忻高峰 , 肖静
(1.工业和信息化部电子第五研究所,广东广州 510610;2.宁波赛宝信息产业技术研究院有限公司,浙江宁波 315040;3.工业和信息化部电子第五研究所华东分所,江苏苏州 215011)
在互联网技术火热发展的今天,大数据呈现出了爆发式的增长之势,数据已经成为了一种新的资源,为这个快速发展的社会提供着巨大的价值,也为创新驱动、万众创新的时代主题提供了推动力。这些庞大的数据 “宝藏”将成为 “未来的新石油”。未来的数据占有和控制将成为各个国家的另一个重要核心竞争力。
虽然大数据的潜在价值非常巨大,但其面对的挑战也非常大且问题类型有很多,大数据主要以非结构化为主,包括图文档、语音、日志和地理位置信息等,这些多类型的数据对数据的处理能力提出了更高的要求,例如:怎样进行数据存储,如何进行数据花费,如何提高数据保存时间等等。Cartner有分析报告指出,大数据安全是一场巨大的战争;还有其他研究报告指出,大数据还面临着多项信息安全挑战,为了有效地避免和解决大数据带来的信息安全问题,建立大数据工作组,探究针对大数据信息安全问题的有效解决措施已刻不容缓[1]。
因此,本文从各种能够导致大数据安全问题的方面进行了分析和问题整理,并且提出了有效的解决方案和应对措施,为大数据信息安全框架的建立提供了一定的参考和借鉴。
近年来,随着QQ、微信等社交软件的不断增多,越来越多的用户信息被存储在这些软件中;随着微信支付、支付宝支付等移动支付手段的蓬勃发展,大量的用户隐私数据被暴露在网络环境中。这些社交软件、支付手段在给人们的生活带来便利的同时,也带来了一系列的信息安全问题[2]。如果这些信息被不法分子利用的话,就将会对用户的财产造成巨大的损失;如果掌握个人大数据的企业遭到黑客攻击或者被内部人员出卖数据的话,将会对用户的工作、生活产生重大的影响。目前全社会都非常关心这个问题,用户在享受移动互联网带来便利的同时,如何更好地被保护好个人数据安全已成为了用户最关心的话题。
近年来,随着中国持续地推进智能制造、工业4.0战略,工业大数据的价值被不断地挖掘,工业大数据是在工业数据进行采集加工后产生的数据。工业大数据是指在工业领域中,围绕典型的智能制造模式,从客户需求到销售、订单、计划、研发、设计、工艺、制造、采购、供应、库存、发货、交付、售后服务、运维和报废或回收再制造等整个产品全生命周期各个环节所产生的各类数据及相关技术和应用的总标[3-4]。工业数据具有数据题量大、分布广泛、结构复杂、数据变化快和数据价值不均匀等五大特征。同时,与个人数据相比,工业数据往往蕴藏着先进制造业的尖端技术、客户信息和制造工艺等重要内容,这些数据往往是企业赖以生存和发展的根本,是企业核心竞争力的关键数据。这些数据往往关系着企业的命脉,企业能否处理好大数据利用和大数据信息安全之间的关系,将会对其生存发展产生重大的影响。
不仅企业能从他们搜集的海量大数据中获取价值,政府也能从大数据中获取价值。据了解,大数据技术领先的国家已实施大数据应用政府项目,以提高国家运行效率、透明度、民众福利和公共事务参与度,确保经济增长和国家安全。政府部门通过对所采用的大数据应用项目进行分析,能够为国家提供未来大数据行动指导和国家决策。
与企业相比,政府大数据应用的举措具有不同的目标和价值。企业的主要目标是通过提供产品和服务获取利润,发展或维持自身的竞争优势,创造令消费者和其他利益相关者满意的价值。政府的主要目标则是维持国内稳定,实现可持续发展,保障公民的基本权利,改善国民福利和促进经济增长。
因此,数据安全是政府大数据最基本的属性,然而目前大部分大数据技术包括数据库和分布式技术都缺乏足够的安全保护工具。因此,搜集、存储和使用大数据都需要特别注意。对政府而言,确保大数据安全是一个巨大的挑战。
在对大数据进行处理、分析和管理的过程中,都有可能造成用户数据被泄露,主要体现在:首先,多条数据组合增加了加密信息被破解的可能性,同时通过对数据进行提取分析,可以判断用户所属的群体,增加了用户隐私被盗的风险;其次,在管理过程中,操作数据会破坏原来的信息安全体系结构,从而增加数据被泄露和损害的可能性;最后,管理数据的员工如果随意传输、窃取或故意泄露数据都会造成数据被盗的风险。
由于大数据的非线性增长,在处理海量数据时,数据的安全防护和实时监测技术已经很难确保信息的绝对安全。一方面,数据安全防护技术的更迭已经赶不上数据爆炸式的增长,这样一来便给了不法分子通过恶意盗取数据来谋取私利的机会;另一方面,实时监测技术也比较滞后,无法满足大数据爆炸式增长的需要,此外,现在的企业实时监测数据的能力参差不齐,这也增加了数据上的不平等防护,同时就增加了安全风险。
现有的数据方面的法律法规已经很难支撑信息安全工作的开展,已有的数据主要是为了计算出某个结果,收集的数据不可以为了计算另一个结果而被使用,用户只能在信息所有者允许的情况下才能使用用户信息。由于个人数据必须是准确的,数据保存是有期限的,在我国数据保护方面的政策还不够具体、不够全面,以及海量数据的背景下,很难做到保证每一条数据的安全。
现在的技术可以通过跟踪用户网络行踪来获取用户的位置信息、视频信息甚至财务信息等,这就导致人们去了哪里、干了什么都被暴露在别人眼前,更可怕的是当背后操控这些的组织拿这些信息来牟利时,受害者却不会反击。所以说目前个人信息保护意识还不够强,从而导致私人信息被泄露或非法利用的风险增大。
大数据的潜在价值和数量之庞大,对不法分子来说是一个巨大的诱惑,因而其成为了黑客攻击的目标之一[5]。并且,由于在互联网的大环境下,技术攻击的成功率也较高,从而导致了大数据情况下的数据更加容易被攻击和盗取,进而导致数据信息风险增加。
大数据给我们带来了利益的同时,也带来了一系列的信息安全风险。因此,针对以上分析的问题,笔者提出了以下几点解决措施。
信息安全防御体系建设对于大数据安全来说起着至关重要的作用,很多数据的泄露都是由于安全设施出现了问题造成的。因此,有必要从以下几个方面来加强信息安全防御体系建设:1)定期对防火墙、入侵检测进行维护检查;2)定期进行漏洞扫描和渗透测试;3)制定详尽的突发状况应急方案,以便于处理紧急情况,从而有效地保护信息安全。
利用先进的技术手段来规避风险是大数据时代保护数据安全最有效的应对措施,主要包括实时监测和安全防护。实时监测数据的目的是为了能够第一时间检查出数据漏洞和黑客攻击,而安全防护的目的是为了避免数据被外界木马感染或被窃取,以防止网络遭到攻击。但是,现阶段的网络监测技术还很难快速地识别信息安全风险,因此,必须改进和发展现有的监测技术,以此来保护数据的安全。
大数据时代,数据拥有者用户有责任和义务保护数据安全。主要有以下几个方面需要注意:1)设置严格的数据保护制度,从组织管理角度来讲,应设置数据访问权限,这样既可以避免数据泄露,也可以在数据意外泄露后清楚地问责,找到数据泄露的源头;2)处理大规模数据时,应该考虑用户信息的隐私安全,应尽量地降低用户身份被识别出的风险,针对这个问题,一方面可以通过删除数据中有关用户的敏感信息 (如身份证号、姓名和年龄等)来解决,另一方面也可以将典型数据转为非典型数据,以此来降低用户的准确信息被识别的风险;3)作为用户,应该学会保护好自己的数据,不轻易发布自己的隐私信息,以防止被不法分子非法利用。
由于现在大数据方面的相关法律法规还不够完善,因而造成了信息安全隐患。所以,必须要求相关部门完善相关管理政策。例如:1)对特定对象的数据做特别的保护规定;2)对特定的数据收集过程加以控制;3)对数据进行权限管理,未经授权不得使用;4)对数据操作者、管理者进行法律培训,法律宣传;5)对盗取数据、泄露数据的人员制定严格的法律惩罚规定。
大数据时代下,数据给我们带来了价值的同时,也带来了信息安全风险问题。要想避免风险、降低风险所造成的损害,就必须从数据拥有者组织层面和大数据所处的时代背景中进行控制,争取做到无风险或防患于未然。