APP下载

浅析“大数据”的安全隐忧

2016-04-12白和付

中国新通信 2016年5期
关键词:解决安全隐患大数据

白和付

【摘要】 当今社会信息化发展越来越快,“大数据”应用越来越广泛,随之而来的“大数据”安全隐忧问题也是摆在我们面前刻不容缓的重大现实问题。之所以说是“安全隐忧”,是因为安全问题虽未大规模爆发,但已迫在眉捷,如若熟视无睹,后果难以想象。下面我从“为什么会有隐忧”、“怎么解决隐忧”两个方面谈谈我个人的一些看法。希望籍以此文,让那些因“大数据”的美好前景而热血沸腾的人们能够冷静下来,开始关注如影随形的安全问题。

【关键词】 “大数据” 安全隐患 解决

一、为什么会有安全隐忧

我们知道,“大数据”安全包括物理安全、系统安全、网络安全、存储安全、访问安全、审计安全、运营安全等等,集中体现在数据的产生、采集、传输、存储、处理、分析、发布、展示和应用等各个阶段。每个阶段的疏于防范,都可能带来安全风险。从外部原因来说,移动网络的无处不在和开放暴露,以及个人信息的长久记忆和爆炸增长,使得“大数据”仿佛一座不设围墙的大油田,任何时间、任何地点都可能被侵害。就内部原因来说,既有人为因素,包括不良分子的入侵与破坏、内部人员的大意与违规;又有技术因素,包括“大数据”相关技术、软件、硬件的不尽成熟和完善等等。这些因素共同凝结了对“大数据”安全不可阻挡的忧虑。

1.1网络覆盖无处不在

移动终端的迅速普及,使得网络无处不在,也使风险无处不在。中国网民已达好几亿,80%以上人使用手机上网,使得更多敏感数据在移动设备间传递。。移动智能终端本身又具有导航、录音、拍照等功能,个人信息、位置信息、社交信息能随时随地上传网络,一旦遭到恶意软件攻击或被远程操纵,就可能泄露行踪、受到监控,或被窃取终端中的数据。此外,移动智能终端中还存在着大量“陷阱”,比如山寨版的软件、程序、客户端以及内嵌的钓鱼网站等,欺骗网络用户提交关键信息。

1.2数字记忆难以忘却

在数字时代,将信息提交给数字存储器已经成为默认状态,一旦这些数字化记忆保护不当或者使用不当,伤害或许也就无法避免了。现在,许多人都把自己的姓名、电话、电子邮箱、身份证号码、家庭或单位地址,无怨无悔的告诉了淘宝、京东、唯品会这些网购平台。许多人都把自己的邮件、照片、视频、想法毫无保留的交给了微博、腾迅、QQ这些社交平台;还有许多人毫不知觉的将自己的位置、状态、语音、消息主动“贡献”给移动公司。“大数据”时代,每个人的言行举止、喜怒哀乐、起居餐饮、婚丧嫁娶、求医问药等等工作生活中的一切都会被转换为数字化记忆,而且是大批量汇集、无限期存储。如果运用“大数据”进行分析加工,几乎可以真实还原一个人的生活状况,个人的隐私也将不复存在。

1.3漏洞缺陷难以避免

“大数据”意味着更巨大、更复杂、更多样的数据,也意味更多的不确定、不完善、不安全。由于绝对可靠并不存在,因而漏洞与缺陷不可避免。它们或被有意设置,或者存在技术破绽,但其结果都是引来攻击者。据报道,目前国内几乎所有大型网络项目,包括政府、海关、铁路、民航、军警等要害部门的网络建设,普遍使用的都是美国思科的路由器。该路由器存在重大安全漏洞,美国国家安全局正是通过它监控中国网络和电脑,包括电子设备中内置的麦克和摄像头,硬盘中存储的文件以及用户的操作。此外,由于“大数据”需要对来自不同系统、不同程序和不同类型的数据进行聚合与关联,且数据来源和承载方式多种多样,使得现有技术在防范上很难做到万无一失。我们日常使用的无线网络也存在巨大安全隐患,火车站、咖啡馆等公共场所的免费WIFI热点都可能是钓鱼陷阱。由于这些漏洞和缺陷在短时间内不可能完全彻底的弥补或消除,因此,“大数据”安全距离无懈可击还有很长的路要走。

1.4危险隐患不可预见

“大数据”本身就是一个可持续攻击的载体,由于隐藏在“大数据”中的恶意软件和病毒代码很难被发现,因而攻击将变得长久而不可预见。“大数据”存在的安全问题,有的是人为制造的,比如移动智能终端被厂家留下了“后门”;有的是故意违规的,比如越权访问、篡改数据、泄露密钥、有纪不循;有的是过失造成的,比如采录了虚假数据、误判了信息密级;有的是无意形成的,比如机房断电导致服务器停止运行,大量数据丢失且无法恢复。更多的、更难预料的则是“黑客”的恶意行为。“黑客”是网络社会发展的产物。只要网络存在,“黑客”就不会消亡。面对“大数据”的“大诱惑”,黑客的动机可能不尽相同,或是利欲熏心为捞取好处,或是心理阴暗想窥探隐私,或是自命不凡以破坏为乐。我们无法预见他们会以怎样的方式进行攻击。但我们知道,一旦攻击得手,就可能直接或间接侵害公民的人身、财产、名誉、隐私等切身利益,甚至危害国家安全和社会稳定,并带来许多意想不到的负面影响。

二、怎么解决安全隐忧

保护“大数据”时代的信息安全是一个系统工程,需要运用政策、法律、技术、监管等多种举措综合施策。首先,提高对“大数据”安全重要性和紧迫性的认识,既要将数据资源看作特有资产,也要把数据资源看作是公民的个人资产,树立强烈的法规意识和安全意识,对敏感数据和要害数据给予特别关照,慎重而精心的使用。其次,在规划“大数据”发展同时,明确信息安全的重要地位,加大对事关“大数据”安全的软件研发和基础设施的投入力度,大力引进数据安全方面的专家人才,切实增强安全保障能力。具体而言,至少要筑牢四道安全屏障。

2.1是建立制度

“大数据”时代,只有通过制定有效的规则,才能最大限度解决数据方面的隐患。比如,公安机关在应针对采录、存取、流转、访问、分析、复制、备份、运维等各个可能出现安全问题的环节,制定和健全保护个人隐私和数据安全的规章制度,降低敏感数据被盗取、破坏和滥用的可能,建立起敏感数据分类定级制度。对于各类公安敏感数据,分门别类设置数据密级,明确传播范围,本着“知限所需”的原则,让民警只能看到工作确实需要的数据;建立安全风险评估制度。针对不同类型和状态的数据,设置不同的安全风险等级,降低数据泄露风险,消除数据安全盲点。此外,还可以采取异地容灾备份、保留民警操作记录等方式,及时发出警告响应或安全预警,最大限度地保证数据安全。

2.2是讲究策略

“魔高一尺、道高一丈”。针对已经出现或者可能出现的安全问题,应及早采取必要的防护手段,扎紧安全的口袋。可以采取业务审核的方式,将数据查询与业务办理流程挂钩,用业务对数据应用的必要性进行把关。例如,在出境办证业务中,如需核查某人身份时,被查询人必须在办证审批流程中存在,否则不被允许;可以采用登录验证码机制。用户每次登录时,系统向账号的关联手机发送随机验证码,凭验证码登录,保证系统每次的使用人员必须是注册用户本人或其授权人;可以采取过滤器监控的形式,一旦发现数据离开了用户的网络,就自动阻止数据的再次传输;还可以设定数据存储“寿命”,让那些到期的、无用的数据自动“寿终正寝”等等。其中,最为重要是建立以数据为中心的安全系统,通过防火墙、入侵检测系统、安全审计、网络防病毒系统等实现全面的安全防护。

2.3是完善技术

“大数据”安全源于技术本身的漏洞,以及这些漏洞所引来的攻击者。抵御和防范外来的侵犯,一要修复好现有技术,二要使用好现有技术,三要开发出新的技术。技术防范是很专业的问题,仅从安全问题的表象来看,就有大量的工作。比如,对于数据采用分布式存储的方式,避免“将鸡蛋放在一个篮子里”;基于安全访问、准入控制、全程检测记录的原则,在内部网络部署网络分析和可见性工具;采用自动的“大数据”分析方法,减少应用过程中对个人隐私的窥探;提高数据仓库的扩展性、容错性,提高预防和发现安全隐患的能力;还可以通过开发匿名保护技术、威胁发现技术、数据溯源技术、数据水印技术等等,将安全基因注入每个数据、每次操作。此外,“大数据”本身也是应对网络攻击的有力武器。网络攻击行为总会留下蛛丝马迹,这些痕迹都以数据的形式隐藏在“大数据”中。运用“大数据”技术,将会更好的发现和防止这些攻击。

2.4是加强管理

数据安全“三分靠技术,七分靠管理。” 根据“木桶原理”,数据安全水平往往取决于最弱的“短板”。尤其是在目前的信息安全技术环境下,攻击成本越来越小,防御成本越来越大,任何一个小的疏漏,都可能影响“大数据”安全。为此,应首先建设一套规范的运行机制、建设标准和共享平台,促进“大数据”管理过程的正规有序,实现各级各类信息系统的网络互连、数据集成、资源共享,在统一安全规范的框架下运行。其次,应加强对“大数据”安全形势的宣讲,开展相应的教育和培训,让民警掌握正确的操作和使用方法,以及如何识别非法攻击、如何防范非法入侵、如何保证数据质量等等,并通过安全攻防演练或测试来检验培训成果。此外,就是还应加大责任追究力度。按照“破窗理论”,如果轻微违法未引起重视,势必导致更多更大的恶意行为。所以,对违规查询、使用、泄露敏感数据的行为应严格追究、零度容忍,让那些觊觎“大数据”的人没有市场。

结语:尽管“大数据”安全存在着很多问题和不确定性,但“大数据”的发展趋势不可逆转。既不能乐而忘忧,也不必忧心忡忡。只要看清问题,找准结症,居安思危、未雨绸缪,就是一定会将风险降至最低。安全问题如同阳光下的影子,无法也不能避免,但只要永远迎着阳光,阴影就会始终躲在身后。以上关于“大数据”安全隐忧的想法,受专业和见识所限,只能略谈一二。不妥之处,敬请指正。

参 考 文 献

[1] 刘煜. 在大数据环境中的如何保证行业数据安全[J]. 信息技术与信息化. 2015(11)

[2] 齐向东. 大数据安全要重点解决三个问题[J]. 信息安全与通信保密. 2015(12)

[3] 吕欣,韩晓露. 健全大数据安全保障体系研究[J]. 信息安全研究. 2015(03)

猜你喜欢

解决安全隐患大数据
当代网络音乐的困境与突破
城市燃气管网的安全隐患及应对措施
怎样提高学生解决问题的能力
我国银行业风险简述及对策
高校安全隐患与安全设施改进研究
基于大数据背景下的智慧城市建设研究