大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全風(fēng)險與防范策略研究

◆李建新

（常州信息職業(yè)技術(shù)學(xué)院 江蘇 213164）

摘要：大數(shù)據(jù)時代背景下的網(wǎng)絡(luò)安全面臨新的風(fēng)險，信息泄露、信息詐騙和拖庫與撞庫等技術(shù)手段層出不窮。面對新的形勢，通過增強主觀意識、完善漏洞共享平臺、加強身份鑒權(quán)和建立健全法律保障體系等有效措施來保障網(wǎng)絡(luò)信息的安全。

關(guān)鍵詞：大數(shù)據(jù)；信息安全；防范

0 引言

當(dāng)今的社會是一個高速發(fā)展的社會，科技的進(jìn)步讓人與人之間的交流越來越密切，生活也越來越便利，大數(shù)據(jù)的應(yīng)用越來越彰顯它的優(yōu)勢?；ヂ?lián)網(wǎng)公司、電子商務(wù)、O2O和生產(chǎn)型企業(yè)等都在借助大數(shù)據(jù)技術(shù)進(jìn)行產(chǎn)品銷售的預(yù)測、消費者行為判斷和風(fēng)險預(yù)警，從而改善與優(yōu)化公司的資源調(diào)配，進(jìn)行精準(zhǔn)營銷。在大數(shù)據(jù)給我們帶來便利生活、創(chuàng)造價值的同時，我們也應(yīng)該清醒地認(rèn)識到大數(shù)據(jù)背景下的網(wǎng)絡(luò)信息安全問題。

1 大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全面臨的風(fēng)險與挑戰(zhàn)

1.1 信息泄露

中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》指出，截至2018年6月30日，中國網(wǎng)民規(guī)模達(dá)8.02億，互聯(lián)網(wǎng)普及率為57.7%。用戶的數(shù)據(jù)不再僅僅是從Web瀏覽器的Cookie中產(chǎn)生，智能電子設(shè)備、網(wǎng)絡(luò)搜索引擎、地圖定位導(dǎo)航、電子商務(wù)、媒體社交等在這些環(huán)節(jié)中都在產(chǎn)生數(shù)據(jù)。從用戶終端、傳輸管道到云端存儲都存在著信息泄露的可能。而背后的各電商平臺、社交軟件和廣告商等都在收集這些信息，利用大數(shù)據(jù)技術(shù)分析用戶行為，利用終端 APP甚至植入木馬向用戶推送各種促銷廣告從而帶來商機與利益。通常情況下，導(dǎo)致用戶信息泄露主要有以下途徑：①掌握用戶信息的公司因系統(tǒng)漏洞遭受惡意攻擊、員工主動倒賣導(dǎo)致群體性信息泄露。②電腦、手機等終端設(shè)備因感染病毒、木馬，甚至訪問釣魚網(wǎng)站、設(shè)備保管不善等都會造成個人信息的泄露。

1.2 信息詐騙

信息詐騙是指利用手機短信騙取金錢或財務(wù)的行為。隨著科技的發(fā)展，更多的科技產(chǎn)品、信息化的服務(wù)開始走進(jìn)人們的生活。例如，人們在各大電子商務(wù)網(wǎng)站購買商品，從訂單的生成到商品到達(dá)客戶的手里，在整個商品運送的過程中，很多環(huán)節(jié)都會存在個人信息的泄露。而不法分子通過購買等不法行為收集用戶的個人信息，再進(jìn)一步通過手機、偽基站發(fā)送詐騙短信、撥打詐騙電話。而這些實施詐騙的不法分子，因為已經(jīng)有了部分用戶信息，再通過虛設(shè)的購物、中獎、退稅、違禁品、家人受傷住院、公檢法、勒索恐嚇等多種方式誘導(dǎo)用戶實施詐騙行為。近來，隨著網(wǎng)絡(luò)支付的普及與便捷性，通過替換二維碼變更收款賬戶、誘導(dǎo)用戶訪問釣魚網(wǎng)站等新形態(tài)的信息詐騙方式層出不窮。

1.3 拖庫與撞庫

拖庫是指黑客盜取了一些網(wǎng)站的數(shù)據(jù)庫，獲取了用戶的賬戶信息，其中主要是用戶名、密碼、郵箱、密保信息等。撞庫是指黑客利用拖庫獲得的用戶名和密碼在其他網(wǎng)站進(jìn)行批量登錄，測試出有效的用戶名和密碼，通過撞庫，獲取更有價值的信息。由于用戶的使用習(xí)慣和安全風(fēng)險意識較低，往往會在多個網(wǎng)站使用相同的用戶名和密碼，這就為撞庫帶來了一定的成功概率?，F(xiàn)如今，依然還有一些不負(fù)責(zé)任的網(wǎng)站，將用戶的密碼以明文的形式存放在數(shù)據(jù)庫中，在這樣的情況下，一旦數(shù)據(jù)庫被拖庫，黑客直接就可以利用明文的用戶名和密碼進(jìn)行撞庫。因此出于安全的考慮，一般需要將用戶的密碼做一次或多次，甚至配合鹽值進(jìn)行MD5加密，然后存放在數(shù)據(jù)庫中。雖然說MD5算法本身是不可逆的，但也已經(jīng)被證明存在碰撞的可能。現(xiàn)實應(yīng)用中，沒有加鹽值的密文往往借助MD5字典來進(jìn)行破解。

2 大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全風(fēng)險防范策略分析

2.1 增強個人信息安全風(fēng)險防范意識

個人信息泄露的源頭是用戶個人自身。因此在個人信息安全保護(hù)的過程中，個人作為信息的給予方，需要增強自我風(fēng)險防范意識，主動接收信息安全的教育，借鑒他人的經(jīng)驗，了解常見的信息詐騙的方式、方法和手段、養(yǎng)成良好的上網(wǎng)行為和習(xí)慣，妥善保管自身的密碼，采取有效保護(hù)措施來保護(hù)自身的信息安全。

2.2 建立完善漏洞共享平臺

信息的泄露，一方面是由于個人意識，管理制度等人為原因；另一方面是由于各大操作系統(tǒng)、網(wǎng)站、數(shù)據(jù)庫等系統(tǒng)應(yīng)用軟件的漏洞。目前國內(nèi)的主要漏洞共享響應(yīng)平臺主要有國家信息安全漏洞共享平臺CNVD、國家信息安全漏洞庫CNNVD、補天漏洞響應(yīng)平臺、綠盟漏洞庫等。建立、完善和整合漏洞共享平臺，將國家政府部門、重要的信息系統(tǒng)用戶、運營商、主要安全廠商、軟件廠商、科研院所、互聯(lián)網(wǎng)用戶等建立軟件安全漏洞統(tǒng)一收集、驗證、預(yù)警發(fā)布及應(yīng)急處置體系，通過這一平臺，提升安全軟件漏洞整體研究水平與網(wǎng)絡(luò)安全預(yù)防能力，提高信息系統(tǒng)的安全性，帶動信息安全產(chǎn)業(yè)的發(fā)展，從而降低信息安全的風(fēng)險。

2.3 加強身份鑒權(quán)機制

傳統(tǒng)的身份鑒別主要采用口令的方式。采用這種方式，技術(shù)實現(xiàn)比較簡單，經(jīng)濟成本較低，口令一般由長度是5-8位的數(shù)字、字母及特殊字符組成。但采用口令的方式比較容易造成信息泄露，有很大的安全隱患。而較為可靠的標(biāo)記技術(shù)正逐漸得到應(yīng)用和發(fā)展，比如：指紋、虹膜、人臉識別、步態(tài)等新型身份識別技術(shù)正在降低實施門檻，為今后的身份鑒權(quán)提供有效的解決方案。

2.4 建立健全網(wǎng)絡(luò)安全相關(guān)法律法規(guī)制度體系

信息化產(chǎn)業(yè)已經(jīng)成為國家的支柱產(chǎn)業(yè)，信息化的高速發(fā)展給各行各業(yè)帶來了發(fā)展的同時，也給國家的法律法規(guī)體制帶來了嚴(yán)峻的挑戰(zhàn)。各種網(wǎng)絡(luò)安全事件層出不窮，一旦處理不當(dāng)會給國民經(jīng)濟造成重大損失，也可能爆發(fā)大規(guī)模的群體事件。2017年1月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》是為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟社會信息化健康發(fā)展，制定的法律。網(wǎng)絡(luò)立法是網(wǎng)絡(luò)信息安全管理法制化的首要環(huán)節(jié)，加強建立健全相關(guān)法律法規(guī)制度體系建設(shè)，才能適應(yīng)當(dāng)前大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全環(huán)境的需要。

3 總結(jié)

大數(shù)據(jù)時代的到來，一方面給各行各業(yè)帶來了新的機遇，另一方面也給產(chǎn)業(yè)的發(fā)展帶來了新的挑戰(zhàn)，在肯定大數(shù)據(jù)帶來的各種便利的同時，我們也應(yīng)該清醒地認(rèn)識到大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全存在的各種風(fēng)險。充分發(fā)揮個人、政府、企業(yè)及相關(guān)部門的力量，統(tǒng)籌協(xié)調(diào)推進(jìn)，才能使得網(wǎng)絡(luò)信息安全得到切實有效的保障。