传媒行业用户数据泄露防护刍论

2020-10-12 14:41张利
中国传媒科技 2020年8期
关键词:加密用户

摘  要:市场发展与网络时代的到来,使大数据技术发展速度加快,用户数据的价值也日益体现,存有大量用户数据的传媒行业,在数据泄露防护方面受到了更严峻的挑战。本文分析了当前传媒行业用户泄露数据保护方面的现状,提出了相应的对策和方法,希望以此帮助提高传媒行业对用户数据的安全防护水平,加强企业存储的用户数据在复杂网络环境中的安全防御能力。

关键词:传媒行业;用户数据;数据泄露防护;大数据                     中圖分类号:TP309.2                         文献标识码:A

文章编号:1671-0134(2020)08-123-02                                     DOI:10.19483/j.cnki.11-4653/n.2020.08.033

本文著录格式:张利.传媒行业用户数据泄露防护刍论[J].中国传媒科技,2020(8):123-124.

导语

随着大数据时代的来临,大数据不但已经成为推动着社会和经济发展的新引擎,而且不断影响着每个人的工作和生活。用户数据则是大数据技术中占有举足轻重的地位。不论是基于纸媒的传统媒体,还是基于互联网的新媒体、基于社交网络的自媒体,都保存有大量的用户数据,这些用户数据是策划选题,精准推荐等行为的重要依据;对于个人来说,用户数据也属于个人财产的一部分。大家熟知的电信诈骗和“网络黑产”,都是不法获取用户数据,侵害用户权益,以获取不正当利益。现阶段,传媒行业已广泛应用分布式计算和分布式存储等新技术,使得用户数据安全面临着更严峻的考验。[1]

1.用户数据泄露现状

近年来,大数据、互联网、5G的迅速发展,带来无限发展机遇的同时,却也催生了大量的用户数据泄露事件,传媒行业也深受其害。2020年2月,超过1060万名曾入住美高梅度假酒店的旅客的个人信息被发布至黑客论坛,泄露的身份信息包括姓名、家庭住址、电话号码、邮件地址等。6月,科技巨头甲骨文公司的数据管理平台BlueKai因为在服务器上不加密码,从而泄露了全球数十亿人的数据记录。在国内,2020年3月,暗网出现“5.38亿新浪微博用户绑定手机号数据,1.72亿新浪微博账号基本信息”的交易信息。4月青岛市胶州中心医院6000余人信息被泄露。[2]

2.用户数据泄露防护对策

2.1建立健全相关法律和规定

在国外,2018年5月,欧盟推出的《通用数据保护条例》——GDPR正式实施,不但明确了用户个人数据的范围,而且对违反该规定的惩戒空前。2020年1月,被认为是美国国内最严格的隐私法《2018年加州消费者隐私法案》正式生效。

2013年9月,针对日益严峻的用户信息泄露事件的发生,我国工业和信息化部颁布《电信和互联网用户个人信息保护规定》。2017年6月实施《中华人民共和国网络安全法》。2020年4月,《信息安全技术 防火墙安全技术要求和测试评价方法》等26项信息安全相关的国家标准正式发布。

以上相关法律法规的实施对用户数据的保护提供了有效的法律保障,也对侵犯用户数据的行为进行了一定的界定和惩罚依据。但我国对于个人数据的定义、权限的所属还存在模糊不清的状况,而且随着互联网相关行业的不断发展,信息技术的不断更新,用户数据的定义、侵犯用户数据的方式、互联网环境等等也在不断发生着变化。所以可以借鉴欧美国家在用户个人数据泄露防护方面的经验,并根据我国互联网实际情况,不断完善具有中国特色社会主义的用户数据泄露防护法律体系。[3]

2.2 强化传媒行业的用户数据泄露防护责任

对于传统思维方式来说,传媒行业更多关心的是新闻内容数据的安全,因为这是企业保证核心竞争力的基础,而对作为传媒行业的支撑性数据——用户数据的保护略有疏忽。但在大数据时代下,通过对用户数据的挖掘和分析,勾画出用户画像,从而有效地进行个性化推荐、活动营销等。对于传媒行业来说用户数据是用户服务模式的价值,因此也日益体现了用户数据的保护也应引起重视。

从本质上来说,个人基本信息和行为信息等构成的用户数据,应属于使用户本人的财产。第三方只有合法使用的权力,而无权对其侵占甚至用于非法用途。企业应该真正承担起保护用户个人数据的责任,在保证正常运营的情况下,尽可能减少对用户数据的过度采集,更不能把用户数据的价值占为己有,甚至将用户数据进行非法交易和买卖。

2.3 提升全社会的用户保护意识

通过分析以往众多的泄密事件的原因,可以发现,因企业内部人员有意或无意的原因造成的泄密占有很大比重。通过宣传和培训,让员工牢固树立保护用户数据的意识;通过建立用户数据泄露防护规定,规范用户数据采集和使用范围,明确员工主体责任和奖惩机制。堵住可能造成用户数据泄露的管理漏洞。

此外,卡内基梅隆大学安全与隐私研究所最近发表的一项研究表明,在明知账号密码泄露后,仅有约三分之一的用户会更改密码,而且修改密码的用户中,大多数也只是选择与原密码极为相似的字符和数字作为新密码。[4]这项研究调查的数据虽然规模较小,但也较为准确地反映出大多数用户仍然缺乏对个人数据的保护意识。

3.数据泄露防护技术手段

3.1 加密保护技术

数据加密是当前对数据进行保护最基础的办法。通过密码技术对再传输过程中或者存储介质中的数据进行加密后,实现信息隐蔽,从而有效防止数据的泄露。

用户数据主要由结构化数据构成,结构明确,格式比较固定。常见的有对称加密算法和非对称加密算法。3DES、AES等对称加密算法,可以使用加密密钥还原出原始数据,导致密钥的保护至关重要。MD5、SHA1等非对称加密算法,加密密钥无法解密数据,实現也比较简单,使用较为广泛,还可以通过对原始数据加入冗余、多次HASH等方式,增加破解难度。

此外,存储用户数据的介质也可以进行加密,以防止介质物理丢失后造成数据泄露。介质级加密的加密对象是存储介质,比如磁盘、磁带等,主要通过数据控制器,对存储介质中的数据进行加密。数据以密文形式存储在存储介质中,但是在此之外以明文形式处理。[5]

3.2访问控制技术

访问控制技术是网络安全防范和数据资源保护的关键技术之一,核心思想是保护数据的隐秘性。通过已制定的访问控制策略,保证合法访问主题访问已授权的数据,防止非法主体侵入受保护的系统。

要制定合理的访问控制策略来实现访问控制,按照访问主体所需权限的最小化原则,最大限度地限制可访问和操作的数据范围,避免来自突发事件、操作错误和未授权主体等意外情况。

访问主体申请访问用户数据时,首先通过统一安全认证服务完成对主体身份的认证,认证方式可以使用传统的静态口令、IP白名单等方式,也可以集成现有的生物特征等新型高强度认证方式。认证完成后比对访问控制策略,获取主体相应权限,对其申请的已授权操作给予放行,并阻止策略中已分配之外的其他行为。同时,记录主体访问资源、访问时间、执行的操作等,进而便于审查和检验主体操作环境及活动,从而发现策略漏洞、入侵行为等隐患。

3.3 匿名化保护技术

所谓“匿名化”,是指通过特定的技术处理使数据失去可识别的能力,是使“敏感数据”脱敏的技术。数据匿名化的核心是通过切断数据与个人之间的对应关系,非法主体即使得到该“敏感数据”,但不能把该数据对应到某个特定的人身上,使得用户隐私得到保护。具体要求而言,匿名化保护技术是将数据移除可识别个人信息的部分,通过这一方法,使包括数据处理者在内的,获得该数据的任何主体,既不能仅从该数据本身准确标识旗指向的个人,也不能结合其他数据推理出指定个人相应的敏感属性值。

数据匿名技术,除要求处理过的数据无法识别个人之外,还需要通过隐私风险评估,保障个人隐私的安全。隐私风险评估不仅在事前阶段需要,而且还应该贯穿匿名化处理的整个过程。[6]

除以上之外,还有可信计算、数据泄露防护系统等一系列成熟的数据防护技术。但随着互联网技术的深入发展,相应的破解和攻击方式也层出不穷,具有更强防护性和更高实用性的数据防护技术也是当下研究热点之一。

结语

当前,通过对用户数据的分析和研究,大数据技术正在慢慢改变着传媒行业的各个方面。对于传媒行业,用户数据已经成为新的“石油”,在受到日益重视的同时,也面临着更大的风险和挑战。因此更需要提高从业人员的保护意识,加强数据泄露防护技术的应用和研究,在国家相关法律和规定的指导下,在数据的使用和保护之间寻找一种平衡,以支持传媒行业的健康发展。

参考文献

[1]陈锦,王禹.从数据全生命周期看数据泄露防护问题[J].中国信息安全,2018(03):69-71.

[2]FreeBuf, 2020上半年国内外数据泄露大事件 [OL].https://www.freebuf.com/column/241367.html,2020.

[3] 邓明理. 大数据背景下个人数据的监管保护[J]. 北京邮电大学学报(社会科学版),2019.21(01).

[4]搜狐网,多数网民在账号泄露后仍不更改密码[OL], https://www.sohu.com/a/399426674_114760,2020.

[5]寇思佳.教育行业数据泄露防护浅析[J].网络空间安全,2019,10(01):14-17.

[6] 刘湘雯,王良民. 数据发布匿名技术进展[J]. 江苏大学学报(自然科学版),2016(05).

作者简介:张利(1986-)  男,河南信阳人,工程师。

猜你喜欢
加密用户
您拨打的用户已恋爱,请稍后再哭
基于用户和电路的攻击识别方法
保护数据按需创建多种加密磁盘
谷歌禁止加密货币应用程序
如何驯服加密货币?
当数据抢救遇到BitLocker加密
信用卡资深用户
加密与解密
Twitter用户增长未达预期
智能手机用户普遍忽视恶意软件威胁