新闻媒体

大数据安全的斗争

大数据安全的斗争
  大数据来袭,企业不仅要学习如何挖掘数据价值,使其价值最大化,还要统筹安全部署,考虑如何应对网络攻击、数据泄露等安全风险,并且建立相关预案。正如Gartner论断的那样:“大数据安全是一场必要的斗争。”

  从“业务驱动”到“数据驱动”

  大数据因其巨大的商业价值和市场需求正成为推动信息产业持续高速增长的新引擎。随着国务院《关于促进信息消费扩大内需的若干意见》的发布以及行业用户对大数据价值的认可程度的提高,市场需求将出现井喷,面向大数据市场的新技术、新产品、新服务、新业态会不断涌现,大数据将为信息产业打开一个高增长的新市场。

  对大数据的利用将成为企业提高核心竞争力并抢占市场先机的关键。现代企业的决策正在从“业务驱动”转变为“数据驱动”。IDC指出,互联网上的数据每年将增长50%,每两年便将翻一番,而目前世界上90%以上的数据是最近几年才产生的。据IDC预测,到2020年,全球将拥有35ZB的数据量。近年来,大数据的影响力也如其本身一样在不断增大,从互联网领域向电信、金融、地产、贸易、物流等各行各业扩散。

  黑客也借助大数据进行攻击

  当企业用数据挖掘和数据分析获取商业价值的时候,黑客也可以利用大数据分析向企业发起攻击。“黑客最大限度地收集更多的有用信息,比如社交网络、邮件、微博、电子商务、电话和家庭住址等,为发起攻击做准备。当你的VPN账号被黑客获取时,黑客就可以获取你在单位的工作信息,进而入侵企业网络。”绿盟科技首席战略官赵粮指出,大数据分析让黑客的攻击更精准。

  通常,那些对大数据分析有较高要求的企业,会面临更多的挑战,例如电子商务、金融、天气预报的分析预测、复杂网络计算和广域网感知等。启明星辰核心研究院资深研究员周涛表示,任何一个会误导目标信息的提取和检索的攻击都是有效攻击,因为这些攻击对安全厂商的大数据安全分析产生误导,导致其分析偏离正确的检测方向。“这些攻击需要我们集合大量数据,进行关联分析才能够知道其攻击意图。大数据安全是跟大数据业务相对应的,传统时代的安全防护思路此时难以起效,并且成本过高。”在周涛的眼里,与传统安全相比,大数据安全的最大区别是,“安全厂商在思考安全问题的时候首先要进行业务分析,并且找出针对大数据业务的威胁 ,然后提出有针对性的解决方案。”

  国家安全遭遇“数据”威胁

  在机械化战争时代,各国面临的是刀枪的正面冲击。如今的信息时代,安全环境发生了质的变化。不管是战争时期还是和平年代,一国的各种信息设施和重要机构等都可能成为打击目标,而且保护他们免受攻击已超出了军事职权和能力的范围。决策的不可靠性、信息自身的不安全性、网络的脆弱性、攻击者数量的激增、军事战略作用的下降和地理作用的消失等都使国家安全受到严峻的挑战。

  同时,网络化的今天,各个国家在石油和天然气、水、电、交通、金融、商业和军事等方面都依赖信息网络,因此更加容易遭受信息武器的攻击。

  此外,大数据也将为网络恐怖主义提供新的资源支持。海量的大数据涉及的方面之广,将有可能让网络恐怖主义的势力侵入人们生活的方方面面。为了更好地利用信息技术反对恐怖主义的袭击,美国联邦政府实施新方法,利用海量的、以商业手段收集的个人信息数据库来为提高国家安全服务。这些信息库几乎包括了各个行业,涉及金融数据、保险信息、零售纪录、旅游信息、证书和房产证明等。这一趋势早在2001年“9·11”事件发生前就已经产生,但从那之后不断增强,新的数据环境已经产生了两大前所未有的特征,即来源于私人部门的、可用的个人化识别,信息具有深度和广度,同时用于分析这些数据的分布形势与意义的能力也在不断提高。

  安全、隐私和便利之间的冲突

  “你没有隐私,忘记这事吧。”在大数据时代,想屏蔽外部数据商挖掘个人信息是不可能的。目前,各社交网站均不同程度地开放其用户所产生的实时数据,还出现了一些监测数据的市场分析机构。通过人们在社交网站中写入的信息、智能手机显示的位置信息等多种数据组合,已经能够以非常高的精度锁定、挖掘出个人信息,用户隐私安全问题堪忧。据统计,通过分析用户4个曾经到过的位置点,就可以识别出95%的用户。

  大数据对个人信息获取渠道拓宽的需求引发了另一个重要问题:安全、隐私和便利性之间的冲突。消费者受惠于海量数据:更低的价格、更符合消费者需要的商品以及从改善健康状况到提高社会互动顺畅度等。同时,随着个人购买偏好、健康和财务情况的海量数据被收集,人们对隐私的担忧也在增大。“棱镜门”事件爆发后,尴尬的美国总统奥巴马辩解道:“你不能在拥有100%安全的情况下,同时拥有100%隐私和100%便利。”

  2011年4月初,全球最大的电子邮件营销公司艾司隆发生了史上最严重的黑客入侵事件,导致许多重要企业客户名单以及电子邮件地址外泄,受害企业包括摩根大通、花旗银行等。同年4月底,索尼公司遭到黑客攻击,一亿份账户资料被泄露,其被迫关闭了Play Station网络和Qriocity流媒体服务近一个月时间,索尼公司因此花费了约1.71亿美元来弥补这个损失。

  针对大数据时代的隐私安全问题,一些国家政府纷纷立法保护公众隐私。2012年2月,奥巴马政府公布了《消费者隐私权利法案》。数周后,美国联邦贸易委员会发布了有关消费者隐私权利保护的最终报告。欧盟数据保护工作组曾在2009年分别致信谷歌、微软和雅虎三大搜索引擎巨头,认为搜索引擎服务商保存用户搜索记录时间超过6个月的理由并不成立,因此要求这三个搜索引擎商必须缩短用户搜索信息的保留时间。

  出台大数据产业引导政策

  提高安全意识,及时出台相关政策。在国家层面,应加快大数据产业引导政策的出台。大数据技术领域的竞争,事关国家安全和未来。我国目前已经在物联网“十二五”规划中把信息处理技术作为4项关键技术创新工程之一提出来,但还没有大数据方面的专门规划和政策支持。将大数据上升为国家战略,加强顶层设计和政策支持,是大数据时代的客观要求。

  提高安全防护能力,保障网络信息安全。随着数据收集范围的扩大和数量的增加,在线数据越来越多,黑客、间谍的犯罪动机也比以往任何时候都来得强烈。他们的组织性、专业性更强,作案工具也更先进,作案手段更是层出不穷。所以在大数据时代,网络安全防护可以说至关重要。如今,各个企业都有自己的安全防护软件来防止病毒、木马等恶意软件的侵害。而要在一个大型网络中的存储中扫描一个恶意软件可能需要几天的时间。大数据时代,数据量将以几何速度增长,到那时现在的安全防护软件将不能满足需要。因此,在大数据时代真正到来之前,应该为建立大数据安全环境未雨绸缪。

  加强云计算安全研究,保障云安全。从目前来看,各行各业陆续采用和实施了云服务等新技术,但是对于使用云服务可能带来的风险估计不足。对于黑客来说,云端的大数据是个极具吸引力的获取信息的目标。然而,数据的搜集、存储、访问、传输必不可少地需要借助移动设备,所以大数据时代的来临也带动了移动设备的猛增。这就对各行业制定安全正确的云计算采购策略提出了更高的要求。

  加大个人隐私保护力度。在大数据时代巨大商业价值的背后,隐私安全问题更令人担忧。目前,各社交网站均不同程度地开放其用户所产生的实时数据,容易出现被恶意收集和滥用的情况,尤其是金融、广告、零售业等企业。随着产生、存储、分析的数据量越来越大,隐私问题在未来几年也将愈加凸显。所以,新的数据保护要求以及立法机构和监管部门出台相关保护个人隐私的措施应当提上日程。

  何为DNS安全?

  域名系统(DNS)在互联网上提供主机名称和IP地址之间的转换服务,是互联网运行的基础之一。由于绝大多数的互联网应用都依赖域名系统实现网络资源的寻址和定位,因此有人将域名系统比喻成互联网的“神经系统”。

  近年来,DNS安全事件呈多发趋势,主要包括DNS欺骗、拒绝服务攻击、域名劫持等。根据Prolexic 的统计数据,截至2013年第三季度,DDoS攻击的数量比2012年同期增长了58%,攻击时长延长了13.3%;2013年8月25日,因遭受大规模拒绝服务攻击,我国国家顶级域名.cn系统互联网出口带宽短期内严重拥塞。随着互联网应用的日益广泛以及DNS自身的创新与发展(如智能DNS、国际化域名等),DNS遭遇攻击以后影响范围逐渐从单个区域扩展到多个国家和地区,而且直接影响互联网的安全稳定运行,进而可影响整个国家安全、社会秩序以及公共利益。

  DNS安全扩展协议(DNSSEC),由国际互联网工程任务组(IETF)开发,在不改变DNS现有协议的基础上添加了DNSSEC部分,即通过使用公钥基础设施(PKI)在原有DNS的基础上添加了数字签名,可提供数据来源验证、数据完整性验证以及否定存在验证,主要解决了DNS欺骗问题,是域名安全体系中一项重要的技术。截至2014年1月6日,全球390个顶级域名中已经有197个签署了DNSSEC安全协议 ,部署比例超过53%。在新通用顶级域(New gTLD)申请中,DNSSEC已经作为必要的申请条件写入了申请人指南。

  我国也正在研究在国家顶级域名中部署DNSSEC,然而DNSSEC并不能解决DNS所面临的所有安全问题,域名安全防护任重道远,需要从国家战略高度给予重视,同时,产业链各方也应加强安全防护技术的研究并建立联动机制提升故障处理能力,共同营造安全稳定的网络环境。(王映)

  英国成立基础设施网络安全研究所

  英国工程与自然科学研究理事会和英国内阁办公室日前共同出资成立了一个新的网络安全研究所,旨在保障英国工业和基础设施关键系统的网络安全。新研究所将主要研究核能发电、制造业、能源配置、铁路等基础设施的潜在威胁。研究人员将分析网络攻击导致工业控制系统故障的原理,力争将不安全因素消除在萌芽状态。

  工业控制系统由包括机械部件、传感器、计算机软硬件等许多部件组成,其中有些部件分布距离比较远,这使其容易遭受攻击。随着互联网的发展,企业的IT网络能更方便地连接到工业控制系统,以便进行远程维护,工程师能够获得更多工业控制系统当前运行状态的信息,但这些新情况都使工业控制系统更容易遭受网络攻击。

  由于工业控制系统有时需要连续运作几个月,因此无法定期为其安装安全补丁以升级软件。因此,研究人员将研究如何在不影响工业控制系统运作的情况下增强其安全性。通过推动政府和企业开展合作,研究人员将模拟受到网络攻击后的连锁效应,例如当单个企业或公共部门遭受网络攻击后,将如何影响下游企业,并对英国整个基础设施系统产生影响。新研究所将开发更好的程序和技术来减少网络威胁带来的损害。(顾舟峰 张百玲)

  微信金融理财开放平台上线

  日前,腾讯与华夏基金、汇添富基金、易方达基金、广发基金四家基金公司合作,推出的基于微信的金融理财开放平台理财通正式上线。该理财平台由腾讯旗下第三方支付公司财付通负责运营,面向所有微信用户,首推收益率约为活期存款利息18倍的货币基金产品。

  上线期间,用户可购买的是华夏基金的财富宝货币基金产品,最近7日年化收益率为7.338%。其他三家基金公司的产品已经在对接调试过程中,调试完成后,这些产品将陆续出现在理财通平台,供用户自主选择。

  对于账户安全问题,理财通负责人马晓东介绍:“理财通的资金原卡进出,即用户通过绑定一张储蓄卡进行基金申购、赎回时资金也返回到绑定的同一张储蓄卡里,不能用于消费或转出到其他银行卡。这将极大地降低理财通账户资金被他人转走的概率,保障用户资金安全。”

  财付通还与中国人保财险(PICC)达成战略合作,如果出现理财通账户被盗被骗等情况,经核实确为财付通的责任后,PICC将在第一时间进行全额赔付。此外,理财通还引入第三方投资顾问机构好买网,对基金公司和基金产品收益预测进行中立的评价,提高理财产品的透明度。