浅析“大数据”的安全隐忧

白和付

【摘要】 当今社会信息化发展越来越快，“大数据”应用越来越广泛，随之而来的“大数据”安全隐忧问题也是摆在我们面前刻不容缓的重大现实问题。之所以说是“安全隐忧”，是因为安全问题虽未大规模爆发，但已迫在眉捷，如若熟视无睹，后果难以想象。下面我从“为什么会有隐忧”、“怎么解决隐忧”两个方面谈谈我个人的一些看法。希望籍以此文，让那些因“大数据”的美好前景而热血沸腾的人们能够冷静下来，开始关注如影随形的安全问题。

【关键词】 “大数据” 安全隐患 解决

一、为什么会有安全隐忧

我们知道，“大数据”安全包括物理安全、系统安全、网络安全、存储安全、访问安全、审计安全、运营安全等等，集中体现在数据的产生、采集、传输、存储、处理、分析、发布、展示和应用等各个阶段。每个阶段的疏于防范，都可能带来安全风险。从外部原因来说，移动网络的无处不在和开放暴露，以及个人信息的长久记忆和爆炸增长，使得“大数据”仿佛一座不设围墙的大油田，任何时间、任何地点都可能被侵害。就内部原因来说，既有人为因素，包括不良分子的入侵与破坏、内部人员的大意与违规；又有技术因素，包括“大数据”相关技术、软件、硬件的不尽成熟和完善等等。这些因素共同凝结了对“大数据”安全不可阻挡的忧虑。

1.1网络覆盖无处不在

移动终端的迅速普及，使得网络无处不在，也使风险无处不在。中国网民已达好几亿，80%以上人使用手机上网，使得更多敏感数据在移动设备间传递。。移动智能终端本身又具有导航、录音、拍照等功能，个人信息、位置信息、社交信息能随时随地上传网络，一旦遭到恶意软件攻击或被远程操纵，就可能泄露行踪、受到监控，或被窃取终端中的数据。此外，移动智能终端中还存在着大量“陷阱”，比如山寨版的软件、程序、客户端以及内嵌的钓鱼网站等，欺骗网络用户提交关键信息。

1.2数字记忆难以忘却

在数字时代，将信息提交给数字存储器已经成为默认状态，一旦这些数字化记忆保护不当或者使用不当，伤害或许也就无法避免了。现在，许多人都把自己的姓名、电话、电子邮箱、身份证号码、家庭或单位地址，无怨无悔的告诉了淘宝、京东、唯品会这些网购平台。许多人都把自己的邮件、照片、视频、想法毫无保留的交给了微博、腾迅、QQ这些社交平台；还有许多人毫不知觉的将自己的位置、状态、语音、消息主动“贡献”给移动公司。“大数据”时代，每个人的言行举止、喜怒哀乐、起居餐饮、婚丧嫁娶、求医问药等等工作生活中的一切都会被转换为数字化记忆，而且是大批量汇集、无限期存储。如果运用“大数据”进行分析加工，几乎可以真实还原一个人的生活状况，个人的隐私也将不复存在。

1.3漏洞缺陷难以避免

“大数据”意味着更巨大、更复杂、更多样的数据，也意味更多的不确定、不完善、不安全。由于绝对可靠并不存在，因而漏洞与缺陷不可避免。它们或被有意设置，或者存在技术破绽，但其结果都是引来攻击者。据报道，目前国内几乎所有大型网络项目，包括政府、海关、铁路、民航、军警等要害部门的网络建设，普遍使用的都是美国思科的路由器。该路由器存在重大安全漏洞，美国国家安全局正是通过它监控中国网络和电脑，包括电子设备中内置的麦克和摄像头，硬盘中存储的文件以及用户的操作。此外，由于“大数据”需要对来自不同系统、不同程序和不同类型的数据进行聚合与关联，且数据来源和承载方式多种多样，使得现有技术在防范上很难做到万无一失。我们日常使用的无线网络也存在巨大安全隐患，火车站、咖啡馆等公共场所的免费WIFI热点都可能是钓鱼陷阱。由于这些漏洞和缺陷在短时间内不可能完全彻底的弥补或消除，因此，“大数据”安全距离无懈可击还有很长的路要走。

1.4危险隐患不可预见

“大数据”本身就是一个可持续攻击的载体，由于隐藏在“大数据”中的恶意软件和病毒代码很难被发现，因而攻击将变得长久而不可预见。“大数据”存在的安全问题，有的是人为制造的，比如移动智能终端被厂家留下了“后门”；有的是故意违规的，比如越权访问、篡改数据、泄露密钥、有纪不循；有的是过失造成的，比如采录了虚假数据、误判了信息密级；有的是无意形成的，比如机房断电导致服务器停止运行，大量数据丢失且无法恢复。更多的、更难预料的则是“黑客”的恶意行为。“黑客”是网络社会发展的产物。只要网络存在，“黑客”就不会消亡。面对“大数据”的“大诱惑”，黑客的动机可能不尽相同，或是利欲熏心为捞取好处，或是心理阴暗想窥探隐私，或是自命不凡以破坏为乐。我们无法预见他们会以怎样的方式进行攻击。但我们知道，一旦攻击得手，就可能直接或间接侵害公民的人身、财产、名誉、隐私等切身利益，甚至危害国家安全和社会稳定，并带来许多意想不到的负面影响。

二、怎么解决安全隐忧

保护“大数据”时代的信息安全是一个系统工程，需要运用政策、法律、技术、监管等多种举措综合施策。首先，提高对“大数据”安全重要性和紧迫性的认识，既要将数据资源看作特有资产，也要把数据资源看作是公民的个人资产，树立强烈的法规意识和安全意识，对敏感数据和要害数据给予特别关照，慎重而精心的使用。其次，在规划“大数据”发展同时，明确信息安全的重要地位，加大对事关“大数据”安全的软件研发和基础设施的投入力度，大力引进数据安全方面的专家人才，切实增强安全保障能力。具体而言，至少要筑牢四道安全屏障。

2.1是建立制度

“大数据”时代，只有通过制定有效的规则，才能最大限度解决数据方面的隐患。比如，公安机关在应针对采录、存取、流转、访问、分析、复制、备份、运维等各个可能出现安全问题的环节，制定和健全保护个人隐私和数据安全的规章制度，降低敏感数据被盗取、破坏和滥用的可能，建立起敏感数据分类定级制度。对于各类公安敏感数据，分门别类设置数据密级，明确传播范围，本着“知限所需”的原则，让民警只能看到工作确实需要的数据；建立安全风险评估制度。针对不同类型和状态的数据，设置不同的安全风险等级，降低数据泄露风险，消除数据安全盲点。此外，还可以采取异地容灾备份、保留民警操作记录等方式，及时发出警告响应或安全预警，最大限度地保证数据安全。

2.2是讲究策略

“魔高一尺、道高一丈”。针对已经出现或者可能出现的安全问题，应及早采取必要的防护手段，扎紧安全的口袋。可以采取业务审核的方式，将数据查询与业务办理流程挂钩，用业务对数据应用的必要性进行把关。例如，在出境办证业务中，如需核查某人身份时，被查询人必须在办证审批流程中存在，否则不被允许；可以采用登录验证码机制。用户每次登录时，系统向账号的关联手机发送随机验证码，凭验证码登录，保证系统每次的使用人员必须是注册用户本人或其授权人；可以采取过滤器监控的形式，一旦发现数据离开了用户的网络，就自动阻止数据的再次传输；还可以设定数据存储“寿命”，让那些到期的、无用的数据自动“寿终正寝”等等。其中，最为重要是建立以数据为中心的安全系统，通过防火墙、入侵检测系统、安全审计、网络防病毒系统等实现全面的安全防护。

2.3是完善技术

“大数据”安全源于技术本身的漏洞，以及这些漏洞所引来的攻击者。抵御和防范外来的侵犯，一要修复好现有技术，二要使用好现有技术，三要开发出新的技术。技术防范是很专业的问题，仅从安全问题的表象来看，就有大量的工作。比如，对于数据采用分布式存储的方式，避免“将鸡蛋放在一个篮子里”；基于安全访问、准入控制、全程检测记录的原则，在内部网络部署网络分析和可见性工具；采用自动的“大数据”分析方法，减少应用过程中对个人隐私的窥探；提高数据仓库的扩展性、容错性，提高预防和发现安全隐患的能力；还可以通过开发匿名保护技术、威胁发现技术、数据溯源技术、数据水印技术等等，将安全基因注入每个数据、每次操作。此外，“大数据”本身也是应对网络攻击的有力武器。网络攻击行为总会留下蛛丝马迹，这些痕迹都以数据的形式隐藏在“大数据”中。运用“大数据”技术，将会更好的发现和防止这些攻击。

2.4是加强管理

数据安全“三分靠技术，七分靠管理。” 根据“木桶原理”，数据安全水平往往取决于最弱的“短板”。尤其是在目前的信息安全技术环境下，攻击成本越来越小，防御成本越来越大，任何一个小的疏漏，都可能影响“大数据”安全。为此，应首先建设一套规范的运行机制、建设标准和共享平台，促进“大数据”管理过程的正规有序，实现各级各类信息系统的网络互连、数据集成、资源共享，在统一安全规范的框架下运行。其次，应加强对“大数据”安全形势的宣讲，开展相应的教育和培训，让民警掌握正确的操作和使用方法，以及如何识别非法攻击、如何防范非法入侵、如何保证数据质量等等，并通过安全攻防演练或测试来检验培训成果。此外，就是还应加大责任追究力度。按照“破窗理论”，如果轻微违法未引起重视，势必导致更多更大的恶意行为。所以，对违规查询、使用、泄露敏感数据的行为应严格追究、零度容忍，让那些觊觎“大数据”的人没有市场。

结语：尽管“大数据”安全存在着很多问题和不确定性，但“大数据”的发展趋势不可逆转。既不能乐而忘忧，也不必忧心忡忡。只要看清问题，找准结症，居安思危、未雨绸缪，就是一定会将风险降至最低。安全问题如同阳光下的影子，无法也不能避免，但只要永远迎着阳光，阴影就会始终躲在身后。以上关于“大数据”安全隐忧的想法，受专业和见识所限，只能略谈一二。不妥之处，敬请指正。

参 考 文 献

[1] 刘煜. 在大数据环境中的如何保证行业数据安全[J]. 信息技术与信息化. 2015（11）

[2] 齐向东. 大数据安全要重点解决三个问题[J]. 信息安全与通信保密. 2015（12）

[3] 吕欣，韩晓露. 健全大数据安全保障体系研究[J]. 信息安全研究. 2015（03）