大數據安全面臨系列挑戰_數據分析師

隨著大數據時代的到來，數據的收集和存儲更加方便，同時跨境流動更加頻繁，安全問題愈發凸顯。我國在發展大數據產業的過程中，部分企業收集用戶數據的使用權限邊界界定不清，用戶隱私和權益遭受侵害，一些重要數據被非法倒賣、流向他國，安全威脅已經從個人層面上升至國家安全層面，亟須引起重視。

　　安全風險不斷提升　隱私保護內涵拓展

　　伴隨網絡化社會的不斷發展和技術水平的不斷提升，大數據安全風險也不斷增加。首先，網絡化社會無處不在的智能終端、互動頻繁的社交網絡和超大容量的數字化存儲，為獲取和存儲大數據提供了一個開放、互聯的平臺?；?a href='/map/yunjisuan/' style='color:#000;font-size:inherit;'>云計算的網絡化社會，使分布在不同地區的資源可以快速整合、動態配置，實現數據集合的共建共享。但這一平臺的開放性，也使得蘊含海量信息和潛在價值的大數據更容易吸引黑客的攻擊。對于攻擊者而言，由于這些信息的相互關聯，用相對低的成本便可獲得“滾雪球”般的收益。

　　同時，技術的發展也增加了安全風險。計算機網絡技術和人工智能的發展，服務器、防火墻、無線路由等網絡設備和數據挖掘應用系統的廣泛應用，為大數據自動收集效率和智能動態分析提供了方便，但也增加了大數據的安全風險。一方面，由于對大數據的安全控制力度不夠，應用程序編程接口的訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄露;另一方面，攻擊技術不斷提高，大數據本身可能成為一個可被持續攻擊的載體，隱藏其中的惡意軟件和病毒代碼很難被發現。

　　2014年8月，中國互聯網協會發布的《中國網民權益保護調查報告(2014)》顯示，2013年7月至2014年7月，中國網民因各類侵權遭受的損失合計約1434億元，其中直接經濟損失約為1093億元。

　　大量事實表明，如果不能妥善處理大數據安全問題，將對用戶的隱私造成極大的侵害。專家介紹，根據保護內容的不同，用戶隱私保護可細分為位置隱私保護、標識符匿名保護、連接關系匿名保護等。而與傳統的網絡安全內容不同，在大數據時代，人們面臨的威脅除了個人隱私泄露，還包括基于大數據對人們狀態和行為的預測。

　　被譽為“大數據商業應用第一人”的英國專家維克托·邁爾·舍恩伯格在《大數據時代》一書中舉例說，某零售商通過歷史記錄分析，比家長更早知道其女兒已經懷孕的事實，并向其郵寄相關廣告信息。這種針對人們狀態和行為的預測，實際上也涉及一種重要的用戶隱私。

　　此外，一些企業認為，經過匿名處理后，信息不包含用戶的標示符就可以公開發布。但事實上，僅通過匿名保護難以達到隱私保護目標。例如，美國某公司曾公布匿名處理后的三個月內部分搜索歷史，供人們分析使用。雖然個人相關標識信息被精心處理過，但通過其中某些記錄項還是可以準確地定位到具體的個人?！都~約時報》隨即公布其識別出一位62歲的寡居婦人，家里養了三條狗，患有某種疾病。

　　另一個相似的例子是，著名的DVD租賃商Netflix曾公布約50萬用戶的租賃信息，懸賞100萬美元征集算法，以期提高電影推薦系統的準確度。但是當上述信息與其他數據源結合時，部分用戶還是被識別出來。

　　專家介紹說，目前用戶數據的收集、存儲、管理與使用等均缺乏規范，更缺乏監管，主要依靠企業自律，用戶無法確定自己隱私信息的用途。全球權威大數據專家阿萊克斯·彭特蘭教授，針對大數據安全提出了“數據上的新決議”三原則，即用戶有權擁有自己的數據，有權掌控數據的使用，有權銷毀或貢獻自己的數據。

　　跨境流動風險加劇　數據倒賣凸顯監管缺失

　　本刊記者了解到，目前一些外國企業正在大量收集和分析我國用戶的大數據資料。美國微軟公司推出智能聊天機器人“小冰”，通過其強大的大數據分析技術能力，收集和分析了中國6億多網民多年來的聊天記錄。目前微軟“小冰”已同米聊、易信等多家我國即時通訊工具進行合作開發，通過分析用戶聊天內容進行商業開發。

　　最高人民法院中國應用法學研究所所長孫佑海說，雖然微軟公司承諾僅將“小冰”收集的數據傳輸到云端，并不保存，但實際上無人知曉微軟公司是否真的不保存數據，即便不存儲數據，美國情報部門仍然可以在通信信道上監聽，這將給我國的網絡信息安全帶來巨大隱患。

　　孫佑海指出，網絡空間的資源分配權一直掌握在美國政府控制下的“互聯網名稱與數字地址分配機構”(ICANN)手中。目前，我國和ICANN簽訂的入網協議并未對外公開，從臺灣網絡資訊中心(TWNIC)和ICANN共同簽署的入網協議的內容來看，根本沒有防止監控和竊取入網國家和地區的網絡信息等安全保障方面的約定。

　　我國一些網絡運營商和企業將收集而來的數據信息進行大數據分析，分門別類整理后銷售給他人，為自己牟取巨大利益，給用戶帶來巨大的安全隱患。

　　本刊記者采訪發現，除了多年前就十分普遍的手機信息泄露，當前網上非法倒賣銀行卡信息的行為也變得十分猖獗，嚴重威脅到國家金融安全。而對倒賣銀行卡信息的行為，目前我國并沒有相應的刑法罪名，且行政處罰又缺乏明確的法律依據，只能依據居民身份證法對違法使用身份證辦理銀行卡的行為處以200元以下的罰款，違法成本極低，客觀上助長了違法行為的肆虐。

　　對于國家安全和公共安全，我國建立了對信息和信息載體按照重要等級分級保護的“信息安全等級保護”制度。但孫佑海指出，該制度因缺乏法律依據，貫徹執行情況并不理想。涉及國家安全和公共安全的重點崗位和人員的范圍不夠明確，網絡信息安全保護工作的重點不夠突出，一些重點崗位人員既缺乏網絡信息安全保護的意識，也缺少網絡信息安全的專業技能，更缺乏網絡信息安全的保護措施。

　　數據無界線萬物互聯帶來新問題

　　在傳統的PC互聯網時代，電腦連接還有明顯的邊界，需通過線纜連接，這時的安全問題可以靠防病毒、查殺流氓軟件、防火墻等進行防御;但進入到互聯網新階段，特別是移動互聯網時代，手機等終端打破了對網絡邊界的定義，手機和個人隱私信息聯系在一起，安全問題變得更加嚴重。

　　中國工程院院士鄔賀銓說，萬物互聯時代的設備連接和數據規模都達到了前所未有的程度，不僅手機、電腦、電視機等傳統信息化設備將連入網絡，家用電器和工廠設備、基礎設施等也將逐步成為互聯網的端點，遠超出傳統邊界網絡安全防御的范圍;云計算提高了IT資源使用效率，但其動態虛擬化管理方式、強大的計算與存儲能力，也會引發新的安全問題，給安全管理體系帶來巨大沖擊。

　　對此，業內人士指出，移動設備的普及正吸引網絡黑暗勢力將目標轉至移動終端，現有的安全防護手段逐漸失去效力，傳統的系統安全、邊界安全已無法防衛以“數據竊取”和“大數據污染”為目的的惡意威脅，必須以大數據為核心，構建全新的信息安全防護體系。重塑信息安全要遵循三個基本原則，即以保護用戶隱私和數據安全為前提，明確用戶對信息數據的所有權，明確企業對信息數據的保障義務，并保障用戶在信息交換和使用時的知情權，這是萬物互聯時代保護信息安全的基礎。

　　業內人士認為，大數據的安全應用目前仍多停留于想法，仍需進一步探究如何落地。大數據首先應建設一套規范且靈活的建設標準與運行機制，規范化建設可以促進大數據管理過程的正規有序，實現各級各類信息系統的網絡互聯、數據集成、資源共享，在統一的安全規范框架下運行。

　　此外，可考慮建立以數據為中心的安全系統?；?a href='/map/yunjisuan/' style='color:#000;font-size:inherit;'>云計算的大數據存儲在云共享環境中，為了大數據的所有者可以對大數據使用進行統一控制，可以通過建設一個基于異構數據為中心的安全方法，從系統管理上保證大數據的安全。

　　還須看到，規范固然重要，如果太過于死板，是不利于安全對抗的，攻擊本身就是一種很靈活的過程，安全對抗需要保持高敏感度，在大小對抗中不斷完善這個體系。