大數(shù)據(jù)信息安全典型風(fēng)險(xiǎn)及保障機(jī)制研究

邊 娜

（寧夏大學(xué)新華學(xué)院，寧夏回族自治區(qū) 銀川 450000）

大數(shù)據(jù)技術(shù)已經(jīng)成為社會(huì)行業(yè)發(fā)展的主要推動(dòng)力，現(xiàn)階段，人們的網(wǎng)絡(luò)購物、網(wǎng)上報(bào)名考試等多種需求都需要通過大數(shù)據(jù)信息管理平臺(tái)進(jìn)行操作，隨著人們對(duì)大數(shù)據(jù)技術(shù)運(yùn)用的不斷增加，隨時(shí)而來的信息安全問題也成為了人們關(guān)注的焦點(diǎn)。隨著信息安全案件的發(fā)生率不斷增多，數(shù)據(jù)信息安全方面的問題給人們帶來的損失也逐漸受到人們關(guān)注，大數(shù)據(jù)技術(shù)雖然具有很多優(yōu)勢(shì)，但是數(shù)據(jù)安全問題是一個(gè)需要得到重視的嚴(yán)重問題。隨著大數(shù)據(jù)技術(shù)內(nèi)部環(huán)境和外部環(huán)境的不斷復(fù)雜化，隨時(shí)而來的信息安全問題亟待得到解決，因此，需要對(duì)大數(shù)據(jù)的主要特點(diǎn)進(jìn)行分析，結(jié)合實(shí)際的情況分析影響數(shù)據(jù)信息安全的主要因素，并且進(jìn)行信息安全管理技術(shù)的研究。

1 大數(shù)據(jù)的典型特征

大數(shù)據(jù)主要是指在可承受的時(shí)間范圍之內(nèi)，利用各項(xiàng)軟件工具進(jìn)行信息捕捉、信息管理以及信息處理的集合體，充分融合了“云計(jì)算”“移動(dòng)互聯(lián)網(wǎng)”“物聯(lián)網(wǎng)”等熱門科技的特點(diǎn)。其屬于信息時(shí)代下將數(shù)據(jù)作為發(fā)展本質(zhì)的一項(xiàng)信息技術(shù)，可起到在挖掘數(shù)據(jù)的同時(shí)，帶動(dòng)信息化理念、信息化模式以及信息化技術(shù)的創(chuàng)新。大數(shù)據(jù)時(shí)代的到來，很大程度上加快了人們生活與工作的步伐，同時(shí)也成為了傳媒、智慧城市、廣告宣傳等信息領(lǐng)域的核心，對(duì)多種行業(yè)起到良好的數(shù)據(jù)支撐作用。因此，大數(shù)據(jù)具有體量大的特點(diǎn)，大數(shù)據(jù)信息平臺(tái)當(dāng)中，往往可以承載大量的信息，信息量十分巨大，例如：登錄一個(gè)網(wǎng)絡(luò)購物平臺(tái)，人們就可以從平臺(tái)上獲得大量的信息。類型多也是大數(shù)據(jù)的重要特點(diǎn)，例如：不同的平臺(tái)上可以展示很多種不同類型的信息，可以表現(xiàn)為文字、圖片以及音頻視頻等多種信息。密度低、速度快也是大數(shù)據(jù)的重要特點(diǎn)，這些特點(diǎn)決定了大數(shù)據(jù)信息安全防護(hù)的重要性。大數(shù)據(jù)信息的傳播速度快，信息密度低這些特點(diǎn)也導(dǎo)致了一旦存在安全漏洞，就會(huì)導(dǎo)致大量的關(guān)鍵信息在短時(shí)間內(nèi)泄露，進(jìn)而給行業(yè)發(fā)展造成消極影響，甚至還可能導(dǎo)致個(gè)人或者特定單位的巨大經(jīng)濟(jì)損失。

2 大數(shù)據(jù)的信息安全典型風(fēng)險(xiǎn)

大數(shù)據(jù)在數(shù)據(jù)采集、傳輸、存儲(chǔ)、分析、銷毀等多個(gè)流程當(dāng)中都會(huì)面臨著很多風(fēng)險(xiǎn)，分析信息安全風(fēng)險(xiǎn)，是開展大數(shù)據(jù)信息維護(hù)的基礎(chǔ)，能夠?yàn)閷?shí)際工作的開展提供指導(dǎo)。

（1）高級(jí)可持續(xù)威脅（APT）的產(chǎn)生。高級(jí)可持續(xù)威脅APT是一種新型的網(wǎng)絡(luò)安全威脅，是一種人為組織的、目標(biāo)明確、持續(xù)時(shí)間長的網(wǎng)絡(luò)攻擊方式，并且這種新型的網(wǎng)絡(luò)攻擊方式可以逃脫實(shí)際的信息安全監(jiān)測(cè)。很多時(shí)候這一威脅具有較強(qiáng)的隱匿性，往往在常規(guī)的信息安全監(jiān)測(cè)當(dāng)中難以及時(shí)被發(fā)現(xiàn)，這些特點(diǎn)決定了APT對(duì)于信息安全的影響是較為嚴(yán)重的。APT通常利用0day 漏洞進(jìn)行網(wǎng)絡(luò)攻擊，傳統(tǒng)的安全監(jiān)測(cè)難以對(duì)這一漏洞進(jìn)行觀察。APT是一個(gè)監(jiān)測(cè)難度較大的網(wǎng)絡(luò)攻擊方式，由于大數(shù)據(jù)的價(jià)值密度低，網(wǎng)絡(luò)攻擊的來源也十分復(fù)雜，導(dǎo)致很多時(shí)候常規(guī)的安全監(jiān)測(cè)系統(tǒng)難以全面監(jiān)測(cè)到影響網(wǎng)絡(luò)安全的因素，這也給APT的威脅帶來了可乘之機(jī)，導(dǎo)致信息安全受到威脅的風(fēng)險(xiǎn)客觀存在。

（2）大數(shù)據(jù)背景下個(gè)人隱私泄露風(fēng)險(xiǎn)加大?；ヂ?lián)網(wǎng)和大數(shù)據(jù)技術(shù)的運(yùn)用使得人們的很多工作都可以更加便捷地開展，但是實(shí)際上對(duì)人們的個(gè)人信息安全帶來了消極影響。近年來，網(wǎng)絡(luò)詐騙、個(gè)人信息的泄漏導(dǎo)致財(cái)產(chǎn)損失的案件屢見不鮮。例如：社交平臺(tái)、招聘網(wǎng)站等，在收集個(gè)人信息的基礎(chǔ)上，對(duì)個(gè)人信息進(jìn)行大量的復(fù)制甚至買賣。甚至現(xiàn)階段只要人們?yōu)g覽了某些網(wǎng)站，個(gè)人信息包括：登錄設(shè)備名稱、具體的地點(diǎn)都可以被一些網(wǎng)站的管理人員所掌握，這些現(xiàn)象都會(huì)導(dǎo)致個(gè)人信息泄露的風(fēng)險(xiǎn)大大增加。大數(shù)據(jù)所收集的原始信息本身可能并不全面，同時(shí)這些信息的價(jià)值也比較有限，人們往往處于某種明確的目的將自己的信息提供到某個(gè)平臺(tái)，但是這些人們提供給平臺(tái)的信息往往容易被部分人員給多次加工甚至復(fù)制，然后獲取更多的經(jīng)濟(jì)利益或者將信息用于其他的領(lǐng)域，這些現(xiàn)象也是影響個(gè)人信息安全的重要因素。在數(shù)據(jù)快速增長的情況下，很多時(shí)候傳統(tǒng)的一些監(jiān)測(cè)信息安全風(fēng)險(xiǎn)的技術(shù)很難發(fā)揮作用，并不能保證個(gè)人信息不被認(rèn)為的復(fù)制或者傳播，這也提示人們，需要加強(qiáng)對(duì)個(gè)人信息安全的保護(hù)力度。數(shù)據(jù)的實(shí)時(shí)監(jiān)測(cè)也難以達(dá)到對(duì)個(gè)人信息進(jìn)行針對(duì)性保護(hù)的目標(biāo)，因此，個(gè)人信息安全在實(shí)際的網(wǎng)絡(luò)技術(shù)運(yùn)用當(dāng)中還存在諸多的泄露風(fēng)險(xiǎn)，并且現(xiàn)階段的個(gè)人信息泄露途徑十分復(fù)雜，某種品牌的手機(jī)生產(chǎn)公司被人們發(fā)現(xiàn)，在使用手機(jī)的過程中，個(gè)人信息包括行程軌跡、去過的各種地點(diǎn)都被手機(jī)自動(dòng)記錄了下來，并且手機(jī)公司還將收集到的個(gè)人信息上傳給很多廣告公司、情報(bào)公司等機(jī)構(gòu)，這樣的事例也說明，個(gè)人信息保護(hù)已經(jīng)成為人們高度重視的問題，也從側(cè)面說明，信息泄露的途徑非常復(fù)雜，人們?cè)诓唤?jīng)意間就可能面臨個(gè)人信息被惡意利用的風(fēng)險(xiǎn)。

（3）大數(shù)據(jù)的存儲(chǔ)安全風(fēng)險(xiǎn)。大數(shù)據(jù)收集的信息量十分巨大，往往采用集中存儲(chǔ)的方式進(jìn)行存儲(chǔ)和運(yùn)用，在管理當(dāng)中，主要以集中信息管理的方式為主。當(dāng)前廣泛應(yīng)用的關(guān)系型數(shù)據(jù)庫處理技術(shù)，主要用于存儲(chǔ)和管理結(jié)構(gòu)化數(shù)據(jù)，現(xiàn)階段，很多信息管理平臺(tái)雖然已經(jīng)設(shè)置了訪問權(quán)限，在一定程度上保護(hù)了大數(shù)據(jù)系統(tǒng)當(dāng)中的信息，但是這些技術(shù)不夠成熟，數(shù)據(jù)存儲(chǔ)和安全防控措施對(duì)于信息安全的保障而言，雖然可以發(fā)揮作用，但實(shí)際效果并不夠理想。很多時(shí)候大數(shù)據(jù)系統(tǒng)當(dāng)中的信息往往也存在泄露的風(fēng)險(xiǎn)，大數(shù)據(jù)平臺(tái)在信息儲(chǔ)存當(dāng)中，可能遇到存儲(chǔ)混亂、數(shù)據(jù)篡改或失竊等多種問題，這些問題對(duì)大數(shù)據(jù)當(dāng)中的信息安全會(huì)產(chǎn)生影響。數(shù)據(jù)信息量不斷增加和信息的不斷復(fù)雜化，使得數(shù)據(jù)管理當(dāng)中，數(shù)據(jù)安全會(huì)受到多方面因素的影響，內(nèi)部因素和外部因素都會(huì)影響大數(shù)據(jù)的管理質(zhì)量。內(nèi)部環(huán)境因素主要是大數(shù)據(jù)本身的特點(diǎn)存在的信息安全問題，外界環(huán)境大多數(shù)都與人為因素相關(guān)，主要是人為故意地對(duì)網(wǎng)絡(luò)信息進(jìn)行破壞?，F(xiàn)在的法律規(guī)定對(duì)于信息安全保護(hù)方面的內(nèi)容約束不夠全面，買賣個(gè)人信息的行為雖然被規(guī)定為違法行為，也有相關(guān)的法律條文對(duì)行為人的處罰措施進(jìn)行規(guī)定，但是仍然存在很多不法分子惡意買賣個(gè)人信息的現(xiàn)象。

（4）基礎(chǔ)設(shè)施建設(shè)不到位引起的信息安全風(fēng)險(xiǎn)。在大數(shù)據(jù)安全問題中，基礎(chǔ)設(shè)施建設(shè)不到位的問題也是影響信息安全質(zhì)量的因素，大數(shù)據(jù)的安全需要良好的信息安全設(shè)施得以保障。很多時(shí)候保證信息安全的硬件設(shè)施容易受到外界環(huán)境或者維護(hù)不到位等因素的影響，進(jìn)而影響信息安全管理的作用。例如：很多地區(qū)到某個(gè)季節(jié)可能會(huì)存在自然災(zāi)害，特別是臺(tái)風(fēng)、雪災(zāi)、洪澇災(zāi)害等，這些災(zāi)害會(huì)直接導(dǎo)致硬件設(shè)施受到影響。數(shù)據(jù)收集以后，需要將特定的硬件設(shè)施作為數(shù)據(jù)存儲(chǔ)單元，當(dāng)自然災(zāi)害發(fā)生后，有可能會(huì)破壞硬件設(shè)備和服務(wù)器，直接導(dǎo)致信息的損壞或者丟失。同時(shí)，如果自然災(zāi)害導(dǎo)致停電，將會(huì)導(dǎo)致存儲(chǔ)在某些平臺(tái)上的信息受到破壞，甚至?xí)?dǎo)致安全防護(hù)裝置的功能受到影響，影響信息安全。其次人為因素導(dǎo)致的信息安全相關(guān)的基礎(chǔ)保障設(shè)施的維護(hù)和保養(yǎng)不到位或者人員出現(xiàn)錯(cuò)誤操作等情況，也是數(shù)據(jù)損壞或者丟失的影響因素。有些硬件設(shè)備由于老化，原有的功能可能受到影響，加之人員的維護(hù)工作落實(shí)不到位，就會(huì)導(dǎo)致基礎(chǔ)設(shè)施應(yīng)有的作用得不到發(fā)揮，加重信息不安全風(fēng)險(xiǎn)。

3 提高大數(shù)據(jù)信息安全保障能力的策略

大數(shù)據(jù)的發(fā)展給很多行業(yè)都帶來了變革，但是信息安全維護(hù)的相關(guān)技術(shù)研究也是現(xiàn)階段需要重視的問題，傳統(tǒng)的信息安全防護(hù)系統(tǒng)已經(jīng)不能滿足現(xiàn)階段的信息安全需要。因此需要從多個(gè)方面入手，使信息安全質(zhì)量得到改善。

（1）建立協(xié)同聯(lián)動(dòng)的APT綜合防護(hù)平臺(tái)。當(dāng)前，系統(tǒng)性的APT攻擊對(duì)我國各行各業(yè)發(fā)展的消極影響逐漸受到人們的關(guān)注，基于大數(shù)據(jù)的威脅分析，可以實(shí)現(xiàn)對(duì)信息安全的影響因素的篩查，進(jìn)而可以預(yù)測(cè)到很多對(duì)信息產(chǎn)生破壞的因素。為了有效應(yīng)對(duì)APT攻擊，積極倡導(dǎo)構(gòu)建針對(duì)APT的信息防護(hù)技術(shù)，特別是加強(qiáng)防護(hù)和監(jiān)測(cè)系統(tǒng)的研究，并且積極將研究成果進(jìn)行推廣。同時(shí)，還需要針對(duì)信息安全質(zhì)量進(jìn)行定期的匯總和分析，對(duì)檢測(cè)到的安全事件和行為進(jìn)行針對(duì)性的分析，從多個(gè)方面加強(qiáng)防護(hù)技術(shù)的研究。同時(shí)在技術(shù)研究當(dāng)中，主張開發(fā)多技術(shù)聯(lián)合的新型監(jiān)測(cè)平臺(tái)，實(shí)現(xiàn)更多安全風(fēng)險(xiǎn)的識(shí)別。

（2）多維度加強(qiáng)個(gè)人隱私信息保護(hù)。個(gè)人隱私保護(hù)非常復(fù)雜，需要從多個(gè)角度加強(qiáng)個(gè)人信息保護(hù)，例如：法律層面加強(qiáng)立法，加大對(duì)買賣個(gè)人信息行為以及盜竊行為的懲罰力度。同時(shí)加強(qiáng)對(duì)個(gè)人信息的保護(hù)技術(shù)的更新和管理，例如：運(yùn)用密碼、生物識(shí)別技術(shù)以及訪問權(quán)限設(shè)置等多方面的措施加強(qiáng)個(gè)人信息的保護(hù)，加強(qiáng)對(duì)APP的個(gè)人信息利用范圍監(jiān)管等。根據(jù)企業(yè)的需求，制定個(gè)人信息企業(yè)保護(hù)和社會(huì)保護(hù)的體系，倡導(dǎo)遵守行業(yè)規(guī)范，合理地在有限的范圍內(nèi)進(jìn)行個(gè)人信息的使用，形成社會(huì)、企業(yè)以及法律相關(guān)部門、信息技術(shù)部門等多部門的聯(lián)動(dòng)機(jī)制，共同為保護(hù)個(gè)人信息提供支持。促進(jìn)大數(shù)據(jù)行業(yè)健康發(fā)展還需要加強(qiáng)個(gè)人信息的知識(shí)教育，加強(qiáng)社會(huì)大眾對(duì)個(gè)人信息的理解程度，提升社會(huì)大眾的信息安全意識(shí)。例如：可以運(yùn)用反詐APP、網(wǎng)絡(luò)媒體等多種平臺(tái)加強(qiáng)對(duì)社會(huì)公眾的信息安全教育，使更多的人能夠具有更強(qiáng)的個(gè)人信息保護(hù)意識(shí)，同時(shí)也能夠有效地減少個(gè)人信息買賣的行為。

同時(shí)，對(duì)現(xiàn)有的法律法規(guī)不斷完善，根據(jù)社會(huì)發(fā)展的需要，對(duì)社會(huì)上使用的APP平臺(tái)和企業(yè)的個(gè)人信息使用行為進(jìn)行嚴(yán)格的約束，例如：針對(duì)某個(gè)招聘平臺(tái)的個(gè)人信息倒賣以及泄露的行為，給予懲戒，發(fā)現(xiàn)問題直接追究企業(yè)負(fù)責(zé)人以及軟件開發(fā)人員的責(zé)任，及時(shí)下架相關(guān)的問題軟件。

（3）多措并舉提高大數(shù)據(jù)的存儲(chǔ)安全水平。數(shù)據(jù)加密、訪問控制、數(shù)據(jù)審計(jì)等多種方式都是提升存儲(chǔ)安全質(zhì)量的方式，首先，對(duì)大數(shù)據(jù)中的敏感數(shù)據(jù)進(jìn)行加密后再存儲(chǔ)，這樣能夠減少數(shù)據(jù)被直接倒賣的風(fēng)險(xiǎn)。同時(shí)，數(shù)據(jù)加密應(yīng)該貫穿于數(shù)據(jù)存儲(chǔ)和使用的全過程，采用基于屬性的密文訪問控制方法進(jìn)行數(shù)據(jù)訪問。還可以運(yùn)用審計(jì)的方式提升數(shù)據(jù)的安全性，加強(qiáng)對(duì)信息使用和保存的管理，確保數(shù)據(jù)不被云服務(wù)提供商惡意篡改，在審計(jì)當(dāng)中，加強(qiáng)信息保密和安全管理工作。同時(shí)，新的生物識(shí)別技術(shù)、密碼和訪問口令等技術(shù)都可以與加密技術(shù)和審計(jì)等方式聯(lián)合運(yùn)用。

（4）積極進(jìn)行信息安全技術(shù)產(chǎn)品研究。大數(shù)據(jù)環(huán)境下，信息量不斷加大，管理起來也逐漸復(fù)雜，管理當(dāng)中需要考慮的因素不斷增加，這些也給信息安全工作帶來了更大的挑戰(zhàn)。現(xiàn)階段不僅僅我國國內(nèi)存在很多威脅信息安全的因素，特別是美國的“棱鏡門”事件，也為我國的信息安全技術(shù)的研發(fā)工作敲響了警鐘。信息安全技術(shù)方面，只有不斷創(chuàng)新，加大研發(fā)力度才能夠使國內(nèi)的信息安全不受外來黑客的影響?，F(xiàn)階段我國雖然已經(jīng)不斷開展相關(guān)研究，但是在信息安全技術(shù)方面，還處于比較落后的水平，這也需要我國更加重視信息安全技術(shù)的開發(fā)力度，只有實(shí)現(xiàn)技術(shù)獨(dú)立，才能夠保證我國的信息安全質(zhì)量滿足實(shí)際的需要。

（5）積極更新基礎(chǔ)設(shè)施，加大維護(hù)力度?；A(chǔ)設(shè)施是信息安全工作的主要基礎(chǔ)，如果基礎(chǔ)設(shè)施出現(xiàn)問題或者被損壞，就會(huì)導(dǎo)致基礎(chǔ)設(shè)施的作用得不到實(shí)現(xiàn)，進(jìn)而影響整個(gè)的信息安全防護(hù)工作。數(shù)據(jù)丟失、泄露或者遭受攻擊，除了與技術(shù)問題相關(guān)以外，與基礎(chǔ)設(shè)施的維護(hù)不到位也存在關(guān)聯(lián)性，基礎(chǔ)設(shè)施質(zhì)量不高和維護(hù)不到位都影響我國的信息環(huán)境。做好基礎(chǔ)設(shè)施的管理和維護(hù)，是保證信息安全管理工作質(zhì)量的關(guān)鍵環(huán)節(jié)。首先，對(duì)硬件設(shè)備進(jìn)行及時(shí)更新和維護(hù)，建立維護(hù)和管理工作機(jī)制，堅(jiān)持將具體的工作職責(zé)落實(shí)到個(gè)人，并且定期進(jìn)行技術(shù)更新，必要時(shí)加大資金投入力度，對(duì)于技術(shù)老舊，需要淘汰的硬件設(shè)施及時(shí)淘汰。加強(qiáng)極端天氣期間的硬件設(shè)施維護(hù)工作是保證設(shè)備正常運(yùn)行的有效措施。

4 總結(jié)

繼云計(jì)算、物聯(lián)網(wǎng)之后，大數(shù)據(jù)已經(jīng)成為影響社會(huì)發(fā)展的核心技術(shù)之一，大數(shù)據(jù)在多個(gè)行業(yè)當(dāng)中得到運(yùn)用的同時(shí)，信息安全的問題也需要得到應(yīng)有的重視。首先，全社會(huì)都需要關(guān)注信息安全，并且積極避免影響信息安全的行為。學(xué)術(shù)界、產(chǎn)業(yè)界以及法律界等多領(lǐng)域的人員，共同為加強(qiáng)信息安全質(zhì)量提供專業(yè)性的指導(dǎo)也是信息安全質(zhì)量提升的必經(jīng)之路。