【科技日報】北理工教師就“互聯(lián)網(wǎng)數(shù)據(jù)保護”發(fā)表觀點
發(fā)布日期:2018-01-26 供稿:科技日報 編輯:辛嘉洋 審核:包麗穎 閱讀次數(shù):
原文標(biāo)題:刪得掉的APP 刪不掉的注冊信息
原文鏈接:http://digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2018-01/24/content_387143.htm?div=-1
小王這幾天有點煩,。他想注銷掉一款A(yù)PP,,卻發(fā)現(xiàn)怎么也注銷不掉。“賬戶信息被永久保存在這個APP里,,很擔(dān)心個人隱私會被泄露出去,?!毙⊥跽f,。
像小王這樣的人不在少數(shù)。生活中,,各種各樣的APP在給人們帶來便利的同時,,也平添了不少煩惱,。這些刪不掉的信息是否會造成安全隱患?
注銷賬戶不等于用戶信息被清除
“用戶因生活,、工作等日常需要,,會注冊很多手機APP賬戶。但在注銷賬戶時,,時常會碰到難題,,‘進門容易出門難’的問題一直沒有解決?!?月21日,,北京理工大學(xué)軟件安全研究所副所長閆懷志在接受科技日報記者采訪時說。
用戶注銷APP難,,究其原因,,閆懷志分析,出于留住用戶目的,,平臺可能不愿提供注銷選項,。有的APP平臺雖然提供注銷選項,但注銷流程繁復(fù),。比如,,注銷有些APP,需要在特定時間段內(nèi)沒有修改綁定,、更換密碼以及敏感操作等,。
其次,,有的APP平臺出于安全考慮(如淘寶APP),,設(shè)置了較為苛刻的注銷條件,注銷門檻很高,。只有在確認注銷操作為用戶的真實意愿且不會產(chǎn)生安全問題和商業(yè)糾紛時,,平臺才允許用戶注銷。
閆懷志表示,,用戶注銷APP后,,平臺有可能會留存兩類信息:一是用戶注冊信息,如用戶名,、密碼,、身份證號、手機號,、郵箱等基本信息,;二是用戶的歷史操作信息。比如,,用戶的訪問信息,、消費信息及支付信息等,。
“需要指出的是,即便用戶成功注銷了APP賬戶,,也只是從用戶側(cè)實現(xiàn)了信息的‘偽消除’,。如果想徹底消除這些信息,還要依靠APP平臺自身,?!遍Z懷志強調(diào)。
用戶信息多存于后臺數(shù)據(jù)庫
既然很難徹底清除,,那這些信息又會被保存在哪兒,?
對此,閆懷志介紹,,用戶的注冊信息和歷史操作信息大多會被保存在APP后臺數(shù)據(jù)庫,。具體而言,信息既可能被保存在平臺運營商自己的數(shù)據(jù)中心或私有云中,,也可能被保存在公有云中,。此外,平臺還可能將這些信息進行備份,。
“與傳統(tǒng)數(shù)據(jù)中心的存儲方式不同,,APP平臺使用的云存儲涉及到網(wǎng)絡(luò)設(shè)備、存儲設(shè)備,、計算設(shè)備,、接口設(shè)備等諸多軟硬件系統(tǒng),其核心是存儲設(shè)備,?!遍Z懷志說,通常用戶資料被保存在云存儲設(shè)備,,管理這一設(shè)備的是云服務(wù)提供商,。負責(zé)云存儲安全的不僅有云服務(wù)提供商,還有租用云存儲服務(wù)的APP平臺運營商,。
當(dāng)前,,云計算服務(wù)一般有三種模式,即SaaS,、PaaS和IaaS,。SaaS(Software as a service)意為軟件即服務(wù),PaaS(Platform as a Service)意為平臺即服務(wù),,IaaS(Infrastructure as a Service)意為基礎(chǔ)設(shè)施即服務(wù),。
“在上述三種服務(wù)模式中,云服務(wù)提供商和APP平臺運營商對云計算資源的控制范圍是不同的?!遍Z懷志說,,這就決定了雙方承擔(dān)的責(zé)任是不同的,云服務(wù)商因完全控制云計算的設(shè)施層(物理環(huán)境),、硬件層(物理設(shè)備)和控制層,,因而應(yīng)對此承擔(dān)完全的安全責(zé)任。應(yīng)用軟件層,、軟件平臺層,、虛擬化計算資源層的安全責(zé)任則由云服務(wù)提供商和APP平臺運營商共同承擔(dān)。
信息清除不復(fù)雜 關(guān)鍵看APP運營商
“客觀來講,,由于云平臺的重要性,,云服務(wù)提供商一般會在虛擬化安全、數(shù)據(jù)安全,、應(yīng)用安全以及管理安全等方面采取措施,,以此保障云存儲的系統(tǒng)安全性?!遍Z懷志說,。
閆懷志認為,云平臺數(shù)據(jù)存儲的安全保護工作是一項系統(tǒng)工程,,它涉及云計算系統(tǒng)物理和環(huán)境安全,、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全及應(yīng)用和數(shù)據(jù)安全,。我國即將出臺《網(wǎng)絡(luò)安全等級保護2.0標(biāo)準》,,該標(biāo)準對云計算安全提出了擴展要求。APP平臺運營商如果租用云存儲設(shè)備存儲數(shù)據(jù),,也要按照相關(guān)要求承擔(dān)相應(yīng)的安全責(zé)任,。
其實,在賬戶被注銷后,,想要刪除存儲在APP平臺的注冊信息和歷史操作信息,,這一操作在技術(shù)上實現(xiàn)起來并不復(fù)雜。
“但問題在于,,APP平臺運營商有無動力和意愿去刪除這些信息。對于普通用戶來說,,幾乎沒有渠道和能力來控制,。因此,必須依靠法律法規(guī)和制度,,從政府監(jiān)管層面來解決賬戶注銷和信息清除問題,。”閆懷志說,。
的確,,工信部賽迪網(wǎng)絡(luò)安全研究所所長劉權(quán)曾表示,,國內(nèi)90%的安卓手機安裝的APP都存在漏洞。
數(shù)據(jù)保護應(yīng)有規(guī)可依,、有規(guī)必依
在我國,,公民個人信息泄露已成頑疾。業(yè)界普遍認為,,我國尚未施行針對數(shù)據(jù)保護的綜合性立法,,而且現(xiàn)有涉及數(shù)據(jù)保護的法律法規(guī)和標(biāo)準的操作性不強。與國際先進水平相比,,尚存在一定的差距,,尤其是在體系化、覆蓋面,、深度與有效性方面差距更為明顯,。
在閆懷志看來,想要切實保障數(shù)據(jù)安全,,就必須構(gòu)建起完善的安全保障體系,。而安全保障體系的建立,離不開信息安全法規(guī)和標(biāo)準的支持,。因此,,在數(shù)據(jù)保護領(lǐng)域,法律法規(guī)和標(biāo)準至關(guān)重要,。有關(guān)數(shù)據(jù)保護的法律法規(guī)問題涉及面很廣,,它涉及到信息安全犯罪和信息隱私等問題,需要從立法,、司法等層面,,逐步建立并完善針對上述問題的防控措施,以保障網(wǎng)絡(luò)空間的數(shù)據(jù)安全,。
“從數(shù)據(jù)保護的實踐上來說,,一要加快推進相關(guān)法律、法規(guī)及標(biāo)準的出臺,,做到有規(guī)可依,、有規(guī)必依?!遍Z懷志說,。
好在這種局面正在發(fā)生改變。1月12日,,工信部就個人信息保護問題約談百度,、支付寶及今日頭條三家企業(yè),要求其本著充分保障用戶知情權(quán)和選擇權(quán)的原則立即進行整改,不得收集服務(wù)所必需以外的用戶個人信息,,不得將信息用于提供服務(wù)之外的目的,,不得非法向他人出售或提供個人信息等。
閆懷志表示,,在數(shù)據(jù)保護領(lǐng)域,,可借鑒歐盟將于2018年生效的《通用數(shù)據(jù)保護條例》。同時,,要加強合理運用安全技術(shù)的能力,,化解數(shù)據(jù)“開放共享”與“隱私保護”這對突出矛盾。此外,,要加強相關(guān)的監(jiān)管工作,,切實提高用戶的安全意識和系統(tǒng)的安全防護水平,做到事前能預(yù)防,、事發(fā)有反制,、事后能補救。
(文章來源:《科技日報》2018年1月24日 08版IT空間)
分享到:
