大數(shù)據(jù)安全面臨系列挑戰(zhàn)_數(shù)據(jù)分析師

隨著大數(shù)據(jù)時(shí)代的到來，數(shù)據(jù)的收集和存儲(chǔ)更加方便，同時(shí)跨境流動(dòng)更加頻繁，安全問題愈發(fā)凸顯。我國(guó)在發(fā)展大數(shù)據(jù)產(chǎn)業(yè)的過程中，部分企業(yè)收集用戶數(shù)據(jù)的使用權(quán)限邊界界定不清，用戶隱私和權(quán)益遭受侵害，一些重要數(shù)據(jù)被非法倒賣、流向他國(guó)，安全威脅已經(jīng)從個(gè)人層面上升至國(guó)家安全層面，亟須引起重視。

　　安全風(fēng)險(xiǎn)不斷提升　隱私保護(hù)內(nèi)涵拓展

　　伴隨網(wǎng)絡(luò)化社會(huì)的不斷發(fā)展和技術(shù)水平的不斷提升，大數(shù)據(jù)安全風(fēng)險(xiǎn)也不斷增加。首先，網(wǎng)絡(luò)化社會(huì)無處不在的智能終端、互動(dòng)頻繁的社交網(wǎng)絡(luò)和超大容量的數(shù)字化存儲(chǔ)，為獲取和存儲(chǔ)大數(shù)據(jù)提供了一個(gè)開放、互聯(lián)的平臺(tái)?；?a href='/map/yunjisuan/' style='color:#000;font-size:inherit;'>云計(jì)算的網(wǎng)絡(luò)化社會(huì)，使分布在不同地區(qū)的資源可以快速整合、動(dòng)態(tài)配置，實(shí)現(xiàn)數(shù)據(jù)集合的共建共享。但這一平臺(tái)的開放性，也使得蘊(yùn)含海量信息和潛在價(jià)值的大數(shù)據(jù)更容易吸引黑客的攻擊。對(duì)于攻擊者而言，由于這些信息的相互關(guān)聯(lián)，用相對(duì)低的成本便可獲得“滾雪球”般的收益。

　　同時(shí)，技術(shù)的發(fā)展也增加了安全風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和人工智能的發(fā)展，服務(wù)器、防火墻、無線路由等網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)挖掘應(yīng)用系統(tǒng)的廣泛應(yīng)用，為大數(shù)據(jù)自動(dòng)收集效率和智能動(dòng)態(tài)分析提供了方便，但也增加了大數(shù)據(jù)的安全風(fēng)險(xiǎn)。一方面，由于對(duì)大數(shù)據(jù)的安全控制力度不夠，應(yīng)用程序編程接口的訪問權(quán)限控制以及密鑰生成、存儲(chǔ)和管理方面的不足都可能造成數(shù)據(jù)泄露;另一方面，攻擊技術(shù)不斷提高，大數(shù)據(jù)本身可能成為一個(gè)可被持續(xù)攻擊的載體，隱藏其中的惡意軟件和病毒代碼很難被發(fā)現(xiàn)。

　　2014年8月，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告(2014)》顯示，2013年7月至2014年7月，中國(guó)網(wǎng)民因各類侵權(quán)遭受的損失合計(jì)約1434億元，其中直接經(jīng)濟(jì)損失約為1093億元。

　　大量事實(shí)表明，如果不能妥善處理大數(shù)據(jù)安全問題，將對(duì)用戶的隱私造成極大的侵害。專家介紹，根據(jù)保護(hù)內(nèi)容的不同，用戶隱私保護(hù)可細(xì)分為位置隱私保護(hù)、標(biāo)識(shí)符匿名保護(hù)、連接關(guān)系匿名保護(hù)等。而與傳統(tǒng)的網(wǎng)絡(luò)安全內(nèi)容不同，在大數(shù)據(jù)時(shí)代，人們面臨的威脅除了個(gè)人隱私泄露，還包括基于大數(shù)據(jù)對(duì)人們狀態(tài)和行為的預(yù)測(cè)。

　　被譽(yù)為“大數(shù)據(jù)商業(yè)應(yīng)用第一人”的英國(guó)專家維克托·邁爾·舍恩伯格在《大數(shù)據(jù)時(shí)代》一書中舉例說，某零售商通過歷史記錄分析，比家長(zhǎng)更早知道其女兒已經(jīng)懷孕的事實(shí)，并向其郵寄相關(guān)廣告信息。這種針對(duì)人們狀態(tài)和行為的預(yù)測(cè)，實(shí)際上也涉及一種重要的用戶隱私。

　　此外，一些企業(yè)認(rèn)為，經(jīng)過匿名處理后，信息不包含用戶的標(biāo)示符就可以公開發(fā)布。但事實(shí)上，僅通過匿名保護(hù)難以達(dá)到隱私保護(hù)目標(biāo)。例如，美國(guó)某公司曾公布匿名處理后的三個(gè)月內(nèi)部分搜索歷史，供人們分析使用。雖然個(gè)人相關(guān)標(biāo)識(shí)信息被精心處理過，但通過其中某些記錄項(xiàng)還是可以準(zhǔn)確地定位到具體的個(gè)人?！都~約時(shí)報(bào)》隨即公布其識(shí)別出一位62歲的寡居?jì)D人，家里養(yǎng)了三條狗，患有某種疾病。

　　另一個(gè)相似的例子是，著名的DVD租賃商N(yùn)etflix曾公布約50萬用戶的租賃信息，懸賞100萬美元征集算法，以期提高電影推薦系統(tǒng)的準(zhǔn)確度。但是當(dāng)上述信息與其他數(shù)據(jù)源結(jié)合時(shí)，部分用戶還是被識(shí)別出來。

　　專家介紹說，目前用戶數(shù)據(jù)的收集、存儲(chǔ)、管理與使用等均缺乏規(guī)范，更缺乏監(jiān)管，主要依靠企業(yè)自律，用戶無法確定自己隱私信息的用途。全球權(quán)威大數(shù)據(jù)專家阿萊克斯·彭特蘭教授，針對(duì)大數(shù)據(jù)安全提出了“數(shù)據(jù)上的新決議”三原則，即用戶有權(quán)擁有自己的數(shù)據(jù)，有權(quán)掌控?cái)?shù)據(jù)的使用，有權(quán)銷毀或貢獻(xiàn)自己的數(shù)據(jù)。

　　跨境流動(dòng)風(fēng)險(xiǎn)加劇　數(shù)據(jù)倒賣凸顯監(jiān)管缺失

　　本刊記者了解到，目前一些外國(guó)企業(yè)正在大量收集和分析我國(guó)用戶的大數(shù)據(jù)資料。美國(guó)微軟公司推出智能聊天機(jī)器人“小冰”，通過其強(qiáng)大的大數(shù)據(jù)分析技術(shù)能力，收集和分析了中國(guó)6億多網(wǎng)民多年來的聊天記錄。目前微軟“小冰”已同米聊、易信等多家我國(guó)即時(shí)通訊工具進(jìn)行合作開發(fā)，通過分析用戶聊天內(nèi)容進(jìn)行商業(yè)開發(fā)。

　　最高人民法院中國(guó)應(yīng)用法學(xué)研究所所長(zhǎng)孫佑海說，雖然微軟公司承諾僅將“小冰”收集的數(shù)據(jù)傳輸?shù)皆贫?，并不保存，但?shí)際上無人知曉微軟公司是否真的不保存數(shù)據(jù)，即便不存儲(chǔ)數(shù)據(jù)，美國(guó)情報(bào)部門仍然可以在通信信道上監(jiān)聽，這將給我國(guó)的網(wǎng)絡(luò)信息安全帶來巨大隱患。

　　孫佑海指出，網(wǎng)絡(luò)空間的資源分配權(quán)一直掌握在美國(guó)政府控制下的“互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)”(ICANN)手中。目前，我國(guó)和ICANN簽訂的入網(wǎng)協(xié)議并未對(duì)外公開，從臺(tái)灣網(wǎng)絡(luò)資訊中心(TWNIC)和ICANN共同簽署的入網(wǎng)協(xié)議的內(nèi)容來看，根本沒有防止監(jiān)控和竊取入網(wǎng)國(guó)家和地區(qū)的網(wǎng)絡(luò)信息等安全保障方面的約定。

　　我國(guó)一些網(wǎng)絡(luò)運(yùn)營(yíng)商和企業(yè)將收集而來的數(shù)據(jù)信息進(jìn)行大數(shù)據(jù)分析，分門別類整理后銷售給他人，為自己牟取巨大利益，給用戶帶來巨大的安全隱患。

　　本刊記者采訪發(fā)現(xiàn)，除了多年前就十分普遍的手機(jī)信息泄露，當(dāng)前網(wǎng)上非法倒賣銀行卡信息的行為也變得十分猖獗，嚴(yán)重威脅到國(guó)家金融安全。而對(duì)倒賣銀行卡信息的行為，目前我國(guó)并沒有相應(yīng)的刑法罪名，且行政處罰又缺乏明確的法律依據(jù)，只能依據(jù)居民身份證法對(duì)違法使用身份證辦理銀行卡的行為處以200元以下的罰款，違法成本極低，客觀上助長(zhǎng)了違法行為的肆虐。

　　對(duì)于國(guó)家安全和公共安全，我國(guó)建立了對(duì)信息和信息載體按照重要等級(jí)分級(jí)保護(hù)的“信息安全等級(jí)保護(hù)”制度。但孫佑海指出，該制度因缺乏法律依據(jù)，貫徹執(zhí)行情況并不理想。涉及國(guó)家安全和公共安全的重點(diǎn)崗位和人員的范圍不夠明確，網(wǎng)絡(luò)信息安全保護(hù)工作的重點(diǎn)不夠突出，一些重點(diǎn)崗位人員既缺乏網(wǎng)絡(luò)信息安全保護(hù)的意識(shí)，也缺少網(wǎng)絡(luò)信息安全的專業(yè)技能，更缺乏網(wǎng)絡(luò)信息安全的保護(hù)措施。

　　數(shù)據(jù)無界線萬物互聯(lián)帶來新問題

　　在傳統(tǒng)的PC互聯(lián)網(wǎng)時(shí)代，電腦連接還有明顯的邊界，需通過線纜連接，這時(shí)的安全問題可以靠防病毒、查殺流氓軟件、防火墻等進(jìn)行防御;但進(jìn)入到互聯(lián)網(wǎng)新階段，特別是移動(dòng)互聯(lián)網(wǎng)時(shí)代，手機(jī)等終端打破了對(duì)網(wǎng)絡(luò)邊界的定義，手機(jī)和個(gè)人隱私信息聯(lián)系在一起，安全問題變得更加嚴(yán)重。

　　中國(guó)工程院院士鄔賀銓說，萬物互聯(lián)時(shí)代的設(shè)備連接和數(shù)據(jù)規(guī)模都達(dá)到了前所未有的程度，不僅手機(jī)、電腦、電視機(jī)等傳統(tǒng)信息化設(shè)備將連入網(wǎng)絡(luò)，家用電器和工廠設(shè)備、基礎(chǔ)設(shè)施等也將逐步成為互聯(lián)網(wǎng)的端點(diǎn)，遠(yuǎn)超出傳統(tǒng)邊界網(wǎng)絡(luò)安全防御的范圍;云計(jì)算提高了IT資源使用效率，但其動(dòng)態(tài)虛擬化管理方式、強(qiáng)大的計(jì)算與存儲(chǔ)能力，也會(huì)引發(fā)新的安全問題，給安全管理體系帶來巨大沖擊。

　　對(duì)此，業(yè)內(nèi)人士指出，移動(dòng)設(shè)備的普及正吸引網(wǎng)絡(luò)黑暗勢(shì)力將目標(biāo)轉(zhuǎn)至移動(dòng)終端，現(xiàn)有的安全防護(hù)手段逐漸失去效力，傳統(tǒng)的系統(tǒng)安全、邊界安全已無法防衛(wèi)以“數(shù)據(jù)竊取”和“大數(shù)據(jù)污染”為目的的惡意威脅，必須以大數(shù)據(jù)為核心，構(gòu)建全新的信息安全防護(hù)體系。重塑信息安全要遵循三個(gè)基本原則，即以保護(hù)用戶隱私和數(shù)據(jù)安全為前提，明確用戶對(duì)信息數(shù)據(jù)的所有權(quán)，明確企業(yè)對(duì)信息數(shù)據(jù)的保障義務(wù)，并保障用戶在信息交換和使用時(shí)的知情權(quán)，這是萬物互聯(lián)時(shí)代保護(hù)信息安全的基礎(chǔ)。

　　業(yè)內(nèi)人士認(rèn)為，大數(shù)據(jù)的安全應(yīng)用目前仍多停留于想法，仍需進(jìn)一步探究如何落地。大數(shù)據(jù)首先應(yīng)建設(shè)一套規(guī)范且靈活的建設(shè)標(biāo)準(zhǔn)與運(yùn)行機(jī)制，規(guī)范化建設(shè)可以促進(jìn)大數(shù)據(jù)管理過程的正規(guī)有序，實(shí)現(xiàn)各級(jí)各類信息系統(tǒng)的網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)集成、資源共享，在統(tǒng)一的安全規(guī)范框架下運(yùn)行。

　　此外，可考慮建立以數(shù)據(jù)為中心的安全系統(tǒng)?；?a href='/map/yunjisuan/' style='color:#000;font-size:inherit;'>云計(jì)算的大數(shù)據(jù)存儲(chǔ)在云共享環(huán)境中，為了大數(shù)據(jù)的所有者可以對(duì)大數(shù)據(jù)使用進(jìn)行統(tǒng)一控制，可以通過建設(shè)一個(gè)基于異構(gòu)數(shù)據(jù)為中心的安全方法，從系統(tǒng)管理上保證大數(shù)據(jù)的安全。

　　還須看到，規(guī)范固然重要，如果太過于死板，是不利于安全對(duì)抗的，攻擊本身就是一種很靈活的過程，安全對(duì)抗需要保持高敏感度，在大小對(duì)抗中不斷完善這個(gè)體系。