随着快速处理和分析提取技术的发展,可以快速捕捉到这些有价值的信息以提供参考决策。随着大数据掀起新的生产率提高和消费者盈余浪潮的同时,也带来了信息安全的挑战。
1、信息安全管理进入大数据时代
网络和信息化生活也使得犯罪分子更容易获取关于他人的信息,也有更多的骗术和犯罪手段出现。多项实际案例说明,即使无害的数据被大量收集后,也会暴露个人隐私。人们在互联网上的一言一行都尽在互联网商家的掌握之中,包括购物习惯、好友联络情况、阅读习惯、检索习惯甚至饮食起居习惯等等。
事实上,大数据安全含义更为广泛,人们面临的威胁并不仅限于个人隐私的泄露。与其他信息一样,大数据在产生、获取、传输及存储等过程中面临着诸多安全风险,具有强大的数据安全与隐私保护的需求。而实现大数据安全与隐私保护,较以往安全问题(如云计算中的数据安全)更为棘手。这是因为在云计算中,虽然很多服务提供商控制了数据的存储与运行环境,但是用户仍然有办法保护自己的数据,例如通过密码学的技术手段实现数据安全存储和安全计算,或者通过可信计算方式实现运行环境的安全等。而在大数据的背景下,Facebook、淘宝、腾讯等商家既是数据的生产者,又是数据的存储、管理者和使用者,因此,单纯通过技术手段限制商家对用户信息的使用,实现用户隐私保护是极其困难的事情。
同时大数据颠覆了传统信息安全管理的范式,开启了信息安全管理的新阶段。大数据时代的国家信息安全正面临着大联网、大集中、大流动和大渗透这4个发展新趋势和与之相应的新挑战。随着大数据时代的发展,信息安全管理正在形成全新的形态:即数据在线上与线下流动中融合、在政府与行业开放中分享、在万物与人体联接中跨域、在软件与硬件重叠中渗透、在协同与整合中汇聚,极大地增加了信息安全管理的复杂性、交织性、动态性和综合性,形成了前所未有的信息安全实践和挑战,人们对信息安全的认知正在重塑。
在线的动态活性的大数据为信息安全管理既带来了空前的挑战,也带来了价值信息的发现、积极主动预测预警应对的机遇。大数据所呈现的信息化已不局限于信息通信技术不断应用深化的层级,而是形成了信息化的升级版,使信息安全隐患面临着空前的巨大威胁,而同时也带来了信息安全管理能力提升的新源泉;基于大数据的信息安全管理可喻之为显微镜和望远镜,使我们对信息安全能够进行更加宏观和深入的观察和认知;进行更为即时和准确的管控把握;进行更为精准的发展趋势和安全隐患分析,从而为大数据环境下的信息安全管理提供更加科学的政策和应对举措。
2、大数据时代的信息安全特征
20世纪80年代,在大数据时代来临前的20多年前,有学者就曾提出风险社会的概念和现代风险的特点,指出随着现代化的推进、科技的发展及经济全球化进程的加速,人类进入了一个风险频发的风险社会,而现代风险具有整体性、不可感知性、不确定性、全球性、自反性等传统风险所不具备的特性,科技和现代化发展得越快、越成功,风险便越多、越突出。这些分析对总结大数据时代的信息安全特点颇有启示意义。大数据在给人类社会带来诸多驱动、发现、转型与便捷的同时,也带来了前所未有的信息安全威胁与风险,并形成了与传统信息安全不同的新特点。与前大数据时代相比较,大数据时代的信息安全所涉要素中的性质、时间、空间、内容、形态等正在重构,信息安全正在形成新的特点,这些特点可以用规模安全、泛在安全、跨域安全、综合安全、隐性安全等五大特点来加以总结和认知。
2.1 规模安全
大数据时代的一大特征就是万物互联与融合,形成了物物相联、物人相联、人物相联、人人相联的万物互联信息传播的新形态,形成了全联接世界的大数据时代,公众、机构和政府都形成了互连互通的关系,数据通过全方位和立体化的来源形成了巨量和即时的增长,覆盖了各个领域行业、融入了各类载体平台,为人们提供了进行分析和预测的源源不断的大数据源,而且这样的数据增长趋势还在不断发展。
巨量数据在云端平台和数据中心的汇集,使信息安全风险规模和危害程度达到了前所未有的程度。同时,传统信息安全多聚焦于政治、军事和外交领域,而随着大数据时代的到来,正在形成对个人信息安全的巨大威胁。近年来,数十万、数百万、数千万乃至上亿的信息安全事件频发并成为了新常态,这正是大数据时代信息安全的新特点。
据Gemalto调查显示,2018年上半年全球发生的数据泄露事件有945起,丢失、被盗或外泄数据数量高达45亿条,与2017年同期相比增加了133%,每秒有超过291条记录被入侵或被泄露。医疗行业、社交媒体、酒店行业数据泄露事件频发,泄露数据量庞大。2018年8月,华住旗下多个连锁酒店被监测到开房信息数据的交易行为,数据标价8个比特币,约等于人民币35万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。此次泄漏数量巨大,在公开的酒店信息泄露历史中前所未有。
2.2 泛在安全
在数据驱动时代,物物可感知,人人可上网、时时可链接,通过移动互联网和各类智能终端,人物互联的各类安全信息快速地渗透到各个国家、各个领域、各个行业、各个部门、各个流程环节,并呈现即时性,信息流、数据流如同水流向下,无声无息并快速隐蔽地向各处渗透,可谓是无处不往、无时不在、无孔不入。
移动互联网的发展,推动着网络空间的治理从原本静态管理到动态治理的转变——信息安全的治理从以往年月时日的时间概念缩小到争分夺秒的时间管控;从静止的一点一地管理到泛在化的空间动态治理。信息安全已进入了“U”(Ubiquitous)环境,即形成了无所不在的泛在安全的新特点。
数据驱动时代人们的工作模式和生活方式发生了变化,在社会信息化的持续推动下,许多人的工作场所已改变了固定物理空间模式,呈现出更多空间的自由、灵活和可选择性,移动互联网环境下的网状结构也给信息传递提供了独体面对世界的新空间和新通道,给信息传递在短时间内多次转向并快速发酵提供了可能。信息的多样化、灵活性和移动性使信息安全源形成了动态泛在的新特征,给信息安全源的测定带来了时间和空间的各种可能性,也给信息安全的监测和管控带来了新的难题。
2015年4月美国政府发布的一份最新报告显示,随着智能化程度提高,飞机可能遭受攻击的风险正在变大。攻击者只需一台笔记本电脑就可能做到“征用”飞机、将病毒植入飞行控制计算机、通过控制机上电脑危及飞机飞行安全、接管报警系统甚至导航系统等;攻击者也有可能破坏防火墙、并从驾驶舱侵入航空电子系统并可能导致飞机遭受攻击。这种航空信息安全的新威胁正是大数据环境下信息安全泛在特征的表现。
2.3 跨域安全
经济全球化和社会信息化带来了信息流、资金流、人才流、技术流、知识流的跨境巨量流动,跨国企业、跨境电商、全球传媒、网上丝绸之路……,这些新的数据传递新模式和新平台使中国与世界各国和地区的数据在网上实现了互连互通,传统的以国家为单位的信息管理和法律制度正在为更多的由跨越国家的组织和机构所取代,传统陆域、海域、空域的边界已被打破,网络安全和网络空间安全正面临跨域安全的挑战。2013年美国斯诺顿事件所披露的惊人内幕从一个侧面显示了大数据环境下数据跨域流动给各国所带来的国家信息安全的威胁已发展到了令人震惊的程度。
面对跨域安全的挑战,需要构建跨境数据流动监测预警体系,包括建立跨境数据流动风险传导与扩散模型,实时分析跨境数据流动风险传导和扩散的原因、机制及重要环节,并结合中国的实际情况研究跨境数据流动风险传导机制对中国信息安全管理的影响。跨境数据流动监测预警的模式可以有多种类型和层次,如单域控制模式、双域或多域控制模式、全域控制模式等;也可分为关键核心数据流动监控和外围一般数据流动监控等。需要结合中国的实际构建跨境数据流动监测预警体系,全面防范跨境数据流动产生的信息安全,保障国家安全。
2.4 综合安全
大数据的信息新环境使融合、交叉、跨界、协同、互联、整合、分享、共生、双赢、互动等成为热词,海量数据正在政务管理、产业发展、城市治理、民生服务等诸多领域不断产生、积累、变化和发展。2016年在中国杭州召开的二十国集团领导人第11次峰会主题为“构建创新、活力、联动、包容的世界经济”,正是体现了数据驱动环境下世界经济发展的新特点。
大数据使国家信息安全形成了综合安全的新特点,需要用总体安全观来加以认知。
大数据环境下的综合安全特点在国内外均有典型的案例。2015年11月14日法国巴黎发生的系列恐怖袭击事件就是综合安全的一个典型案例。这一事件折射出法国国家信息安全管理中所涉及的安全情报研判、移民难民政策、世界反恐联盟、地区政局动荡、世界发展平衡等诸多恐怖袭击发生的原因要素,国家信息安全已不能仅仅局限于“信息”层面,而需要结合大数据环境下综合安全的特点,以总体安全的新安全观,对所涉大数据进行全面的深度分析研究。又如中国的互联网涉毒违法犯罪活动正日益猖獗,其涉毒违法犯罪蔓延速度之快、涉及范围之广、社会危害之大,已倒逼包括信息安全在内的国家安全管理需要运用综合安全的理念提升治理能力。国家禁毒委员会于2015年5月成立了由中共中央宣传部、中共中央网络安全和信息化领导小组办公室、最高人民法院、最高人民检察院、公安部、工业和信息化部、国家工商行政管理总局、国家邮政局、国家禁毒办等9个部门组成的互联网禁毒工作小组。这是我国建立的第一个多部门参加的打击互联网违法犯罪活动长效工作机制。
2.5 隐私安全
大数据环境下的信息安全所体现的隐性安全主要表现在4个层面:
①大数据带来了信息泛滥和信息冗余,产生了数量众多的所谓“脏数据”,使有价值的信息淹没在信息的汪洋大海之中,需要在信息管控和分析挖掘后才能有所发现。
②巨量数据在实现了跨域的全联接之后,数量的变化带来了质量的提升,即原本各自分散的普通信息将上升为整合平台的特殊信息,原本个别碎片化的非价值信息将上升为聚合互联的有价值信息,原本非关联的一般的信息将上升为相互交织的具有价值链的战略情报,也给数据监控和信息获取提供了可能,既需要在国家信息安全管理中实施主题跟踪、关联挖掘、深度分析的新政策路径,也需要进行防监控网袭的各类技术设计。
③大数据在移动信息技术的支持下,其信息传递更具个性化和独体型特征,可以实现点对点、点对圈的信息传播。与传统的点对面的信息传播有所不同,这样更具有隐蔽性,但也带来了难以发现和难以预测的信息安全挑战。
④大数据所涉及的一些线上新兴行业领域,如互联网电子商务、网络借贷、期货投资等对于广大公众特别是老年和信息能力弱势群体而言尚处于了解认识阶段,诈骗犯罪团伙借助专业技能,其在线上犯罪的隐蔽性、欺骗性和诱惑性较强,与传统的线下行业领域的显性信息安全有所不同。
隐性安全在国与国之间关系中的最典型的案例就是2014年5月披露的美国“棱镜门”事件,这成为震惊世界的全球信息安全事件。2015年中国互联网新闻研究中心首次发布的《美国全球监听行动纪录》,列举了美国对全球和中国进行秘密监听的行径,包括每天收集全球各地近50亿条移动电话纪录、窃取数以亿计的用户信息等。美国以国家安全局为主的情报机构监控和获取互联网信息的手段和方法十分隐蔽,如从光缆获取世界范围内的数据、直接进入互联网公司的服务器和数据库获取、美国国家安全局的特别机构主动秘密地远程入侵获取、美国国家安全局通过“人力情报”项目以“定点袭击”的方式挖取他国机密等。
3、大数据带来的安全挑战
“棱镜门”事件的爆发引起了人们对个人隐私的高度关注。一方面可以通过对大量用户数据的分析,公司、企业、政府都可以更好地了解用户行为、消费习惯等,从而可以提供更好的服务。但是另外一方面,这又不可避免地对用户的隐私构成威胁、挑战。很多人已经意识到,在数据的应用方面,相关法律法规的制定变得越来越重要。作为用户,需要明确界定自己在数据的使用方面具有什么权利和义务;作为企业和政府,需要定位清楚,在多大程度上可以并且用什么样的方式来使用用户的数据。与传统的信息安全问题相比,大数据安全面临的挑战性问题主要体现在以下几个方面。
3.1 大数据中的用户隐私保护
2018年3月,《卫报》和《纽约时报》曝出英国政治咨询公司“剑桥分析”(Cambridge Analytica)在未获得用户授权的情况下,通过在线性格测验的方式获取了8700万Facebook用户的个人信息,在2016年的美国总统大选中,这些数据被用于新闻或观点的精确投放,以帮助特朗普团队。事实上,早在2011年,美国FTC就发现Facebook未经用户授权将用户信息泄露给第三方,并通过带有欺诈性的设置和描述,随后,Facebook与FTC通过和解令而结案。在“剑桥分析”事件之后,FTC重启了对Facebook的调查,旨在探明其是否违反了和解令。经过一年多的调查,Facebook接受50亿的罚款,并FTC另外签署新的和解令。
大量事实表明,大数据未被妥善处理会对用户的隐私造成极大的侵害。根据需要保护的内容不同,隐私保护又可以进一步细分为位置隐私保护、标识符匿名保护、连接关系匿名保护等。目前用户数据的收集、存储、管理与使用等均缺乏规范,更缺乏监管,主要依靠企业的自律。用户无法确定自己隐私信息的用途。而在商业化场景中,用户应有权决定自己的信息如何被利用,实现用户可控的隐私保护。例如,用户可以决定白己的信息何时以何种形式披露,何时被销毁。包括:数据采集时的隐私保护,如数据精度处理;数据共享、发布时的隐私保护,如数据的匿名处理、人工加扰等;数据分析时的隐私保;数据生命周期的隐私保护;隐私数据可信销毁等。
3.1 大数据的可信性
关于大数据的一个普遍的观点是;以数据说话,数据本身就是事实。但实际情况是,如果不加以甄别,数据也会欺骗用户,就像我们有时候会被眼见为实所欺骗一样。
大数据可信性的威胁之一是伪造或刻意制造的数据,而错误的数据往往会导致错误的结论。若数据应用场景明确,就可能有人刻意制造数据、营造某种“假象”,诱导分析者得出对其有利的结论。由于虚假信息往往隐藏于大量信息中,使得人们无法鉴别真伪,从而做出错误判断。例如,一些点评网站上的虚假评论,混杂在真实评论中使得用户无法分,可能误导用户选择某些劣质商品或服务,由于当前网络社区中虚假信息的产生和传播变得越来越容易,其所产生的影响不可低估。用信息安全技术手段鉴别所有来源的真实性是不可能的。
大数据可信性的威助之二是数据在传播中的逐步失真。原因之一是人工干预的数据采集过程可能引入误差,由于失误导致数据失真与偏差,最终影响数据分析结果的准确性。此外,数据失真还有数据的版本变更的因素。在传播过程中,现实情况发生了变化,早期采集的数据已经不能反映真实情况。例如,企业或政府部门电话号码已经变更,但早期的信息已经被其他搜索引擎或应用收录,所以用户可能看到矛盾的信息而影响其判断。
因此,大数据的使用者应该有能力基于数据来源的真实性、数据传播途径、数据加工处理过程等,了解各项数据可信度,防止分析得出无意义或者错误的结果。
3.2 大数据共享面临的挑战
目前,大数据被各大企业视为实现竞争力的有力武器,其原因是大数据能够应用数据挖掘技术,实现海量数据的综合分析处理,帮助企业更好地理解和满足客户需求和潜在需求,更好地应用在业务运营智能监控、精细化企业运营、客户生命周期管理、精细化营销、经营分析和战略分析等方面。企业实现大数据的前提是信息资源共享,但目前企业中普遍存在的现象是各类系统林立,不同的信息标准,将企业陷入在一个个信息孤岛中,无法对海量数据进行综合利用,由此成为企业实现大数据的桎梏。因此解决信息孤岛问题,实现数据共享成为企业实现大数据首先要解决的问题。
在数据开放共享过程中必须高度重视数据安全这一涉及国家利益的重大问题。由于各种国家信息基础设施和重要机构所承载着的庞大数据信息,如由信息网络系统所控制的石油和天然气管道、水、电力、交通、银行、金融、商业和军事等,都有可能成为被攻击的目标。特别是我国各级政府部门掌握大量能源、金融、电信和交通数据资源。这些数据的开放、交易涉及个人隐私、商业秘密、公共安全,乃至国家安全。
数据开放共享涉及若干重大问题,包括数据跨境流动和数据主权,数据开放安全风险、数据开放隐私保护,数据开放的体制机制保障要求、法律法规保障措施、资源配置模式、政策框架体系,以及在全球数据开放进程中我国数据开放的战略选择。
数据隐私与保护是数据开放共享的基本权利。数据立法安全为数据开放共享“保驾护航”。目前,我国大数据法治建设明显滞后,用于规范、界定“数据主权”的相关法律还有待进一步完善,有效的大数据思维和法律框架还有待进步建设。一是对于政府、商业组织和社会机构的数据开放、信息公开的相关法律法规尚待进一步完善,。缺乏企业和应用程序关于搜集、存储、分析、应用数据的相关法规。二是没有对保护本国数据、限制数据跨境流通等做出明确规定,金融。证券、保险等重要行业在我国开展业务的外国企业将大量敏感数据传输、存储至其国外的数据中心,存在不可控风险。三是大数据技术应用与产业发展刚起步,与之配套法律法规还存在较大政策缺口。
数据立法和安全保障是数据开放共享的首要前提。数据分析、数据安全、数据质量管理等技术标准,数据处理平台,开放数据集、数据服务平台类新型产品和服务态度的标准较为缺乏,急需研制。因此,尽快启动数据开放的相关立法、标准工作,建立公共基础数据资源的标准,完善数据资源采集,共享、利用和保密等相关制度,完善政务信息资源目承体系,扩大数据的采集和交换共享范围是最为紧迫的任务。