位置定位服务与隐私保护

移动化成了我们工作和生活的一部分,基于位置的服务LBS可增强移动化的体验,所以为越来越多的移动应用程序所请求,不过它也带来一些安全及隐私的顾虑,您了解启用它的安全风险么?

使用位置定位服务的安全需知

  • 保护个人隐私,关闭不必要的位置定位服务,在使用移动应用程序时,小心分享自己的位置信息。
  • 启用带有定位服务的应用程序会严重缩短电池的使用寿命和时间,也会向不怀好意的人暴露您的行踪,您的地理位置信息可能让服务商向您推送定向广告,也可能被犯罪份子恶意利用。仅在需要时再打开定位服务功能。
  • 避免在社交网络上披露可能被他人拼凑并进行恶意利用的敏感碎片信息。

更多位置定位服务的安全性思考

现代移动技术市场的快速扩张和发展为使用基于位置的技术和应用创造了机会。因为这是一个快速扩展的市场和新技术,所以我们需要意识到这种扩展技术可能对信息安全产生的影响。

这真是一个移动化的消费时代,除非足不出户,否则禁止了位置定位服务的使用简直就使人“寸步难行”。昆明亭长朗然科技有限公司移动安全研究员董志军说:通常来讲,要想正常使用生活类的APP如导航出行、自助点餐等等,那就得给APP访问位置信息的权限。

既然不能彻底禁用,那是否就可以全部开放,让所有APP都可以访问您的位置信息呢?如果答案是肯定的,那就上了不法分子的当了。别以为他人知道您的一些位置信息没什么大不了,太平盛世,谁还敢抢夺了不成?别高兴得太早!军事专家们经常讲,向对手暴露的越多,就越被动。

单纯靠位置信息,最多知道一个人的手机在哪里,推测出他/她在干什么。对大多数生活在都市的人来讲,仿佛掌握这些信息的利用价值也不大。但是如果是在偏僻的地方,单纯的地理位置信息暴露可能会导致不法分子对您的人身和财产攻击。

进一步利用位置信息,特别是结合其它移动设备的信息,则可以造成更大的伤害。借助大数据,利用手机的硬件信息,如IMEI、Mac地址等,大数所厂商可以匹配到手机用户的更多身份信息,比如手机号码。再根据恶意APP上传的短信、通讯录、照片等,幸运的话,可以清晰的看到使用者的身份。不要以为这会是麻烦的操作,此前知名媒体曝光过的借助运营商漏洞轻松获取使用者手机号码的案例相信行业人士并不陌生,就是如“探针盒子”之类的东西即使公开销售被禁止,私下里使用同样原理和大数据服务的产品和技术也不会少。

丢失过手机的人对使用位置追踪有特别的理解,建议可以开启智能移动计算设备的位置跟踪服务,这样在设备丢失时,能帮助定位,甚至远程锁定和擦除敏感数据。同时,人们也有留意相关的手机定位“黑客服务”,其实原理上,他们利用的也是地理位置信息加上大数据查询服务。

经常有媒体报道不准确的位置服务将人们导航到危险地带,为了避免这种情况,我只能说不要太迷信导航,通常大中型城市的市区由于使用者多,导航信息还算精准。但是小城镇和乡村就不见得了,特别是人迹罕至的偏远地带,手机信号都不足的地方,导航的误差就可能好几米甚至几十米,这时就不要太迷信导航APP。

说来说去,要选择性地使用地理位置信息,一方面只让可信的APP访问您的地理位置信息,另一方面,只在必要的时候允许必要的访问,这其实也就是在灵活使用信息安全里的一个访问控制的“最小特权”原则。

希望我们的一些建议和倡议能帮助您。昆明亭长朗然科技有限公司通过提供大量的安全、保密与合规性培训教程资源,来持续不断地帮助客户修复人员认知方面的安全漏洞,降低由于人为错误而带来的安全风险。我们创作了大量的安全政策、标准、制度和流程相关的宣传物,包括电子图片、动画短片、卡通漫画等等。欢迎有兴趣有需求的安全界人士联系我们,洽谈商业合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

信息数据管理不善将业务推向风险边缘

据信息安全意识培训服务公司昆明亭长朗然科技有限公司的一项调查表明:大多数的高层经理们并不清楚公司的敏感数据如何存储的,更没有清晰的数据访问安全政策。

这就将公司持续运作所赖以的关键信息数据置于严重的毁坏、丢失或曝光可能性之下。在虚拟化、云计算、员工自带计算设备BYOD、以及在线存储服务日益普及的时代,公司IT服务部门已经无法继续沿用传统的内部信息系统集中控管商业数据的方法,而作为商业数据“所有者”的各业务部门经理主管们对信息安全保护的重要性认知水平可能并不够,当数据在外、内部IT环境和控管措施无法对其实施足够的安全保护之时,数据安全问题变得日益严峻。

好在商业信息化流程的变革或创新不是一天所能达成的,云计算和移动应用的优势明显,公司无疑应该积极采用, 以便在提升产品质量、产能、效率等等的同时促进科技创新和降低成本开支。问题在于对公司数据向外流动时的安全控管,多数业务部门的经理们并非云计算或在线存储安全方面的专家,他们更关注变更能证明短期的业绩获得了提升,当然这些并没有错,只是如果没有足够的安全保障,可能会为日后长远的商业成长埋下地雷。

近期,大量的互联网公司亏本做智能手机,除却通过利用入口和应用来争抢互联网用户之外,加强用户粘性,通过获取和分析用户的使用行为和习惯,提供定制化高命中率的广告服务,以便获取更多商业利益才是实质。

所以,除了这些做智能终端的互联网公司,也有不少其它互联网公司开始提供在线存储和远程数据同步。远程数据同步对于终端用户来讲的好处在于异地备份,和随时随地取用。然而,多数终端用户没能注意到的是在线数据存储服务商将如何对待这些数据的条款以及这些条款的意味:首先,服务商肯定会去读取它们;其次,除了收费的服务之外,服务商多不会为在线数据的安全性负责。黑客对数据的恶意篡改、非授权的数据访问、由于意外而造成的数据丢失等等,没有人会负责。可是,数据安全问题,用户可是伤不起。

“通常云计算服务厂商并不想伤害用户,但是谁都不能打包票不出商业毁坏或泄露等等的安全意外。”亭长朗然公司的云计算安全研究员Charles Liu说:“各类型的组织机构可得清醒过来了,将IT应用和数据从传统的内部IT网络中迁移到基于互联网的云计算,可以降低成本和增强商业竞争力,但是组织需要保有足够的安全控管能力。”

首先,选择重视客户数据安全保护的服务商,这些服务商往往会通过了相关的IT服务管理认证和信息安全管理体系认证。

其次,仔细阅读和了解相关的数据安全保护条款,并结合组织的实际情况,选择合适的数据存储、数据安全服务的项目和内容。

再次,同服务商以及云计算系统及数据的用户建立适当的数据访问控制管理流程,如数据分级、加密存储、权限审批、访问控制、访问审核、灾备方案等等。

最后,加强对各级业务部门经理主管以及基层员工进行安全意识培训,让他们了解和认识基本的信息数据安全保护常识,掌握工作相关的数据安全保护措施和流程,在最终用户可以随时随地获得相关数据的时代,这一点尤其必要。

简单总结一下,业务的成功越来越信赖信息化这一核心竞争力,而信息化的核心在于业务应用系统和商业数据,大的趋势之下,应用系统和商业数据将跃至云端,它们的最终用户和所使用的访问终端也是远处不在,安全控管也需要从传统的内网和边界迁移至云端及终端,针对终端用户的安全意识培训比以往任何时候都要紧要。