大數(shù)據(jù)時代，誰能阻止信息泄露_大數(shù)據(jù)培訓(xùn)

大數(shù)據(jù)及云計算技術(shù)從熱詞到落地，從企業(yè)到個人都在享受其帶來的福利，數(shù)據(jù)存儲、計算、整合及利用為許多企業(yè)帶來商機(jī)，也為個人提供了更為便捷的互聯(lián)網(wǎng)服務(wù)。但與此同時，用戶存儲在云端的個人信息數(shù)據(jù)安全也面臨著極大的挑戰(zhàn)。

“泄密門”頻發(fā)

2014年12月底，春運(yùn)售票初期，鐵路客戶服務(wù)中心12306網(wǎng)站被曝出大量用戶數(shù)據(jù)泄露并在網(wǎng)上傳播售賣，這些用戶數(shù)據(jù)包括13萬條賬號、密碼、手機(jī)、身份證號、郵箱地址等個人私密信息。一時間，互聯(lián)網(wǎng)上個人隱私安全及其保護(hù)的話題再次成為關(guān)注焦點(diǎn)。12306“泄密門”并不單一，近兩年，同類事件層出不窮：

2014年3月，烏云漏洞平臺曝出在線旅游服務(wù)平臺攜程網(wǎng)支付系統(tǒng)存在技術(shù)漏洞，安全支付日志可下載，導(dǎo)致大量用戶銀行卡信息泄露，這些信息包括持卡人姓名、身份證信息、銀行卡號、卡CVV碼（即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字）以及6位卡Bin（用于支付的6位數(shù)字）等。

2014年4月，某黑客對國內(nèi)兩家大型物流公司內(nèi)部系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊，非法獲取快遞用戶個人信息1400多萬條，并出售給不法分子。這些個人信息包括用戶的姓名、聯(lián)系電話以及住址等。

2014年5月，電商網(wǎng)站eBay要求近1.28億活躍用戶全部重新設(shè)置個人賬號密碼，eBay透露這是因為黑客能從eBay獲取用戶密碼、電話號碼、地址及其他個人數(shù)據(jù)。

2014年9月，黑客采取突破密碼嘗試次數(shù)的方式破解了眾多好萊塢女星的iCloud賬號，從而引發(fā)了全球轟動的“好萊塢艷照門”事件。雖然事后蘋果緊急修復(fù)了該黑客利用的漏洞，但該事件足以讓云服務(wù)上用戶隱私的保護(hù)獲得足夠重視。

以上事件僅是具有代表性的個人信息泄露事件。在互聯(lián)網(wǎng)技術(shù)高度發(fā)達(dá)的今天，幾乎所有人都在使用各式各樣的互聯(lián)網(wǎng)服務(wù)，我們已經(jīng)與互聯(lián)網(wǎng)服務(wù)融為一體，從昵稱、姓名到銀行賬號、密碼，幾乎所有信息都存在于互聯(lián)網(wǎng)的各類云端、服務(wù)器中，個人信息隨時都可能遭遇泄露或被竊取。這些個人信息按照敏感與重要程度可分為四類：個人身份信息、個人行為信息、個人隱私信息和個人賬號信息（見表1），其重要性呈逐層遞增狀，如個人賬號信息一旦泄露，前面三類信息的獲取相對來說輕而易舉。并且，個人隱私具有極大的商業(yè)價值，容易成為獵取目標(biāo)，以“個人行為信息”為例，此類信息的收集及應(yīng)用最直接的表現(xiàn)是在電子商務(wù)網(wǎng)絡(luò)廣告中，無論微博還是門戶網(wǎng)站，我們通常會發(fā)現(xiàn)廣告位置展現(xiàn)的是我們曾在電子商務(wù)網(wǎng)站上瀏覽過的商品或類似商品，更不用說如果“個人賬號信息”被盜取可能帶來的損害。

誰是“泄密者”？

盡管互聯(lián)網(wǎng)應(yīng)用服務(wù)商、網(wǎng)站服務(wù)商及云服務(wù)提供商皆承諾能夠保護(hù)用戶數(shù)據(jù)信息，但互聯(lián)網(wǎng)環(huán)境下沒有所謂的百分之百的安全。低級手段如內(nèi)部人員偷盜售賣數(shù)據(jù)，高級手段如黑客攻破服務(wù)商系統(tǒng)盜取數(shù)據(jù)等，都是用戶數(shù)據(jù)泄露的罪魁禍?zhǔn)住?/span>

1. 服務(wù)商內(nèi)部人員偷盜售賣

內(nèi)部人員偷盜售賣數(shù)據(jù)是典型的非技術(shù)用戶信息泄露方式，但此類方式難以避免，防不勝防。任何一家服務(wù)提供商都無法保證其接觸用戶個人信息數(shù)據(jù)的員工能夠為道德規(guī)范所約束，在利益誘惑下，個別員工鋌而走險通常難以避免。如2013年11月，從事電商工作的張某因“涉嫌非法獲取公民個人信息罪”被杭州市公安局西湖分局刑事拘留。隨后，此案牽出某寶前技術(shù)員工李某，李某利用工作之便在2010年分多次在公司后臺下載了超過20G的用戶資料，并與兩名同伙將用戶信息多次出售給電商公司、數(shù)據(jù)公司。這些用戶資料包括用戶真實(shí)姓名、手機(jī)、電子郵箱、家庭住址、消費(fèi)記錄等。

2. 網(wǎng)絡(luò)服務(wù)安全漏洞被利用

互聯(lián)網(wǎng)服務(wù)由于其特殊性，總是存在有安全漏洞。可以說沒有不存在安全漏洞的互聯(lián)網(wǎng)服務(wù)，只是沒有被發(fā)現(xiàn)而已。

我們來看網(wǎng)站服務(wù)方面的安全漏洞情況分析，360互聯(lián)網(wǎng)安全中心最新發(fā)布的《2014年中國網(wǎng)站安全報告》顯示，在接受360網(wǎng)站安全監(jiān)測平臺掃描的164.2萬個網(wǎng)站中，存在安全漏洞的網(wǎng)站為61.7萬個，占掃描網(wǎng)站總數(shù)的37.6%。其中，存在高危安全漏洞的網(wǎng)站共有27.9萬個，占掃描網(wǎng)站總數(shù)的17.0%（見圖1）。

由于不同漏洞對網(wǎng)站安全性影響有所不同，360互聯(lián)網(wǎng)安全中心將網(wǎng)站安全漏洞劃分為高危、中危和低危三個級別。其中高危安全漏洞可以讓黑客取得服務(wù)器控制權(quán)限，可以對網(wǎng)站進(jìn)行肆意更改；中危安全漏洞會造成黑客入侵網(wǎng)站，且可以篡改部分?jǐn)?shù)據(jù)；而低危安全漏洞允許黑客掃描網(wǎng)站數(shù)據(jù)信息，也可能給網(wǎng)站帶來危害。

由此可見，我們?nèi)粘ＴL問的網(wǎng)站中，超過三分之一的網(wǎng)站都存在安全漏洞，而這些漏洞，隨時都可能成為個人信息數(shù)據(jù)泄露的發(fā)力點(diǎn)。網(wǎng)絡(luò)服務(wù)的安全漏洞，一方面是由安全技術(shù)人員發(fā)掘找出，如上述360互聯(lián)網(wǎng)安全中心通過掃描發(fā)現(xiàn)的安全漏洞，這些漏洞會被廠商知曉并修復(fù)；另一方面是被黑客發(fā)現(xiàn)，如果是白帽子黑客，如在360補(bǔ)天漏洞響應(yīng)平臺上的白帽子黑客，則會提交給廠商進(jìn)行修復(fù)，但如果是抱有惡意的黑客，則可能借機(jī)竊取用戶數(shù)據(jù)信息。

網(wǎng)絡(luò)服務(wù)安全漏洞中破壞性最強(qiáng)的莫過于通用性網(wǎng)絡(luò)軟件/服務(wù)/協(xié)議的漏洞，如在2014年4月曝出的“心臟滴血（HeartBleed）”重大安全漏洞。OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議。多數(shù)SSL加密網(wǎng)站是用名為OpenSSL的開源軟件包，而在OpenSSL源代碼中發(fā)現(xiàn)的“心臟滴血”安全漏洞，可以讓黑客每次從服務(wù)器或客戶端內(nèi)存中獲取最大64K的數(shù)據(jù)內(nèi)容。由于OpenSSL是互聯(lián)網(wǎng)應(yīng)用最廣泛的安全傳輸協(xié)議，被網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站廣泛使用。因此，該漏洞會造成黑客可以從使用OpenSSL協(xié)議的網(wǎng)路服務(wù)上盜取大量用戶數(shù)據(jù)信息。

3. 木馬、釣魚網(wǎng)站惡意盜取

木馬在PC互聯(lián)網(wǎng)時代最為常見，黑客通過網(wǎng)絡(luò)入侵、軟件安裝包偽裝等方式將木馬放置到用戶個人電腦中，然后通過木馬盜取用戶電腦上的個人信息、賬號等。得益于免費(fèi)殺毒軟件的出現(xiàn)，殺毒軟件普及率大大提升，現(xiàn)在木馬病毒已經(jīng)越來越少。但在移動互聯(lián)網(wǎng)時代，偶爾還會出現(xiàn)偽裝成手機(jī)應(yīng)用的木馬病毒出現(xiàn)，多數(shù)存在于Android操作系統(tǒng)環(huán)境中。

釣魚網(wǎng)站無論在PC互聯(lián)網(wǎng)時代還是如今的移動互聯(lián)網(wǎng)時代都屢禁不止，它們通常是向用戶發(fā)送與大型正規(guī)網(wǎng)站、服務(wù)網(wǎng)站類似的釣魚網(wǎng)站地址，用戶一旦打開登陸并輸入賬號密碼，賬號密碼便會被不法分子收集利用。

打造“殺手锏”

個人隱私保護(hù)在大數(shù)據(jù)時代變得愈發(fā)艱難，從個人角度來講，想要規(guī)避隱私泄漏風(fēng)險，首先要提高個人賬號密碼復(fù)雜度，尤其是涉及支付類網(wǎng)絡(luò)服務(wù)的賬號密碼要使用非常用密碼，對能夠進(jìn)行多重密碼保護(hù)的賬號盡可能的完成多重保護(hù)操作；其次是下載軟件或手機(jī)應(yīng)用時要選擇正規(guī)下載站點(diǎn)或應(yīng)用商店，尤其是Android用戶，不要隨便安裝不明應(yīng)用；最后是要養(yǎng)成良好的上網(wǎng)習(xí)慣，謹(jǐn)慎提交個人信息，對于安裝的手機(jī)應(yīng)用服務(wù)，可查看設(shè)置權(quán)限，禁止獲取不必要的個人數(shù)據(jù)信息。

而從廠商方面來講，此處引用360公司董事長兼CEO周鴻祎在2014年互聯(lián)網(wǎng)安全大會上提出的用戶信息安全三原則作為指導(dǎo)。他表示，在大數(shù)據(jù)來臨的時代，在憧憬大數(shù)據(jù)產(chǎn)生商業(yè)效應(yīng)的同時，也應(yīng)考慮如何保護(hù)用戶信息，并提出了三原則：

第一，用戶信息是用戶個人資產(chǎn)。用戶在使用廠商設(shè)備、軟件及服務(wù)所產(chǎn)生的數(shù)據(jù)與信息，應(yīng)該是用戶個人資產(chǎn)，雖然存儲在廠商的服務(wù)器或云端，但從所有權(quán)方面講應(yīng)該明確地屬于用戶，是用戶財產(chǎn)。

第二，廠商獲取用戶數(shù)據(jù)信息，用戶要有選擇權(quán)、知情權(quán)和拒絕權(quán)。大數(shù)據(jù)時代，廠商為用戶提供服務(wù)同時，會從用戶身上獲取大量數(shù)據(jù)信息。對此用戶要有知情權(quán)，并且，廠商要得到用戶授權(quán)才能使用用戶信息，用戶要有選擇權(quán)、有拒絕權(quán)。

第三，安全責(zé)任原則。有人認(rèn)為網(wǎng)絡(luò)信息安全只是互聯(lián)網(wǎng)安全公司的事，是殺毒軟件的事。但在大數(shù)據(jù)時代，任何一家互聯(lián)網(wǎng)公司，包括做可穿戴硬件的公司，都會變成一個互聯(lián)網(wǎng)服務(wù)公司，用戶使用這些硬件、服務(wù)都會產(chǎn)生大量的數(shù)據(jù)。所以，任何一家互聯(lián)網(wǎng)公司都有責(zé)任保護(hù)用戶信息安全，要在云端對用戶數(shù)據(jù)進(jìn)行足夠強(qiáng)度加密，包括安全存儲和安全傳輸。

結(jié)語

互聯(lián)網(wǎng)剛興起時，有人說，你不知道互聯(lián)網(wǎng)另一端坐的是一個人還是一條狗。在大數(shù)據(jù)及云計算落地應(yīng)用的現(xiàn)在，我們不但可以知道另一端是不是一條狗，還可以知道是雪納瑞還是薩摩耶。

云端信息數(shù)據(jù)量還在不斷膨脹，文字、圖片以及視頻的數(shù)量在不斷增加，這些數(shù)字化事物看似凌亂不堪，但如果某一天被泄露或竊取，稍加梳理，也許我們最不為人知最隱私的一面就會曝光于世。那時，你就是一只藏獒，也只是一只被扒光了皮的狗。