大數(shù)據(jù)安全面臨系列挑戰(zhàn)_數(shù)據(jù)分析師
隨著大數(shù)據(jù)時代的到來,數(shù)據(jù)的收集和存儲更加方便��,同時跨境流動更加頻繁��,安全問題愈發(fā)凸顯�。我國在發(fā)展大數(shù)據(jù)產(chǎn)業(yè)的過程中,部分企業(yè)收集用戶數(shù)據(jù)的使用權(quán)限邊界界定不清��,用戶隱私和權(quán)益遭受侵害��,一些重要數(shù)據(jù)被非法倒賣����、流向他國,安全威脅已經(jīng)從個人層面上升至國家安全層面��,亟須引起重視��。
安全風險不斷提升 隱私保護內(nèi)涵拓展
伴隨網(wǎng)絡化社會的不斷發(fā)展和技術(shù)水平的不斷提升�,大數(shù)據(jù)安全風險也不斷增加。首先�,網(wǎng)絡化社會無處不在的智能終端、互動頻繁的社交網(wǎng)絡和超大容量的數(shù)字化存儲�����,為獲取和存儲大數(shù)據(jù)提供了一個開放、互聯(lián)的平臺�����?��;?a href='/map/yunjisuan/' style='color:#000;font-size:inherit;'>云計算的網(wǎng)絡化社會���,使分布在不同地區(qū)的資源可以快速整合、動態(tài)配置����,實現(xiàn)數(shù)據(jù)集合的共建共享。但這一平臺的開放性���,也使得蘊含海量信息和潛在價值的大數(shù)據(jù)更容易吸引黑客的攻擊����。對于攻擊者而言����,由于這些信息的相互關(guān)聯(lián),用相對低的成本便可獲得“滾雪球”般的收益�。
同時,技術(shù)的發(fā)展也增加了安全風險��。計算機網(wǎng)絡技術(shù)和人工智能的發(fā)展�����,服務器����、防火墻、無線路由等網(wǎng)絡設備和數(shù)據(jù)挖掘應用系統(tǒng)的廣泛應用���,為大數(shù)據(jù)自動收集效率和智能動態(tài)分析提供了方便�����,但也增加了大數(shù)據(jù)的安全風險���。一方面,由于對大數(shù)據(jù)的安全控制力度不夠��,應用程序編程接口的訪問權(quán)限控制以及密鑰生成�、存儲和管理方面的不足都可能造成數(shù)據(jù)泄露;另一方面,攻擊技術(shù)不斷提高����,大數(shù)據(jù)本身可能成為一個可被持續(xù)攻擊的載體��,隱藏其中的惡意軟件和病毒代碼很難被發(fā)現(xiàn)�����。
2014年8月��,中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國網(wǎng)民權(quán)益保護調(diào)查報告(2014)》顯示�,2013年7月至2014年7月�����,中國網(wǎng)民因各類侵權(quán)遭受的損失合計約1434億元���,其中直接經(jīng)濟損失約為1093億元�。
大量事實表明����,如果不能妥善處理大數(shù)據(jù)安全問題,將對用戶的隱私造成極大的侵害���。專家介紹�,根據(jù)保護內(nèi)容的不同,用戶隱私保護可細分為位置隱私保護����、標識符匿名保護��、連接關(guān)系匿名保護等����。而與傳統(tǒng)的網(wǎng)絡安全內(nèi)容不同,在大數(shù)據(jù)時代��,人們面臨的威脅除了個人隱私泄露���,還包括基于大數(shù)據(jù)對人們狀態(tài)和行為的預測����。
被譽為“大數(shù)據(jù)商業(yè)應用第一人”的英國專家維克托·邁爾·舍恩伯格在《大數(shù)據(jù)時代》一書中舉例說��,某零售商通過歷史記錄分析����,比家長更早知道其女兒已經(jīng)懷孕的事實,并向其郵寄相關(guān)廣告信息。這種針對人們狀態(tài)和行為的預測��,實際上也涉及一種重要的用戶隱私�。
此外,一些企業(yè)認為��,經(jīng)過匿名處理后����,信息不包含用戶的標示符就可以公開發(fā)布。但事實上���,僅通過匿名保護難以達到隱私保護目標����。例如��,美國某公司曾公布匿名處理后的三個月內(nèi)部分搜索歷史�,供人們分析使用。雖然個人相關(guān)標識信息被精心處理過�����,但通過其中某些記錄項還是可以準確地定位到具體的個人���?���!都~約時報》隨即公布其識別出一位62歲的寡居婦人,家里養(yǎng)了三條狗����,患有某種疾病。
另一個相似的例子是�����,著名的DVD租賃商Netflix曾公布約50萬用戶的租賃信息��,懸賞100萬美元征集算法���,以期提高電影推薦系統(tǒng)的準確度。但是當上述信息與其他數(shù)據(jù)源結(jié)合時�����,部分用戶還是被識別出來�。
專家介紹說,目前用戶數(shù)據(jù)的收集���、存儲���、管理與使用等均缺乏規(guī)范�,更缺乏監(jiān)管�,主要依靠企業(yè)自律,用戶無法確定自己隱私信息的用途��。全球權(quán)威大數(shù)據(jù)專家阿萊克斯·彭特蘭教授��,針對大數(shù)據(jù)安全提出了“數(shù)據(jù)上的新決議”三原則�,即用戶有權(quán)擁有自己的數(shù)據(jù),有權(quán)掌控數(shù)據(jù)的使用�����,有權(quán)銷毀或貢獻自己的數(shù)據(jù)����。
跨境流動風險加劇 數(shù)據(jù)倒賣凸顯監(jiān)管缺失
本刊記者了解到,目前一些外國企業(yè)正在大量收集和分析我國用戶的大數(shù)據(jù)資料�。美國微軟公司推出智能聊天機器人“小冰”,通過其強大的大數(shù)據(jù)分析技術(shù)能力���,收集和分析了中國6億多網(wǎng)民多年來的聊天記錄�。目前微軟“小冰”已同米聊、易信等多家我國即時通訊工具進行合作開發(fā)����,通過分析用戶聊天內(nèi)容進行商業(yè)開發(fā)。
最高人民法院中國應用法學研究所所長孫佑海說�����,雖然微軟公司承諾僅將“小冰”收集的數(shù)據(jù)傳輸?shù)皆贫?,并不保存,但實際上無人知曉微軟公司是否真的不保存數(shù)據(jù)�����,即便不存儲數(shù)據(jù)�,美國情報部門仍然可以在通信信道上監(jiān)聽���,這將給我國的網(wǎng)絡信息安全帶來巨大隱患��。
孫佑海指出�����,網(wǎng)絡空間的資源分配權(quán)一直掌握在美國政府控制下的“互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)”(ICANN)手中����。目前,我國和ICANN簽訂的入網(wǎng)協(xié)議并未對外公開����,從臺灣網(wǎng)絡資訊中心(TWNIC)和ICANN共同簽署的入網(wǎng)協(xié)議的內(nèi)容來看,根本沒有防止監(jiān)控和竊取入網(wǎng)國家和地區(qū)的網(wǎng)絡信息等安全保障方面的約定����。
我國一些網(wǎng)絡運營商和企業(yè)將收集而來的數(shù)據(jù)信息進行大數(shù)據(jù)分析,分門別類整理后銷售給他人��,為自己牟取巨大利益��,給用戶帶來巨大的安全隱患�����。
本刊記者采訪發(fā)現(xiàn)�,除了多年前就十分普遍的手機信息泄露,當前網(wǎng)上非法倒賣銀行卡信息的行為也變得十分猖獗��,嚴重威脅到國家金融安全�。而對倒賣銀行卡信息的行為,目前我國并沒有相應的刑法罪名�,且行政處罰又缺乏明確的法律依據(jù)�,只能依據(jù)居民身份證法對違法使用身份證辦理銀行卡的行為處以200元以下的罰款����,違法成本極低,客觀上助長了違法行為的肆虐�����。
對于國家安全和公共安全��,我國建立了對信息和信息載體按照重要等級分級保護的“信息安全等級保護”制度���。但孫佑海指出��,該制度因缺乏法律依據(jù)�,貫徹執(zhí)行情況并不理想����。涉及國家安全和公共安全的重點崗位和人員的范圍不夠明確����,網(wǎng)絡信息安全保護工作的重點不夠突出,一些重點崗位人員既缺乏網(wǎng)絡信息安全保護的意識��,也缺少網(wǎng)絡信息安全的專業(yè)技能,更缺乏網(wǎng)絡信息安全的保護措施���。
數(shù)據(jù)無界線萬物互聯(lián)帶來新問題
在傳統(tǒng)的PC互聯(lián)網(wǎng)時代����,電腦連接還有明顯的邊界��,需通過線纜連接�����,這時的安全問題可以靠防病毒��、查殺流氓軟件��、防火墻等進行防御;但進入到互聯(lián)網(wǎng)新階段��,特別是移動互聯(lián)網(wǎng)時代�,手機等終端打破了對網(wǎng)絡邊界的定義,手機和個人隱私信息聯(lián)系在一起�����,安全問題變得更加嚴重�����。
中國工程院院士鄔賀銓說,萬物互聯(lián)時代的設備連接和數(shù)據(jù)規(guī)模都達到了前所未有的程度���,不僅手機���、電腦、電視機等傳統(tǒng)信息化設備將連入網(wǎng)絡���,家用電器和工廠設備���、基礎設施等也將逐步成為互聯(lián)網(wǎng)的端點,遠超出傳統(tǒng)邊界網(wǎng)絡安全防御的范圍;云計算提高了IT資源使用效率��,但其動態(tài)虛擬化管理方式�����、強大的計算與存儲能力�,也會引發(fā)新的安全問題,給安全管理體系帶來巨大沖擊�����。
對此���,業(yè)內(nèi)人士指出���,移動設備的普及正吸引網(wǎng)絡黑暗勢力將目標轉(zhuǎn)至移動終端,現(xiàn)有的安全防護手段逐漸失去效力����,傳統(tǒng)的系統(tǒng)安全、邊界安全已無法防衛(wèi)以“數(shù)據(jù)竊取”和“大數(shù)據(jù)污染”為目的的惡意威脅����,必須以大數(shù)據(jù)為核心,構(gòu)建全新的信息安全防護體系��。重塑信息安全要遵循三個基本原則�,即以保護用戶隱私和數(shù)據(jù)安全為前提,明確用戶對信息數(shù)據(jù)的所有權(quán)��,明確企業(yè)對信息數(shù)據(jù)的保障義務�,并保障用戶在信息交換和使用時的知情權(quán),這是萬物互聯(lián)時代保護信息安全的基礎���。
業(yè)內(nèi)人士認為����,大數(shù)據(jù)的安全應用目前仍多停留于想法,仍需進一步探究如何落地�����。大數(shù)據(jù)首先應建設一套規(guī)范且靈活的建設標準與運行機制�����,規(guī)范化建設可以促進大數(shù)據(jù)管理過程的正規(guī)有序���,實現(xiàn)各級各類信息系統(tǒng)的網(wǎng)絡互聯(lián)���、數(shù)據(jù)集成、資源共享�,在統(tǒng)一的安全規(guī)范框架下運行。
此外����,可考慮建立以數(shù)據(jù)為中心的安全系統(tǒng)?���;?a href='/map/yunjisuan/' style='color:#000;font-size:inherit;'>云計算的大數(shù)據(jù)存儲在云共享環(huán)境中��,為了大數(shù)據(jù)的所有者可以對大數(shù)據(jù)使用進行統(tǒng)一控制,可以通過建設一個基于異構(gòu)數(shù)據(jù)為中心的安全方法��,從系統(tǒng)管理上保證大數(shù)據(jù)的安全����。
還須看到,規(guī)范固然重要�,如果太過于死板,是不利于安全對抗的����,攻擊本身就是一種很靈活的過程,安全對抗需要保持高敏感度�,在大小對抗中不斷完善這個體系。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認證考試����,點擊>>>
“CDA報名”
了解CDA考試詳情;
? 想學習CDA考試教材�����,點擊>>> “CDA教材” 了解CDA考試詳情;
? 想加入CDA考試題庫�����,點擊>>> “CDA題庫” 了解CDA考試詳情�����;
? 想了解CDA考試含金量�,點擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330