網路、網頁和資訊基礎設施/病毒、隱私和安全

網路、網頁和資訊基礎設施

前言 — 介紹 — 進入網路 — 病毒、隱私和安全 — 進一步閱讀 — 註釋 — 詞彙表 — 致謝 — 關於作者

什麼是病毒？

PCWebopedia (http://www.webopedia.com) 將計算機病毒定義為“在您不知情的情況下載入到您的計算機上並違背您的意願執行的程式或程式碼片段。病毒還可以自我複製。”

術語病毒已成為所有惡意計算機程式的總稱。嚴格來說，病毒是一種電子感染。最常見的感染形式是電子郵件病毒、蠕蟲和木馬程式。

電子郵件病毒在電子郵件中傳播，通常透過自動將自身傳送到受害者電子郵件地址簿中的地址來複制。

蠕蟲透過安全漏洞滲透到現有的計算機網路。它使用網路掃描其他可能駐留和複製自身的計算機。

木馬程式是一種聲稱執行一項操作的計算機程式（例如，它聲稱是一個遊戲），而執行其他使用者不知情的操作（例如，將檔案複製併發送到另一臺計算機）。木馬程式通常不會自動複製。它們的活動範圍可能包括刪除或修改檔案、傳送電子郵件或透過網際網路傳送私人資訊。

為什麼病毒爆發會讓公司損失金錢？

以下是病毒爆發增加公司支出的幾種方式

計算機故障。病毒能夠透過刪除或更改重要檔案來使計算機癱瘓。它們會堵塞網路，導致合法計算任務延遲。這會降低生產力。

需要清除病毒。當計算機感染病毒時，需要 IT 人員的專業知識才能清除病毒。一些公司會聘請 IT 專家來清除病毒。其他公司選擇僱用全職人員來解決問題並保護他們的系統免受病毒爆發的影響。

資料丟失/資料恢復。在某些情況下，資料會因病毒爆發而丟失。這些資料將需要重新構建或重新收集。

安全措施。公司將部分 IT 預算用於防止病毒汙染其網路。這意味著投資反病毒和其他安全軟體或硬體。

技術如何預防病毒爆發？

透過結合良好的反病毒軟體和良好的使用者習慣，可以預防病毒感染。

病毒掃描 - 掃描是指檢查計算機資料以檢視是否存在病毒。一些掃描軟體會在資料被引入計算機時對其進行檢查。

常識 - 防禦病毒的最有效方法是使用者使用計算機的習慣。例如，使用者不應該在沒有掃描病毒的情況下下載電子郵件附件。

病毒修復 - 病毒修復在受感染的計算機上執行，以修復由病毒造成的任何損壞。病毒修復是研究病毒對計算機影響的結果。因此，病毒修復的本質是，只有在報告了新的病毒後才能使用。

什麼是 Cookie？

在網際網路領域，Cookie 是網站儲存在使用者計算機上的資訊。它包含網站可以在使用者重新訪問網站時檢索的資訊。在使用者後續訪問期間，網站的外觀會根據 Cookie “記住”的資訊進行調整。（嚴格來說，因為 Cookie 儲存在計算機中，所以網站“記住”的是計算機而不是使用者。）

Cookie 的工作原理就像醫生將資料輸入患者的卡片一樣。當患者回到醫生那裡時，有關患者上次訪問的資訊可以幫助醫生更好地為患者提供服務。

Cookie 中儲存了哪些資訊？

Cookie 可以儲存登入資訊，以便使用者無需每次返回網站時都輸入這些資訊。Cookie 還可以透過使用者訪問的網站順序、使用者提交的資訊或使用者選擇檢視的主題來確定特定使用者的興趣。Cookie 還可以儲存有關正在進行的交易的資料，以便在以後繼續進行交易。

例如，線上購物者阿米拉去一家線上書店（如 Amazon.com）購買一本關於貓王的書。阿米拉將有一個虛擬購物車，她可以在其中儲存與貓王相關的書籍。Cookie 用於儲存購物車的資料。使用 Cookie，網站還可以推薦貓王的 CD 或電影。阿米拉可能會看到關於其他熱門 70 年代唱片專輯或包含貓王博物館之旅或出售貓王紀念品的網站的廣告。這些都是基於 Cookie 對阿米拉對貓王的興趣的感知，如她對貓王書籍的搜尋所示。最後，如果阿米拉選擇推遲購買，Cookie 會儲存資料，以便當她回來繼續購物時，她之前留在虛擬購物車中的書籍或其他商品仍然在那裡。

Cookie 如何構成隱私洩露？

Cookie 收集資訊以幫助為使用者提供便利。但是，當資訊可以直接識別特定人員並用於除使用者方便以外的其他目的時，就可能構成隱私洩露。

回到餅乾作為病人卡片的類比，如果醫生開始向第三方（例如，醫療保險公司或製藥公司）洩露有關病人的資訊，則該人的隱私將受到損害。在 Almira 的案例中，當線上書店收集的資訊被出售給其他供應商時，她的隱私就會被侵犯。

當網站沒有告知使用者關於儲存在 Cookie 中的資訊型別以及如何使用這些資訊時，就會發生隱私洩露。

Cookie 能“讀取”電腦中的其他檔案嗎？

不，Cookie 無法訪問個人電腦中的檔案。Cookie 也無法傳播病毒。Cookie 唯一可以訪問的資訊是使用者已公開的資訊，例如姓名、地址和信用卡號碼。網站的隱私政策與這裡相關。在隱私宣告中，網站應說明它們如何處理網站與其訪問者計算機之間交換的資訊。

什麼是隱私政策？為什麼它很重要？

隱私政策是網站或公司釋出的宣告，告知訪問者關於網站收集的資訊型別以及如何使用這些資訊。它說明了網站如何保護訪問者的隱私。

根據 Forrester Research, Inc. 的一項研究，90% 的網站未能遵守基本的隱私原則。^[9] 此外，絕大多數此類政策使用含糊不清的術語和法律術語，這些術語旨在保護公司而不是個人。研究表明，只有約 10% 的被研究公司充分解決了使用者的基本隱私問題。

政府應該如何處理網路隱私問題？

解決隱私問題有四種通用方法：自由放任、自我監管、技術和立法/政府。

自由放任或“不干預”是指政府無需監管市場的原則，因為市場受到“看不見的手”的引導，從而實現供求關係的最佳平衡。線上隱私方面，自由放任方法指出，如果人們真的擔心自己的隱私，他們只會訪問具有明確定義的隱私政策的網站。如果作為結果，沒有或沒有充分隱私政策的網站的點選次數實際上減少了，這種發展將促使這些網站改善線上隱私。在這種情況下，消費者行為決定了消費者獲得的隱私保護水平。

行業自我監管是指行業部門之間在適當的隱私政策方面進行合作和達成協議。該政策將基於行業專家的建議，以平衡企業和消費者的需求。行業自我監管的實施工具包括印章計劃、行業指南和隱私組織。

例如，全球資訊網聯盟 (W3C；www.w3c.org) 開發了一個名為隱私偏好專案平臺 (P3P) 的隱私標準。W3C 的建立是為了幫助實現網路的全部潛力，方法是開發通用的協議，促進其發展並確保其互操作性。簡單地說，P3P 允許使用者宣告一組自定義的隱私規則。這些規則將用於確定網站是否具有可接受的隱私政策。基於 P3P 的軟體將幫助使用者確定當網站的隱私政策不符合使用者的隱私規則時要採取的行動。

技術是個人、企業和利益集團可以採用的解決方案。許多技術解決方案涉及與瀏覽器配合使用，瀏覽器會告知使用者所訪問網站所遵循的隱私級別。

框 3. P3P 工具示例

AT&T 的 Privacy Bird http://privacybird.com

P3P 演示網站 http://p3p.jrc.it/modelsite/index.php

P3P 工具箱 http://www.p3ptoolbox.org/

技術和行業標準已成為隱私問題的互補解決方案。例如，有一些基於 P3P 標準開發的工具可以自動查詢網站的隱私宣告。如果網站的隱私政策符合使用者指定的標準，則繼續瀏覽網站。否則，系統會將網站提供的隱私保護級別告知使用者。所有這些都是透過嵌入機器可讀程式碼來完成的，這些程式碼由 P3P 工具讀取，從而最大限度地減少使用者的干預。獨立於 W3C 的公司正在開發工具，這鼓勵私營公司開發能夠使用 P3P 的軟體。

政府有時會在保護網際網路上的隱私方面發揮積極作用。例如，韓國一直警惕地保護公民隱私，於 2001 年頒佈了“資訊基礎設施保護法”和“資訊通訊網路利用促進與資料保護法”。^[10]

已經頒佈了哪些型別的隱私立法？

對 15 個司法管轄區^[11] 的隱私法的研究表明以下內容

11 個司法管轄區對跨境資料傳輸實施限制。只有巴西、俄羅斯和美國沒有。中國法律沒有涉及跨境資料傳輸。

12 個司法管轄區擁有現有的或擬議中的法律，這些法律同時處理傳統隱私和資料保護。日本和瑞典的隱私法主要側重於資料保護。

大多數司法管轄區要求向資料主體告知正在收集資料及其用途，資料主體對收集和使用資料進行某種形式的同意，保護資料主體訪問資料的權利，以及資料控制者維護資料安全。

除了澳大利亞、香港和日本以外的所有司法管轄區，資料主體都可以提起訴訟以執行隱私法。

在調查的 13 個司法管轄區，違反隱私法可能會構成刑事犯罪。

框 4. 美國的公平資訊實踐和經合組織

美國和經濟合作與發展組織 (OECD) 擁有自己的公平資訊實踐版本。

在美國，聯邦貿易委員會已將公平資訊實踐的主要要素總結為五類：通知、選擇、訪問、安全和聯絡。

通知 - 告知個人確切收集了哪些資訊，如何收集這些資訊，如何使用這些資訊以及與誰共享這些資訊。

選擇 - 允許消費者對他們資料的使用進行控制（例如，是否加入或排除在電子通訊或營銷活動之外）。

訪問 - 允許個人檢視已收集的有關他們的資訊。它還賦予個人更正或刪除不準確資訊的權利。

安全 - 要求資料收集者在傳輸和儲存期間保護他們收集的資訊。

聯絡 - 要求資訊收集者向個人提供可靠的聯絡資訊。

經合組織擴充套件了這些原則，採納了一套八項公平資訊實踐。另外三項原則是目的具體化、使用限制和個人參與。

目的具體化 - 收集個人資料的目的應不遲於資料收集時指定。

使用限制 - 資料收集者有義務對任何個人資訊保密，除非在獲得個人同意或法律授權的情況下披露。

個人參與 - 個人有權獲得有關資料存在的確認，請求訪問，質疑資料，並要求刪除、更正、補充或修改資料。

來源：Jared Straus 和 Ken Rogerson，“美國和歐盟的線上隱私政策”，監管網際網路：歐盟與美國視角 [主頁線上]；可從 http://jsis.artsci.washington.edu/ programs/europe/Netconference/Strauss-RogersonPaper.htm 訪問；訪問日期為 2002 年 9 月 4 日。

James S. Huggins，“經合組織隱私 - 個人資料隱私走向國際化”，James S. Huggins 的冰箱門 [主頁線上]；可從 http://www.jamesshuggins.com/h/bas1/oecd_privacy_d.htm 訪問；訪問日期為 2002 年 9 月 4 日。

網際網路上的安全問題是什麼？

CERT 協調中心 (CERT/CC；http://www.cert.org) 是網際網路安全專業知識中心，它建議攻擊工具速度和複雜性不斷提高、漏洞發現速度更快以及防火牆滲透性不斷提高是與網際網路安全相關的重大趨勢。^[12]

值得注意的是，基礎設施攻擊的威脅越來越大。基礎設施攻擊主要有四種類型。第一種是拒絕服務 (DoS) 攻擊，惡意攻擊導致的網路流量過載，使合法使用者無法使用網路。第二種攻擊是透過蠕蟲，蠕蟲是自我複製的惡意程式碼，例如“Code Red”、“Nimda”和“Klez”。“Code Red”蠕蟲在短短九個小時內感染了超過 250,000 個系統。第三，對網際網路域名系統 (DNS) 的攻擊會導致網站無法訪問、破壞合法網站或將網站流量重定向到攻擊者的網站。政府和軍方網站是此類攻擊的常見目標。第四種攻擊包括針對路由器或利用路由器的攻擊。對路由器的攻擊會導致資訊被擷取或資訊傳遞速度變慢。

可以採取哪些措施來防止計算機破解和其他安全漏洞？

針對破解威脅，有三種應對措施：技術、人員和政策。

技術進步不斷提高計算機系統的安全性。軟體和硬體正在開發以防止計算機入侵。可以實施的應對措施包括安全的 DSL 連線、安裝個人防火牆、安裝防病毒軟體、安全的電子郵件實踐以及定期備份。

但技術只在下一個破解者發現另一個安全漏洞之前有效。因此，人員（安全專家、程式設計師、管理員）能夠有效地監控系統非常重要。尤其是當計算機、網路或伺服器包含敏感資訊時，專家必須保護系統的安全性。

最後，懲罰破解者的政策很重要。最近，網路犯罪的新法律已接受考驗。立法者正在瞭解法律是否有效地解決網路犯罪。在網路法入門中閱讀有關此主題的更多內容。

定義

駭客 - 指計算機愛好者，即喜歡學習程式語言和計算機系統，並且通常被認為是該主題（或主題）的專家的人。

破解者 - 指為竊取和破壞資料而未經授權訪問計算機系統的人。

“駭客”和“破解者”這兩個詞被錯誤地互換使用。但駭客堅持認為，他們有一套嚴格的行為準則，限制他們只進行不造成傷害且非惡意意圖的行為。

來源：Webopedia.com

方框 5. 韓國資訊安全局

韓國資訊安全局 (KISA) 成立於 1996 年，旨在有效應對各種電子侵權和入侵行為，從而營造安全可靠的資訊傳播環境。KISA 致力於透過開發和提供加密演算法（包括 SEED 和 KCDSA）來增強電子交易的安全性與可靠性。此外，KISA 還透過 IT 安全系統評估、資訊安全教育和公眾意識宣傳以及資訊安全政策和立法框架研究，引領韓國資訊安全的發展。

隨著 2001 年 7 月《資訊基礎設施保護法》和《促進資訊通訊網路利用和資料保護法》的生效，KISA 獲得了更多職責，例如分析和評估關鍵資訊基礎設施的漏洞、IT 安全系統認證以及個人資訊調解委員會秘書處的運作。

韓國資訊安全局，“關於韓國資訊安全局”，KISA [主頁線上]；可從 http://www.kisa.or.kr/english/about_kisa_01.html 獲取；訪問日期：2002 年 9 月 18 日。

網路世界中，國家安全與公民隱私之間是否存在衝突？

挑戰在於保護公民在網路上的隱私，同時不損害國家審查可能威脅國家安全的文件和傳輸的權利。美國 911 恐怖襲擊為國家安全與公民隱私辯論帶來了新的視角。一方面，保護個人隱私的呼聲不斷高漲。另一方面，各國政府（尤其是美國政府）已經將資訊科技作為打擊恐怖主義的工具。

在 911 襲擊之前的幾年裡，金融機構開發了用於保護直郵、信用卡優惠和其他型別的目標營銷的系統。^[13] 其他系統專門針對洗錢活動的檢測。這涉及從各種金融機構收集數百萬筆交易，並識別出看起來可疑的趨勢。這種金融機構之間資訊的共享被放棄，因為許多人認為這侵犯了隱私。然而，在 911 襲擊之後，“一些專家認為，政府代表對消費者的審查正在變得更加深入”。^[14]