本文聚焦百度3月20日召开的信息安全沟通会,详细介绍了百度在数据安全方面的调查结果、防护措施、投入情况,同时给出普通用户保护隐私的建议以及百度未来在信息安全保护上的计划。
在3月20日下午,百度专门召开了一场信息安全沟通会。在此次会议上,百度针对相关事件的调查过程以及最终结果进行了现场说明。为了增强公信力,百度还展示了经过三方公证的“(2025)京精诚内经证字第1642号”公证书。
百度安全负责人陈洋在会上明确表示,在百度,任何职级的员工以及高管都没有权限去触碰用户数据,从制度层面保障了用户数据的安全性。
这份具有重要意义的(2025)京精诚内经证字第1642号公证书,无疑为百度的数据安全提供了有力的证明。
在过去几天,由于媒体铺天盖地的报道,我们发现那个备受关注的社工库在今天早上暂停了服务。这一结果在一定程度上保护了部分人的信息安全。
Q:百度采取了哪些具体的技术和管理措施来保护数据安全?百度的数据访问权限是怎么设定的?
A:百度实施的安全体系较为复杂。以用户注册场景为例,百度采用了假名化处理方式。当用户刚刚注册时,系统会为其生成一个对应的假名系统ID。在整个系统中,只通过这个ID进行流转,任何业务系统里都不会直接存在用户的真实信息。之后,百度还将所有相关信息专门抽离出来,构建成一个独立的账号系统。不过,仅仅进行假名化处理是远远不够的,百度对所有敏感信息都会进行加密。这些加密的数据无法被随意使用,因为加密的钥匙是进行隔离存储和管理的。简单来说,百度拥有两把钥匙,它们分别加密着不同的数据。同时,百度通过数管平台对权限进行统一管理和权限分离,只有钥匙与权限相互配合才能使用数据。
这只是百度安全防护的第一层,属于技术手段。除此之外,百度还会在内部不断开展攻防演练。以黑客的视角去查找系统中是否存在安全隐患,一旦发现隐患会在第一时间进行修复,从而形成一套不断演进的安全技术防御体系。
为了让系统更加安全,百度还建立了第二道制度策略防线,也就是管理防线;以及第三道职业道德稽查防线。百度会定期对敏感行为进行审计,查看是否存在异常访问行为。这三套防线对应着国际公认的风险控制理念,通过这三道防线以及前面的数据安全体系,百度全方位保障了数据安全。
Q:百度在数据安全与隐私保护方面的投入情况?安全团队的专业性?是否具备应对复杂安全挑战的能力?
A:自2014年起,百度就建立了漏洞收集及应急响应平台。百度公开邀请第三方安全技术专家以及用户来提交安全漏洞,并及时开展修复工作。在这里,百度也对这些专家们表达了诚挚的感谢。
不仅如此,百度积极参与国内外各种安全标准的建设。先后参编了国内外80多项安全类标准,并且通过了104项权威安全认证。其中一些具有代表性的认证,例如个人信息保护认证PIP,这是“个人信息保护法”发布以后专门针对个人信息保护的国家级认证,百度在该认证推出的早期就已经顺利通过;百度还是在“数据安全法”出台后,首批通过数据安全管理认证DSM的企业;同时,百度也是国内首家取得数据安全能力成熟度四级认证的企业。这些认证充分表明,在数据安全与隐私保护方面,百度已经达到了国际及国内行业认可的安全管理和技术标准水平。
在技术管理之外,百度深知深化全体员工对信息安全与隐私保护领域的认知与重视至关重要。在百度,新入职的员工会100%接受安全培训和考核。并且,每年百度还会组织统一的全员安全意识考核考试,要求全员必须达到100%的通过率,事实上百度也成功做到了这一点。此外,自2014年起,每年国家网络安全宣传周期间,百度会配合组织面向全员的“安全宣传月”活动,集中强化全体员工的安全意识与攻防技能。每年安全月的参与人数超过7万人次。同时,百度还通过常态化的模拟真实网络钓鱼攻击,让员工在实战中提升网络安全攻防技能。
Q:此次事件引发了外界对数据隐私的担忧,作为普通用户应如何保护自己的隐私?有哪些建议?
A:这里为普通用户提供一些保护隐私的建议:
◎ 谨慎分享个人信息:在社交媒体和其他网络平台上,要避免泄露自己的真实身份信息。
◎妥善设置权限:合理设置社交平台的隐私选项;在安装应用程序时,要仔细查看并谨慎授予应用所需的权限,避免授予不必要的权限,如位置信息、通讯录、摄像头、麦克风等权限。
◎ 不访问未知网站:不要随意点击来路不明的链接,以防进入钓鱼网站或感染恶意软件,导致个人信息被盗取。
◎ 多样化网名与密码策略:在不同平台尽量使用不同的账户名和密码,在游戏中或其他网络社区中,保持匿名或使用昵称,减少被搜索到的可能性。
◎ 使用安全的密码管理工具:避免使用简单容易猜到的密码,如姓名缩写、生日、电话号码等。可以采用密码管理工具来管理密码。
◎ 提高警惕意识:不轻易相信陌生人的请求和信息,对于一些不明来源的调查、问卷、抽奖等活动要保持警惕,避免因贪图小便宜而泄露个人信息。同时,要关注个人信息保护的相关法律法规和安全知识,不断提高自身的隐私保护意识和能力。
Q:下一步,百度在信息安全保护方面有哪些具体的计划和举措?
A:百度承诺,在相关政府部门的指导下,愿意联合网络安全行业及社会组织,共同推进“反开盒联盟”建设。百度将通过技术手段协助受害者应对隐私泄露问题,并协同打击黑灰产链条。尽管这是一项长期而艰巨的任务,但百度会与各方共同努力。
最后,百度呼吁大家一起维护网络安全防线,让“开盒”不能成为网络攻击的“盒武器”,共同营造清朗的网络空间,让每一位网民都能安心、快乐地享受数字生活的美好。
同时:
百度已于3月20日设立了“打击网络黑产专项基金”。该基金将用于保护合法权益与企业数据安全,遏制信息泄露、网络诈骗等违法行为,进一步铲除网络犯罪的滋生土壤,切断非法利益链条,营造清朗健康的网络生态环境。
本文围绕百度3月20日召开的信息安全沟通会展开,介绍了百度以公证书证明自身数据安全,阐述了其从技术到管理的多道安全防线,展示了在数据安全与隐私保护方面的投入与成果。同时,为普通用户提供了隐私保护建议,并公布了未来推进“反开盒联盟”建设和设立专项基金等信息安全保护计划,旨在维护网络安全和清朗空间。
原创文章,作者:小耀,如若转载,请注明出处:https://www.xiaoyaoxin.com/archives/2516.html
