大数据和人工智能时代数据安全风险及应对策略

摘要：大数据和人工智能时代，数据因易受到模型算法攻击以及网站病毒攻击等因素影响，面临多重风险，易导致重要数据泄露。然而对大数据和人工智能系统而言，需要大量数据作为支撑提供服务，这些数据中包含多种敏感信息，如财务信息和个人隐私等。如果这些数据被篡改或者滥用，会带来严重的后果。相关部门应根据现实情况，全面分析数据安全风险因素，制定合理的应对策略，降低数据安全风险系数。

关键词：大数据；人工智能时代；数据安全；风险

doi：10.3969/J.ISSN.1672-7274.2024.09.065

中图分类号：TP 309.2 文献标志码：A 文章编码：1672-7274（2024）09-0-03

Data Security Risks and Response Strategies in the Era of Big data

and Artificial Intelligence

ZHANG Wei

（Beijing Municipal Supervision Commission Python Mountain Lien Security Center， Beijing 102200，China）

Abstract： In the era of big data and artificial intelligence， data information is vulnerable to multiple risks such as model algorithm attacks and website poisoning attacks， which can easily lead to important data leaks. However， for big data and artificial intelligence systems， a large amount of data is needed as support to provide services， which includes various sensitive information such as financial information and personal privacy. If these data are tampered with or abused， it will bring serious consequences. Relevant departments should comprehensively analyze data security risk factors based on the actual situation， formulate reasonable response strategies， and reduce the data security risk coefficient.

Keywords： big data; the era of artificial intelligence; data security; risk

1 大数据

大数据（Big data），或称巨量资料，指的是所涉及的资料量规模巨大到无法通过主流软件工具，在合理时间内撷取、管理、分析并整理成为帮助企业经营决策目的的资讯。目前适用于进行大数据处理的技术包括分布式文件系统、云计算平台、可拓展存储系统等。根据其具有大量（Volume）、高速（Velocity）、多样（Variety）、低价值密度（Value）、真实性（Veracity）的特征。

2 人工智能

人工智能（Artificial Intelligence）是计算机科学的一个分支。它结合数学、计算机科学、心理学等多学科理论，通过让计算机模拟人类的思考和行为过程，实现人机交互，提高计算机的智能化水平，以更好地服务于人类社会。人工智能的研究领域涵盖了机器人、语言识别、图像识别、自然语言处理、专家系统等，目标是让计算机具有像人类一样的思维和行为能力。

3 数据安全

数据安全是指通过采取必要措施，确保数据处于被有效保护和合法利用的状态，以及具备保障持续安全状态的能力。其涵盖多个方面，包括但不限于机密性、完整性和可用性。数据安全还涉及部署工具和技术，以增强组织对其关键数据所在位置及其使用方式的可见性，包括加密、数据屏蔽和敏感文件编辑等保护措施。

4 大数据和人工智能时代数据安全面 临的风险

4.1 数据质量安全风险

该风险主要发生在主数据项目建设初期，由于数据来源众多，类型繁杂，导致不完整、不准确、不一致、重复或无效数据出现。该风险产生的原因与数据投毒攻击和数据深度伪造有关。数据投毒攻击是指在训练数据中，通过加入影响数据质量的信息，如不符合现实情况的信息或存有恶意的样本信息等，使得训练出的算法模型在决策期间出现误差。现阶段数据投毒攻击包括两类：第一类是借助模型偏斜方法，运用虚假信息或恶意信息样本，改变原有信息内涵。这样工作人员在检索中，易检索到错误信息，从而改变分类器分类界限，造成数据质量安全风险。第二类是通过误导反馈方式，按照大数据和人工智能运行特征，利用反馈机制整理目标数据，通过模型反馈机制，向大数据和人工智能模型中加入偏离实际情况的数据，从而给后期决策造成不利影响。

数据深度伪造是指运用大数据和人工智能技术生产出质量不达标或者虚假产品，通过生成器中的神经网络，将需要攻击的数据和源数据模拟进行加工，生成与想要替换样本相似的模型，然后通过鉴别器神经网络，对该模型的虚假程度进行多次验证、评估和改进，以创造与真实产品极为接近的模型[1]。近年随着大数据和人工智能技术发展成熟，部分不法分子为了牟利，通常会将该模型用到人脸识别、语言识别等领域，利用人脸、语言变换伪装等手段，给网络平台输入虚假信息，导致相关网络平台受到虚假信息干扰，在后期做出错误验证判断，从而使得重要数据信息泄露。

4.2 数据隐私泄露风险

该风险是指未经授权，在网络上不当地披露敏感数据或信息，导致个人敏感信息泄露，使得个人和相关企业财务损失、声誉受损等。该风险在数据收集和处理过程中经常出现，部分黑客通过侵入数据库或系统，从中获取重要数据，今后根据个人需求将其外泄。比如，黑客针对一个组织或多个组织蓄意攻击，利用大数据和人工智能技术，从特定网络平台中非法获取相关数据，在后期通过贩卖信息进行获利。再者，内部人员操作行为不当或者管理疏忽，也会导致该风险出现。比如，内部人员在数据收集、存储、传输或处理过程中，因操作行为不规范、使用未加密传输敏感数据等，导致数据隐私泄露。此外，部分电子设备加工企业未遵循法律规定，借助智能应用程序，在开发的软件系统中嵌入随意开采使用者引思数据的功能，过度采集使用者隐私数据，如个人居住隐私、通信隐私以及网络交流隐私等，甚至在使用者不知道个人各项隐私已经被过度采集的情况下，在后台随意整合、处理等，从而导致数据隐私泄露风险出现[2]。比如，某电子设备加工企业，在生产相关电子设备期间，利用大数据和人工智能技术，安装语音以及视频信息采集功能，当使用者将计算机系统与该设备连接起来时，该设备在未经过使用者同意情况下，实时录入使用者在计算机系统中存储的语音隐私和视频隐私等，导致使用者个人隐私被过度采集，从而引发数据隐私泄露风险。

另外，在数据窃取攻击中，不法分子通过前期设计好的模型，随意窃取目标对象产生的各类数据，将关键数据整合起来，后期按照实际需求加工利用，实现窃取训练数据的目标。目前常见的数据窃取攻击包含三类，分别是模型逆向攻击、成员推断攻击、模型萃取攻击。模型逆向攻击是指不法分子借助训练好的窃取模型，运用数据关联和推算演绎技术等，按照计算机系统以及电子设备中的各类信息之间的输入输出关系，逆向还原相关训练数据。比如，不法分子运用用户姓名、性别以及其他身份信息等，通过该模型，模仿制造出与用户本人没有任何区别的人脸信息，以窃取使用者财物。成员推断攻击是指不法分子按照虚拟模型评估结果，总结模型训练数据中是否存在价值较高的样本信息，根据窃取需求，有计划地整合相关使用者隐私数据，在后期将相关数据提供给其他不法商家或者使用者。比如，不法分子可以借助虚拟模型，从医疗、交通、吃住等角度出发，评估使用者隐私数据，并将获取的使用价值较高的数据信息分类整理，在后期分别贩卖给其他不法使用者，导致使用者隐私数据泄露。模型萃取攻击是指不法分子利用访问模型中的应用程序接口，通过大数据和人工智能技术，算出模型中录入的参数和架构等信息，以实现窃取模型信息目标，使得数据隐私泄露案事件频发[3]。

5 大数据和人工智能时代数据安全风 险的应对策略

5.1 完善数据安全法律规定

加强立法是应对数据安全风险的重要手段。虽然近年我国已经出台了《中华人民共和国网络安全法》，阐明了网络信息安全、监测预警与应急处置、法律责任等，但是在大数据和人工智能时代下，不法分子窃取、过度采集使用者个人隐私、财务隐私等手段越来越多，并且部分模型隐蔽性越来越高。为了切实保障使用者各项隐私数据安全，应在现有法律基础上，不断完善数据安全法律规定，针对现有数据安全风险类型以及引发原因，填补现有法律体系监管漏洞，应从制度上明确划分数据所有者、使用者以及共享者等不同群体，在数据安全保护方面的责任和义务，制定相应严惩措施，一旦发现有关人员或组织违反法律规定，依法严肃打击处理，以强化法律威慑性，降低数据安全风险。

5.2 做好数据安全存储管理

大数据和人工智能时代的数据量越来越大，类型较多，需要通过虚拟分布式存储方法，在云端进行分类保存、管理和恢复等。有关部门要想有效应对数据安全风险，应做好数据安全存储管理，通过多副本存储、差异性存储、密匙管理的方式，提高数据存储安全性，最大限度降低数据安全风险。其一，在多副本存储中，有关部门可以利用云存储技术，将需要存储的数据划分为多个数据块备份，将不同备份分别存储到不同位置，设计各个位置中的重要数据、隐私数据等存储量，防止后期出现重要数据或隐私数据全部外泄情况。其二，在差异性存储中，有关部门可以将结构化数据、非结构化数据、重要数据以及通用数据等分别进行存储和云存储，保障各类数据安全[4]。其三，在密匙管理中，有关部门应运用安全套接层技术，将各类数据加密保存，屏蔽不法分子和网络攻击，保障数据在下载使用、上传整理以及共享使用等环节的安全性。

5.3 加强访问控制安全管理

大数据和人工智能时代，使用者在登录各类电子设备和软件时，不可避免地会按照平台提示，录入个人信息。为了防止个人隐私信息和重要财务信息外泄，有关部门应加强访问控制安全管理，运用多种安全技术工具，严控访问信息，避免不法分子未经使用者同意，随意窃取或者泄露使用者信息。例如，有关部门可以运用4A认证技术，将需要访问控制的电子设备和有关软件，与运维人员的计算机系统连接起来，通过唯一账号认证、授权等方式，借助唯一标识访问被托管服务器，为使用者提供双因子认证和静态口令认证等不同强度的身份认证方法。当有关人员需要使用相关数据时，要求其按照身份认证规定，输入个人信息、身份信息以及工作信息等，并根据系统提示，上传相关原始凭证，完成脸部动态识别，由系统对比分析相关信息是否一致完整，对审核通过的使用者提供数据使用权限。与此同时，有关部门可以对C/S、B/S结构类型的数据，设计统一访问控制权限，利用应用大数据和人工智能技术生产的访问模型，实时录入有关人员访问电子设备、软件、网络系统等行为，定期分析相关行为数据是否存在安全隐患，提前处理违规操作行为，并对监控到的重点人群设计特殊访问控制权限，在后期持续监督有关人群数据使用行为，一旦发现其存在违规操作现象，则运用技术控制方法，保护数据安全，并结合技术统计的数据使用者信息，快速找到责任人进行处理。

5.4 建设数据安全保障体系

大数据和人工智能时代，有关部门在应对数据安全风险时，应根据各类风险形成原因，建设数据安全保障体系，通过设计数据安全风险感知体系、零信任数据安全机制，降低数据安全风险。第一，在设计数据安全风险感知体系时，有关部门应做好数据统计分析，动态整理评估可能引发数据变化的因素，从发展角度出发，分析有关数据未来演变趋势，然后运用大数据和人工智能技术，总结各类数据处理日志中是否存在安全隐患，并通过可视化技术，提前感知有关数据安全隐患，利用图画和图表等形式，直观展示出来，组织专人运用数据访问和数据流阻拦管控方法，降低数据安全风险[5]。第二，在制定零信任数据安全机制时，有关部门应以零信任机制为基础，重新建设数据边界，统一管理涉及有关数据的人员、设备和软件等，降低数据在上传、下载以及使用期间的外泄概率，减小被不法分子窃取或者攻击的可能性。

5.5 设置数据安全管控平台

有关部门在设置该平台时，可以运用大数据和人工智能技术，开发样例数据库，在该数据库中设计信息自动采样、分类录入以及动态查验等功能，将各类数据在对接、处理以及共享等环节产生的信息，进行动态采样，并将采集到的信息全部整合到样例数据库中，设置数据自动查验功能，对数据安全、数据质量以及数据使用等进行全方位查验[6]。同时，有关部门可以在该平台中设置数据流动态监控板块，在该板块中开发数据流动态监测、自动预警等功能，一旦发现数据出现断流、积压或者波动不符合正常规律等情况，通过线上设备进行预警，引导有关人员及时处理风险隐患，确保数据安全。

6 结束语

综上所述，大数据和人工智能时代，数据安全风险频发，给社会和谐稳定、企业发展以及个人利益等造成严重影响。有关部门应结合现实情况，深入分析各类风险引发因素，并探寻相应应对策略，完善数据安全法律规定，做好数据安全存储管理、加强访问控制安全管理，建设数据安全保障体系、设置数据安全管控平台，采用多种方法加大数据安全管控力度，降低数据安全风险。

参考文献

[1] 方艳梅．深度伪造对人脸识别支付系统安全性的挑战与应对[J]．金融科技时代，2020，28（3）：5．

[2] 纪守领，杜天宇，李进锋，等．机器学习模型安全与隐私研究综述[J]．软件学报，2021，32（1）：41-67．

[3] 杨洗．数字媒体时代的数据滥用：成因、影响与对策[J]．中国出版，2020（12）：3-8．

[4] 刘金瑞．数据安全范式革新及其立法展开[J]．环球法律评论，2021，43（1）：5-21．

[5] 苗杰．人脸识别“易破解”面临的风险挑战及监管研究[J]．信息安全研究，2021，7（10）：984-988．

[6] 胡小伟．人工智能时代算法风险的法律规制论纲[J]．湖北大学学报（哲学社会科学版），2021，48（2）：120-131．