幕信息的途径怎样，最终的结果是得知了内幕信息的内容。其次，从泄露内幕信息引起严重后果的因果关系来看，直接原因在于行为人的泄密，如果没有行为人的泄密行为，就没有其后一系列的严重后果。最后，从行为人的主观故意来看，虽然行为人并非积极、主动地获取内幕信息，但是其在明知是内幕信息之后，而故意泄露给他人，主观恶意程度与其他泄露者并无不同。因此，行为人得知内幕信息的方式是积极或是消极与否，并影响行为人构成泄露内幕信息罪。

个人信息泄露论文篇5

曾琳

关键词：内幕交易利用泄露建议短线交易

一、内幕交易罪行为样态的范围

（一）内幕交易的含义

（二）广义的内幕交易行为与狭义的内幕交易行为

个人信息泄露论文篇6

1 DLP简介

数据泄露防护（Data leakage prevention，DLP），又称为“数据丢失防护”也称为“信息泄漏防护”。数据泄露防护（DLP）是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。

2 需求分析

2.1 黑客以及间谍的窃密

国内外越来越多的黑客及间谍，通过层出不穷的技术手段，盗取国内企业各种重要机密数据，已成为中国信息安全的巨大威胁之一。如果置之不理不采取相关的应急和长远措施，必将造成无法估量的损失。

2.2 行业竞争对手的有意窃取

信息技术的发展为盗取信息提供了一定的便利，怎么样做好防护是不得不采取的必要措施。如果企业不重视自身重要机密信息的保护，不但会造成商业竞争的被动，直接导致经济损失，更会导致整个行业因恶性竞争带来的衰落与灭亡。

2.3 在职员工无意或者恶意的泄密

目前，企事业单位人员对于信息安全资产的重要性认识不够，导致部分涉密人员无意泄密，为部分不良分子提供了可乘之机。另外部分不良的涉密人员，出于对企业的不满，肆意将机密信息公之于众，带来巨大的无法挽回的损失和不良影响。

2.4 内部文档权限失控导致泄密

目前，极大多数单位涉密信息的权限划分是粗放型的，没有细分到相应的个人。因此，内部数据和文档在权限管控方面的失控，会导致不具备权限的人员获得涉密信息，或者是低权限的人员获得高涉密信息。从而导致重要机密数据的泄密，无法从根本上杜绝。

2.5 存储等硬件设备丢失或维修导致失密或泄密

笔记本电脑、移动硬盘、存储卡之类的移动存储设备，一旦遗失或维修，其存储的数据往往暴露无遗。特别是数据一般都有恢复的特别属性，所以移动设备的使用和监管是非常重要的一个步骤。

3 防护方法

3.1 终端数据防泄露

在终端数据防泄露方面，中国人以独有的技术敏感和产品领悟力，推出的文件透明加密、权限管理、外发控制等软件，以文档透明加密为核心，辅以权限控制，外发管理、日志审计等功能，能从源头上确保数据安全。

3.2 磁盘数据防泄露

磁盘是存储数据的物理设备。针对磁盘进行管控，就可以防止数据泄露。当前，防止磁盘数据泄露，全球最领先的技术是全磁盘加密。国家法律规定，凡涉及到商用密码的软件产品，都必须由具备国家商用密码生产定点单位资格和国家商用密码销售许可单位资格的企业生产和销售。而且，还必须具备国家保密局、军队和公安部的相关销售资质才可以在国内销售。因此，国外FDE软件在中国不能得到广泛应用。

3.3 端口数据泄露防护

通过端口管控，来防止数据泄露。从技术上讲，不论是物理端口，还是网络端口，基本上都能得到保护。但是，从理论上说，只要数据进行了加密，就不再需要的端口防护。既已进行了加密，又对端口进行防护，貌似有重复建设之疑。但是企业可以采用多重防护来保护数据，这是可以采用的办法。

3.4 服务器（数据库）数据防泄露

大中型企业的数据安全最重要的地方，应该是保护服务器和数据库。针对文件服务器数据，目前主要还是通过身份认证和权限控制这两种访问控制手段来确保安全。而针对应用服务器数据安全，相应的技术手段是相当孱弱的。

数据库的数据安全保护则更为复杂，有三种主要的手段：（1）基于文件的数据库加密技术；（2）基于记录的数据库加密技术；（3）子密钥数据库加密。但是这三种手段都会给数据库的性能带来极大的影响。针对数据库防泄露，必须采用更为先进的技术手段。

3.5 移动存储设备防泄密

移动存储设备主要指移动硬盘、U盘、PC储存卡、MP3、MP4、数码照相机、数码摄像机、手机、光盘和软盘等。随着移动存储设备的广泛使用，移动存储设备导致泄密的现象越来越普遍。目前针对移动设备泄密的解决办法主要有两方面：一是对计算机及内部网络各种端口进行管控，对接入端口的移动设备进行统一认证，硬件绑定等方式，限制移动存储设备的使用；二是对移动存储设备本身设置口令/密码进行身份识别，并且对移动存储设备内的数据进行加密。通常所谓的介质管理，就是指移动存储设备管理。

4 具体设计

完整的数据安全解决方案应包括从身份认证、授权管理、终端管理、数据加密、传输安全等一系列的内容，需要结合前期数据安全项目咨询、中期数据安全防护产品实现以及后期遵循PDCA思想的循环改进及服务的多种方式进行设计企业数据防泄密解决方案，没有前期的安全咨询和评估作为基础，中期的数据安全产品很难有针对性的部署和实施，数据安全产品没有部署完善，对整个数据安全项目的有效性及后续有针对性的项目改进都会造成非常大的影响。数据安全防护项目需要结合安全评估咨询、数据安全产品实现以及后期的数据安全服务的多种方式进行建设。

企业数据防泄密主要从DLP安全策略和数据安全防护技术两方面来考虑。

个人信息泄露论文篇7

论文摘要：力拓“间谍门”事件暴露了我国企业在保护商业秘密上的软肋。随着我国加入WTO和全球经济一体化，企业作为经济活动的主体如何防范商业秘密泄露，保护自身利益，成为我国企业迫切需要解决的问题。本文通过分析商业秘密泄露的主要形式，从内部和外部两个主要方面，论述了企业在经济活动中防范商业秘密泄露的措施。

2009年7月9日，世界第三大矿业公司力拓上海办事处的4名员工因涉嫌窃取中国国家机密被拘捕。此次力拓公司爆出的“间谍门”事件，在中国引起了巨大的反响，同时也暴露出我国企业长期以来在商业保密机制上的软肋。

随着中国加入WTO和全球经济一体化，中国企业已经成为越来越多的跨国公司有力的竞争对手和商业伙伴。我国作为新兴市场国家，企业在商业秘密保护方面的理念和措施都距离发达国家有很大的差距，由于这方面的薄弱给企业甚至国家造成的损失不可估量。本文通过探讨商业秘密泄露的主要途径，重点论述防范商业秘密泄露的措施。

一、商业秘密的定义

我国现阶段市场经济的发展程度尚不发达，法制尚未健全，目前尚未有一套完善的关于保护商业秘密的法律。但关于商业秘密的定义散见于各项法律法规之中。根据我国的《反不正当竞争法》、国家工商总局《关于禁止侵犯商业秘密行为的若干规定》以及《刑法》的定义，商业秘密（Trade-secret）是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。

二、商业秘密泄露的主要形式

1、商业间谍

力拓“间谍门”事件中值得注意的是，4名涉案人员是由上海市国家安全局拘捕的。并且，外交部新闻发言人秦刚对此做出的正式回应指出，中国有关部门掌握了大量确凿证据，证明胡士泰等人为境外刺探窃取中国国家机密、并对中国钢铁企业的内部人员行贿。这说明这是一起已经触犯法律的窃取商业秘密的刑事案件。类似于此案中的非法窃取商业机密的“商业间谍”，是企业商业秘密泄露的形式之一。

2、竞争情报

除了非法的商业间谍外，商业秘密泄露的另一主要形式是竞争情报。现代竞争情报产生于发达工业国家间的商业竞争，随着信息技术和互联网的发展而更加完善。根据美国竞争情报专业人员协会（SCIP）的定义，竞争情报是一种监测竞争环境的过程，在此过程中人们用合乎职业伦理的方式收集、分析、传播有关经营环境、竞争者和组织本身的情报。竞争情报在发达国家已经形成一套比较完善的体系，随着我国市场经济的发展，我国目前也出现了很多提供竞争情报服务的公司。

竞争情报和商业间谍的本质区别在于，商业间谍是使用非法手段获得信息，而竞争情报是使用合法的、合乎职业道德的手段搜集信息，通过分析将其转变为有价值的情报的过程。在发达国家，竞争情报行业还有一套严格的道德准则。

但是，即便竞争情报的是合法的，如果企业自身管理不当或疏忽大意，也有可能给竞争对手以可乘之机，使商业秘密泄露，造成无法挽回的损失。

三、防范商业秘密泄露的措施

商业秘密是一种特殊的情报，一旦被透露将永远失去。即便有法律可以制裁泄密者，但也已是“亡羊补牢”，对企业所造成的经济损失可能是永远无法补偿的。所以事前防范比事后制裁更加重要，企业保护商业秘密要做到未雨绸缪。

1、企业内部制度的建立和完善

“人”是泄密行为的主体，与商业间谍活动相比，企业内部人员泄密的危害性更大。现实中由于企业员工跳槽、兼职或个人私利而导致企业商业秘密泄露甚至对簿公堂的事件屡见不鲜。加强企业内部管理，增强员工保密意识是防范商业秘密泄露的第一道屏障。

（1）签订保密协议

每位员工进入企业时，要签订“商业保密协议”。目前我国除一些高科技企业外，其他行业企业对签订“商业保密协议”重视程度不够，或在劳动合同中简单一笔提过。“商业保密协议”应该写明本企业的商业秘密范畴，并说明相应的责任及处理措施，与劳动合同一起生效。对涉及重要保密内容的员工，还应在合同中规定解密期，即离职后若干年内不可在同类其它企业中工作。除此之外，企业还应定期对员工进行保密制度培训，增强员工保密意识。

（2）强化员工的归属感

企业应对员工进行情感投资强化员工的归属感，增强企业的凝聚力，当员工的归属感增强，即使在跳槽或被人利诱的情况下，也能够大大减少商业秘密泄露的情形发生。其次，企业可以向高管人员赠送公司股份（虚拟股份），不可提现金，只能每年参与分红，离开公司时，股份自动失效。这样可以在很大程度上防止高级管理人员的频繁流动。第三，提高高管人员薪酬。随着经济的发展，大量同行业外资企业进驻中国。我国企业高管人员薪酬如果与同类企业高管人员相差过于悬殊，容易造成人才的心理失衡，成为商业秘密泄露的诱因。第四，建立和谐劳资关系。公司的制度（包括人事、福利等）不良，往往是职工不满或离职的主要原因，更是企业秘密外泄的主要原因之一。确立合理的福利制度及升迁渠道，能够降低职工的离职率和泄露秘密的可能性。

（3）缩小商业秘密知情人范围

商业秘密知情人越少，泄漏的可能性就越小，即便在泄漏时也能迅速锁定目标。所以企业的主要商业秘密应仅限于少数高管人员知道；其次，有些企业信息在企业内部或许不算是重要商业秘密，但对其竞争对手来说就可能是重要情报，所以企业内部最好做到信息分散，一个人或一个部门不能知道全部流程或信息的全部内容。

（4）加强门禁管理和内部监控

门禁管理和内部监控对于科技和金融企业来说尤为重要，我国的金融企业在这方面建立了较完善的系统，重要部位均安装了较先进的设备如摄像探头、报警器等。企业应在重要会议室、存放重要资料或文件的场所安装相应设施；进入保密区域要凭证件或密码；涉及重要的商业秘密尽量少用甚至不用移动电话或网络联系。

（5）加强档案和信息管理

企业内部应制定文件与档案的保密密级，确定保密期限，加盖保密章，实行专人、专库、专柜保管，并规定借阅范围和手续。文件不需要时要统一集中销毁，有时商业秘密就是竞争对手从企业不经意丢弃的垃圾中翻出来的。在电子化办公形态下，企业应在内部电脑系统设立侦测监视系统，进入特别系统应有识别代号及密码，重要密码应定期更换。对任何非经授权即想进入电脑调查者，不但拒绝并应留下记录，可测出是由哪部电脑或终端机进入以追查可疑者。

2、企业对外经济活动中防范商业秘密泄露的措施

现代企业无时无刻不处于与其他企业的经济交往之中，由于企业自身防范意识不强造成商业秘密的流失，常常令企业有苦难言。

（1）谨防第三方泄密

第三方是指与竞争对手有往来的人员及企业，包括竞争对手的顾客、供应商、分销商、银行、咨询机构等。这些机构是重要的情报员，企业应谨慎与第三方打交道，尽量不选择与竞争对手有交叉往来的合作者。在必须选择的情况下，一定要与之签订严格的保密协议。

（2）严格审查对外信息的内容

企业由于宣传的需要会对外广告，或参加展览会等，对外宣传的内容体现了企业的市场目标和产品信息，因此一定要注意是否会泄漏有价值的情报。此外，企业在举行新闻会、技术交流会或接受媒体采访等过程中凡涉及商业秘密的内容，都要进行严格的审查。需要经常对外宣传的企业应建立新闻发言人制度。

（3）对参观访问者进行严格把关

我国企业在发展初期为谋求合作和投资，往往对参观考察者十分热情，对生产流程、工艺等信息介绍得过于细致。曾发生过来访者在参观企业时获得商业秘密的事件，给我国企业造成了不小的损失。因此，企业在接受参观访问时对来访者应有适当的限制，要求他们不得摄像、录音，也不得在无人陪同情况下游览，尽量避免参观带有企业秘密的场所和设施。

（4）对公开进行审查

很多专业人士为了证明在本领域的学术地位和专业威望，会在第一时间把自己最先进的研究成果通过的方式进行公开。但同时也意味着企业将无法再对该商业秘密有所有权。我国的“两步发酵法生产维生素C技术”曾经是一项极具有经济价值和实用价值的科研成果，但国内某学术期刊很快将这项技术的全部研制过程、细节、配方、剂量等以学术论文的方式发表出来，轻易就被同类企业掌握了，造成了不小的经济损失。新成果新技术研发后，除及时申请专利外，还应注意在公开材料中适当地有所保留。

（5）利用反竞争情报手段迷惑对手

个人信息泄露论文篇8

关键词：内幕交易利用泄露建议短线交易近年来，随着我国证券业的逐步发展，内幕交易犯罪也呈上升趋势，如果不加防范，将严重破坏 “公开、公平、公正”为原则的信息保密制度，扰乱证券市场的正常秩序，在少数内幕信息的知情人获取暴利的同时，让更多不知情的投资者遭受重大损失，最终的结果是投资者对证券市场失去了信心，导致了证券市场的一泻千里。刑法中的行为是犯罪的核心，因此，加强对内幕交易罪控制的关键在于对内幕交易行为的制约。然而，对于什么是内幕交易行为，理论和实践中仍有争议，我国《刑法》对内幕交易罪的规定也存在诸多问题，需要对其作进一步的分析研究。

一、内幕交易罪行为样态的范围

（一）内幕交易的含义

（二）广义的内幕交易行为与狭义的内幕交易行为

g），是指公司特定的内部人员在买入证券后，在短期内（通常限定为6个月）再行卖出；或在卖出证券后，再行买入的行为。短线交易完全符合上述内幕交易行为的特点，它是董事、监事、大股东等凭借其对公司的控制权投机取巧，不当利用内幕信息的欺诈性证券交易行为，最初对短线交易立法的目的也正是为了防止这种行为的发生，以维护投资大众对市场的信心和市场交易的公平。与狭义的内幕交易行为相比，控制短线交易是一种事前防范机制，它假定公司内幕人都会利用内幕信息进行投机性交易以牟利，采取无过错归责原则，避开了在指控中难以取证的问题。狭义的内幕交易行为，则要求证明行为人主观上明知其利用的信息是内幕信息，采取过错归责原则。由此可见，两者的主要差别只是对行为人主观过错的刑事证明要求上的不同，本质上并无区别，都是一种滥用内幕信息的交易行为，为各国证券立法所规范。因此，为了全面分析内幕交易行为样态，揭示其行为特点，本文采取广义的内幕交易行为说，将短线交易行为作为内幕交易的一种表现方式进行研究和探讨。

二、内幕交易罪行为样态的具体表现

（一）获取内幕信息的手段

1、第一类内幕人员的合法获知

2、第二类内幕人员的非法获取

（二）内幕交易的具体行为样态分析

1、我国内幕交易行为样态的现状分析

我国证监会公布处罚的内幕交易行为要素特征1993.10－2001.4（7）

案例简称行为主体行为类型内幕信息

1、华阳公司、龙岗公司案大股东短线交易公司收购

2、农行襄樊上证案证券公司利用公司收购

3、张家界旅游公司案上市公司利用送股协议

4、王川案上市公司高级管理人员利用公司收购

5、戴礼辉案上市公司高级管理人员利用公司重组

6、俞梦文案上市公司中级管理人员利用公司重组

7、轻骑集团案上市公司利用年度报告协议收购

8、南方证券、北大车行案证券公司、上市公司泄露利用增资配股重大投资

9、高法山案大股东高级管理人员利用协议收购

2、内幕交易行为样态的类型

（1）利用行为

这里需要探讨的是，如果行

为人在获知内幕信息后，本欲购买该公司证券却不再买入或者本打算抛出该证券却不再抛出，因此避免了可能遭受的损失，对这种不作为的行为应如何认定呢？我们认为，该行为不构成内幕交易的买卖行为。首先，内幕交易的买入或卖出是一种积极的行为方式，采取的是一种主动出击的姿态，而不买或不卖是一种消极的行为方式，其并未进入到交易领域；其次，行为人利用内幕信息进行交易，危害性不仅仅在于行为人违反了公平竞争的原则，获得不正当利益或使自己避免了损失，更重要的是破坏了证券交易的正常运行秩序，甚至引起价格和交易量的异常波动。而不买或不卖的行为只是行为人自己避免了可能遭受的损失，只存在受益人即行为人本身，证券市场并未受到不良影响。最后，从司法实践的角度来看，对不作为方式定罪的可行度较低，因为行为人没有买入或卖出证券的积极作为，很难判断其是否利用获知的内幕信息改变了投资的主观决定，证明难度较大。因此，内幕交易罪中的“利用”仅限于积极的证券交易行为。

（2）泄露内幕信息

（3）建议他人

“建议”行为是指行为人在其获知的内幕信息的基础上建议他人进行证券交易的行为，如提出交易时机、交易证券种类、交易证券的价位、交易量的大小等，他人根据其建议进行了相关证券的买入或卖出。从建议行为的行为特征来看，首先，区别于正当的证券交易咨询或推荐意见，虽然两者的行为要素都包括对证券市场的发展、变化的态势尤其是证券市场价格的走势进行判断、评论、对比、分析以及做出预言性的估价，但建议行为利用的是其掌握的未公开的内幕信息，而后者运用的是公开的信息和资料；其次，建议行为是一种纵使或促使他人进行相关证券交易的行为，被建议者或者根本没有交易证券的意图，或者没有交易该种证券的意图，或者在交易量和交易价格上不确定，行为人的建议起到鼓励、推动和指导的作用；最后，从建议行为导致的结果来看，是借他人之手进行证券交易的行为（当然，不排除建议者自己也交易行为），扩大了利用内幕信息进行证券交易的范围，对证券市场造成更加严重的破坏。

虽然学者们在建议的行为特征上达到了共识，但对于建议的内容是否要求将内幕信息的具体内容告知被建议者，却有不同的主张。如有的学者认为，建议的内容应包括内幕信息的内容。（9）有的学者则持否定意见，认为相当一部分内幕人员为规避法律，不是将内幕信息直接告诉其亲友，而是仅仅对其亲友所进行的证券交易行为提出倾向性意见，由于行为人职务或地位的特殊性，使得行为人根本无须说明其提出这一建议的理由，其亲友也是心领神会。（10）笔者赞成后一种观点。首先，知情人员利用已知的内幕信息，建议他人交易证券的行为落脚点不在于是否告诉被建议人内幕信息的具体内容，而在于行为人确实利用了内幕信息，而被建议人也确实按照其建议进入了证券交易领域，买入或卖出该证券，这样就构成了一个完整意义上的内幕交易行为。其次，从司法实践方面看，有些专业性较强的内幕信息对证券市场的影响往往需要一个认知的过程，被建议人即使得知内幕信息的具体内容，一时也很难做出判断。行为人常常是直接做出如何买入或卖出的明示或暗示的建议。因此，对于此类虽然没有明确告知内幕信息具体内容，但实质却与告知信息具体内容产生的结果无异的行为也应认定为内幕交易。

（4）短线交易

短线交易是一种推定的利用内幕信息在特定时期内进行证券交易的行为。其时间限制通常规定为6个月，这是由证券市场的信息消化能力和交易规律决定的，也与短线交易追求短期投机利益的性质有关。从各国对短线交易的规定来看，其行为特征主要包括以下三个方面。其一，构成短线交易的行为必须包括一组买进和卖出行为，即在6个月内，在两个时点上进行了两次方向相反的交易。买入和卖出两个行为缺一不可，必须同时具备。如果在法定时期内连续进行的交易方向相同，或者只有卖出或买入一个行为，均不可能构成短线交易。因此，有的学者认为，“我国的《证券法》第39条、第42条、第79条对短线交易主体范围和禁止期限等作了进一步规定。”是一种错误的理解。（13）我国《证券法》只有第42条才是对短线交易的规定，第39条和第79条规定的“不得买卖该种股票”是指行为人在法定期限内不得实施卖出或买入该种股票的任一行为，即包括对单向行为在内的交易行为的限制，并非我们这里所谈的对双向行为进行限制的短线交易。其二，短线交易的对象包括常规交易和非常规交易，前者是指以现金买卖股票的交易，后者是指以股票交换、债转股或公司合并等以换发新的股票。随着我国证券市场的发展，非常规交易方式将大量出现，因此需要突破将交易限于常规交易的传统观点，将交易面扩大到互换公司股票、可转换公司之债、公司合并并取得之股票、质押股票的出

售等范围。许多国家和地区短线交易的对象不仅包括集中交易市场交易的上市公司的股票，还包括场外交易的公司股票，这也代表了对短线交易的一种立法趋势。其三，短线交易过去因行为人的主体不同而有所区别，现在则趋向于同一。如早期的美国联邦最高法院认为，股东获取内幕信息的能力没有董事、监事、经理等高级管理人员强，因此要采取不同的标准，如果行为人是公司的董事、监事、经理等高级管理人员，只要在实施证券交易卖出或买入行为的任何一端时具有董事、监事、经理等高级管理人员资格和身份，就构成短线交易行为；如果行为人是公司的大股东，则要求在实施证券交易卖出或买入行为两端都具有大股东主体身份。但目前美国通过联邦立法推翻了最高法院的解释，统一了股东和董事、监事、经理等高级管理人员的认定标准，认为他们在进行该股票的买进和卖出时获取内幕信息的机会和能力并无差异，只要在交易的一端具有该类资格和身份，就构成短线交易行为。

三、结语

通过上述对内幕交易行为样态的分析，反思我国对内幕交易的立法，不得不遗憾地指出其中存在诸多问题。首先，我国《刑法》与《证券法》在内幕交易问题上的规定并未很好的协调和连接起来。我们认为，内幕交易有四种行为样态：利用、泄露、建议和短线交易，但是，在后两种行为样态上，两部法律的规定却有所不同：其一，在建议行为样态上，《证券法》183条作了明文规定，“构成犯罪的，依法追究刑事责任。”而《刑法》却没有相应的规定。虽然，在理论和司法实践中都趋向于把建议行为纳入内幕交易罪范畴，但在法无明文规定的情况下对建议行为作为犯罪处理有悖于刑法的罪行法定原则，缺乏应有的严谨性。其二，在短线交易问题上，《证券法》对短线交易行为严格限制，《刑法》同样未作任何规定。事实上，短线交易与其他三种内幕交易行为样态一样，都会破坏证券市场交易秩序，严重的将引起证券价格的异常波动，如果只对前三种行为规定为内幕交易罪，却不限制短线交易行为，这无疑会造成刑事立法上的缺漏。同时，《证券法》只规定了“归入权”，即“由此所得收益归该公司所有”，而未规定刑事责任。因此，需要在法律责任一章作相应的补充规定。其次，在短线交易问题上，《证券法》和《股票发行与交易管理暂行条例》对主体的规定并不相同，多数学者赞成《股票发行与交易管理暂行条例》将董事、监事、高级管理人员也纳入短线交易主体范围，认为《证券法》只规定持有公司5％以上股份的股东是一种立法上的后退。我们认为，短线交易之所以在主体上作特殊限制，关键是考虑交易人在进行该股票的买进与卖出或买进与卖出之间是否存在利用其职务或地位滥用其掌握的内幕信息进行交易的可能，只要行为人具备这样的可能，就是短线交易行为的主体。

通过上述分析，我们建议在内幕交易问题上，我国《刑法》与《证券法》的规定应达成一致。相应的法条宜作如下调整和修改：

一、《证券法》第42条将短线交易行为规定为“公司的董事、监事和高级管理人员以及持有公司5%以上股份的股东，将公司股票在买入后6个月内卖出或者卖出以后6个月买入，由此所得收益归该公司所有，公司董事会应当收回该股东所得收益。” 并在法律责任一章补充规定，短线交易“构成犯罪的，依法追究刑事责任”。

二、《刑法》第180条将“内幕交易、泄露内幕信息罪”的罪名修改为“内幕交易罪”，并作如下规定：

“证券、期货交易内幕信息的知情人员或者非法获取证券、期货交易内幕信息的人员，在涉及证券的发行，证券、期货交易或者其他对证券、期货交易价格有重大影响的信息尚未公开前，买入或者卖出该证券，或者从事于该内幕信息有关的期货交易，或者泄露该信息或者建议他人买卖该证券，情节严重的，处5年以下有期徒刑或者拘役，并处或者单处违法所得1倍以上5倍以下罚金；情节特别严重的，处5年以上10年以下有期徒刑，并处违法所得1倍以上5倍以下罚金。

公司的董事、监事和高级管理人员以及持有公司5%以上股份的股东，将公司股票在买入后6个月内卖出或者卖出以后6个月买入，情节严重的，处5年以下有期徒刑或者拘役，并处或者单处违法所得1倍以上5倍以下罚金；情节特别严重的，处5年以上10年以下有期徒刑，并处违法所得1倍以上5倍以下罚金。

个人信息泄露论文篇9

2011年12月，CSDN的安全系统遭到黑客攻击，600万用户的登录名、密码及邮箱遭到泄漏。随后，CSDN"密码外泄门"持续发酵，天涯、世纪佳缘等网站相继被曝用户数据遭泄密。天涯网于12月25日致歉信，称天涯4000万用户隐私遭到黑客泄露。此次失窃的只是密码集，用户只要及时修改密码即可避免隐私失窃，因此不用恐慌。但用户修改密码只是“治标”，网站改变数据存放策略才是“治本”。

2011年12月，CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库被曝光在网络上，由于部分密码以明文方式显示，导致大量网民受到隐私泄露的威胁。最早牵涉这一事件的CSDN已经报案，但围绕“谁是窃取曝光这些数据库”这一问题，网络上有诸多传言。

网友曝出CSDN的用户数据库被黑，600余万用户资料被泄露，CSDN官方随后证实了此事，称此数据库系2009年CSDN作为备份所用，目前尚未查明泄露原因。CSDN随后向用户发表了公开道歉信，并称已向公安机关报案，现有的2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。

目前可查的关于这一事件的最早披露者是来自于乌云安全问题反馈平台，12月29日下午消息，继CSDN、天涯社区用户数据泄露后，互联网行业一片人心惶惶，而在用户数据最为重要的电商领域，也不断传出存在漏洞、用户泄露的消息，漏洞报告平台乌云昨日漏洞报告称，支付宝用户大量泄露，被用于网络营销，泄露总量达1500万～2500万之多，泄露时间不明，里面只有支付用户的账号，没有密码。已经被卷入的企业有京东(微博)商城、支付宝(微博)和当当(微博)网，其中京东及支付宝否认信息泄露，而当当则表示已经向当地公安报案。

如家、七天开房信息泄密

2013年10月，如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。据《新京报》2013年10月20日报道，10月18日，实名认证的新浪微博账户@股社区了一个名为“查开房”的网址。只需输入姓名或身份证号，即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。

事发一周前，国内安全漏洞监测平台乌云(WooYun.org)报告，称多家酒店开房记录被无线上网认证管理系统供应商——浙江慧达驿站网络有限公司存储，并因系统有漏洞而存在泄露隐患。慧达驿站公司确认曾存在漏洞并已修复，并称未造成开房记录等住客个人信息泄露。

棱镜门事件：美国政府窥探着全世界的一切

据美国中情局前职员爱德华·斯诺登爆料：“棱镜”窃听计划开始于2007年的小布什时期，美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节，其中包括两个秘密监视项目：一、监视、监听民众电话的通话记录;二、监视民众的网络活动。在斯诺登的爆料里，谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司遭到参与间谍行为的指控，这些公司涉嫌向美国国家安全局开放其服务器，使政府能轻而易举地监控全球上百万网民的邮件、即时通话及存取的数据。随后，这些企业极力否认这一罪名。但到了6月14日，Facebook、微软两公司首次承认，美国政府确曾向它们索要用户数据，并公布了部分资料数据内容，以期尽早摆脱“棱镜门”泥淖。

“棱镜泄密门事件”这个关乎所有网名隐私的事件，一时在世界范围内“炸开”，引起了世界范围的广泛关注。作为“影片”的主角，美国中央情报局前雇员爱德华?斯诺登不但让美国政府坐立不安，他所透露出的很多信息同样让我国网络信息产业担忧!——据斯诺登称，借助棱镜项目，美国国家安全局一直通过路由器等设备监控中国网络和电脑，而其背后，正是借助通信设备控制了互联网八成流量的思科公司。

I黑马认为，上面到的泄密事件只是冰山一件，下面的将会更加触目惊心以下据大洋网-广州日报：

网站公然叫卖用户账号密码500元买百万条密码

神秘的“社工库”网站：个人账号密码可随时查询买卖用户账号和密码，一直以来都在地下秘密流通，不过，社工库网站却公开在互联网上做起了生意。为证明自己是国内掌握用户账号密码最多最全的网站，招揽生意，这个网站专门提供一种测试自己的账号和密码是否被盗的服务。

在网站的查询栏里输入自己的邮箱地址，然后按“查询”，就可以测试密码是否被盗。本报记者也使用了的邮箱账号进行查询，赫然发现不仅自己的邮箱密码被盗，连很久之前使用过的论坛账号也未能幸免。

有网友表示，自己在输入“126”邮箱账号进行查询之后，然后用网站反馈的检索码进行检索，发现邮箱账号已经在页面上显现出来——说明已经被盗了!通过多次测试，证明了这家网站的广告所言非虚。

有网络安全工作人员担心，因为这个网站是开放的，谁都可以进行查询，所以个人信息，很容易通过这个网站泄露。

社工库网站的主要业务，就是销售自己掌握的他人的账号和密码信息，而且公开兜售，只要给钱就卖。记者通过QQ与社工库的负责人取得了联系，对方开价500元就可以买到100万条密码，包月是100元，包年则是1000元，包月和包年都能享受的服务是单次查询账号和密码。当记者对账号和密码的真实性提出质疑时，对方却回答，爱信不信，很多人都在买。

有网络界人士称，以往这种交易都是隐蔽进行，直接公开叫卖的这还是第一起。

那些人盗取他人账号和密码，究竟意欲何为?有业内人士分析，他们盗取他人微博账号后发言，一是可以逃避自己发表非法言论的法律责任，二是利用微博名人的影响力，发放广告谋利。

记者从网络安全公司了解到，目前所有的微博账号都是用邮箱注册，而且绝大多数网民为了记忆方便，不论是在邮箱、微博、论坛还是其他一些账号中，都习惯性地使用了相同的密码，网络安全工程师表示，微博账号被他人窃取，并非都是黑客直接去破解微博账号，而是通过第三方途径获得的。

网络工程师万仁国告诉记者，有很多包括一些论坛在内的网站，用户们基本上都会习惯性地用一个账号和密码去注册所有的网站，但是这些论坛和网站的安全性不一样，有些小网站和小论坛的安全性得不到保障，黑客很容易通过各种漏洞进而获取这个网站的权限，再将用户名和密码偷回来，偷回来之后，他就可以尝试用这个账号和密码去登录一些比较重要的账号，比如像微博、支付宝和淘宝之类的，然后再从事一些违法犯罪的事情。

除此之外类似于基本的社交工具QQ密码被盗也是导致安全的重大隐患来源，黑马哥打开百度搜索，QQ密码被盗导致的被骗事件层出不穷，少则被盗后被骗数千元，多则有数万之多，为此腾讯创始人马化腾马化腾深圳提议案呼吁立法监管网络信息安全：马化腾此次在议案中也拟订了一份《网络信息安全保护条例(草案)》，对此前所列举的各种违法犯罪行为均一一对应了需要承担的法律责任。如实施非法破坏他人网络、非法侵入他人网络行为的，他提出，应由有关行政管理部门在各自的职权范围内处十万元以上，五十万元以下罚款。造成严重后果，构成犯罪的，有国家司法机关依照刑法有有关规定追究刑事责任;尚不构成犯罪，违反社会治安管理，由公安机关依照治安管理处罚法予以处罚。

个人信息泄露论文篇10

来自内部的信息泄露

难道信息泄密真的是防不胜防吗？又或者是我们在信息安全体系建设上出现了没有被注意到的“盲点”？让我们来看看下面两个案例。

案例一：一名被美国Gucci解雇的网络工程师，因为对公司做法感到不忿，以及想要炫耀自己的才能，多番入侵Gucci的电脑系统，干扰网络的运作，关闭服务器及删除内存资料，使得Gucci的电脑系统瘫痪，网上购物平台也不能运作。他目前被控50项入侵电脑、身分盗窃、制造虚假商业记录等罪名，一经定罪最高可面对15年监禁。

案例二：某大型企业研发中心发现某国外竞争对手领先一步完成了产品的设计开发，该研发中心领导一下就蒙了。产品的设计开发可是该企业的重大研发项目，该企业想依托A产品完成产品线的转换，大笔资金投入到该项目，众多研发人员也付出了艰辛的劳动。企业在项目立项及开发过程中，还从未听说有哪家单位也在进行A产品的开发，为什么竞争对手开发速度如此之快？

经过检查，公安部门初步判定为内部人员泄密，但是要查出是谁将资料泄密，难度太大。最终企业也只能对研发中心领导进行降职处罚，该企业付出的1000余万元研发费用、众多研发人员的辛勤劳动全部付诸东流。

在案例一中，Gucci作为世界知名的大型企业，因为一名被解雇的网络工程师，导致一片混乱。作为一家知名的创意性公司，Gucci非常注意对自己公司内部商业信息的保护，必然采用了众多的手段，防护外部入侵。然而，一名普通的网络工程师，仅仅通过职务之便，利用虚假的员工资料设立了一个账号，便做到了畅通无阻地入侵Gucci的网络。虽然，这次的泄露事件并没有带给Gucci多么巨大的损失。但是，我们假设，当这位工程师在成功进入Gucci公司网络后，并不是将公司文件删除，而是转移或者拷贝复制，最后通过其他途径将这些信息外泄出去，后果将如何？

这不由引人深思：当我们通过IDS、UTM、防火墙等等防护技术，为企业构建起一个牢固的“外壳”的时候，我们的核心信息就已经安全了吗？

再看第二个案例，某大型企业研发中心，因为内部人员泄密，付出了1000余万元研发费用、众多研发人员辛勤劳动全部付诸东流的惨痛代价。公安部门技术人员到达现场后发现的问题，充分地表现出了该企业的信息防护体系是多么的脆弱与混乱，而这，也正是国内大多数企业所常见的现状。

综合上面两个案例，我们可以发现，无论是国外的知名企业，还是国内的大型公司，他们都明显忽略了一个问题――来自公司内部的泄露风险。“事实上，对于企业来说，它们最关注的不应该是系统有没有遭到了入侵，而应该是在系统中存放的数据和信息有没有被盗取，有没有被篡改，或者说是不是已经被破坏掉了，这才是重点。”核心数据才是企业最应该关注的地方。所以能够直接接触核心信息的员工，才最有可能带给公司最大的损害。然而，对于内部员工的管理，因为目前办公均为电子化办公，需要使用大量电子信息，包括技术资料、客户信息等关键数据，数量庞大，流转速度又非常迅速，仅仅通过管理手段与规章约束，可以说根本就无法起到实际性的效果。

同时案例二又体现出另外一个问题。信息一旦泄露根本无法追查，在实际的诉讼过程中取证也成为最大的问题，因为无法取证，或证据效力不够，导致许多企业只能吃哑巴亏。

信息防泄露是企业信息安全的“补天石”

面对以上出现的信息安全问题，我们不禁要问：企业要如何进行有效的防护呢？这个问题其实早就已答案。那就是一直服务于国家秘密信息保密一线的信息防泄漏行业。

信息防泄漏行业起步于2002年左右，最早的一批厂商都不是专门做信息防泄漏的，如中软、汉邦等，均是有一个部门或一个业务单元来做，但也有专门做信息防泄漏的企业，如鼎普等。发展到现在，信息防泄漏的技术已经较为成熟，通过一系列的国家政策规定与市场选择淘汰，已有一大批的产品诞生并被使用。

目前中国信息防泄漏企业，主要的服务对象还是国家单位，遵照的主要还是国家政策。所有的产品都倾向于用高度安全性、适当高效性的原则设计与生产。所以所有的信息防泄漏产品的特点都是但是使用方便性相对较低，同时因符合国家政策并完全满足国家单位的要求，具有极高的安全性。

随着中国的企业正在由中国制造向中国创造转变，企业内部如客户资料、营销方案、财务报表、研发数据等信息资产对于自身来说重要性越来越大。这些知识产权甚至是核心竞争力所在，一旦外泄后果不堪设想。与此同时，企业内部的IT应用不断增多，企业对于IT的依赖性加强，这就导致信息外泄的渠道也大大增多，安全风险无处不在。使得企业对于自身信息安全有了更加高的要求。这也促使中国信息防泄漏这一行业渐渐浮现于广大普通的公司企业的面前。一些专业从事信息防泄漏的企业例如鼎普、亿赛通等厂商也开始为一般民用客户服务，使普通企业也能享受到部级的保密安全防护水平。

长期服务于国家机构、军工单位的信息防泄漏行业，针对内网安全、内部信息防泄密等问题进行了深入的研究，已经形成成熟的防护体系，将内部信息泄露的途径进行了划分，例如网络途径，存储途径，端口外设途径、打印途径、电磁发射途径等。并且，这一行业从信息系统安全基本要素的角度出发，针对网络安全、主机安全、介质安全、数据与应用安全、网络安全隔离与信息交换等5个方面，研发出以终端防护为目的、阻止核心信息外泄为核心，综合解决内网终端、用户行为、网络通信、应用系统、数据库面临的安全隐患问题全面稳定的系列产品。