大数据安全问题探讨
互联网的快速发展和信息爆炸将我们推入以云计算和大数据为新特征的信息社会,大数据给社会进步、经济发展带来强大的驱动力,同时也引发了个人隐私泄露和网络信息安全问题,本文对大数据安全问题进行了探讨,旨在提高大数据时代的信息安全水平。
阿里巴巴创始人马云指出,人类社会正经历着从信息科技(IT)时代向数字科技(DT)时代的快速跨越。从信息科技向数字科技的转变,正是大数据时代的产物,中国社会已经进入大数据时代。
然而,随着数据结构不断变化和数据格式的日趋复杂化,安全已成为“大数据”时代尖锐的问题。企业内部交易信息、互联网商品物流信息、互联网用户交互信息、位置信息等,都面临被监控的威胁和隐私被侵犯的隐忧,大数据似乎让隐私无处安放。如何对“大数据”资源进行有效的安全保护,成为当前社会各界共同关注的问题。
一、大数据时代面临的安全风险
根据百度百科定义,大数据(Big Data),是指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合。
目前,学界较为统一的认识是大数据具有4个基本特征:⑴Volume(大量化),随着信息技术的发展,特别是云计算、物联网、移动网络技术的快速发展,人们创造的数据成指数级别增长,这种数据量大到超出了传统数据处理方法所能捕获、处理和管理的能力;⑵Variety(多样化),大数据背景下“数”的形式也更为复杂,大数据是动态的实时数据流,是一种非结构化的数据形态,诸如网页、图像、视频、音频等,这些多类型的数据对数据的处理能力提出了更高要求;⑶Velocity(快速化),随着电子商务、社交网络、移动通信网络等信息传播技术的不断发展,数据的产生更快,数据量越大,要求必须有相应的处理速度匹配,才能使得大数据的分析结果及时发挥作用;⑷Value(价值化),由于大数据通常是直接采用全部数据,省去了归纳和采样,保障了分析结果的全面性,同时也带来了许多无用的信息,所以大数据关注的海量数据的价值密度偏低。
大数据的4个特征使得大数据在采集、存储、处理、传输等过程中面临着特有的安全风险。
第一、数据大量化带来安全风险。在网络空间中,大数据成为更容易被“关注”的大目标。一方面,大数据意味着海量的数据,也意味着更复杂、更敏感的数据,这些数据会吸引更多的潜在攻击者,成为更具吸引力的攻击目标;另一方面,数据的大量汇集,使得黑客一次成功的攻击能够获得更多的数据,无形中降低了黑客的攻击成本,增加了“收益率”。从近两年发生的一些互联网公司用户信息泄露案可以发现,被泄露的数据量都是非常庞大的。
第二,数据非结构化带来安全风险。随着数据生成方式的多样化,如社交网络、移动计算和传感器等技术的应用,非结构化数据已成为大数据的主流形式,目前已经成熟的关系型数据库无法支持非结构化的大数据信息存储,关系型数据库中的隐私保护和用户访问控制等技术也无法在大数据管理中应用。
第三,数据来源多样化带来安全隐患。大数据时代,数据的来源多种多样,如移动网络、手机、物联网、平板电脑等。这些分散在世界各地的数据具有很强的开放性,管理员很难逐一对其进行跟踪保护,从而造成用户隐私如企业运营数据、个人生活习惯信息、客户身份信息、理财信息等泄露。
第四,数据传输渠道复杂带来安全风险。在大数据时代,一方面,在使用传统传输协议的情况下,急速增加的海量数据可能会被黑客利用协议漏洞进行攻击,发生传输过程中的数据窃取;另一方面,大数据时代的网络更加注重无线传输,具有更强的开放性,数据在这种传输环境中更易遭到拦截。
第五,数据存储和使用带来安全风险。大数据时代,大量数据每时每刻都会通过网络汇聚在一起,必然需要更多的设备来存储,这些设备的管理、防电磁干扰、规划布局等都需要新的设计,在这个过程中,很难避免不碰触到某些个人隐私数据,这就给大数据的管理者提供了窃取用户隐私的机会。
二、大数据引发的信息安全问题
(一)个人隐私安全问题
大数据时代,随着互联网、智能手机、传感器、个人穿戴式设备等新技术的不断普及,大量数据的剧集不可避免地加大了隐私泄露的风险。一方面,大量的数据汇集,包括大量的企业运营数据、客户信息、个人的隐私和各种行为的细节记录,这些数据的集中存储增加了数据泄露风险;另一方面,一些敏感数据的所有权和使用权并没有明确的界定,很多基于大数据的分析都未考虑到其中涉及到的个体的隐私问题,个人数据的网络化和透明化已经或即将成为不可阻挡的大趋势,个人隐私安全问题在大数据时代再一次被放大。
近年来,个人隐私通过网络泄露的问题层出不穷,进一步加剧了用户对网络安全以及云计算、大数据环境下数据安全和隐私的担忧,从而也引发了大数据的信任危机。
2012年8月,苹果公司的iCloud云服务受到黑客攻击,黑客暴力破解用户密码后,删除了部分用户资料,而云平台并未备份用户数据,导致了用户数据的丢失,并致使用户Gmail和Twitter账号被盗。
2013年6月,斯诺登“棱镜门”事件曝光了美国国家安全局的秘密监听计划,事件表明美国政府通过技术手段一直在对各大网络服务商的服务器进行监听,并对获取的用户数据进行分析。
2014年10月,美国资产规模第一大银行摩根大通称,由于公司计算机系统遭遇网络攻击,7600万家庭和700万小企业的相关信息被泄露,这是美国历史上波及范围最广的信息泄漏事件之一。
2015年7月,拥有3700多万注册用户的全球知名婚外恋在线约会网站“AshleyMadison”被黑,共计3300多万用户的个人资料统统被黑客窃取并被公布在网上。
普林斯顿大学的计算机科学家阿尔文德·纳拉亚南(Arvind Narayanan)称,只要有合理的商业动机来推动数据挖掘的进程,任何形式的隐私都是“算法上不可能”的。
大数据带来的整体性变革,使得个体用户很难对抗个人隐私被全面暴露的风险,保护个人数据隐私成为目前极为重要而紧迫的任务。
(二)企业信息安全问题
大数据现在是企业专注的议题,企业借助大数据分析工具,充分发掘用户行为信息,可对市场进行准确预测和判断。最近的一项IT创新研究显示,45%以上的公司在过去两年中已采取了商业智能或者大数据相关的举措;90%以上的全球500强企业在一年之内会开展至少一个大数据项目。
然而,当企业用数据挖掘和数据分析获取商业价值的时候,会面临更多的安全挑战,例如电子商务、金融、天气预报的分析预测、复杂网络计算和广域网感知等。在启明星辰核心研究院资深研究员周涛看来,与传统安全相比,大数据安全的最大区别是,“安全厂商在思考安全问题的时候首先要进行业务分析,并且找出针对大数据的业务的威胁,然后提出有针对性的解决方案。”
因此,大数据时代,企业不仅要学习如何挖掘数据价值,使其价值最大化,还要统筹安全部署,考虑如何应对网络攻击、数据泄露等安全风险,并且建立相关预案。
(三)国家网络安全问题
大数据时代,网络信息系统已经成为政治、经济、文化和社会活动的基础平台和神经中枢,如果遭到破坏,会给整个国家金融通信、能源交通、国防军事等攸关国计民生和国家核心利益的方方面面带来严重后果。网络已经突破了传统意义上的国界线,是国家的一种“新边疆”,正如美国著名未来学家阿尔温?托夫勒说:“谁掌握了信息,控制了网络,谁就拥有整个世界。”正因为如此,习近在中央网络安全和信息化领导小组第一次会议上强调:“没有网络安全就没有国家安全,没有信息化就没有现代化”,明确提出把我国建设成为网络强国的战略目标。
此外,大数据也会为网络恐怖主义提供新的资源支持。庞大海量的大数据涉及的方面之广,将有可能使网络恐怖主义的势力侵入人们生活的方方面面。为了更好地利用信息技术反对恐怖主义的袭击,美国联邦政府实施新方法,利用海量的、以商业手段收集的个人信息数据库来为提高国家安全服务。这些信息库几乎包括了各个行业,金融数据、保险信息、零售记录、旅游信息、证书和房产证明等政府部门资料。这一趋势早在2001年“911”事件发生前就已经产生,但从那之后不断增强,新的数据环境已经产生了两大前所未有的特征,即来源于私人部门的、可用的个人化识别信息具有深度和广度,同时用于分析这些数据的分布形势与意义的能力也在不断提高。
三、大数据安全问题的应对策略
作为社会的又一个基础性资源,大数据从概念走向实践,将给社会进步、经济发展带来强大的驱动力,解决大数据的安全问题,已经成为社会最关注的问题之一。当前,应对大数据安全问题要重点解决以下几个问题。
一是提高安全意识。由于大数据是一种资源,在尊重数据所有者权、合法的条件下,才是大数据的魅力。因此,在任何情况下,都应提高公众自身信息安全意识。当一部分个人信息输送到网络中时,可能会被不法分子所采用。鉴于此种情况,用户在网络上发布自己的隐私消息时,应尤其小心,从而保证与个人信息相关的大数据信息的安全性。
二是明确主体责任。信息安全风险存在于数据的全生命周期之中,从技术思路、产品开发、用户使用、服务管理,各个环节均要分担相应的安全责任。大数据安全问题涉及政府、相关企业、网络运营商、服务提供者,以及数据产生者、使用者等方方面面,必须对各自的安全责任有明晰的政策界定。专家建议,应通过完善法律法规,制定大数据时代的“游戏规则”:一是对企业如何保护收集来的个人隐私做出明确规定;二是企业如何使用收集到的个人隐私必须提前告知用户;三是对于用户个人而言,必须要有数据的准入权、删除权和修改权。
三是提高防护能力。大数据时代,随着数据收集范围的扩大和数量的增加,在线数据越来越多,黑客、间谍的犯罪动机也比以往任何时候都来得强烈。如今他们的组织性更强、更加专业,作案工具也更加强大,作案手段更是层出不穷。因此,各行业应该针对大数据可能遭受的信息安全威胁、物理安全威胁、管理安全威胁,根据大数据的自身特点和优势调整安全策略,采取积极有效的举措提升安全防护能力,降低威胁的负面影响。
四是完善相关法律。当前,我国初步建立了对个人信息和个人隐私权保护的法律体系,散见在相关法律条款、行政法规和部门规章中,但缺少个人信息保护方面的专门性立法,没有一部基本法律来全面系统地就个人信息保护的基本原则、个人信息主体的权利、监管机构及其职责、个人信息和隐私权受到侵犯时有效的法律救济等重要问题作出规定。2012年全国人大常委会出台的《关于加强网络信息保护的决定》只是规定了个人信息保护的基本原则,操作性不强,需要配套的法律法规以及操作性强的实施细则。国家宜根据大数据的特点,及时完善相关法律法规,促进大数据产业健康发展。
作者:李安宁 来源:华人时刊·下旬刊 2015年11期
下一篇:华青融天:携伙伴助大数据安全落地