在拥挤的北京地铁上,就职于某公司的赵先生在聚精会神地玩着智能手机。与京城众多上班族一样,赵先生每天要在地铁、公交上呆两个小时以上。聊天工具、交通地图、交友购物……在智能手机装载的诸多APP应用,在方便李先生生活的同时,也带来其它的问题。
“手机上这些软件,提醒我必须允许我的通讯录、大概位置、日志被读取。如果我不同意的话,这些软件就无法使用了。” 赵先生一脸无奈地对记者说。
赵先生的这番遭遇,只是大数据时代的一个缩影。海量信息的大数据时代,给用户的信息安全带来了隐患。
大数据时代的危与机
大数据(big data),目前尚无一个统一的定义,一般意义而言,指的是所涉及的资料量规模巨大,无法通过常规软件工具管理和处理。大数据把人们带入一个新的时代,与传统相比,大数据分析的数据量大、分析复杂。
对于大数据,国家计算机网络应急技术处理协调中心高级工程师袁春阳博士认为,“大数据时代的到来,把原来相对小量的、静态的、结构化的小数据变成了巨大量的、快速变化的、关联复杂的大数据。”无论是个人信息还是企业信息,相比传统时代,大数据时代下这些新的边界都将更加模糊,可能存在的安全问题更多,需要更高要求的保护。
大数据蕴含着更丰富的信息,大数据时代的到来给网络信息安全带来了新的思路,从中可以获得之前无法获得的重要信息。这些新的信息为网络信息安全带来了新的依据和方法,一些传统的网络信息安全难题很可能因为大数据的到来有所突破。
大数据技术在带来机遇的同时,带来更多安全问题。作为新的信息富矿,大数据容易成为黑客重点攻击的对象。由于其自身的特性,数据的存储、权限边界都比较模糊,大数据对已有数据安全技术提出新的要求。此外,利用大数据进行网络攻击成为可能,这种攻击比传统的网络攻击更难发现和防御,对网络信息安全技术提出新的挑战。
“在过去,黑客的攻击较为简单,现在则复杂了许多。现在黑客攻击在时空上有两大特点:一是空间上更加分散,绕道攻击,伪装,发动形式源分散,从侧面攻击;二是时间上的分散,比如说今天偷看两眼,明天再看两眼,这样不容易被发觉。”北京网御星云副总裁兼CTO毕学尧博士说。
大数据是信息行业飞速发展带来的前所未有的高复杂度数据,其含义的关键在一个“大”,它的特点也反映在这个“大”。大数据时代在带来机遇的同时,也给信息安全带来了挑战。时空的分散性,使得我们应该综合大量事件,以大数据的方法来消除信息安全隐患。
如何保护个人信息安全
使用智能手机APP被读取用户信息的遭遇,绝非赵先生一个人。现在很多智能手机或pad类应用软件在安装或使用时提示用户允许读取通讯录、短信,允许打开定位服务等等。在这类情况下,信息还安全吗?个人隐私会被泄露吗?
对此,北京邮电大学信息安全中心的马兆丰博士认为需要理性分析、客观看待。
在马兆丰看来,比较正常且具有良好商业信誉的网络应用一般不会随意使用、记录、统计、分析用户数据。这些网络应用仅是在某种业务需要时即时访问特定数据对象如通讯录、照片库或利用定位服务来给出路径或导航等。但是,如果这类软件本身存在安全后门或设计缺陷,就很容易对用户造成危害,或导致系统出现严重故障如内存泄漏导致当前应用程序或整个系统崩溃等。
事实上,不论是手机或电脑,只要是网络应用程序或网络服务,都可以远程获取用户数据,比如,在开启“允许访问”开关的情况下,用户手机通讯录、短信、通话记录、照片、录音、录像,本地电脑硬盘数据、文件、活动进程、网络访问情况均可以被轻易传送到远程控制者手里,在用户不知情的情况下,就是对用户隐私的严重侵犯。
对于现有的个人电脑安全防护软件中云查杀、云鉴定的安全性,马兆丰表示堪忧。马兆丰认为,它经常把一些已知安全状况的文件如doc文档、excel表格等不经用户允许就“私自”做了“云鉴定、云查杀”。无法保证云鉴定服务器有无备份、恶意留存用户数据。类似的云备份、云存储通讯录、离线发送文件、离线留言等,由于一般情况下需要存储转发或中间站暂存过程,因此,这类应用或服务的公允性不能保证无安全隐患。
那么,应该如何有效保护用户信息安全呢?
马兆丰建议,以通讯录、短信、照片等进行“云备份”或“远程备份”操作为例,最安全且最稳妥的做法是用有效安全的方法对通讯录、短信、照片等实现基于设备唯一标识码(如手机设备唯一码IMEI或MAC地址, )对数据进行加密备份。这样,只有用户自己可以进行安全恢复,防止第三方应用私下动手脚。上述情况是手机正常使用的情况下的安全措施和建议。但是,一旦手机丢失,我们可以通过专用预装软件,由用户自主操作和控制,可通过手机防盗防丢失安全期软件,实现丢失锁定、换卡锁定、远程数据销毁、远程数据加密、远程数据回传、失物定位等最大限度保护用户隐私。
拨打电话的应用在功能上需要读取通讯录,这种权限提示属于正常情况。然而,安装某个新闻阅读应用时,出现获取“读取通讯录”权限。一般情况下,这类应用的功能不需要读取通讯录,而它申请获得这个权限可能是为了获取用户个人信息。袁春阳建议,“从个人的角度来说,想要保护自己的隐私不被泄露,需要提高自己的安全素质,养成良好的安全习惯。”比如,网络账号的密码使用复杂密码,最好定期更换密码,从正规应用商店下载应用,尽量减少从论坛、网盘或其他渠道下载应用,安装时注意权限的提示等。
“大数据时代的来临,使得以往那种单一模式的保护难以应对急需突发情况,这就要求我们从法律体系、组织管理、技术应用等多个层面构建协同联动的个人信息安全保障体系,减少大数据时代信息安全的系统性风险。”袁春阳补充说。
中外信息安全的差距
在信息安全技术方面,中外的差距大吗?如何缩减这种差距?“十二五”期间,信息安全会有哪些机遇?这些问题是不少公司和个人所关心的。
袁春阳认为,我国在网络信息安全技术上与美国等发达国家相比还具有相当一段距离。我国的网络信息安全技术起步明显落后于发达国家,在关键技术、核心设备、主要标准、体系架构等多方面受制于发达国家。缩小或消除这种差距,是一个任重道远的艰巨任务。首选需要国家制定完备的、长远的国家网络信息安全战略,确定我国网络信息安全事业的发展方向。
“通常来讲,我们国内做网络信息安全的单个公司规模很小,人数量少,可是做的事情却很多。网络信息安全本身的安全要求较高,我们表现出真正的竞争力不够,产品不够专业。” 毕学尧说。
毕学尧认为,现在,通过企业整合的方式有助于提升专业性。比如专注于做网络安全的公司与做操作系统的公司合并,这样一种互补对于双方都有提高。
“十二五”期间是我国网络信息安全高速发展的时期,国家加大了资金投入和支持力度,快速推进了这个行业的发展。在此期间,科研机构可以大力推进相关研究,积累众多满足国家需求的网络信息安全关键技术;企业可以借机改进和推广新技术新产品,积累一批具有自主产权的高质量网络信息安全设备、系统或服务等产品。对于网络信息安全的机遇大于挑战。整个信息化的优势已经形成,各种网络和应用安全的需求多,不光是量,更有质的变化。云计算、物联网等发展网络信息安全行业也是极大的机遇。今后,对于网络产品的可靠性要求更高了,带来的机遇也会更多。