不可忽略的信息安全问题

刘自成

大连市第二十三中学

不可忽略的信息安全问题

刘自成

大连市第二十三中学

在信息大爆炸的今天，信息数据传播出现了很多新技术、新事物，如云计算、物联网等。在时代创新与科研探索不断催赶的大环境下，信息安全的重要性越来越得到人们的重视，虽然今天对于信息控制、安全与管理技术，我们也取得了很大进步。但目前，信息数据在收集、存储和使用过程中面临着诸多安全风险，尤其今天的大数据信息传播可能导致大面积的隐私泄露，更为用户带来严重困扰。虚假或错误的数据也将给国家和企业带来巨大的损失。本文分析了信息安全的意义，信息安全重要性及现状，并针对现有的信息安全问题提出了个人的看法和见解。

信息安全；大数据；量子通信

1 什么是大数据、信息安全

随着互联网技术及其应用的发展，信息化，大数据时代已经到来。通过大数据﹑云计算﹑量子通讯等互联网新技术的使用,个人信息的价值不断被挖掘﹑被使用,每个人既是信息数据的提供者也是使用者，现有的信息安全手段已经不能满足大数据时代的发展速度，信息安全既是一个不容忽视的国家安全战略，也是一个值得重视的社会问题。

大数据是指所涉及的数据量规模巨大到无法通过人工或传统的工具,在合理时间内达到截取﹑管理﹑处理并整理成为人类所能解读的信息。

信息安全是指信息系统(包括硬件﹑软件﹑数据﹑人﹑物理环境及其基础设施)受到保护，不受偶然的或者恶意的原因而遭到破坏﹑更改﹑泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。它有以下几个特性

保密性：保护自己所要传输的数据在没有被允许的情况下被他人阅读。每个人都有他自己的特殊访问权限，有自己的访问钥匙，因此可以避免泄密。

可控性：要准备传输的数据完全可以按照自己的意愿来进行传输，一些不必要的文件可以进行控制。

永久性：不会随着一些自然灾害，人为失误导致所有的文件全部丢失。在通过一些手段后可以继续有权限或者有可能继续阅读或利用已丢失的文件。

2 信息安全的重要性

现如今，网络发展在我国十分普遍，各种各样的网站跌重而来。同时每人每天会产生很多信息，这些海量的信息迅速在网络中传播着。比如简单地例子：当你用手机扫描二维码,并将其用微博转发的时候,你的消费习惯﹑偏好,甚至你的社交圈的信息,就已经被商家的大数据分析工具捕获。随后,他们需要做的,就是利用大数据对你的习惯和需要进行精准的分析﹑挖掘﹑展现和预测,向你提供进一步的信息和服务。在网络信息中，有很多都是比较敏感的信息，有的关系到国家机密信息，有的关系到用户的个人隐私。如果不法分子获取了这方面信息，就会对信息安全性造成严重威胁，由于利用互联网技术进行犯罪，一般不会留下犯罪痕迹，这样更提高了利用网络犯罪的几率。

人是网络上各类攻击﹑破解﹑监听各类信息数据的制造者，也是互联网信息的管理者，下面是几个严重导致信息泄露的例子：案例1：2013年8月20日，中国雅虎邮箱宣布停止提供服务。就在大家已快将其淡忘的时候，雅虎公司突然对外发布消息，承认在2014年的一次黑客袭击中，至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件，一经爆出立刻引发轩然大波。案例2：2014年1月,支付宝前技术员工涉嫌将多达20G的用户数据非法贩卖他人事件,引起广泛关注;案例3：同年3月,携程网爆发“安全门”事件,携程网安全支付日志存在漏洞,导致大量用户银行卡信息泄露,引发一场“换卡潮”。由此可见，信息安全不容小觑。我们必须认真对待。

3 信息安全面临三大主要问题

3.1 一个问题是信息数据未经授权被搜集

这种情况发生得比较多，多是发生在信息传播过程中被黑客攻击，信息数据被非法盗取。

3.2 第二个问题是信息数据超出范围使用

所谓超范围使用,是指企业通过一定的所谓合法的形式拿到个人信息,但是拿到以后使用信息的目的﹑用途以及范围,并非信息权利主体所熟知。这种情况包括,当互联网对一些数据信息进行更进一步或者深层挖掘时,这种挖掘在一定程度上有可能侵犯了权利主体的权益。因为互联网企业之前可能告诉权利主体,获取信息是基于特定的目的或者在特定范围内使用,但是进一步挖掘就有可能触犯了约定，无意或有意造成用户隐私的泄露。

3.3 第三个问题,信息数据在存储过程中被人为地滥用

前面所说的支付宝用户数据被非法贩卖事件就是这样的案例。前几年,某网络社区也遇到这一问题,社区存储的几千万用户信息被黑客拿到后转卖给第三家,最后造成信息滥用。

4 大数据时代的信息安全的对策

4.1 加强信息安全立法

信息安全保护既包括信息基础设施保护，也包括个人信息安全保护。

信息基础设施保护立法包括：一是将电信﹑金融﹑能源﹑交通等重要信息系统明确纳入国家关键信息系统范畴；二是对进入关键信息基础设施中的信息技术与产品进行强制性技术安全认证及供应链审查；三是明确信息安全监管机构。建议中央网络安全和信息化领导小组办公室牵头建立国家关键信息基础设施的产品﹑服务安全审查制度。

个人信息安全保护立法是尽快出台《个人信息保护法》。虽然我国自上世纪90年代以来，先后出台多部涉及互联网个人信息安全的法规﹑条例﹑办法，但是，从颁布者来看，多为国务院﹑工业和信息化部﹑公安部等行政部门，这种部门法规的效力和权威要低于国家法律；从内容来看，对侵害互联网个人信息安全的行为的界定﹑处置依据尚比较模糊，对各类互联网参与主体的责任划分不够清晰明确，特别是对互联网信息企业在信息安全方面人员﹑设备投入没有明确的规定，难以适应当前严峻的互联网个人信息安全形势；从实施效果来看，部分法规﹑办法仍停留在说教层面，具体实践中没有得到很好地执行。另外，刑法中也没有对破坏互联网个人信息安全的行为如制造病毒﹑传播恶意软件，利用互联网个人信息从事非法活动的相关法律责任和处罚办法进行细化。所以今天，针对互联网信息产业新事物﹑新技术，应该尽快出台针对个人信息安全保护方面的新法规。

4.2 加强现有的信息安全体系的发展，构造安全的网络信息传播环境

网络环境下的信息安全体系是保证信息安全的关键，其中包括计算机安全操作系统﹑各种安全协议﹑安全机制(数字签名﹑消息认证﹑数据加密等)，直至安全系统，如UniNAC﹑DLP等，只要存在安全漏洞便可能威胁全局的安全。

信息在存储﹑处理和交换过程中，都存在泄密或被截收﹑窃听﹑窜改和伪造的可能性。不难看出，单一的保密措施已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的﹑管理的﹑行政的手段，实现信源﹑信号﹑信息三个环节的保护，藉以达到秘密信息安全的目的。

4.3 使用新技术、新事物来保证信息安全

信息安全新技术包括云安全技术﹑物联网安全技术﹑量子通信技术等。

云安全是一个从“云计算”演变而来的新名词。云安全的策略构想是：使用者越多，每个使用者就越安全，因为如此庞大的用户群，足以覆盖互联网的每个角落，只要某个网站被挂马或某个新木马病毒出现，就会立刻被截获。

“云安全”通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马﹑恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

物联网是通过智能感知﹑识别技术与普适计算在互联网的综合应用，物联网的核心技术主要有三个特点：可跟踪﹑可监控﹑可连接。因此，物联网所面临的安全性威胁也主要是这三方面的，具体来讲，主要包括感知﹑传输和应用三个层面。物联网安全问题的解决需要根据物联网自身的特点以及它在各个领域的应用情况，推行因地制宜的解决方案。但是不管在任何领域，构建一个安全的物联网体系都是根本，它能为物联网的发展提供更好的平台，同时，一个完善的防护措施也是必不可少的，它能从外部缩小安全隐患的威胁，能为物联网的发展打造一个更加和谐的网络环境，推动以物联网为载体的经济新模式高效快速地发展。

量子通信技术是近年发展信息传播新技术，主要有两种方式，一种是利用量子的不可克隆性质生成量子密码，他是二进制形式的，可以给经典的二进制信息加密，这种通信方式称为“量子密钥分发”。第二种是利用量子纠缠用来传输量子信息的最基本单位——量子比特。两个处于纠缠态的粒子A和B，不论它们分开多远，我们把其中一个粒子(A)和携带想要传输的量子比特的粒子(C)一起测量一下，C的量子比特马上消失，但是B就马上携带上了C之前携带的量子比特，我们把这个过程叫做“量子隐形传态”。

量子密钥分发可为我们现在的通信建立牢不可破的量子密码，从根本上保障我们的通信安全。量子密钥分发以一个个单独的光子作为载体，通过收发双方通过随机测量这些光子，选取共同测量方式的那些测量结果，就会形成一组量子密钥。如果中间有人窃听，收发双方的测量错误会瞬间上升，马上就会察觉有窃听的存在。所以一组成功生成的量子密钥一定是排除了一切窃听的绝对安全的密钥，用它加密的信息也是不可破译的。

结束语:

大数据时代已然到来，随之而来的既有机遇也有挑战。我们应当根据当前出现的信息安全新问题，通过加强现有的信息安全体系﹑并积极采用新技术手段与相关政策法规等相结合的方法，才能更好地解决信息安全保护问题。