大数据安全及隐私保护ppt

大数据安全与 隐私保护 本文内采用了很多网络资源，感谢分享的各 位！ 努力向上的某学渣 Fr HNU 对用户来说，大数据既是一种福音也是一种诅咒。 FR 数字民主中心执行董事杰弗里·切斯特 写在前面 本来是想要装X看看International Journal of Distributed Sensor Networks上面的一篇英文论文，尽管是中国人写 的英文版，但是我还是太天真了，谁知道在这一段时间里 面想要好好的理解一篇英文，并且展示出来，还是有比较 大的难度 所以就换了一篇，就是现在的 大数据 大数据（英语：Big data或Megadata），或称巨量数据、 海量数据、大资料，指的是所涉及的数据量规模巨大到无 法通过人工，在合理时间内达到截取、管理、处理、并 整理成为人类所能解读的信息。在总数据量相同的情况下， 与个别分析独立的小型数据集（data set）相比，将各个 小型数据集合并后进行分析可得出许多额外的信息和数据 关系性，可用来察觉商业趋势、判定研究质量、避免疾病 扩散、打击犯罪或测定实时交通路况等；这样的用途正是 大型数据集盛行的原因 -FR Wiki 中文版已经被封了，不 过大家可以尝试看看英 文版的，昨晚亲测可以 用。 大数据来源与特征 普遍的观点认为，大数据是指规模大且复杂，以至于很难 用现有数据库管理工具或者数据处理应用来处理的数据集 。大数据的常见特点包括： 大规模：数据规模大 高速性：数据产生快 多样性：数据种类多 我觉得是这样理解 大数据分析目标 目前大数据分析应用于科学、医药、商业等各个领域，用 途差异巨大，但是其目标可以归纳为： 1、获得知识与推测趋势 2、分析掌握个性化特征 3、通过分析辨识真相 什么是隐私&Protect 隐私保护，就是让你不想让别人知道的事情（而这个事情的主 体是你）可以不被人在你不允许的情况下知道 隐私保护，就是让你不想让别人知道的事情（而这个事情的主 体是你）可以不被人在你不允许的情况下知道 大数据安全与隐私保护 格力董事长董明珠女士说的非常有道理，不可能因 为大数据可能有安全问题，就全盘否认。在现在的 情况下来看，大数据的发展史不可遏制的。在这种 情况下，隐私保护就被重视了起来。 我必须说，关于BD的讨论 很多在13-14年，毕竟热 浪不是永久 一些有关隐私的新闻 Win10 个性化与隐私。 选择退出与选择加入 错误的选项 隐私是主观的 公司与用户 本文概要 这篇文章在梳理大数据研究现状的基础上，重点分析了当 前大数据所带来的安全挑战，详细阐述了当前大数据安全 与隐私保护的关键技术。需要指出的是，大数据在引入新 的安全问题和挑战的同时，也为信息安全领域带来了新的 发展契机，即基于大数据的信息安全相关技术可以反过来 用于大数据的安全和隐私保护。 大数据的用户隐私保护 大量事实表明，大数据未被妥善处理会对用户的隐私造成 极大的侵害。根据需要保护的内容不同，隐私保护又可以 进一步细分为位置隐私保护、标识符匿名保护、连接关系 匿名保护等。 人们面临的威胁其实并不仅仅限于个人隐私泄露。从单个 信息来看，其实可能会让你不爽，或许你的体重作为隐私 被人知道了，这其实无关痛痒。但是比较恐怖的是基于大 数据对人们的状态和行为的预测。典型的例子就是刚才说 过的零售商通过历史记录分析，比家长更早的知道自己的 女儿已经怀孕的消息，并向其有机相关的广告信息。 大家之前收到过推送，或者以后将收到类似保胎什么的消 息就是类似情况。 现状 我们现在用户数据的收集、存储、管理与使用等均缺乏规 范、更加缺乏监管，主要依靠企业的自律。 例如说，很多游戏现在都要求实名制，目的是防止未成年 人沉迷游戏。 问题在于 用户无法确定自己隐私信息的用途。我们没有相关法律对 这个加以限定。而在商业化的场景中，用户应该有权利决 定自己的信息如何被利用。 例如说：我们的身份信息不应该被这样使用。如果派出所 在每一个成年人成年之后都给予某个编码，可以凭借这个 通过游戏认证，而这个编码是不记录任何个人信息的。就 可以避免现在的问题。 用户应该有的决定权 1、数据采集时的隐私保护，如数据精度处理 2、数据共享、发布时的隐私保护，如数据的匿名处理、 人工加扰等； 3、数据分析时的隐私保护 4、数据生命周期的隐私保护 5、隐私数据可信销毁等。 如何实现大数据访问控制 我个人将至放在数据处理和数据分析中间，我们要拿到这 部分被处理过的数据之后才可以分析，这个时候冯老师提 到了大数据访问控制 Problem： 角色控制：角色难以预设。因为其多样性的特点，很难满 足多种情况 对于角色的权限难以控制。同上 大数据安全与隐私保护关键技术 数据隐私保护模型 A 个体个体 服务服务/代理代理 查询查询 政府, 研究机构, 政府, 研究机构, 企业, (或者) 恶意的攻击者 企业, (或者) 恶意的攻击者 用户用户 x1 x2 xn 挑战挑战: 在保护个人识别信息的同时，分享数据。在保护个人识别信息的同时，分享数据。 限制发布 有选择性地发布原始数据，而不是发布精确性低的敏感数 据 抑制 泛化 k-匿名 数据表的k-匿名化( k-anonymization) 是数据发布时保 护私有信息的一种重要方法。 k-匿名技术是1998 年由 Samarati和Sweeney 1提出的 ,它要求发布的数据中 存在一定数量(至少为k) 的在准标识符上不可区分的记 录,使攻击者不能判别出隐私信息所属的具体个体,从而 保护了个人隐私, k-匿名通过参数k指定用户可承受的最 大信息泄露风险。k-匿名化在一定程度上保护了个人的 隐私,但同时会降低数据的可用性。因此, k-匿名化的研 究工作主要集中在保护私有信息的同时提高数据的可 用性。 社交网络匿名 社交网络产生的数据是大数据的重要来源之一，同时这些 数据中包含大量的用户隐私数据。 典型匿名保护需求为用户标识匿名与属性匿名，在数据发 布时隐藏了用户的标识与属性信息（点匿名）；以及用户 间关系匿名（又称边匿名），在数据发布时隐藏用户间的 关系。而攻击者试图利用节点的各种属性（度数、标签、 某些具体链接信息等），重新识别出图中节点的身份信息 目前的边匿名方案大多是基于边的增删 社交网络匿名方案面临的重要问题是，攻击者可能通过其 它公开的信息推测出匿名用户，尤其是用户之间是否存在 连接关系。 数字水印技术（刘玉玲老师、彭飞老师） 数据溯源 为了解决前面提到的大数据访问控制面临的问题： 角色挖掘 风险自适应的访问控制 大数据服务与信息安全 倒数第二个部分 基于大数据的威胁发现技术 由于大数据分析技术的出现，对于我们来说其实也就有了 更多的方法进行防护。 棱镜计划其实可以被理解为应用大数据方法进行安全分析 的成功事例。对美国当局来说，通过收集各个国家各个类 型的数据，利用安全威胁数据和安全分析形成系统发放发 现潜在危险局势，在攻击发生之前识别威胁。 基于大数据的威胁发现技术具有以下优点 1、分析内容的范围更大 2、分析内容的时间跨度更长（防范APT） 3、攻击威胁的预测性 4、对未知威胁的检测 问题在于，数据的可靠性，这也是我们之前没有说的一点 威胁，数据作为基础，如果不全，或者有假，就会对我们 的分析造成不可预计的影响 基于大数据的认证技术 这也是我看到比较有趣的一个地方 以往我们的认证方法基本都是通过口令来进行的。 问题有：会被盗。再有就是安全和复杂度往往呈正相关。 而我们现在有了生物认证方式，这个的问题在于对设备的 要求太高了，成本等一系列因素限制了这个的发展。(ML) 大数据认证就是基于用户行为特征 和设备行为特征来进行 一个小段子 攻击者很难模拟用户行为特征来通过认证。因此更加安全。 大数据是从所收集到的用户行为和设备行为进行分析，包 括用户使用的时间、经常使用的设备、设备所处的物理位 置、甚至是操作系统。通过这些来进行，基本不能被人所 模仿 减少了用户负担，这些工作由系统进行。 可以更好的支持各个系统认证机制的统一，可以让用户在 整个网络空间采用相同的行为特征进行身份认证，从而笔 名不同系统采用不同的认证方式。 就避免了我们现在的一个非常大的问题：忘记密码！ 问题 初始阶段的认证问题。一开始没有 大量的数据要怎么办？ 用户隐私问题，问题又回来了。 有这么一段话我认为非常好 大数据带来了新的安全问题，但是它本身也是解决问题的 重要手段。 论文中提到的：基于大数据的数据真实性分析、生物认证 等 除了技术上面的难关之外，还必须有相关的政策法规出台， 次啊能更好的解决大数据安全与隐私保护问题。 好玩的东西 1、IOS，自从上次那个事件之后就不再被认为很安全了。 那么越狱的手机，是可以比较容易的获取到很多信息，包 括一些账号密码什么的很多是明文存储的。所以建议还是 不要越狱了。 网易的邮箱账号泄露不会是最后一次，以后我们还会看到 更加劲爆的安全事件，特别是互联网金融野蛮发展的今天 。不过还是那句话，能够让公众看到的安全事件，其实都 是失去了利用价值的用户数据，那些正在让黑产者闷声发 大财的不会让你知道的。 我觉得这个是最近的一个热点，如果有同学感兴趣可以研究一下。 简单的理解，APT攻击就是一类特定的攻击，为了获取某个组织甚至 是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。 APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学 方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部 的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的 攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续 性，甚至长达1年，这种持续体现在攻击者不断尝试各种攻击手段， 以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到 重要情报。总之，APT攻击具有很强的特定性，特指有明确目的的攻 击，而非随意的攻击。因而，APT攻击也是Cyberwar， Cybersecurity重点关注的问题。 新的结束 花样繁多的新技术层出不穷，安全肯定是一个难以被放下 的话题。正如经济全球化不可阻挡一般，个人信息的流通 也肯定是大趋势，如何在这样的情况下，保证自己的安全 ，我想这是我们每一个人都必须思考的问题 谢谢