大數(shù)據(jù)背景下的信息安全問題_數(shù)據(jù)分析師培訓(xùn)

大數(shù)據(jù)具有體量巨大、類型繁雜、處理速度快、價值密度低四大特點，因此，對于個人來說，難以處理極其龐大的數(shù)據(jù)，只有國家和大型企業(yè)等組織或集團才有可能獲取到各種敏感信息；大數(shù)據(jù)所搜集提取的個人信息可能連本人都不完全知曉，比如個人的行為特征、語言風(fēng)格、愛好興趣等。在大數(shù)據(jù)時代如何保護個人敏感信息或隱私，必將成為高難度的世界課題。

　　2013年6月，美國前中情局雇員斯諾登曝光了始于2007年小布什時期美國國家安全局和聯(lián)邦調(diào)查局啟動的代號為“棱鏡”的秘密項目。美國國家安全局通過接入雅虎、谷歌、微軟、蘋果等9家美國互聯(lián)網(wǎng)公司中心服務(wù)器，對郵件、圖片、視頻、電話等10類數(shù)據(jù)進行監(jiān)控，以搜集情報，監(jiān)視民眾的網(wǎng)絡(luò)活動。

　　“棱鏡”項目緣于2004年美國政府的“星風(fēng)”監(jiān)視計劃。但是，當時小布什政府由于法律程序等敏感問題而做出讓步，美國本土的監(jiān)聽項目有所縮減。為了“星風(fēng)”計劃的繼續(xù)進行，小布什政府通過司法程序?qū)ⅰ靶秋L(fēng)”監(jiān)視計劃分拆成由國家安全局執(zhí)行的4個監(jiān)視計劃，包括“棱鏡”、“主干道”、“碼頭”和“核子”，均交由美國家安全局執(zhí)掌?！袄忡R”項目用于監(jiān)視互聯(lián)網(wǎng)個人信息?！爸鞲傻馈焙汀按a頭”項目負責(zé)存儲和分析通信和互聯(lián)網(wǎng)上數(shù)以億兆計的“元數(shù)據(jù)”。元數(shù)據(jù)主要指通話或通信的時間、地點、使用設(shè)備、參與者等，不包括電話或郵件等的內(nèi)容?！昂俗印表椖控撠?zé)內(nèi)容信息的獲取，截獲電話通話者對話內(nèi)容及關(guān)鍵詞，通過攔截通話以及通話者所提及的地點，來實現(xiàn)日常的監(jiān)控。

　　由此可見，斯諾登不僅揭露了美國的大規(guī)模竊聽計劃，更揭示了大數(shù)據(jù)時代國家信息安全保護問題。大數(shù)據(jù)的分析與使用，無論對個人（如跟蹤健康狀況防范疾?。ζ髽I(yè)（如了解市場偏好以有效安排產(chǎn)品設(shè)計生產(chǎn)營銷）乃至對國家（如防范疫情或恐怖主義）顯然都有巨大的好處，從商業(yè)用途來說，谷歌、微軟、雅虎等互聯(lián)網(wǎng)公司，完全可以通過它們掌握到的數(shù)以百萬計、千萬計甚至億萬計的數(shù)據(jù)，經(jīng)由“超級計算”，準確推斷消費者的愛好及習(xí)慣、商品的銷售額、疾病疫情的發(fā)展趨勢。商業(yè)如此，在政治、經(jīng)濟、軍事等方面亦存在諸多的用途和潛在利益。像“棱鏡”計劃里涉及的谷歌、雅虎、蘋果、微軟等大網(wǎng)站，人們每天由于各種業(yè)務(wù)需要，會把大量個人信息輸入其中，但常常并不被事先告知數(shù)據(jù)的用途。而這些數(shù)據(jù)會被企業(yè)或政府用來進行一些特殊的計算或分析，如通過對大數(shù)據(jù)的分析預(yù)測來對人們尚未實施的行為進行懲罰。比如“大數(shù)據(jù)之父”舍恩伯格曾披露過一個例子：在美國有一個計劃名為“預(yù)測式配警”，通過對大數(shù)據(jù)分析來預(yù)測美國某個城市的某條街道的某個時段是犯罪高峰時段，然后在那個位置部署更多的警力。從此該地區(qū)居民將長時間被監(jiān)控，這是一種變相的侵犯或懲罰。他們不是因為做錯事，而是因為某個計算機的算法預(yù)測他們可能做錯事而被懲罰了，顯然這是不公平的。美國國安局擁有的正是類似的一套基于“大數(shù)據(jù)”的新型情報收集系統(tǒng)，這套名為“無界爆料”的系統(tǒng)，以30天為周期，從全球網(wǎng)絡(luò)系統(tǒng)中接收到970億條訊息，再通過比對信用卡或者通訊記錄等方式，能幾近真實地還原個人的實時狀況。當然，像谷歌這樣的商業(yè)組織也有可能掌握同樣量級的信息而進行商業(yè)預(yù)測分析。因此，必須建立一套規(guī)則予以規(guī)范和約束對大數(shù)據(jù)的收集和使用。第一，雖然這些信息儲存在不同的服務(wù)器上，但這些數(shù)據(jù)是用戶的資產(chǎn)，擁有權(quán)屬于用戶自己而不是這些公司，這是必須明確的，就像財產(chǎn)所有權(quán)一樣，個人隱私數(shù)據(jù)也應(yīng)該有所有權(quán)。第二，利用大數(shù)據(jù)、云計算技術(shù)給用戶提供信息服務(wù)的公司或企業(yè)，需要把收集到的用戶數(shù)據(jù)進行安全存儲和傳輸，這是企業(yè)的責(zé)任和義務(wù)。第三，如果企業(yè)或政府要使用用戶的信息，一定要讓用戶有知情權(quán)和選擇權(quán)，泄露用戶數(shù)據(jù)甚至牟利，不僅要被視作不道德的行為，而且是非法行為。

　大數(shù)據(jù)時代的數(shù)據(jù)存儲和應(yīng)用方式是跨地域甚至是跨國界的。作為國家層面要將大數(shù)據(jù)上升為國家戰(zhàn)略，奧巴馬政府在2012年3月將“大數(shù)據(jù)戰(zhàn)略”上升為最高國策，像陸權(quán)、海權(quán)、空權(quán)一樣，將對數(shù)據(jù)的占有和控制作為重要的國家核心能力。我國也應(yīng)從國家高度重視大數(shù)據(jù)，在對其進行安全保護、政策制定需要重視三個方面：一是要正視數(shù)據(jù)霸權(quán)，要清醒認識到我國在網(wǎng)絡(luò)控制權(quán)、關(guān)鍵技術(shù)和高端設(shè)備等方面，還受制于西方。二是要明確主權(quán)，數(shù)據(jù)作為一種重要的戰(zhàn)略資源，無論是個人擁有還是國家擁有，都要納入到主權(quán)范圍里面來考慮。三是要有治權(quán)，因為有主權(quán)不一定能夠管治。比如：數(shù)據(jù)存到國外，云計算跨越國境，可能不在你的主權(quán)范圍之內(nèi)。要區(qū)別對待不同的數(shù)據(jù)，對確需保護的數(shù)據(jù)，必須有切實可靠的手段進行有效管理。如果做不到對數(shù)據(jù)的有效管理，大數(shù)據(jù)就必然面臨失控的危險。

　　政策界定安全責(zé)任問題。大數(shù)據(jù)的安全問題涉及政府、相關(guān)企業(yè)、網(wǎng)絡(luò)運營商、服務(wù)提供者，以及數(shù)據(jù)產(chǎn)生者、使用者等方方面面，必須對各自的安全責(zé)任有明晰的政策界定。信息安全風(fēng)險存在于數(shù)據(jù)的全生命周期之中，從技術(shù)思路、產(chǎn)品開發(fā)、用戶使用、服務(wù)管理，各個環(huán)節(jié)均要分擔相應(yīng)的安全責(zé)任。

　　監(jiān)管保障基礎(chǔ)設(shè)施安全問題。大數(shù)據(jù)的發(fā)展離不開電信網(wǎng)絡(luò)甚至工控系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施，其安全可靠同樣依賴于這些基礎(chǔ)設(shè)施，受供應(yīng)鏈全球化、產(chǎn)業(yè)私有化的影響，網(wǎng)絡(luò)與關(guān)鍵基礎(chǔ)設(shè)施間的安全日趨復(fù)雜，一國的大數(shù)據(jù)可能存放在別國的網(wǎng)絡(luò)中，一國的基礎(chǔ)設(shè)施可能同時服務(wù)于多個國家，高度的全球相互依賴性，挑戰(zhàn)著原有的國家主權(quán)觀念。所以，關(guān)鍵基礎(chǔ)設(shè)施的安全監(jiān)管體系十分重要，我國需要盡快確立對供應(yīng)鏈的實質(zhì)性國家安全審查和對基礎(chǔ)網(wǎng)絡(luò)的常態(tài)化安全監(jiān)管。

　　網(wǎng)絡(luò)空間沖突管理問題。大數(shù)據(jù)的資源價值越來越高，圍繞大數(shù)據(jù)的爭奪和沖突就越來越激烈。大數(shù)據(jù)的生成、處理和利用方式，將極大改變各種沖突的表現(xiàn)方式和破壞烈度。通過立法與國際合作應(yīng)對包括知識產(chǎn)權(quán)的保護、網(wǎng)絡(luò)犯罪的處置、網(wǎng)絡(luò)破壞活動特別是網(wǎng)絡(luò)恐怖主義的打擊以及網(wǎng)絡(luò)戰(zhàn)爭的威脅。