大數(shù)據(jù)時代,我們的信息怎么保護(hù)?
在擁擠的北京地鐵上,就職于某公司的趙先生在聚精會神地玩著智能手機(jī)。與京城眾多上班族一樣,趙先生每天要在地鐵、公交上呆兩個小時以上。聊天工具、交通地圖、交友購物……在智能手機(jī)裝載的諸多APP應(yīng)用,在方便李先生生活的同時,也帶來其它的問題。
“手機(jī)上這些軟件,提醒我必須允許我的通訊錄、大概位置、日志被讀取。如果我不同意的話,這些軟件就無法使用了?!?趙先生一臉無奈地對記者說。
趙先生的這番遭遇,只是大數(shù)據(jù)時代的一個縮影。海量信息的大數(shù)據(jù)時代,給用戶的信息安全帶來了隱患。
大數(shù)據(jù)時代的危與機(jī)
大數(shù)據(jù)(big data),目前尚無一個統(tǒng)一的定義,一般意義而言,指的是所涉及的資料量規(guī)模巨大,無法通過常規(guī)軟件工具管理和處理。大數(shù)據(jù)把人們帶入一個新的時代,與傳統(tǒng)相比,大數(shù)據(jù)分析的數(shù)據(jù)量大、分析復(fù)雜。
對于大數(shù)據(jù),國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心高級工程師袁春陽博士認(rèn)為,“大數(shù)據(jù)時代的到來,把原來相對小量的、靜態(tài)的、結(jié)構(gòu)化的小數(shù)據(jù)變成了巨大量的、快速變化的、關(guān)聯(lián)復(fù)雜的大數(shù)據(jù)?!睙o論是個人信息還是企業(yè)信息,相比傳統(tǒng)時代,大數(shù)據(jù)時代下這些新的邊界都將更加模糊,可能存在的安全問題更多,需要更高要求的保護(hù)。
大數(shù)據(jù)蘊(yùn)含著更豐富的信息,大數(shù)據(jù)時代的到來給網(wǎng)絡(luò)信息安全帶來了新的思路,從中可以獲得之前無法獲得的重要信息。這些新的信息為網(wǎng)絡(luò)信息安全帶來了新的依據(jù)和方法,一些傳統(tǒng)的網(wǎng)絡(luò)信息安全難題很可能因?yàn)榇髷?shù)據(jù)的到來有所突破。
大數(shù)據(jù)技術(shù)在帶來機(jī)遇的同時,帶來更多安全問題。作為新的信息富礦,大數(shù)據(jù)容易成為黑客重點(diǎn)攻擊的對象。由于其自身的特性,數(shù)據(jù)的存儲、權(quán)限邊界都比較模糊,大數(shù)據(jù)對已有數(shù)據(jù)安全技術(shù)提出新的要求。此外,利用大數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)攻擊成為可能,這種攻擊比傳統(tǒng)的網(wǎng)絡(luò)攻擊更難發(fā)現(xiàn)和防御,對網(wǎng)絡(luò)信息安全技術(shù)提出新的挑戰(zhàn)。
“在過去,黑客的攻擊較為簡單,現(xiàn)在則復(fù)雜了許多。現(xiàn)在黑客攻擊在時空上有兩大特點(diǎn):一是空間上更加分散,繞道攻擊,偽裝,發(fā)動形式源分散,從側(cè)面攻擊;二是時間上的分散,比如說今天偷看兩眼,明天再看兩眼,這樣不容易被發(fā)覺?!北本┚W(wǎng)御星云副總裁兼CTO畢學(xué)堯博士說。
大數(shù)據(jù)是信息行業(yè)飛速發(fā)展帶來的前所未有的高復(fù)雜度數(shù)據(jù),其含義的關(guān)鍵在一個“大”,它的特點(diǎn)也反映在這個“大”。大數(shù)據(jù)時代在帶來機(jī)遇的同時,也給信息安全帶來了挑戰(zhàn)。時空的分散性,使得我們應(yīng)該綜合大量事件,以大數(shù)據(jù)的方法來消除信息安全隱患。
如何保護(hù)個人信息安全
使用智能手機(jī)APP被讀取用戶信息的遭遇,絕非趙先生一個人?,F(xiàn)在很多智能手機(jī)或pad類應(yīng)用軟件在安裝或使用時提示用戶允許讀取通訊錄、短信,允許打開定位服務(wù)等等。在這類情況下,信息還安全嗎?個人隱私會被泄露嗎?
對此,北京郵電大學(xué)信息安全中心的馬兆豐博士認(rèn)為需要理性分析、客觀看待。
在馬兆豐看來,比較正常且具有良好商業(yè)信譽(yù)的網(wǎng)絡(luò)應(yīng)用一般不會隨意使用、記錄、統(tǒng)計、分析用戶數(shù)據(jù)。這些網(wǎng)絡(luò)應(yīng)用僅是在某種業(yè)務(wù)需要時即時訪問特定數(shù)據(jù)對象如通訊錄、照片庫或利用定位服務(wù)來給出路徑或?qū)Ш降取5?,如果這類軟件本身存在安全后門或設(shè)計缺陷,就很容易對用戶造成危害,或?qū)е孪到y(tǒng)出現(xiàn)嚴(yán)重故障如內(nèi)存泄漏導(dǎo)致當(dāng)前應(yīng)用程序或整個系統(tǒng)崩潰等。
事實(shí)上,不論是手機(jī)或電腦,只要是網(wǎng)絡(luò)應(yīng)用程序或網(wǎng)絡(luò)服務(wù),都可以遠(yuǎn)程獲取用戶數(shù)據(jù),比如,在開啟“允許訪問”開關(guān)的情況下,用戶手機(jī)通訊錄、短信、通話記錄、照片、錄音、錄像,本地電腦硬盤數(shù)據(jù)、文件、活動進(jìn)程、網(wǎng)絡(luò)訪問情況均可以被輕易傳送到遠(yuǎn)程控制者手里,在用戶不知情的情況下,就是對用戶隱私的嚴(yán)重侵犯。
對于現(xiàn)有的個人電腦安全防護(hù)軟件中云查殺、云鑒定的安全性,馬兆豐表示堪憂。馬兆豐認(rèn)為,它經(jīng)常把一些已知安全狀況的文件如doc文檔、excel表格等不經(jīng)用戶允許就“私自”做了“云鑒定、云查殺”。無法保證云鑒定服務(wù)器有無備份、惡意留存用戶數(shù)據(jù)。類似的云備份、云存儲通訊錄、離線發(fā)送文件、離線留言等,由于一般情況下需要存儲轉(zhuǎn)發(fā)或中間站暫存過程,因此,這類應(yīng)用或服務(wù)的公允性不能保證無安全隱患。
那么,應(yīng)該如何有效保護(hù)用戶信息安全呢?
馬兆豐建議,以通訊錄、短信、照片等進(jìn)行“云備份”或“遠(yuǎn)程備份”操作為例,最安全且最穩(wěn)妥的做法是用有效安全的方法對通訊錄、短信、照片等實(shí)現(xiàn)基于設(shè)備唯一標(biāo)識碼(如手機(jī)設(shè)備唯一碼IMEI或MAC地址, )對數(shù)據(jù)進(jìn)行加密備份。這樣,只有用戶自己可以進(jìn)行安全恢復(fù),防止第三方應(yīng)用私下動手腳。上述情況是手機(jī)正常使用的情況下的安全措施和建議。但是,一旦手機(jī)丟失,我們可以通過專用預(yù)裝軟件,由用戶自主操作和控制,可通過手機(jī)防盜防丟失安全期軟件,實(shí)現(xiàn)丟失鎖定、換卡鎖定、遠(yuǎn)程數(shù)據(jù)銷毀、遠(yuǎn)程數(shù)據(jù)加密、遠(yuǎn)程數(shù)據(jù)回傳、失物定位等最大限度保護(hù)用戶隱私。
撥打電話的應(yīng)用在功能上需要讀取通訊錄,這種權(quán)限提示屬于正常情況。然而,安裝某個新聞閱讀應(yīng)用時,出現(xiàn)獲取“讀取通訊錄”權(quán)限。一般情況下,這類應(yīng)用的功能不需要讀取通訊錄,而它申請獲得這個權(quán)限可能是為了獲取用戶個人信息。袁春陽建議,“從個人的角度來說,想要保護(hù)自己的隱私不被泄露,需要提高自己的安全素質(zhì),養(yǎng)成良好的安全習(xí)慣?!北热?,網(wǎng)絡(luò)賬號的密碼使用復(fù)雜密碼,最好定期更換密碼,從正規(guī)應(yīng)用商店下載應(yīng)用,盡量減少從論壇、網(wǎng)盤或其他渠道下載應(yīng)用,安裝時注意權(quán)限的提示等。
“大數(shù)據(jù)時代的來臨,使得以往那種單一模式的保護(hù)難以應(yīng)對急需突發(fā)情況,這就要求我們從法律體系、組織管理、技術(shù)應(yīng)用等多個層面構(gòu)建協(xié)同聯(lián)動的個人信息安全保障體系,減少大數(shù)據(jù)時代信息安全的系統(tǒng)性風(fēng)險。”袁春陽補(bǔ)充說。
中外信息安全的差距
在信息安全技術(shù)方面,中外的差距大嗎?如何縮減這種差距?“十二五”期間,信息安全會有哪些機(jī)遇?這些問題是不少公司和個人所關(guān)心的。
袁春陽認(rèn)為,我國在網(wǎng)絡(luò)信息安全技術(shù)上與美國等發(fā)達(dá)國家相比還具有相當(dāng)一段距離。我國的網(wǎng)絡(luò)信息安全技術(shù)起步明顯落后于發(fā)達(dá)國家,在關(guān)鍵技術(shù)、核心設(shè)備、主要標(biāo)準(zhǔn)、體系架構(gòu)等多方面受制于發(fā)達(dá)國家??s小或消除這種差距,是一個任重道遠(yuǎn)的艱巨任務(wù)。首選需要國家制定完備的、長遠(yuǎn)的國家網(wǎng)絡(luò)信息安全戰(zhàn)略,確定我國網(wǎng)絡(luò)信息安全事業(yè)的發(fā)展方向。
“通常來講,我們國內(nèi)做網(wǎng)絡(luò)信息安全的單個公司規(guī)模很小,人數(shù)量少,可是做的事情卻很多。網(wǎng)絡(luò)信息安全本身的安全要求較高,我們表現(xiàn)出真正的競爭力不夠,產(chǎn)品不夠?qū)I(yè)?!?畢學(xué)堯說。
畢學(xué)堯認(rèn)為,現(xiàn)在,通過企業(yè)整合的方式有助于提升專業(yè)性。比如專注于做網(wǎng)絡(luò)安全的公司與做操作系統(tǒng)的公司合并,這樣一種互補(bǔ)對于雙方都有提高。
“十二五”期間是我國網(wǎng)絡(luò)信息安全高速發(fā)展的時期,國家加大了資金投入和支持力度,快速推進(jìn)了這個行業(yè)的發(fā)展。在此期間,科研機(jī)構(gòu)可以大力推進(jìn)相關(guān)研究,積累眾多滿足國家需求的網(wǎng)絡(luò)信息安全關(guān)鍵技術(shù);企業(yè)可以借機(jī)改進(jìn)和推廣新技術(shù)新產(chǎn)品,積累一批具有自主產(chǎn)權(quán)的高質(zhì)量網(wǎng)絡(luò)信息安全設(shè)備、系統(tǒng)或服務(wù)等產(chǎn)品。對于網(wǎng)絡(luò)信息安全的機(jī)遇大于挑戰(zhàn)。整個信息化的優(yōu)勢已經(jīng)形成,各種網(wǎng)絡(luò)和應(yīng)用安全的需求多,不光是量,更有質(zhì)的變化。云計算、物聯(lián)網(wǎng)等發(fā)展網(wǎng)絡(luò)信息安全行業(yè)也是極大的機(jī)遇。今后,對于網(wǎng)絡(luò)產(chǎn)品的可靠性要求更高了,帶來的機(jī)遇也會更多。