大数据安全及隐私保护

1、大数据安全及隐私保护大数据安全及隐私保护李建华李建华 院长，教授，博导院长，教授，博导 上海交通大学信息安全工程学院上海交通大学信息安全工程学院 信息内容分析技术国家工程实验室信息内容分析技术国家工程实验室 2016年年4月月25日日2提纲提纲一、大数据机遇和网络安全挑战大数据机遇和网络安全挑战二、大数据带来的网络安全和用户二、大数据带来的网络安全和用户隐私问题隐私问题三、大数据带来的网络安全和用户三、大数据带来的网络安全和用户隐私问题对策隐私问题对策3大数据大数据分析挖掘的价值分析挖掘的价值q 2010年年ScienceScience上刊文指出上刊文指出，能够根据个体之前的行为轨，能够根据个体之前的行为轨 迹预测他迹预测他/她未来行踪的可能性，她未来行踪的可能性，即即93%93%的人类行为可预测的人类行为可预测。 q 大数定理告诉我们，在试验不变的条件下，重复试验多次，随大数定理告诉我们，在试验不变的条件下，重复试验多次，随 机事件的频率近似于它概率。机事件的频率近似于它概率。“有规律的随机事件有规律的随机事件”在大量重复出现在大量重复出现 的条件下，往往呈现几乎必然的统计特性。从的

2、条件下，往往呈现几乎必然的统计特性。从“数据数据”到到“大数大数 据据”，不仅仅是数量上的差别，更是数据质量上的提升，即从量变，不仅仅是数量上的差别，更是数据质量上的提升，即从量变 到质变。到质变。 q 随着计算机的处理能力的日益强大，你能获得的数据量越大，随着计算机的处理能力的日益强大，你能获得的数据量越大， 你能挖掘到的价值就越多。你能挖掘到的价值就越多。 q 实验的不断反复、大数据的实验的不断反复、大数据的 日渐积累让人类发现规律，预测日渐积累让人类发现规律，预测 未来不再是科幻电影里的读心术。未来不再是科幻电影里的读心术。 互联网物联网电信网络广播电视 网络赛博空间大数据大数据分析挖掘的价值分析挖掘的价值 大数据分析挖掘和数据融合的异同：大数据分析挖掘因为有 极其丰富的数据作为基础，可让“有规律的随机事件”在大量重 复出现的条件下，呈现几乎必然的统计特性。 数据融合其实是在一定的数据量条件下，通过多源传感器 的协同，改进测量和预测的结果，在发现规律、预测未来 的准确性方面和大数据分析挖掘不在一个数量级上。 我们认为，我们认为，从数据融合到大数据分析挖掘，其实是从小智从小智 能到

3、大智慧，这是大数据能到大智慧，这是大数据分析挖掘的分析挖掘的核心核心价值价值。在印尼的推特上，讨论米价的信息和实际米价的关系推特上关于推特上关于 米价的贴子米价的贴子 （每月）（每月）实际米价实际米价4大数据国家发展战略机遇大数据国家发展战略机遇 2015年是中国大数据发展高峰期，我国政府部门颁 布了大数据开放行动的战略。 2015年底，中共中央关于制定国民经济和社会发 展第十三个五年规划第十三个五年规划的建议通过并提出了发展通过并提出了发展“ 互联网互联网+ +”、分享经济和大数据等创新战略，更是将、分享经济和大数据等创新战略，更是将 大数据开放、开发提到了国家战略高度大数据开放、开发提到了国家战略高度。 大数据作为社会的又一个基础性资源，将给社会进步 、经济发展带来强大的 驱动力。大数据代表了大数据代表了 先进生产力方向，已经先进生产力方向，已经 成为不可阻挡的趋势成为不可阻挡的趋势。5大数据安全现状大数据安全现状 网络攻击成愈演愈烈之势。如今的网络攻击，往往如今的网络攻击，往往 是通过各种手段获得政府、企业或者个人的私密数是通过各种手段获得政府、企业或者个人的私密数 据。据。在大

4、数据时代，数据的收集与保护成为竞争的着 力点。 “从个人隐私安全层面看，大数据将网络大众带入从个人隐私安全层面看，大数据将网络大众带入 到开放透明的时代到开放透明的时代，数据安全若保护不利，将 引发民情抱怨不满”。 中国信息安全测评中心 研究员磨惟伟表示。6大数据安全挑战大数据安全挑战 DTDT（数据技术）时代开放与安全的二元挑战（数据技术）时代开放与安全的二元挑战。在大数据获得 开放的同时，也带来了对数据安全的隐忧。大大数据安全是数据安全是 互联网互联网+ +时代的核心挑战时代的核心挑战，安全问题具有线上和线下融合在 一起的特征。 传统解决网络安全的基本思传统解决网络安全的基本思想想是划分边界是划分边界，在每个边界设立 网关设备和网络流量设备，用守住边界的办法来解决安全问 题。但随着移动互联网、云服务的出现，网络边界实际上已随着移动互联网、云服务的出现，网络边界实际上已 经消亡了经消亡了。 信息安全的危险正在进一步升级，在APT、DDos、异常风险 、网络漏洞等网络威胁下， 传统防御型、检测型的安全传统防御型、检测型的安全 防护措施已经力不从心防护措施已经力不从心， 无法适应新形势下

5、的要求。7大数据安全挑战大数据安全挑战 难以用有效的方式向用户申请权限，实现角色难以用有效的方式向用户申请权限，实现角色 预设；难以检测、控制开发者的访问行为，防预设；难以检测、控制开发者的访问行为，防 止过度的大数据分析、预测和连接。止过度的大数据分析、预测和连接。 大数据时代，很多数据在收集时并不知道用途 是什么，往往是二次开发创造了价值，公司无公司无 法事先告诉用户尚未法事先告诉用户尚未 想到的用途，而个人想到的用途，而个人 也无法同意这种尚是也无法同意这种尚是 未知的用途未知的用途。89提纲提纲一、大数据大数据分析挖掘的价值分析挖掘的价值二、大数据带来的网络安全和用户二、大数据带来的网络安全和用户隐私问题隐私问题三、大数据带来的网络安全和用户三、大数据带来的网络安全和用户隐私问题对策隐私问题对策10大数据依托的大数据依托的NoSQLNoSQL缺乏数据安全机制缺乏数据安全机制q 从基础技术角度来看，大数据依托的基础技术是从基础技术角度来看，大数据依托的基础技术是NoSQLNoSQL（非关（非关 系型数据库）。系型数据库）。 q 当前广泛应用的SQL（关系型数据库）技术，经过长期改

6、进和 完善，在维护数据安全方面已经设置严格的访问控制和隐私管理工 具。而在NoSQL技术中，并没有这样的要求。 q 大数据数据来源和承载方式 多种多样，如物联网、移动互联 网、PC以及遍布地球各个角落的 传感器，数据分散存在的状态，数据分散存在的状态， 使企业很难定位和保护所有这些使企业很难定位和保护所有这些 机密数据。机密数据。 q NoSQLNoSQL允许不断对数据记录允许不断对数据记录 添加属性，其前瞻安全性变得添加属性，其前瞻安全性变得 非常重要，非常重要，对数据库管理员 提出新的要求。 11社会工程学攻击社会工程学攻击带来的安全问题带来的安全问题q 美国黑客凯文米特尼克给出较全面的定义:“社会工程学攻社会工程学攻 击是通过心理弱点、本能反应、好奇心、信任、贪婪等一些心击是通过心理弱点、本能反应、好奇心、信任、贪婪等一些心 理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会 及人类带来危害的行为。及人类带来危害的行为。”其特点:无技术性；成本低；效率高。无技术性；成本低；效率高。 q 该攻击与其他攻击最大的不同是其攻击手

7、段不是利用高超 的攻击技术，而是利用受害者的心理弱点进行攻击。因为不管因为不管 大数据多么庞大总也少不了人的管理，如果人的信息安全意识大数据多么庞大总也少不了人的管理，如果人的信息安全意识 淡薄，那么即使技术防护手段已做到无懈可击，也无法有效保淡薄，那么即使技术防护手段已做到无懈可击，也无法有效保 障数据安全。障数据安全。由于大数据 的海量性、混杂性，攻击 目标不明确，因此攻击者 为了提高效率，经常采用 社会工程学攻击。12社会工程学攻击社会工程学攻击带来的安全问题带来的安全问题q该类攻击的案例很多，如黑客先攻击某论坛的网站，使用户无 法正常登陆。然后再假冒管理员，以维护网站名义向用户发送 提醒信息，索要用户的账号和密码，一般用户此时会将密码和 账号发送给黑客。此外，还有采用冒充中奖、假冒社交好友、 信月卡挂失等欺诈手段获得合法用户信息。13软件后门成为软件后门成为大数据安全软肋大数据安全软肋q 中科同向信息技术有限公司总经理邬玉良说:“在这个在这个软软 件定义世界件定义世界的时代，软件既是的时代，软件既是ITIT系统的核心系统的核心, ,也是大数据的核也是大数据的核 心心, ,几乎所

8、有的后门都是开在软件上。几乎所有的后门都是开在软件上。” q 据了解，IBM、EMC等各大巨头生产制造的存储、服务器、 运算设备等硬件产品，几乎都是全球代工的，在信息安全的监几乎都是全球代工的，在信息安全的监 听方面是很难做手脚的。听方面是很难做手脚的。换句话说，软件才是信息安全的软助软件才是信息安全的软助 所在。所在。 14软件后门成为软件后门成为大数据安全软肋大数据安全软肋q 软件供应方在主板上加入特 殊的芯片，或是在软件上设计了 特殊的路径处理，检测人员只按检测人员只按 照协议上的功能进行测试，根本照协议上的功能进行测试，根本 就无法察觉软件预留的监听后门就无法察觉软件预留的监听后门。 换言之，如果没有自主可控的信 息安全检测方案，各种安全机制 和加密措施，就都是形同虚设。 q 对于现代信息安全而言，最对于现代信息安全而言，最 危险的行为是将自主控制的权力危险的行为是将自主控制的权力 交给交给“他人他人”。这就好比将自家 的钥匙全部交到了外人手里，安 全问题又从何谈起呢?iPhone手机主要后门示意图15文件安全面临极大挑战文件安全面临极大挑战q 文件是数据处理和运行的核心文件是

9、数据处理和运行的核心，大多的用户文件都在第三 方运行平台中存储和进行处理，这些数据文件往往包含很多部这些数据文件往往包含很多部 门或个人的敏感信息，其安全性和隐私性自然成为一个需要重门或个人的敏感信息，其安全性和隐私性自然成为一个需要重 点关注的问题点关注的问题。 q 尽管文件保护提供了对文件的访问控制和授权尽管文件保护提供了对文件的访问控制和授权，例如Linux 自带的文件访问控制机制，通过文件访问控制列表来限制程序 对文件的操作。然而大部分文件保护机制都存在一定程度的安然而大部分文件保护机制都存在一定程度的安 全问题，它们通常使用操作系统的功能来实现完整性验证机制，全问题，它们通常使用操作系统的功能来实现完整性验证机制， 因此只依赖于操作系统本身的安全性因此只依赖于操作系统本身的安全性。 16文件安全面临极大挑战文件安全面临极大挑战q现代操作系统由于过于庞大，不可避免地存在安全漏洞，其现代操作系统由于过于庞大，不可避免地存在安全漏洞，其 本身的安全性都难以保证本身的安全性都难以保证。 q 基于主机的文件完整性保护方法将自身暴露在客户机操作 系统内，隔离能力差，恶意代码可以轻易发现检测系统并设法 绕过检测对系统进行攻击。例如Tripwire，它本身是用户级应用 程序，很容易被恶意软件篡改和绕过。 17大数据存储安全问题大数据存储安全问题q 大数据会使数据量呈非线 性增长，而复杂多样的数据集 中存储在一起，多种应用的并 发运行以及频繁无序的使用状 况，有可能会出现数据类别存 放错位的情况，造成数据存储造成数据存储 管理混乱或导致信息安全管理管理混乱或导致信息安全管理 不合规范不合规范。 q 现有的存储和安全控制措 施无法满足大数据安全需求， 安全防护手段如果不能与大数 据存储和应用安全需求同步升 级更新，就会出现大数据存储会出现大数据存储 安全防护的漏洞安全防护的漏洞。18大数据安全大数据安全搜索挑战和搜索挑战和问题问题q 需要更高效更智慧的分割数据，搜索、过滤和整理信息的理 论与技术，以应对大数据越来越庞大的处

《大数据安全及隐私保护》由会员艾力分享，可在线阅读，更多相关《大数据安全及隐私保护》请在金锄头文库上搜索。