大數(shù)據(jù)時代人人當(dāng)自危_數(shù)據(jù)分析師培訓(xùn)

在大數(shù)據(jù)時代，你可以知道何時買進機票最劃算、什么時候會爆發(fā)瘟疫，但是它也意味著我們的一切都變得透明。我們時刻暴露在“第三只眼下”，亞馬遜監(jiān)視著我們的購物習(xí)慣，谷歌監(jiān)視著我們的網(wǎng)頁瀏覽習(xí)慣。

　　“棱鏡門”事件爆發(fā)后公眾才意識到，美國情報機構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔等信息中分析個人的聯(lián)系方式與行動。

　　當(dāng)生活全部被數(shù)據(jù)占領(lǐng)以后，你覺得你的生活有多安全？

　　暢銷書《大數(shù)據(jù)時代》講述了身處大數(shù)據(jù)時代，你的生活會有多么美好。不需要知道因果，只需要占有大量的數(shù)據(jù)便可以知道下一次瘟疫何時會爆發(fā)，了解何時買進機票是最劃算的，甚至你的汽車座駕因為占有了你屁股的數(shù)據(jù)就輕而易舉地終結(jié)了偷車賊把車開車的可能性。

　　但本書的作者也說了：“數(shù)據(jù)化意味著我們把一切都透明化?！蔽覀儠r刻都暴露在“第三只眼”之下，亞馬遜[微博]監(jiān)視著我們的購物習(xí)慣，谷歌[微博]監(jiān)視著我們的網(wǎng)頁瀏覽習(xí)慣。

　　在這樣一個透明的社會中，商家有了更精準(zhǔn)的營銷方式，比如你在淘寶上有意購買某件衣服，接下來你來到其他網(wǎng)站可能就會發(fā)現(xiàn)，向你展示的廣告都和剛剛瀏覽過的那件衣服有高度相似。

　　政府的監(jiān)控也更加有效了。前段時間鬧得沸沸揚揚的“棱鏡”事件，使公眾對此有了一些認(rèn)識，美國情報機構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔等信息中分析個人的聯(lián)系方式與行動。

　　還有一類隱藏在黑暗中的群體，他們也將在數(shù)據(jù)時代中獲得更多的利益，那就是黑客們。

　　從興趣到產(chǎn)業(yè)，黑客江湖已經(jīng)不再是2000年前后的熱血疆土。1997年Goodwell、Solo、Rocky等人創(chuàng)立了“綠色兵團”，開創(chuàng)了中國黑客的紅色年代，這一時期的黑客們在印尼排華、中美撞機等事件中成功實施跨國網(wǎng)絡(luò)攻擊，將中國的五星紅旗插在了印尼、臺灣、美國的網(wǎng)站上。

　　如今，黑客這個詞和木馬、盜號、詐騙這些詞聯(lián)系在一起?！?012年中國網(wǎng)站可信驗證行業(yè)發(fā)展報告》顯示，截至2012年6月底，全國79%的網(wǎng)站存在高危漏洞，31.8%有網(wǎng)絡(luò)購物經(jīng)歷的網(wǎng)民本人曾在網(wǎng)購過程中直接碰到釣魚網(wǎng)站或詐騙網(wǎng)站，網(wǎng)購遇騙網(wǎng)民的規(guī)模達(dá)6169萬。保守估算，因釣魚網(wǎng)站或詐騙網(wǎng)站給網(wǎng)民造成的損失不低于308億。

　　信息的竊取已經(jīng)構(gòu)成了一個完整的產(chǎn)業(yè)鏈，技術(shù)高超的黑客負(fù)責(zé)編寫木馬，然后將程序賣給下游的買家。擁有一定黑客知識但是還不足以自己完成編寫木馬程序的人負(fù)責(zé)將木馬掛到有漏洞的網(wǎng)站上，這些人被稱為掛馬者。最底層的是洗信者，他們從掛馬者手中買到裝有用戶名和密碼的“信”，從中尋找有價值的東西，就這樣每年約有20億個賬戶的信息在地下進行買賣。

　　最有價值的東西莫過于用戶的銀行卡信息。常見的網(wǎng)購詐騙是通過釣魚網(wǎng)站，黑客們假冒淘寶、機票預(yù)訂等電商網(wǎng)站，一旦用戶在上面進行支付，用戶的銀行卡卡號、網(wǎng)銀密碼就被成功竊走。

　　密碼的安全是網(wǎng)銀安全的最后一道關(guān)口，也是最重要的一道關(guān)口，但據(jù)深諳商用密碼竊取技術(shù)的網(wǎng)絡(luò)安全專家(綠色兵團創(chuàng)始人之一)介紹，國內(nèi)銀行對網(wǎng)銀密碼的安全性重視度并不高，盡管已經(jīng)出現(xiàn)了多起網(wǎng)銀被盜的案例，單筆金額最大的甚至近千萬元，但目前還沒有看到國內(nèi)銀行愿意在密碼安全上投入更高成本的決心。

　　據(jù)該專家介紹，使用U盾來完成網(wǎng)銀支付的用戶，風(fēng)險較使用時間型動態(tài)密碼的用戶更高。由于U盾有接口，因此給木馬控制之機，例如一種名為“紅蝙蝠網(wǎng)銀大盜”的病毒木馬就可以通過中了病毒的U-key在不到一分鐘的時間將用戶資金轉(zhuǎn)出。

　　在國外，網(wǎng)銀支付更多的是應(yīng)用時間型動態(tài)口令密碼技術(shù)，由于它不需要接口，與平臺無關(guān)，更加適用于移動互聯(lián)網(wǎng)時代，且動態(tài)口令每個密碼每分鐘只能使用一次，有效時間不超過1分鐘，大大提高了網(wǎng)銀的安全性。

　　但時間型動態(tài)口令存在被截取的可能性，黑客可以利用釣魚網(wǎng)站竊取用戶的賬號及密碼，同時，瀏覽器將跳轉(zhuǎn)至一個等待頁面，該頁面以系統(tǒng)升級為借口，讓用戶等待60秒。黑客則利用這60秒的時間，迅速登錄用戶的網(wǎng)銀賬號。一旦60秒倒計時結(jié)束后，頁面會顯示讓用戶輸入動態(tài)口令。用戶輸入后，黑客將第一時間收到用戶的動態(tài)口令，并立即提空用戶賬戶內(nèi)的所有錢款。

　　商用密碼的安全性、規(guī)范性越來越被國家重視，去年11月底，國家密碼管理局發(fā)布了《中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)》(GM/T 0021-2012)，對動態(tài)口令密碼應(yīng)用技術(shù)規(guī)范做出明確規(guī)定，要求必須是“挑戰(zhàn)應(yīng)答”式動態(tài)密碼技術(shù)，且芯片必須采用具有國家密碼管理局批準(zhǔn)產(chǎn)品型號證書的安全芯片。這是因為，信息安全的核心是密碼技術(shù)，密碼技術(shù)的核心是加密算法，區(qū)分不同的個體在于密鑰，而算法和密鑰均存儲在具有硬件防護的安全芯片中，所以密碼產(chǎn)品采用經(jīng)國家核準(zhǔn)的安全芯片更是重中之重。

　　所謂“挑戰(zhàn)應(yīng)答”式動態(tài)密碼最安全方便的根源在于它的防線設(shè)定在用戶本身，與用戶實時互動，要求用戶在操作時要輸對方交易卡號等對方的特定信息，從而產(chǎn)生這一分鐘的實時交易密碼。

　　例如A要轉(zhuǎn)賬給B，先在動態(tài)令牌上輸入B的銀行賬號后六位，然后獲得動態(tài)密碼，這樣即便黑客竊取了A的賬號和動態(tài)密碼，只要轉(zhuǎn)入的賬號后六位與A此前輸入的信息不同，轉(zhuǎn)賬就不會成功，這樣認(rèn)證相對U-key和時間型動態(tài)密碼就更安全了。而且產(chǎn)品具有非接觸性，只要有數(shù)字按鍵的地方都能認(rèn)證，從而解決了不同終端設(shè)備以及不同應(yīng)用場景下的認(rèn)證問題，例如手機銀行、電話銀行、ATM機、POS機等。

　　但由于規(guī)范出臺較新，所以尚未得到銀行重視，目前市場上99%的網(wǎng)銀動態(tài)密碼產(chǎn)品均是采用沒有任何防護技術(shù)的通用芯片，動態(tài)密碼也多數(shù)停留在時間同步技術(shù)，用戶密碼并不安全。

　　更值得注意的是，通用芯片完全是采購的國外產(chǎn)品，雖然價格低廉，但存在安全隱患，“斯諾登”事件也說明說明國與國之間不僅存在著信息戰(zhàn)，而且未來戰(zhàn)爭更是信息之戰(zhàn)。上述網(wǎng)絡(luò)安全專家說，中國在信息戰(zhàn)中處于下風(fēng)， 2006年美國115個政府部門參與的一場“網(wǎng)絡(luò)風(fēng)暴”的網(wǎng)絡(luò)戰(zhàn)演習(xí)中，發(fā)現(xiàn)中國黑客可在72小時使美國金融系統(tǒng)陷入癱瘓狀態(tài)，但美國只用24個小時就可以搞定中國的金融系統(tǒng)。