北京市朝阳区法院曾经审理过一起借助“静默插件”盗取手机、计算机系统中的数据、非法控制计算机系统的案件。在这起案例中,引起重视的并不是插件破坏了用户的手机信息系统或者非法盗取用户的线上财富,而是在用户没有察觉的情况下将手机用户位置、存储卡信息、收发短信和通信录等关键信息安全上传到服务器或者网络空间,从而达到偷取、篡改用户数据的目的。据警方数据显示,该“静默插件”已经获取了超过了2000万条手机通信录,造成了真正的数据安全威胁与挑战。
DT时代的二元挑战
阿里巴巴董事局主席马云曾提出,互联网正处于从IT向DT(数据技术)全面转型的时代。作为国内最大的电子商务集团,阿里巴巴其实某种意义上是一家数据公司,是将信息流、物流和资金流整合为三驾马车的数据创新型公司。
2015年是中国大数据发展高峰期,这一年我国政府部门颁布了大数据开放行动的战略。2015年底,《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》通过并提出了发展“互联网+”、分享经济和大数据等创新战略,更是将大数据开放、开发提到了国家战略高度。
可以预见,跨越2016年~2020年的“十三五”期间,以大数据、云计算为特征的网络信息经济将成为中国ICT行业发展方向。2015年热门的互联网+关键词更是集中智能化、融合与连接,不仅设备与设备相连,人与设备,人与人也会相连,万物互联(IOE)成为重要趋势。
在大数据获得开放的同时,也带来了对数据安全的隐忧。“数据安全是‘互联网+’时代的核心挑战,安全问题的特征是线上和线下融合在一起的,“互联网+”时代产生的数据在存储、使用上和传统的方式有很大的区别,应急相应的黄金时间越来越短,信息位置越来越重要,要充分建立技术、人才和产业优势来获得我国在信息安全领域的优势性地位。”阿里巴巴集团安全部技术副总裁,原国家互联网应急中心副总工程师杜跃进博士说。
“从个人隐私安全层面看,大数据将网络大众带入到开放透明的裸奔时代,数据安全若保护不利,将引发民情抱怨不满”。中国信息安全测评中心研究员磨惟伟表示,针对大数据时代的冲击,美英法日等主要国家已纷纷制定出相关战略,例如制定数据开放行动计划,加快数据立法安全保障体系建立。我国应该更加注重顶层设计发展与安全的双向并行,责任与担当双重并重,进而实现大数据发展运筹帷幄。
如何看待开放与安全这样一个二元化的挑战,中科院大学管理学院教授吕本富表示,“大数据的开放与安全问题目前还缺乏具体的界限,到底应该开放什么数据,哪些大数据需要政府来监管,目前还没有明确界定和区分”。不过,他坚持在跨国流动的大数据以及个人隐私相关的数据方面,政府应采取分层的方法进行监管,不可像防火墙一样全都封闭起来。
连接下的隐患
在人人互联,万物互联的时代,数据安全到底会给用户或者企业带来哪些隐患?
还是以“静默插件”为例来说明,安装了“静默插件”的手机会和服务器自动连接,在用户不知情的情况下,自动安装和下载某些软件和广告信息,经过升级,插件还能向服务器上传手机用户通信录、位置信息等。有了这些信息,第三方公司就能跟踪分析用户的数据和信息,包括邮件等隐私信息。
在网络上我们经常会看到Cookie这个名词,很多人不知道它的作用是什么。一些网络黑客通过掌握Cookie了解用户的上网习惯、包括浏览记录、IP地址、网卡号、用户名、密码等信息。一位企业负责人曾公开表示,“就像一个蜘蛛网一样,不管你出现在什么地方,我都可以抓到你。我们目前能捕捉到互联网上5.7亿的Cookie。”
经常有很多用户想把自己的惊喜分享给群体或者朋友,家人,但是这样的共享做法也会经常受到攻击。卡巴斯基的调查研究表明,多数社交媒体用户缺乏安全意识,使得用户的数据信息很容易被获取,一些网络犯罪分子通过用户的身份数据来进行金融诈骗和犯罪。特别是在社交媒体的简介中,包含大量用户个人信息,从生日到家庭住址再到假期计划等。网络罪犯根本无需深入发掘,就能够找到可以利用的有价值信息,或者窃取身份数据信息牟利。
互联网+时代,任何和业务相关的网络资源、存储资源和计算资源,也都不再限于独立的物理设备,IT基础架构由静态转为动态,传统意义上的安全界限已经模糊。与此同时,信息安全的危险正在进一步升级,在APT、DDos、异常风险、网络漏洞等网络威胁下,传统防御型、检测型的安全防护措施已经力不从心,也无法适应新形势下的要求。
2015年发生了多起基于互联网+的网络安全事件,也给2016年的网络数据安全敲响了警钟。如Uber公司5万名司机的个人信息被不知名的第三方人士获取,包括司机照片、社保资料和汽车等级号等信息。另外一个造成巨大影响的事件是国内社保数据信息泄密,数据多达5000万条,影响范围包括全国30多个省市。再有就是江苏公安机构采用的海康威视视屏监控设备,被境外机构控制,形成的网络威胁也非常大。
类似的数据安全事件会逐渐增多,黑客通过分析、篡改这些数据,会进一步造成更大的危害,这些在一些国家的工业生产、国家安全领域已经有了先例。如果不能采取有效的措施加以制止,那么后果是非常严重的。
建立可靠的大数据安全防护体系
“国之交在于民相亲,民之亲在于心相通、”,韩非子曾用这句话来形容国与民之间的紧密联系。今天的互联网时代同样如此,也是网络带来了大数据,网络相连同样带来了数据相连,大数据和互联网之间的关系就像国与民之间的关系一样密不可分。
在大数据安全挑战面前,需要通过大数据技术来保障安全,做好新的安全支撑,也要通过相关制度来形成新的安全防护体系,防止网络犯罪分子的攻击和破坏。在已经公布的大数据开放行动计划之中,数据开放已经是大势所趋,数据共享是下一步政府信息化和企业信息化的重要目标。大数据的应用会越来越多,而大数据的安全也需要得到根本性保障。
“目前国内的大数据技术和应用还存在很多问题,导致了一些安全隐患还不能完全杜绝”,磨惟伟近日表示。他说,这些问题覆盖了大数据观念陈旧、应用落地难、核心技术不能自主可控、大数据处理方式不足和管控、管理滞后等领域,从而导致了我国在大数据安全方面目前存在更多的挑战。
磨惟伟表示,要从根本上保障大数据信息安全,需要在制度、技术等6方面进行规划和创新:强化数据主权捍卫保障,求同存异,向世界发出中国声音,形成中国的网络盟友,加强网络空间的开放与合作;多管齐下,实施数据管理,加强顶层设计,做到职能优化,分工协作,提升大数据感知、防护、应急处置能力;打造数据开放试点,形成联动效应;实现数据共享优势格局,形成依法共享、整合共享、安全共享、人人共享;推动大数据成果应用转化,实现数字中国的建设目标;加强数据安全隐私的防护,从制度、技术等多方面全面形成数据防护安全体系,进而实现数据时代公民隐私的安全构建。
时不我待,无论是在大数据技术还是制度方面,我们都需要做好准备随时迎接挑战。
作者:姜红德 来源:中国信息化 2016年2期