您当前所在的位置: 网站首页 > 行业资讯 > 专家视点

大数据引发的安全问题及应对措施

【信息时间:2014-05-06阅读次数:6536内容来源:

       “大数据”是指无法在可承受的时间范围内用常规软件工具进行捕捉、管理、处理的数据集合 。大数据的概念在学术界由来已久,但真正进入公众视野是从2011年麦肯锡发布的研究报告——《大数据:创新、竞争和生产力的下一个新领域》之后,随后便不断升温,超越“云计算”成为信息产业界最炙手可热的名词。国际数据公司(International Data Corporation,IDC)指出,互联网上的数据每年将增长50%,每两年便将翻一番,而目前世界上90%以上的数据是最近几年才产生的。据IDC预测,到2020年全球将总共拥有35ZB的数据量。近年来,大数据的影响力也如其本身一样在不断增大,从互联网领域向电信、金融、地产、贸易、物流等各行各业扩散。


        一、 大数据为信息产业及其他各行业发展带来新机遇

       大数据因其巨大的商业价值和市场需求正成为推动信息产业持续高速增长的新引擎。随着国务院《关于促进信息消费扩大内需的若干意见》的发布,以及行业用户对大数据价值的认可程度的增加,市场需求将出现井喷,面向大数据市场的新技术、新产品、新服务、新业态会不断涌现,大数据将为信息产业打开一个高增长的新市场。在硬件与设备领域,大数据面临的有效存储、快速读写、实时分析等挑战,将对芯片、存储产业产生重要影响,还将催生一体化数据存储处理服务器、内存计算等市场。在软件与服务领域,因为大数据中蕴含的巨大价值,带来对数据快速处理和分析的迫切需求,将引发数据挖掘、商业智能市场的空前繁荣。

    对大数据的利用将成为企业提高核心竞争力、并抢占市场先机的关键。现代企业的决策正在从“业务驱动”转变为“数据驱动”。真正能够利用好大数据、并将其价值转化成生产力的企业必将具备强劲有力的竞争优势,从而成为行业的领导者。在零售行业,对大数据的分析可以使零售商实时掌握市场动态并迅速做出应对;在电子商务行业,对大数据的分析可以为商家制定更加精准有效的营销策略提供决策支持;在服务行业,对大数据的分析可以帮助企业为消费者提供更加及时和个性化的服务;甚至在公共事业领域,大数据也开始发挥促进经济发展、维护社会稳定等不可小觑的重要作用。


       二、大数据引发了个人隐私安全、企业信息安全乃至国家安全问题

      (一)大数据从概念走向实践,引发个人隐私安全问题

       在大数据时代,想屏蔽外部数据商挖掘个人信息是不可能的。目前,各社交网站均不同程度地开放其用户所产生的实时数据,被一些数据提供商收集,还出现了一些监测数据的市场分析机构。通过人们在社交网站中写入的信息、智能手机显示的位置信息等多种数据组合,已经可以以非常高的精度锁定个人,挖掘出个人信息体系,用户隐私安全问题堪忧。据统计,通过分析用户4个曾经到过的位置点,就可以识别出95%的用户。“你没有隐私,忘记这事吧”。

       大数据对个人信息获取渠道拓宽的需求引发了另一个重要问题:安全、隐私和便利性之间的冲突。消费者受惠于海量数据:更低的价格、更符合消费者需要的商品、以及从改善健康状况到提高社会互动顺畅度等生活质量的提高。但同时,随着个人购买偏好、健康和财务情况的海量数据被收集,人们对隐私的担忧也在增大。“棱镜门”事件爆发后,尴尬的奥巴马辩解道:“你不能在拥有100%安全的情况下,同时拥有100%隐私和100%便利。”

       2011年4月初,全球最大的电子邮件营销公司艾司隆(Epsilon)发生了史上最严重的黑客入侵事件,导致许多主要的企业客户名单以及电子邮件地址因此外泄,受害企业包括了摩根大通、第一资本集团、万豪饭店、美国银行、花旗银行及电视购物网络等。而就在不到一个月时间的同年4月底,索尼公司遭到黑客攻击,泄露了一亿份账户资料,将其Play Station网络和Qriocity流媒体服务关闭了将近一个月。索尼公司因此花费了约1.71亿美元来弥补这个损失。

       针对大数据时代所带来的隐私安全问题隐患,一些国家政府纷纷立法保护公众隐私。2012年2月,奥巴马政府公布了《消费者隐私权利法案》。数周后,美国联邦贸易委员会(FTC)发布了有关消费者隐私权利保护的最终报告。欧盟数据保护工作组曾在2009年分别致信谷歌、微软和雅虎三大搜索引擎巨头,认为搜索引擎服务商保存用户搜索记录时间超过6个月的理由并不成立,因此要求这三个搜索引擎商必须缩短用户搜索信息的保留时间。

       (二)企业迈进大数据时代,信息安全面临多重挑战

       大数据来袭,企业不仅要学习如何挖掘数据价值,使其价值最大化,还要统筹安全部署,考虑如何应对网络攻击、数据泄露等安全风险,并且建立相关预案。正如Gartner论断的那样:“大数据安全是一场必要的斗争。”当企业用数据挖掘和数据分析获取商业价值的时候,黑客也可以利用大数据分析向企业发起攻击。“黑客最大限度地收集更多有用信息,比如社交网络、邮件、微博、电子商务、电话和家庭住址等等,为发起攻击做准备。尤其当你的VPN账号被黑客获取时,黑客就可以获取你在单位的工作信息,进而入侵企业网络。”绿盟科技首席战略官赵粮表示,大数据分析让黑客的攻击更精准。

       通常,那些对大数据分析有较高要求的企业,会面临更多的挑战,例如电子商务、金融、天气预报的分析预测、复杂网络计算和广域网感知等。启明星辰核心研究院资深研究员周涛表示,任何一个会误导目标信息的提取和检索的攻击都是有效攻击,因为这些攻击对安全厂商的大数据安全分析产生误导,导致其分析偏离正确的检测方向。“这些攻击需要我们集合大量数据,进行关联分析才能够知道其攻击意图。大数据安全是跟大数据业务相对应的,传统时代的安全防护思路此时难以起效,并且成本过高。”在周涛的眼里,与传统安全相比,大数据安全的最大区别是,“安全厂商在思考安全问题的时候首先要进行业务分析,并且找出针对大数据的业务的威胁 ,然后提出有针对性的解决方案。”

     (三)大数据时代,国家安全将受到信息战与网络恐怖主义的威胁

       在机械化战争时代,各国面临的是刀枪的正面冲击。如今的信息时代,安全环境发生了质的变化。不管是战争时期还是和平年代,一国的各种信息设施和重要机构等都可能成为打击目标,而且保护他们免受攻击已超出了军事职权和能力的范围。决策的不可靠性、信息自身的不安全性、网络的脆弱性、攻击者数量的激增、军事战略作用的下降和地理作用的消失等都使国家安全受到了严峻的挑战。此外,网络化的今天,各个国家在石油和天然气、水、电、交通、金融、商业和军事等方面都依赖信息网络,更加容易遭受信息武器的攻击。

       此外,大数据也将为网络恐怖主义提供新的资源支持。庞大海量的大数据涉及的方面之广,将有可能使网络恐怖主义的势力侵入人们生活的方方面面。为了更好地利用信息技术反对恐怖主义的袭击,美国联邦政府实施新方法,利用海量的、以商业手段收集的个人信息数据库来为提高国家安全服务。这些信息库几乎包括了各个行业,金融数据、保险信息、零售记录、旅游信息、证书和房产证明等政府部门资料。这一趋势早在2001年“9•11”事件发生前就已经产生,但从那之后不断增强,新的数据环境已经产生了两大前所未有的特征,即来源于私人部门的、可用的个人化识别信息具有深度和广度,同时用于分析这些数据的分布形势与意义的能力也在不断提高。

       三、合理利用,积极应对,促进大数据产业健康有序发展

       一是提高安全意识,及时出台相关政策。在国家层面,应加快大数据产业引导政策的出台。大数据技术领域的竞争,事关国家安全和未来。我国目前已经在物联网“十二五”规划上把信息处理技术作为4项关键技术创新工程之一提出来,但还没有大数据方面的专门规划和政策支持。将大数据上升为国家战略,加强顶层设计和政策支持,是大数据时代的客观要求。

       二是提高安全防护能力,保障网络信息安全。随着数据收集范围的扩大和数量的增加,在线数据越来越多,黑客、间谍的犯罪动机也比以往任何时候都来得强烈。如今他们的组织性更强、更加专业,作案工具也更加强大,作案手段更是层出不穷。所以在大数据时代,网络的安全防护可以说是至关重要。如今,各个企业都有自己的安全防护软件来防止病毒、木马等恶意软件的侵害。而要在一个大型网络中的存储中扫描一个恶意软件可能需要几天的时间。大数据时代,数据量将以几何速度增长,到那时现在的安全防护软件将不能满足需要。因此,在大数据时代真正到来之前,应该为建立大数据安全环境未雨绸缪。

       三是加强云计算安全研究,保障云安全。目前来看,各行各业陆续采用和实施了云服务等新技术,但是对于使用云服务可能带来的风险估计不足。云端的大数据对于黑客们来说是个极具吸引力的获取信息的目标。然而,数据的搜集、存储、访问、传输必不可少地需要借助移动设备,所以大数据时代的来临也带动了移动设备的猛增。这就对各行业制定安全正确的云计算采购策略提出了更高的要求。

       四是积极探索,加大个人隐私保护力度。在大数据时代巨大商业价值背后,隐私安全问题更令人担忧。目前,各社交网站均不同程度开放其用户所产生的实时数据,容易出现被恶意收集和滥用的情况,尤其是金融、广告、零售业等各种企业。随着产生、存储、分析的数据量越来越大,隐私问题在未来的几年也将愈加凸显。所以新的数据保护要求以及立法机构和监管部门出台相关保护个人隐私的措施应当提上日程。

       个人简介:

       杜伟,毕业于北京邮电大学,通信与信息系统专业,博士。目前就职于工业和信息化部电信研究院,信息通信安全研究所,信息安全研究部,从事云计算安全、移动互联网安全、物联网安全、日志留存、信息溯源等技术研究与相关标准制定工作。