大数据信息安全问题研究与对策.docx
《大数据信息安全问题研究与对策.docx》由会员分享,可在线阅读,更多相关《大数据信息安全问题研究与对策.docx(17页珍藏版)》请在冰豆网上搜索。
大数据信息安全问题研究与对策
摘要
随着科技发展水平的提高,各种各样新技术的应用在给企业、商业带来发展、为人们生活带来便利之外,但是同时也存在着数据安全问题,给人们的隐私以及财产安全等造成了直接威胁。
本文通过查阅期刊、文书档案、书籍、报纸、互联网等资源,收集和整理有关大数据信息安全问题的资料文献,确定研究思路;通过对其他国家网络安全管理政策、措施、效果等层面的比较,分析得出各国网络安全管理的普遍规律和特色做法,对加强和改进我国网络安全管理工作,构建新时代网络安全管理模式提供参考;运用所学专业知识及信息技术手段对所得数据进行专业分析和处理,设计得出适合我国现阶段大数据信息保护状况下的防范技术以及加强信息安全管理的对策措施。
关键词:
大数据;个人信息;信息安全;网络安全
Abstract
Withtheimprovementofthedevelopmentlevelofscienceandtechnology,theapplicationofvariousnewtechnologiesnotonlybringsdevelopmenttoenterprisesandcommerce,butalsobringsconveniencetopeople'slives,butatthesametime,therearedatasecurityproblems,whichgivepeopleprivacyandpropertysecuritycauseadirectthreat.Thisarticlebyconsultingperiodicals,documentsandarchives,books,newspapers,theInternet,andotherresources,collectingandcollatingdataanddocumentsrelatedtobigdatainformationsecurityissues,anddeterminingresearchideas;bycomparingandanalyzingothercountries'networksecuritymanagementpolicies,measures,andeffectsobtainthegenerallawsandcharacteristicpracticesofcybersecuritymanagementinvariouscountries,providereferencesforstrengtheningandimprovingcybersecuritymanagementinChina,andconstructaneweracybersecuritymanagementmodel;usetheprofessionalknowledgeandinformationtechnologytoanalyzeandprocessthedataobtained,DesignedtomeetthecurrentsituationofChinesecurrentbigdatainformationprotectiontechnologyandstrengtheninformationsecuritymanagementcountermeasures.
Keywords:
bigdata;personalinformation;informationsecurity;cybersecurity
第1章绪论
1.1研究的目的及意义
自中共十八大以来,国家领导人和政府采取了长远的战略眼光,从各个角度开始重视中国的信息安全问题。
国家的经济飞速发展,社会的状态保持稳定,人民的生活安居乐业都与信息安全息息相关。
信息的价值进一步凸显,信息已成为企业的重要资产和持续创新的推动力。
保障信息在采集、传输、利用和共享等各个环节安全的重要性可想而知。
回顾已经过去的2019年那一年,经常发生大规模数据泄露事件,且发生的数量呈爆炸式增长的趋势。
据安全情报供应商RiskBasedSecurity(RBS)的2019年Q3季度的报告,结果显示2019年1月1日至2019年9月30日,全球披露的数据泄露事件有5183起,有79.95亿条数据记录被盗、丢失或泄露。
为了展示趋势,RBS列举前7年数据泄露情况(如图1-1所示)。
从数据泄露数量的角度来看,总体趋势是上升的,与2018年(3886)相比,2019年(5183)的泄漏量增加了33.3%。
可以看到涉及数据泄露的记录数量在2017年至2019年的三年均在一个高点,2019年的泄漏数量与2017年接近,并且2019年的泄漏记录数量(79.95亿)比2018年(37.66亿)增加了112%。
图1-12019年Q3季度前全球数据泄露事件数量概览[1]
从数据泄露事件数量来看,当前信息安全面临的状况仍然不容乐观。
数据泄露影响与危害,一方面给受害企业带来直接和间接的经济损失(违法巨额的罚款(如GDPR)、事后处理成本和名誉损失恢复成本);另一方面发生大规模事件中绝大部分包括个人信息以及敏感数据,这给涉及的用户个人信息与隐私安全带来潜在的危害。
1.2国内外研究现状
历史上对于信息安全保护的概念并没有很早的提出,最先而是以隐私权来以偏概全。
隐私权是近几年才为大家所熟悉的概念,但是即便在西方,隐私权这一概念的出现也只有一百多年的历史。
1890年,美国的两位法学家布兰蒂斯和沃伦在哈佛大学《法学评论》上发表了一篇题为《隐私权》的文章,并在该文中使用了“隐私权”一词,被公认为隐私权概念的首次出现。
2009年,DavidLaser认为,世界上的国家在处理信息安全问题的方式方法会有所不同,所以社会的稳定程度高低就会随着处理方式的变化而改变[2]。
2012年,ColinTankard指出企业在发展的过程当中,往往会为了客户需求等方面去搜集大量的个人信息,从而使企业无法避免遇到黑客的攻击。
垃圾短信,骚扰电话和APP捆绑木马等都使公民得到了不必要的打扰[3]。
2013年,维克多·迈耶·申伯格则更重视知情权,他总结了信息安全问题的潜在威胁,并且认为新时代是否能够成功转型的关键在于对数据的应用[4]。
网络信息安全的技术研究层面则是国外相对于国内而言的主要研究集中所在,如布赖恩·切斯与雅各布·韦斯特合作编写的一本书就是主要研究信息安全问题的技术著作。
2002年,胡敏洁和刘雪在《网络发展与隐私权的保护》一文中提出从法律与道德并济和加强网络管制两个方面分析,得出结论实践是检验真理的唯一标准,只有参考国外的经验教训,不断地在实践中进行探讨,隐私权才可以得到真正的保护[5]。
2008年,田尧和王丽萍发表的一文中认为,个人网络隐私在行业自律保护下有三种模式,应该如何完善这三种模式也提出了行政监管,行业自律和完善立法这三个建议[6]。
2012年,秦尘发表《大互联网时代的隐私保护》一文,从互联网提供商的角度提出了相应的个人信息安全保护原则[7]。
2016年,张恩典发表了《大数据时代的被遗忘权之争》文章提到大数据时代的到来,给人类生活、工作和思维带来了巨大变革,此外也给个人隐私带来严重威胁,使人们置身于“数字化圆形监狱”而无处遁逃。
所以人们应该适时选择遗忘不正确的信息,留下值得欣赏的美好[8]。
2017年,张里安和韩旭至发表了一篇文章,他们提出我国应抓住历史机遇,尽快构建符合大数据时代技术发展挑战和中国国情的个人信息保护制度[9]。
第2章相关概念
2.1大数据概念
大数据一词由美国数据科学家维克托·迈尔·舍恩伯格提出,并且在《大数据时代》时提到:
“大数据的核心就是预测,大数据将为人类的生活创造前所未有的可量化的维度。
大数据已经成为了新发明和新服务的源泉,而更多的改变正蓄势待发。
”[10]。
国外学者MichaelSherman提出大数据描述了承诺实现信息系统研究的基本原则的技术,即在适当的时间以适当的容量和质量向正确的接收者提供正确的信息[11]。
大数据即指在某个时间段内,无法通过常规模式对其进行处理的数据集合。
大数据相比于传统的数据模型,更加注重处理数据信息的效率和质量,会略有不同[12]。
2.2信息概念
由于计算机网络的开放性,也极大地影响了计算机的信息安全[13]。
信息一词最早出现在1948年美国数学家香农的《通信的数学理论》中,该文提到“信息是用来消除随机不定性的东西。
”,在英语,法语和西班牙语等中信息为“information”,日语称之为“情报”,而在我国古代则是用“消息”代之。
信息,指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容。
人们通过得到的不同信息来识别世间万物,从而认知这个世界并改造它,所以信息是这个世界组成的最基本单位。
在通讯系统中,信息也是进行交流的一种普遍形式。
2.3个人信息的特征
(1)主体性
毋庸置疑,个人信息的主体是人,而对于人的定义,历来有两种说法,一种是德国、英国等国家立法规定的自由人,只为自由人,另一种为丹麦、奥地利等国家规定的自由人和法人,前者认为法人是由法律定义的概念,没有自然人的个人信息安全等问题,所以个人信息安全的权利主体应该只限于自然人,后者认为法人的定义是由自然人的概念引申而来,与自然人的本质有很多相同点,具有民事权利能力和民事行为能力,应同样具有自然人的权利,因为隐私权是自然人的一种基本人格权利。
(2)可识别性
可识别性即为有些信息特征为主体的特征,把这些特征归纳总结并且梳理出来就可以辨别出不同的信息对应的主体。
辨别信息的方式分为两种。
一种是直接识别,另一种是间接识别,前者指通过主体的身份证号码,DNA和指纹等,只通过唯一信息,不用其他辅助性方法,单独推断出某一特定主体。
后者则指主体和信息并不能一下子识别出来并且对号入座,而是需要一些其他信息作为辅助才可以完成识别功能,例如学号,地址,职业等。
(3)支配性
主体有权支配其个人信息,意为主体有权决定自己信息的使用方式或者选择是否对外公布等等。
(4)可处理性
信息本身的存在过于庞大,在这个集合中但并不是每一条信息都是有用的,只有通过一定的技术手段进行处理,信息才能够很好地被利用,从而展现出它的利用价值并能够在不同媒体之间传播。
(5)时效性
并非所有的个人资料都是有效的,某些个人资料会随着时间的推移而改变,例如阅读资料、工作资料、住址资料、流动电话号码等,如果工作变动或者家庭变动甚至个人变动,都会导致资料失效,超过期限后,信息需要及时更新,原始信息也失去了有效性。
(6)财产属性
由于个人信息是主体的专属属性,因此个人信息可以反映个人的个性并具有人格属性。
因为主体有了人格属性,他的信息在不同媒介之间传播,一旦被使用就能够创造出一定的经济效益,所以这时也就具备了财产属性。
第3章现阶段存在的信息安全问题分析
3.1信息泄露事件
由于随着越来越多的有价值和高度敏感的信息在互联网上传播,当计算机出现一定的安全问题时,将严重损害国家安全和公共利益,造成无价的损失[14]。
(1)希拉里邮件门事件
2018年1月20日,据路透社报道,美国共和党一位参议员称,由于美国联邦调查局(FBI)技术故障,没能保存希拉里“邮件门”和特朗普“通俄门”的两名调查人员——律师佩奇(LisaPage)和经纪人斯特佐克(PeterStrzok)之间自2016年12月中旬至2017年5月中旬的短信联系数据。
(2)教育数据泄露事件
从2018年12月开始,一个不知名的外部实体(黑客)进入了格鲁吉亚理工大学(GeorgiaTechUniversity)维护的一个中央数据库。
该数据库包含了学校现任和前任学生、教职员工和工作人员的姓名、地址、社会保险号码和出生日期。
佐治亚理工大学表示,130万人的信息可能在此次事件中被泄露。
(3)Indane网站漏洞事件
2019年2月,据报道,法国安全研究员发现,印度国有天然气公司Indane,由于存在“绕过登陆页面,直接获得对经销商数据库的自有访问权限”的漏洞,暴露了数以百万计的Aadhaar生物识别数据库信息,预计泄露总人数可能超过670万客户,其中包括客户的姓名、地址、以及隐藏在每条记录链接中的身份AadhaarID号码。
(4)Orvibo数据库泄露事件
2019年7月,据vpnMentor研究人员发现,中国智能家居公司欧瑞博(Orvibo)的产品数据库暴露在互联网上,该数据库无任何密码保护,运行在物联网(IoT)管理平台。
该数据库超过20亿条日志,包括了从用户名、Email地址、密码到精确位置等内容。
从数据泄露记录来看,20亿级别记录,为本年度报道的国内外最大数据泄露数量事件。
(5)全球医疗数据泄露事件
2019年9月,据国外专门报道网络安全媒体Securityaffairs称,来自德国漏洞分析和管理公司GreenboneNetworks的研究人员发现,600台未受保护的服务器暴露于互联网,其中,中国拥有14个未受保护的PACS服务器系统,导致近28万余条数据记录泄漏。
这些患者数据记录非常详细,大多包括以下个人和医疗细节:
姓名、出生日期、检查日期、主治医师和生成的图像数量等。
Greenbone的报告写道,“这些患者数据中有超过7.37亿个医学放射图像,其中大约有4亿个放射图像可以访问,或者能从互联网上轻松下载。
”
(6)Elasticsearch服务器暴露事件
2019年10月,据报道,研究人员BobDiachenko和VinnyTroia发现了暴露的Elasticsearch服务器,里面包含了超过4TB的数据,存储了近12亿人的私人和社交信息。
从数据泄露记录来看,12亿级别,为本年度报道的国外最大数据泄露事件。
3.2案例分析与结论
(1)案例数量分析
从案例来看,2019年的数据泄露事件甚至更加严重,在8次大型大规模泄漏中,泄漏的累积数量超过60亿。
回顾2019年,大规模数据泄露事件屡屡发生。
在已知的19个数据泄露中,有2起在中国处于上亿等级,有6起在国外处于上亿等级。
这8起事件泄漏的数据累积超过80亿。
从数量上看,情况比往年更加严重。
图3-1亿级别数据泄露
(2)案例类型分析
从公开的数据类型来看,最常见的数据泄露类型是个人基本信息,包括姓名,地址,出生日期,身份证号码和电话号码等,有一半(53%)的事件涉及;第二种是用户账号和密码信息等;最后三类是敏感信息的三种类型:
包括收入敏感信息,医疗敏感信息和生物识别敏感信息。
敏感的生物特征信息是一种新型数据,诸如面部识别,虹膜和指纹之类的信息,这些信息与人工智能安全在后者中的广泛推广和应用相关。
而新兴的泄漏趋势(如IOT日志和面部图像)同样值得我们关注。
图3-2数据泄露类型分布
(3)案例原因分析
从数据泄漏的原因来看,服务器暴露于Internet和配置问题是主要原因,它们也是大规模数据泄漏的主要原因。
其中,绝大多数事件与现阶段在企业中流行的MongoDB和ElasticSearch服务器有关,云服务器暴露和配置问题同样也不容忽视。
在清单事件中,就有一起事件与IOT服务器的暴露有关,物联网安全的重要性逐渐变得越来越明显。
除此之外,服务器漏洞也是导致数据泄漏和黑客窃取数据的重要原因。
企业应注意重点服务器的安全保护功能,并采取安全措施,例如及时更新补丁,定期对漏洞进行扫描和检查等。
图3-3数据泄露原因分析
随着以人工智能,大数据和物联网(IOT)为代表的信息技术革命的发展,数据的价值变得越来越重要,数据已经成为了企业的重要资产和不断创新的驱动力。
因此,在收集,传输,使用和共享等所有方面确保数据安全的重要性显而易见。
对于数据泄露的影响和危险,一方面导致受害公司遭受直接和间接的经济损失(巨额的违法罚款(例如GDPR),事后处理成本以及从中收回损失的名声成本);另一方面发生的大多数大规模事件中,涉及到很多个人信息和敏感数据,这些都会带来一定的个人信息损害和影响用户的隐私。
在中国,数据泄露事件并不像世界其他国家那样令人震惊。
中国人民目前正在使用面部识别系统进行支付,而公安部已经宣布打算实施覆盖范围的“天网”系统全国100%的重点公共场所。
中国警方也一直在利用面部识别眼镜这是根据犯罪嫌疑人的数据库对人们进行检查的,甚至学校也在使用类似的系统来跟踪学生并监控他们的出勤率。
由此可见,网络信息安全的规范管理,对于维护网络信息的安全是十分重要的一项措施[15]。
第4章现阶段信息安全威胁方式
在当今社会,智能手机的普及越来越广泛,主流的手机操作系统有Android和ios两种,而Android更是作为大多数用户的选择。
与此同时它的开放性和访问权限问题也使得此平台上的恶意软件规模不断扩大,更有甚者可以通过正规渠道进行传播,造成严重的影响。
2019年,威胁到用户的恶意软件依旧以广告类APP为主,包括一些敏感操作的风险软件也占据了很大的比例。
剩余的恶意软件,例如银行木马、勒索软件和挖矿模块等虽然数量并没有那么多,但是依旧具有高危险性且长期存在,其中不乏大量的老牌家族。
4.1广告软件
按照投递方式,广告软件可以分为以下几类:
(1)捆绑型。
该广告软件的制作者通过解包合法的APP,在其中添加广告模块,再打包上架到第三方应用市场。
典型软件为Ewind。
(2)伪装型
该广告软件的制作者通过混淆视听的方式,即以与流行APP的样式相同或相似的图标和名称作为伪装,上架到第三方应用市场。
典型软件为MobiDash。
(3)软件开发工具包(简称SDK)型
该广告软件开发商已经获得了合法身份,并以SDK的形式向合作伙伴推广他们的广告软件,使用其SDK的APP将加入广告推送模块,展示广告并产生收入。
典型软件为AirPush。
尽管投递方式不同,但是这些软件都给用户带来了糟糕的体验,这些软件程序通常会设置一个延迟机制,直到软件安装数小时甚至数天后才会发布广告,这大大增加了用户和监管者的辨识难度。
4.2银行木马
Wroba、SvPeng、Asacub等银行木马在国际上非常活跃。
Wroba是主要攻击韩国用户的老牌银行木马。
它通过钓鱼网站或链接,伪装成韩国市场上常见的银行类APP(韩亚银行、乐天集团等)进行分发。
该木马的主要功能是从受害者的手机中窃取APP信息,通话记录,短信内容和其他信息,通过伪造页面收集用户银行账户信息,并发送到指定的C&C服务器。
Svpeng是主要攻击俄罗斯用户的银行木马,它通常伪装成FlashPlayer,流行游戏和其他APP,并在APP市场中分发。
其主要功能是从设备上收集短信、通话、键盘记录和获取管理员权限以实现持久化等,同时通过伪造的添加信用卡页面收集用户的信用卡信息。
值得注意的事,有一部分Svpeng木马还带有勒索功能,在收集有关用户地信息时,还会通过勒索直接获取利益。
Asacub同样是主要攻击俄罗斯用户的老牌银行木马。
近年来,它已逐渐从一种窃取秘密的工具上变成了功能齐全的远程控制木马。
Asacub木马的基本版本体积非常小,仅包含窃取用户短信信息的功能。
Asacub的复杂版本包括查看银行网络钓鱼页面、执行命令行命令和屏幕截图等功能。
通过从用户设备中转移信息功能,Asacub可以使用社交工作内容来实现快速传播。
4.3勒索软件
有一部分Svpeng银行木马具有勒索功能。
它是最古老的锁定屏幕式勒索软件,也是2019年度勒索软件家族中数量最多的一个。
此类软件的目标主要是伪装成成人内容APP,针对美国手机用户,执行后将使用高级特殊权限窗口占据屏幕,并会阻止除电源按钮以外的按键使用,并指控用户的手机包含非法内容,以此类行为勒索赎金。
这类勒索软件在我国也非常活跃。
由于此类程序所需的编程技能水平较低,因此吸引了众多犯罪分子的注意。
这些人经常活跃在各种QQ群组中,通过收取进入群组的费用和出手自制勒索软件等方式来获取利益。
由于这些“开发人员”相互竞争,因此针对中国用户的勒索软件数量巨大,风格款式多种多样,声势浩大。
幸运的是,勒索软件的投递方式一直缺乏新思路。
只要用户注意避开非正规的软件下载平台,就可以避免陷入被勒索软件纠缠的困扰。
现今在移动平台上,活跃的恶意软件分发的主要渠道还是第三方应用市场和非法链接。
尽管在技术水平上这些恶意软件并未取得较大的提高,但银行木马和勒索软件等已变得更加精通社会工程学,用极具误导性的内容进行攻击。
在灰色产业方面,通过非法使用或开发人员蓄意所为,使一般的APP被捆绑恶意功能或模块的情况成为普遍现象。
对于不了解安全性的普通用户来说,尽管随着系统和市场的发展,恶意软件的顽固性已经减弱,但这些恶意软件仍将严重影响用户的使用体验,甚至造成财产损失。
用户应该牢记,及时进行系统更新,并且从正规渠道获取内容,以免遭到犯罪分子的攻击和利用。
虽然存在着各种各样的方式可以威胁到用户的信息安全问题,但并不是无法战胜这些问题。
第5章信息安全保护对策
5.1美国对于信息安全问题的对策
在技术创新和经济发展的过程中,美国非常注重信息在其中的起到的作用。
自然而然他们会赋予企业和市场更多的自主权,并积极鼓励他们参与市场标准的制定,从而促进信息在各行各业中自由“行走”。
美国的行业自我监管主要是敦促企业在市场经济活动中以两种形式遵循隐私精神,包括行业协会,提出建设性的行业指导和隐私认证计划。
1974年,为保障公民的自由美国通过了《隐私权法》,该法规定了信息主体对于公开保留修改个人信息的基本权利是必要的,同时美国已经建立了由宪法,普通法和其他法律构成的全面法律网络,并且直接负责公民个人信息的安全[16]。
1995年,美国出台了一份关于个人信息使用和提供原则的文件,从此奠定了美国行业自我监管的基础,这份文件主要是美国政府隐私保护组对于个人信息自我监管提出的一套规范准则。
从“信息战概念”颁发开始,围绕网络空间安全的攻防能力,在二十多年间更新和新增了许多政策法规和条例。
1997年6月10日,TRUSTe组织成立。
该组织是美国最著名的一家非盈利的信息保护机构。
迄今为止TRUSTe已经为上千家网站提供认证,包括苹果公司、IBM公司、甲骨文公司、Zoho、Intuit和eBay和WeChat等 。
TRUSTe还提供其他的专业服务,例如假设某网站的声誉遭到了一定的破坏,TRUSTe会对这个网站进行专业的管理措施,以保证其正常运行;或者在某软件购买东西后,消费者的隐私通过该软件泄露出去,TRUSTe会对此争议进行专业的解决措施。
1998年6月22日,美国在线隐私联盟(OPA,onlineprivacyalliances)公布了它的在线隐私指引。
2016年8月1日,美国政府与欧盟达成了被称为“隐私盾”(PrivacyShield)的数据传输机制。
目的是为大西洋两岸的公司提供一种机制,在将个人数据从欧盟和瑞士转移到美国以支持跨大西洋贸易时,遵守数据保护要求。
2017年12月18日,美国特朗普政府发布《国家安全战略报告》,随后2018年9月18日发布《国防部网络战略》,9月20日又发布《国家网络战略》报告,连续三项战略诠释了特朗普政府的“美国优先”战略,强调“网络威慑”和“以实力促和平”,突出强调网络战的重要性,将“军事和武力”作用置于外交和国务之前,强调保护美国基础设施以确保美国的持续繁荣,同时强调人工智能(AI)对于经济增长重要性。
从上述信息可以看出,美国对于信息保护的起步还是较早的,经过二十多年的不断发展和改进已经逐步趋于完善。
伴随着互联网的迅
升级会员 