大数据时代背景下个人信息安全问题探索
2021-12-14李文琦高乐张婉婷
◆李文琦 高乐 张婉婷
大数据时代背景下个人信息安全问题探索
◆李文琦 高乐通讯作者张婉婷
(五邑大学 智能制造学部 广东 529000)
随着科技的不断发展,当今社会逐渐步入了信息化和大数据时代。在大数据时代背景下,各行各业都得到了飞速的发展,以网络为基础的通信、服务、计算等重要的信息基础设施在人们生活中发挥着越来越重要的作用。随着大数据、云计算、人工智能、物联网等科技的快速发展,个人信息的安全也在面临着前所未有的挑战。大数据技术在此时是一把双刃剑,合法有效的利用会为人们带来更加方便快捷的物质生活和精神享受;但是非法操控大数据技术用来牟利就会给个人和社会带来巨大的损失。本研究着眼于大数据时代个人信息安全问题进行探索,对个人信息安全问题进行了现状梳理和典型案例分析,并针对性地提出相应的防护策略。
大数据;信息安全;计算机;防护策略
大数据时代的到来,社会的各行各业都发生了巨大的变革。社会越来越实现了信息化与智能化,以计算机网络为基础的通信、服务、计算等重要的信息基础设施在人们生活中发挥着越来越重要的作用,但是个人信息安全问题也面临着新的挑战。大数据技术的应用在很大程度上促进了社会各个领域的数字化发展,但同时它也是一把双刃剑,在大数据环境下个人信息更容易存在着潜在的风险[1-3]。在数字化的今天,个人信息安全隐患比较严重,更容易泄露,为不法分子带来可乘之机。另一方面,大多数人们对互联网和个人信息的认识模糊、法律意识不足以及对预防策略的缺乏也是很大的问题。当个人日常生活中享受网络通信服务的便利时,人们通常会忽略网络服务的阴暗面。例如在淘宝、拼多多、唯品会、京东、美团和其他软件上购买服务时,个人信息会不同程度的暴露给商家。然而这些个人隐私信息一旦被不法分子利用后,将可能会给人们带来不同程度的信息安全威胁和经济损失。百度搜索首席执行官李彦宏曾经说过:“中国的互联网用户比起海外用户对待隐私似乎更加开放,中国的用户更加愿意拿自己的隐私去换取实际操作中的便利[4]。”除了个人法律意识的薄弱外,计算机和物联网设备的系统漏洞和木马攻击也同样会给人们带来严重的威胁。因此,大数据环境下所面临的个人隐私信息泄露、诈骗等问题依靠个人去解决是远远不够的,它需要国家层面、社会层面、行业层面和个人的共同努力,为人们信息安全的保护提供有效的保障。所以针对个人信息安全问题展开探索具有很重要的现实意义。
1 个人信息安全风险类型
(1)计算机木马
木马病毒是含有特殊攻击功能的一些恶意代码,它通常隐匿在计算机正常的程序代码中[5-7]。木马病毒具有DoS攻击、删除文件、隐匿发送密码、强制锁屏、格式化硬盘、远程访问等恶意功能。木马病毒恶意程序通常是寻找计算机漏洞,侵入计算机进行实时监控、资料修改等非法操作,并伺机窃取计算机的密码和重要文件等。木马病毒具有很强的隐蔽性和欺骗性,它广泛地存在各类计算机设备和网络载体中。一般情况下,木马病毒主要存在于下载的文件、安装包、APP应用程序之中。
(2)网络黑客攻击
TCP/IP通信协议中目前会存在一些漏洞,网络黑客会针对这些漏洞进行攻击并使网络
出现瘫痪等问题,如图1展示了TCP/IP通信过程中网络黑客攻击的过程[8]。当客户端(client)发送指令尝试连接服务器(servers)时,客户端会向服务器发送一个syn数据包,此时服务器会分配缓冲资源(buffer resources)给连接。如果客户端连续的发送一系列syn数据包给服务器,则服务器会连续的分配缓冲资源,当缓冲资源用尽后,网络通信服务就会陷入瘫痪状态,黑客攻击便会乘虚而入。网络黑客经常会伪装成客户机进行通信服务拦截,通常使用TCP/IP中的序列号认证通信方,黑客在获取该序列号后会伪装成相应的客户机。最后,网络黑客将源IP伪造成攻击方系统的IP而不是客户机端的IP,并向服务器发送syn数据包,服务器就会将ack包发送给攻击方系统,实现网络黑客攻击。在目前网络通信的环境下,网络黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏攻击主要是采用拒绝服务攻击和信息炸弹,是为了扰乱计算机系统的正常运行,但不进行数据资料的窃取;破坏性攻击是以破坏电脑信息系统的数据为目的,侵入他人计算机系统,盗窃数据资料和机密信。这两种黑客攻击模式都会给个人和企业乃至国家造成很大的经济损失。
图1 网络黑客攻击流程图
(3)系统漏洞
计算机和手机系统漏洞同样也会给个人信息安全带来威胁[9]。在用户使用计算机和智能手机的时候,经常会遇到系统更新、软件版本升级、硬件系统更新等诸多因素。在计算机和智能手机的系统漏洞和数据传输的漏洞的情况下,不法分子会利用系统中存在的漏洞侵入系统中,并盗取计算机硬盘和手机内存中存储的重要数据和文件,导致计算机或者智能手机时出现运行卡顿和死机等问题,严重情况下会使个人损失经济财产。2020年移动应用安全大数据平台利用安全检测引擎,对全国3307221款应用进行104项的漏洞扫描,其中高达82.72%的应用存在着漏洞风险,不同风险等级漏洞见图2,其中高危风险为81.07,中危风险为80.87%,低危风险为81.02%[10]。
图2 不同风险等级漏洞占百分比
(4)信息诈骗
信息诈骗指不法分子借助各种非法途径获取到个人的信息,取得了个人的联系方式后,利用通讯软件、手机、伪基站群拨打或发送诈骗短信等方式骗取金钱,见图3。近些年较为常见的诈骗方式表现出跨区域性、高科技性、多样性等特征[11-12],常见到的网络诈骗包括购物诈骗、中奖诈骗、冒充他人诈骗、钓鱼网站诈骗、虚假WiFi诈骗、商业投资诈骗以及网上交友等。部分诈骗已经形成有组织有规模的犯罪产业链。不法分子往往根据用户个人信息捏造虚假事实,造成用户内心恐慌,并加以诱导使用户作出汇款、透漏更多隐私信息等行为。
(5)行业不规范操作
除了以上的几种个人信息安全问题,行业的不规范操作,甚至有的行业在打法律的擦边球,也对人们信息安全造成了潜在的威胁[11]。如今人们生活在一个数据化、智能化的时代,网络环境就像人们生活的另一个空间,几乎人人手中都有一部智能手机,更加方便登录网络进行交流和享受互联网的服务。根据《2020中国互联网移动应用隐私情况年度观察报告》中显示,当前全国范围存有500万款APP,累计下载量已超万亿次,个人用户每天在各类APP上平均花费时间长达4.9小时。据统计,截至2020年12月,全国有Android应用共计330万款以上,iOS应用共计210万款以上,微信公众号520万个,微信小程序65万个。当人们使用手机下载APP应用的时候,应用平台一般都会要求获取用户的个人信息,如果用户不同意就不能正常使用平台提供的服务。虽然注册前有用户须知,需要用户浏览后选择同意才可以获取相应的个人信息。但是对于大部分的用户来说他们都不会认真的完整阅读完用户须知内容,毫无保留地把管理权限默认给予网络应用平台。2020年12月,针对全国手机应用程序进行了信息合规性抽样检测,共送检50万个应用。统计分析显示,送检样品中有66.48%的应用存在“即使用户明确表示不同意但是仍在收集用户个人信息”的违规情况,61.00%的应用存在“收集用户个人信息前未征得用户同意”的违规情况。该违规行为是指在用户使用APP时,在用户不知情的情况下收集相关个人信息数据,容易造成用户在不知情的情况下隐私信息被盗取,被贩卖,被他人记录等结果;
图3 网络诈骗一般流程
2 个人信息安全案例
(1)木马病毒案例
发生在2017年的“想哭”病毒(WannaCry)是历史上非常著名的病毒,文件的大小仅有3.3MB,是由不法分子NSA(National Security Agency)泄露的危险漏洞永恒之蓝(EternalBlue)进行传播,该病毒的特点是传播速度极为迅速,破译难度大,对于一些人只有支付一些金钱才能免于文件的丢失。另外一件病毒案件是发生在2012年12月6日,国内出现一款名为“支付大盗”的新型网购木马病毒。该木马病毒的特点是木马病毒网站利用竞价百度排名机制伪装为“阿里旺旺官网”,借此诱骗网民下载伪造的软件,该软件中存在着木马病毒。当用户进行资金交易时,木马病毒发挥作用暗中劫持用户的网上支付资金,将付款对象窜改为黑客账户,进而将资金转移。
(2)网络黑客案例
2016年3月,广州市公安局破获一起网络黑客窃取乘客个人信息的案件,抓获了一名年仅19岁的网络黑客。这名网络黑客通过网络攻击和非法窃取各大航空公司官网、票务代售平台和电子商务平台大量的个人信息。网络犯罪破案比较困难,需要民警和网络技术部门协力合作。在侦破案件过程中,网络警察通过筛查发现一个网络访客,未经授权偷偷进入了航空公司的票务系统平台,窃取旅客订单信息,包括姓名和联系方式等。经过多方取证和审讯最终破案。在该网络黑客的电脑里面,共发现多达167万条旅客个人信息,而且截至案发时,共计80多万条个人信息已被售卖给其他犯罪团伙。
(3)漏洞攻击案例
2016年OpenSSL协议出现了信息漏洞问题,被爆出存在“水牢漏洞”的严重安全漏洞。不法分子利用这一漏洞开始攻击网站并读取用户的个人信息,包括个人交易密码、信用卡账号、加密的金融数据等,给用户带来了极大的伤害。目前全世界有超过一半的网络服务器都使用OpenSSL协议进行加密,所以此次系统安全漏洞给全球网站的安全带来了严重的挑战。无独有偶,2016年IOS公布了IOS9.1系统,此前IOS系统也存在了两种漏洞威胁,分别是沙盒逃逸漏洞和内核漏洞,这两种漏洞均会造成在安装在个人设备中的app文件被窃读和内核信息的泄露。
(4)信息诈骗案例
2020年9月21日,广州市越秀区破获一起信息诈骗案件,受害人罗某称被人诈骗8136.48元。经过警察调查取证,发现罗某曾收到一条显示“市场监管部门”发来的手机短信,信息显示:“为支持全国个体工商户积极应对疫情影响共克难关,给予你租金减免补贴登录确认补贴金额。”在信息末尾附带有一个网址。罗某信以为真就打开了提供的网址,并按照参考步骤一步步填写了个人信息、住址、银行卡号、密码以及验证码。事后收到了银行发来扣款8136.48元人民币的短信,罗某才知道自己上当受骗了。
(5)APP应用案例
2019年央视3.15晚会主持人现场使用“社保掌上通”APP查询个人社保信息,旁边的网络安全专家通过抓取分析数据包发现,查询时,用户的信息已被发送至一家大数据公司的服务器,使得个人隐私信息通过手机APP泄露。用户在查询信息时,被默认同意了一份授权协议,协议中包括“您再次充分地、有效地、不可撤销地、明示同意并授权我们使用您的社保账户密码为您提供服务”,以及“在遵循本协议的条件下,对您的信息进行采集、分析、处理和模拟您登录学信网、社保、公积金等获取您的个人信息”等条款。
3 个人信息安全防护策略
针对个人信息安全问题,提出以下几条防护策略。
(1)数据加密技术
当前木马病毒入侵和黑客入侵问题严重,为了有效解决这一问题,应该重视加密数据信息,并且大力运用加密技术,通过加密技术来抵御病毒入侵及黑客入侵。对于非常重要的信息数据,可采用将其转化为乱码形式的科学手段,然后再对其进行信息的传输。就当前社会发展现状来讲,加密技术在运用过程中可以将其划分为公开密钥以及私人密钥,私人密钥在加密时需使用相同密钥加密数据,比较典型的便是数据加密算法,公开密钥在加密时和私人密钥之间有所不同,需使用两个不一致的密钥,两个密钥属于一对,需一同使用情况下才能获得比较理想的效果。
(2)网络防火墙技术
在使用计算机网络过程中,为了解决病毒入侵及黑客入侵的问题,应重视计算机系统软件和计算机硬件设备之间的组合,使计算机在使用和运行过程中,无论是外部网络还是内部网络都能具有保护屏障,这一屏障也应运用于公共网络环境以及专用网络环境当中,其实这一屏障就是防火墙。用户在使用计算机过程中,在保证网络环境正常和信息在存储中的安全性方面防火墙发挥着十分重要的作用。因此用户在使用计算机时应注重运用防火墙功能,根据实际情况避免出现不明程序运行问题去制定与外部信息访问相适应的访问的权限。我们应该注重对防火墙的宣传,因为很多用户在使用计算机时,并不了解防火墙这一技术,所以要使更多用户了解防火墙在使用时的基本原理与主要作用,认识到防火墙对于网络信息安全实现的重要性。同时用户在使用软件时,应保证下载渠道的正规性,使系统软件在运行过程中获得坚固屏障,进而使网络在运行时的安全性得到保证。
(3)防病毒软件
为了有效应对计算机病毒,需要充分应用防病毒软件。对病毒进行预防、检测与清除是防病毒软件的关键所在,防病毒软件有两种使用情况,第一种是用软件光盘或软盘启动电脑,对电脑资源进行扫描查杀,这种方法我们可以称之为系统防毒方式,它的优点是不占用系统资源,而且在启动电脑时杀病毒对存在于内存中的永驻性病毒非常有效。第二种情况是将软件安装在电脑中,这样就可以在每次启动电脑时或在操作系统中对系统资源进行扫描、查杀,这种方法我们可以称之为系统内防毒方式,它的优点是可以设置定时查杀程序和实时监控程序,随时防止病毒的侵入。例如较常用的防病毒软件金山、360、卡巴、瑞星。
(4)入侵检测技术
入侵检测技术是指对信息进行收集与检测或网络封包,在检测到可能的入侵行为时会发出警报通知,从而及时对网络信息安全攻击进行应对处理。该技术主要分为特征检测和异常检测两类,特征检测是基于已知系统和应用软件的弱点攻击模式进行检测,异常检测则是通过行为比较的方式进行检测,二者均是防火墙技术的有效补充。各种黑客工具是黑客必备的利器,查找系统漏洞并实施攻击是一项复杂且重复的任务,为防御黑客并理解复杂的系统结构,必须精通且灵活使用各种黑客工具。
(5)加强法律意识
企业单位应该利用计算机算法和机器学习等手段最大化利用数据,将对消费者产生的影响降到最低。我们在加快推进信息安全技术防护工作的同时,也要不断完善信息安全法规体系,切实开展全民信息安全教育,增强自身网络信息安全意识和法律意识等。第一,针对网络安全的薄弱环节并且结合我国现状和国情,政府部门应不断完善安全审计等有关的法律体系,建立完善的网络安全管理体系,确保对网络安全问题的有效合理预测,并能采取有效措施应对网络安全突发事件。同时,要对网络系统和数据进行备份,以防由于外部因素造成数据损坏或丢失。第二,注重教育和培训,从小做起,从自身做起,充分利用各种信息安全防护设备,建立完善的网络安全人员培训体系,进一步提高网络人员的安全防护技能水平。把网络信息安全教育和日常性教育相结合,采用多渠道和多方位等形式对网民进行安全教育和引导。第三,通过宣传增强网民信息安全意识。一方面媒体宣传健康上网,树立正确的价值观;另一方面宣传普及网络安全知识,增强网民的网络信息安全意识。
4 结语
在大数据时代背景下,各领域都得到了空前的发展。随着大数据、云计算、人工智能、物联网等科技的快速发展,个人信息的安全也在面临着前所未有的挑战。大数据技术在此时是一把双刃剑,合法有效的利用会为人们带来更加方便快捷的物质生活和精神享受;但是非法操控大数据技术用来牟利就会给个人和社会带来巨大的损失。由于网络环境的复杂性、多变性与网络信息的特殊性,信息安全问题也会随之相伴。尽管近年来网民遭遇网络安全事件的数量较前几年有所下降,这在一定程度上说明了大众信息安全防范意识逐渐提高,我国信息安全防护工作取得了进展,但随着大数据时代下互联网科技的逐渐发展,新的病毒、诈骗手段等问题也会不断涌现。因此,对待我国网民信息安全防护工作的态度依然不能有一丝一毫的懈怠,我们需要更加重视信息安全问题,加强对信息安全的管理,采取提高多方面技术手段,促使网络信息为大众提供更加安全可靠的信息服务。
[1]赵正东,王乃冬.大数据时代个人信息侵权及保护问题探索[J].延边大学学报(社会科学版),54(1):116-122.
[2]李茹玥.大数据背景下信息安全初探[J].网络安全技术与应用,2020(01):65-66.
[3]杜小红.大数据背景下的个人信息保护[J].法学研究(法制与社会),2020(4下):14-15.
[4]周林兴,韩永继.大数据环境下个人信息治理研究[J].情报科学,2021,39(03):11-18.
[5]彭雨婷.大数据时代个人信息保护制度完善研究[J].武汉冶金管理干部学院学报,30(4):36-38.
[6]汪剑.互联网网络安全威胁治理,法制在“行动”[J].法制博览,2021(08):165-166.
[7]康志博.基于android平台的木马机理与检测技术研究[D].北京邮电大学,2014.
[8]吴振庭.浅谈大数据背景下的个人信息安全防护[J].电脑编程技术与维护,2020(06):157-159.
[9]常莽.信息泄漏频发究竟有没有办法[J].计算机与网络,2020,46(24).
[10]何翠云.网络个人信息保护需多方努力[N].中华工商时报,2021-04-21.
[11]李悦.中国网民信息安全状况研究[J].合作经济与科技,2021(05):182-183.
[12]贺军忠.2020. 基于Python的网络黑客攻击技术分析研究与防范策略[J].汕头大学学报(自然科学版),35(3):72-80.
信息安全工程实践平台与人才培养模式的构建(JX2020052);省级质量工程项目《蓝盾信息安全学院》(GDJX2020009)