IOE是服务器提供商IBM、数据库软件提供商Oracle(甲骨文)和存储设备提供商EMC的简称。据调查,我国各级政府仍依赖IOE软件,造成巨大数据安全隐患,同时我国公共数据外流严重,一些政府部门对数据安全和“数据控制力”重视不够,“数据话语权”堪忧。此外,由于部分企业收集用户数据的使用权限边界界定不清,用户隐私和权益遭受侵害,一些重要数据被非法倒卖、流向他国,安全威胁已经从个人层面上升至国家安全层面,亟待引起重视。
数据话语权堪忧
IOE这三家公司构成从软件到硬件的企业数据库系统,几乎占领全球大部分商用数据库系统市场份额。专家认为,我国公共数据外流严重,一些政府部门对数据安全和“数据控制力”重视不够,“数据话语权”堪忧。
宁波市智慧城市建设协调处副处长姚坚说:“政府部门原来的计算机系统都是使用IOE,推倒重来需要一个思想认识的过程,更需要技术支持。”
天津市滨海新区电子政务专网和云平台出于安全考虑,从硬件到软件都采用了国产设备和技术,但工作人员反映,一方面本土企业很难提供成套设备,一方面技术差距较大,使用起来不太方便,还需要不断开发新的系统和软件来弥补。
目前,尽管以百度、阿里巴巴、腾讯为代表的BAT互联网企业在大数据应用领域超前部署,处于世界一流水平,但与已经出台大数据国家战略的美英日等发达国家相比,我国大数据产业发展形态仍十分单一,主要为互联网企业的自发商业行为,缺乏国家层面的统筹规划和全面布局,长此以往将影响国家对数据的掌控权和控制力,不利于提升国家信息优势和国家竞争力。
国家信息中心研究员宁家骏认为,在基础软件平台、大数据应用分析技术等方面,我国仍处于跟随状态,在海量数据挖掘、非结构化数据处理、数据可视化应用等前沿技术上仍缺少创新,与国际先进水平存在明显差距。
数据安全风险不断提升
《经济参考报》记者采访发现,随着网络化社会的不断发展和技术水平的不断提升,大数据安全风险也不断增加。
首先,网络化社会无处不在的智能终端、互动频繁的社交网络和超大容量的数字化存储,为获取和存储大数据提供了一个开放、互联的平台。基于云计算的网络化社会,使分布在不同地区的资源可以快速整合、动态配置,实现数据集合的共建共享。但这一平台的开放性,也使得蕴含海量信息和潜在价值的大数据更容易吸引黑客的攻击。对于攻击者而言,由于这些信息的相互关联,用相对低的成本便可获得“滚雪球”般的收益。
同时,技术的发展也增加了安全风险。计算机网络技术和人工智能的发展,服务器、防火墙、无线路由等网络设备和数据挖掘应用系统的广泛应用,为大数据自动收集效率和智能动态分析提供了方便,但也增加了大数据的安全风险。一方面,由于对大数据的安全控制力度不够,应用程序编程接口的访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏;另一方面,攻击技术不断提高,大数据本身可能成为一个可被持续攻击的载体,隐藏其中的恶意软件和病毒代码很难被发现,从而达到长久攻击的目的。
中国互联网协会发布的《中国网民权益保护调查报告(2014)》显示,2013年7月至2014年7月,中国网民因各类侵权遭受的损失合计约1434亿元,其中直接经济损失约为1093亿元。
大量事实表明,如果不能妥善处理大数据安全问题,将对用户的隐私造成极大的侵害。专家介绍,根据保护内容的不同,用户隐私保护可细分为位置隐私保护、标识符匿名保护、连接关系匿名保护等。而与传统的网络安全内容不同,在大数据时代,人们面临的威胁除了个人隐私泄漏,还包括基于大数据对人们状态和行为的预测。被誉为“大数据商业应用第一人”的英国专家维克托·迈尔·舍恩伯格在《大数据时代》一书中举例说,某零售商通过历史记录分析,比家长更早知道其女儿已经怀孕的事实,并向其邮寄相关广告信息。这种针对人们状态和行为的预测,实际上也是一种重要的用户隐私。
此外,一些企业认为,经过匿名处理后,信息不包含用户的标示符就可以公开发布。但事实上,仅通过匿名保护难以达到隐私保护目标。例如,美国某公司曾公布匿名处理后的三个月内部分搜索历史,供人们分析使用。虽然个人相关标识信息被精心处理过,但通过其中某些记录项还是可以准确地定位到具体的个人。《纽约时报》随即公布其识别出一位62岁的寡居妇人,家里养了三条狗,患有某种疾病。另一个相似的例子是,著名的DVD租赁商Netflix曾公布约50万用户的租赁信息,悬赏100万美元征集算法,以期提高电影推荐系统的准确度。但是当上述信息与其他数据源结合时,部分用户还是被识别出来。
专家介绍说,目前用户数据的收集、存储、管理与使用等均缺乏规范,更缺乏监管,主要依靠企业自律,用户无法确定自己隐私信息的用途。全球权威大数据专家阿莱克斯·彭特兰教授,针对大数据安全提出了“数据上的新决议”三原则,即用户有权拥有自己的数据,有权掌控数据的使用,有权销毁或贡献自己的数据。
数据倒卖凸显监管缺失
目前一些外国企业正在大量收集和分析我国用户的大数据资料。美国微软公司推出智能聊天机器人“小冰”,通过其强大的大数据分析技术能力,收集和分析了中国6亿多网民多年来的聊天记录。目前微软“小冰”已同米聊、易信等多家我国即时通讯工具进行合作开发,通过分析用户聊天内容进行商业开发。
最高人民法院中国应用法学研究所所长孙佑海说,虽然微软公司承诺仅将“小冰”收集的数据传输到云端,并不保存,但实际上无人知晓微软公司是否真的不保存数据,即便不存储数据,美国情报部门仍然可以在通信信道上监听,这将给我国的网络信息安全带来巨大隐患。 孙佑海指出,网络空间的资源分配权一直掌握在美国政府控制下的“互联网名称与数字地址分配机构”(ICANN)手中。目前,大陆和ICANN签订的入网协议并未对外公开,从台湾网络资讯中心(TWNIC)和ICANN共同签署的入网协议的内容来看,根本没有防止监控和窃取入网国家和地区的网络信息等安全保障方面的约定。
我国一些网络运营商和企业将收集而来的数据信息进行大数据分析,分门别类整理后销售给他人,为自己牟取巨大利益,给用户带来巨大的安全隐患。记者采访发现,除了多年前就十分普遍的手机信息泄露,当前网上非法倒卖银行卡信息的行为也变得十分猖獗,严重威胁到国家金融安全。而对于倒卖银行卡的行为目前我国并没有相应的刑法罪名,且行政处罚又缺乏明确的法律依据,只能依据《居民身份证法》对违法使用身份证办理银行卡的行为处以200元以下的罚款,违法成本极低,客观上助长了违法行为的肆虐。
对于国家安全和公共安全,我国建立了对信息和信息载体按照重要等级分级保护的“信息安全等级保护”制度。但孙佑海指出,该制度因缺乏法律依据,贯彻执行情况并不理想。涉及国家安全和公共安全的重点岗位和人员的范围不够明确,网络信息安全保护工作的重点不够突出,一些重点岗位人员既缺乏网络信息安全保护的意识,也缺少网络信息安全的专业技能,更缺乏网络信息安全的保护措施。
数据安全应用停留于想法
在传统的PC互联网时代,电脑连接还有明显的边界,需通过线缆连接,这时的安全问题可以靠防病毒、查杀流氓软件、防火墙等进行防御;但进入到互联网新阶段,特别是移动互联网时代,手机等终端打破了对网络边界的定义,手机和个人隐私信息联系在一起,安全问题变得更加严重。
中国工程院院士邬贺铨说,万物互联时代的设备连接和数据规模都达到了前所未有的程度,不仅手机、电脑、电视机等传统信息化设备将连入网络,家用电器和工厂设备、基础设施等也将逐步成为互联网的端点,远超出传统边界网络安全防御的范围;云计算提高了IT资源使用效率,但其动态虚拟化管理方式、强大的计算与存储能力,也会引发新的安全问题,给安全管理体系带来巨大冲击。
对此,360公司董事长兼CEO周鸿祎指出,移动设备的普及正吸引网络黑暗势力将目标转至移动终端,现有的安全防护手段逐渐失去效力,传统的系统安全、边界安全无法已无法防卫以“数据窃取”和“大数据污染”为目的的恶意威胁,必须以大数据为核心,构建全新的信息安全防护体系。他建议,重塑信息安全要遵循三个基本原则,即以保护用户隐私和数据安全为前提,明确用户对信息数据的所有权,明确企业对信息数据的保障义务,并保障用户在信息交换和使用时的知情权,是万物互联时代保护信息安全的基础。
北京中油瑞飞信息技术有限责任公司技术总监黄晟说,大数据的安全应用目前仍多停留于想法,仍需进一步探究如何落地。
第三方安全公司知道创宇副总裁余弦建议,大数据首先应建设一套规范且灵活的建设标准与运行机制,规范化建设可以促进大数据管理过程的正规有序,实现各级各类信息系统的网络互连、数据集成、资源共享,在统一的安全规范框架下运行;此外,可考虑建立以数据为中心的安全系统。基于云计算的大数据存储在云共享环境中,为了大数据的所有者可以对大数据使用进行统一控制,可以通过建设一个基于异构数据为中心的安全方法,从系统管理上保证大数据的安全;最后,规范固然重要,但如果太过于死板,是不利于安全对抗的,攻击本身就是一种很灵活的过程,安全对抗需要保持高敏感度,在大小对抗中不断完善这个体系。
(记者韦慧、南婷、孙洪磊、李惊亚、马意翀采写)
网络编辑:嘉扉