随着互联网、物联网、云计算等技术的快速发展,全球数据量出现爆炸式增长。与此同时,云计算为这些海量的多样化数据提供了存储和运算平台,分布式计算等数据挖掘技术又使得大数据分析规律、研判趋势的能力大大增强。在大数据不断向各个行业渗透、深刻影响国家的政治、经济、民生和国防的同时,其安全问题也将对个人隐私、社会稳定和国家安全带来巨大的潜在威胁,如何应对面临巨大挑战。
一、大数据安全关键问题
随着数字化进程不断深入,大数据逐步渗透至金融、汽车、制造、医疗等各个传统行业,甚至到社会生活的每个角落,大数据安全问题影响也日益增大。
(一)国家数据资源大量流失。互联网海量数据的跨境流动,加剧了大数据作为国家战略资源的大量流失,全世界的各类海量数据正在不断汇总到美国,短期内还看不到转变的迹象。随着未来大数据的广泛应用,涉及国家安全的政府和公用事业领域的大量数据资源也将进一步开放,但目前由于相关配套法律法规和监管机制尚不健全,极有可能造成国家关键数据资源的流失。
(二)大数据环境下用户隐私安全威胁严重。随着大数据挖掘分析技术的不断发展,个人隐私保护和数据安全变得非常紧迫。一是大数据环境下人们对个人信息的控制权明显下降,导致个人数据能够被广泛、详实的收集和分析。二是大数据被应用于攻击手段,黑客可最大限度地收集更多有用信息,为发起攻击做准备,大数据分析让黑客的攻击更精准。三是随着大数据技术发展,更多信息可以用于个人身份识别,个人身份识别信息的范围界定困难,隐私保护的数据范围变得模糊。四是以往建立在“目的明确、事先同意、使用限制”等原则之上的个人信息保护制度,在大数据场景下变得越来越难以 *** 作。
(三)基于大数据挖掘技术的国家安全威胁日益严重。大数据时代美国情报机构已抢占先机,美国通过遍布在全球的国安局监听机构如地面卫星站、国内监听站、海外监听站等采集各种信息,对采集到的海量数据进行快速预处理、解密还原、分析比对、深度挖掘,并生成相关情报,供上层决策。2013年6月底,美中情局前雇员斯诺登爆料,美国情报机关通过思科路由器对中国内地移动运营商、中国教育和科研计算机网等骨干网络实施长达4年之久的长期监控,以获取网内海量短信数据和流量数据。
(四)基础设施安全防护能力不足引发数据资产失控。一是基础通信网络关键产品缺乏自主可控,成为大数据安全缺口。我国运营企业网络中,国外厂商设备的现网存量很大,国外产品存在原生性后门等隐患,一旦被远程利用,大量数据信息存在被窃取的安全风险。二是我国大数据安全保障体系不健全,防御手段能力建设处于起步阶段,尚未建立起针对境外网络数据和流量的监测分析机制,对棱镜监听等深层次、复杂、高隐蔽性的安全威胁难以有效防御、发现和处置。
二、国外大数据安全相关举措及我国应对思路
目前世界各国均通过出台国家战略、促进数据融合与开放、加大资金投入等推动大数据应用。相比之下,各国在涉及大数据安全方面的保障举措则起刚刚起步,主要集中在通过立法加强对隐私数据的保护。德国在2009年对《联邦数据保护法》进行修改并生效,约束范围包括互联网等电子通信领域,旨在防止因个人信息泄露导致的侵犯隐私行为;印度在2012年批准国家数据共享和开放政策的同时,通过拟定非共享数据清单以保护涉及国家安全、公民隐私、商业秘密和知识产权等数据信息;美国在2014年5月发布《大数据:把握机遇,守护价值》白皮书表示,在大数据发挥正面价值的同时,应该警惕大数据应用对隐私、公平等长远价值带来的负面影响,建议推进消费者隐私法案、通过全国数据泄露立法、修订电子通信隐私法案等。
我国在布局、鼓励和推动大数据发展应用的同时,也应提早谋划、积极应对大数据带来的安全挑战,从战略制定、法律法规、基础设施防护等方面应对大数据安全问题。
(一)将大数据资源保护上升为国家战略,建立分级分类安全管理机制。一是把数据资源视为国家战略资源,将大数据资源保护纳入到国家网络空间安全战略框架中,构建大数据环境下的信息安全体系,提高应急处置能力和安全防范能力,提升服务能力和运作效率。二是通过国家层面的战略布局,明确大数据资源保护的整体规划和近远期重点工作。三是对国内大数据资源按实施分级分类安全保护思路,保障数据安全、可靠,积极开展大数据安全风险评估工作,针对不同级别大数据特点加强安全防范。五是尽快制定不同级别的大数据采集、存储、备份、迁移、处理和发布等关键环节的安全规范和标准,配套完善相应的监管措施。
(二)完善法律法规,加大个人信息保护监管力度。一是积极推动个人信息保护法律的立法工作,探索通过技术标准、行业自律等手段解决法律出台前的个人信息保护问题。加快《网络安全法》的出台,在《网络安全法》中对电信和互联网行业用户信息保护作出明确法律界定,为相关工作开展提供法律依据。二是加强对个人隐私保护的行政监管,同时要加大对侵害个人隐私行为的打击力度,建立对个人隐私保护的测评机制,推动大数据行业的自律和监督。
(三)加强国家信息基础设施保护,提升大数据安全保障与防范能力。一是促进技术研究和创新,通过加大财政支持力度,激励关系国家安全和稳定的政府和国有企事业单位采用安全可控的产品,提升我国基础设施关键设备的安全可控水平。二是加强大数据信息安全系统建设,针对大数据的收集、处理、分析、挖掘等过程设计与配置相应的安全产品,并组成统一的、可管控的安全系统,推动建立国家级、企业级的网络个人信息保护态势感知、监控预警、测评认证平台。三是充分利用大数据技术应对网络攻击,通过大数据处理技术实现对网络异常行为的识别和分析,基于大数据分析的智能驱动型安全模型,把被动的事后分析变成主动的事前防御;基于大数据的网络攻击追踪,实现对网络攻击行为的溯源。
以上是小编为大家分享的关于大数据安全问题及应对思路研究的相关内容,更多信息可以关注环球青藤分享更多干货
物联网一般都具有唯一性,其实像近几年出现的一些东西,像二维码都具有唯一性,还有射频识别,这些都确保了信息的安全性,这些都涉及到物联网频射方面的技术。另外,举个例子,在里你会看到一些片段,一些密码什么的会通过扫描你的眼睛,识别指纹这些的属于物联网。我是物联网专业的学生,回答有不满意的地方请见谅。(一)加快技术研发,突破产业瓶颈。以掌握原理实现突破性技术创新为目标,把握技术发展方向,围绕应用和产业急需,明确发展重点,加强低成本、低功耗、高精度、高可靠、智能化传感器的研发与产业化,着力突破物联网核心芯片、软件、仪器仪表等基础共性技术,加快传感器网络、智能终端、大数据处理、智能分析、服务集成等关键技术研发创新,推进物联网与新一代移动通信、云计算、下一代互联网、卫星通信等技术的融合发展。充分利用和整合现有创新资源,形成一批物联网技术研发实验室、工程中心、企业技术中心,促进应用单位与相关技术、产品和服务提供商的合作,加强协同攻关,突破产业发展瓶颈。(二)推动应用示范,促进经济发展。对工业、农业、商贸流通、节能环保、安全生产等重要领域和交通、能源、水利等重要基础设施,围绕生产制造、商贸流通、物流配送和经营管理流程,推动物联网技术的集成应用,抓好一批效果突出、带动性强、关联度高的典型应用示范工程。积极利用物联网技术改造传统产业,推进精细化管理和科学决策,提升生产和运行效率,推进节能减排,保障安全生产,创新发展模式,促进产业升级。
(三)改善社会管理,提升公共服务。在公共安全、社会保障、医疗卫生、城市管理、民生服务等领域,围绕管理模式和服务模式创新,实施物联网典型应用示范工程,构建更加便捷高效和安全可靠的智能化社会管理和公共服务体系。发挥物联网技术优势,促进社会管理和公共服务信息化,扩展和延伸服务范围,提升管理和服务水平,提高人民生活质量。
(四)突出区域特色,科学有序发展。引导和督促地方根据自身条件合理确定物联网发展定位,结合科研能力、应用基础、产业园区等特点和优势,科学谋划,因地制宜,有序推进物联网发展,信息化和信息产业基础较好的地区要强化物联网技术研发、产业化及示范应用,信息化和信息产业基础较弱的地区侧重推广成熟的物联网应用。加快推进无锡国家传感网创新示范区建设。应用物联网等新一代信息技术建设智慧城市,要加强统筹、注重效果、突出特色。
(五)加强总体设计,完善标准体系。强化统筹协作,依托跨部门、跨行业的标准化协作机制,协调推进物联网标准体系建设。按照急用先立、共性先立原则,加快编码标识、接口、数据、信息安全等基础共性标准、关键技术标准和重点应用标准的研究制定。推动军民融合标准化工作,开展军民通用标准研制。鼓励和支持国内机构积极参与国际标准化工作,提升自主技术标准的国际话语权。
(六)壮大核心产业,提高支撑能力。加快物联网关键核心产业发展,提升感知识别制造产业发展水平,构建完善的物联网通信网络制造及服务产业链,发展物联网应用及软件等相关产业。大力培育具有国际竞争力的物联网骨干企业,积极发展创新型中小企业,建设特色产业基地和产业园区,不断完善产业公共服务体系,形成具有较强竞争力的物联网产业集群。强化产业培育与应用示范的结合,鼓励和支持设备制造、软件开发、服务集成等企业及科研单位参与应用示范工程建设。
(七)创新商业模式,培育新兴业态。积极探索物联网产业链上下游协作共赢的新型商业模式。大力支持企业发展有利于扩大市场需求的物联网专业服务和增值服务,推进应用服务的市场化,带动服务外包产业发展,培育新兴服务产业。鼓励和支持电信运营、信息服务、系统集成等企业参与物联网应用示范工程的运营和推广。
(八)加强防护管理,保障信息安全。提高物联网信息安全管理与数据保护水平,加强信息安全技术的研发,推进信息安全保障体系建设,建立健全监督、检查和安全评估机制,有效保障物联网信息采集、传输、处理、应用等各环节的安全可控。涉及国家公共安全和基础设施的重要物联网应用,其系统解决方案、核心设备以及运营服务必须立足于安全可控。
(九)强化资源整合,促进协同共享。充分利用现有公共通信和网络基础设施开展物联网应用。促进信息系统间的互联互通、资源共享和业务协同,避免形成新的信息孤岛。重视信息资源的智能分析和综合利用,避免重数据采集、轻数据处理和综合应用。加强对物联网建设项目的投资效益分析和风险评估,避免重复建设和不合理投资。
大数据时代的到来,用户的私人信息越来越不安全。好多人每天都被骚扰电话,广告推销所折磨,越来越多的人知道你的电话,姓名,职业,朋友圈。严重的后果是,某些不法分子利用这些信息对你或者你的亲友进行诈骗。现在各种网站,各种应用注册的时候可能会捆绑手机,QQ,邮箱等信息,商家拿到这些信息,一定要保护用户的私人信息,保证用户的信息安全,这方面好多公司还做得很不到位。
周鸿祎提过用户信息安全三原则,具体内容如下:
第一,用户的信息是用户的个人资产。很多互联网大公司可能比较抵制我这个观点,因为互联网大公司在用户协议里说:因为用户号码是我给的,所以用户是我的,用户的好友列表也是我的,用户产生的内容也是我的。但是,它又发表一个免责声明,说用户产生的任何法律问题,都与自己无关。先不说这种自相矛盾的逻辑,我的观点是,用户使用厂商的服务产生的信息,是属于用户自己的个人资产。用户使用各种设备、各种软件产生的数据,虽然存储在厂商的服务器上,但是从所有权方面讲,它应该明确地属于用户,是用户的财产。
二是平等交换的原则。在大数据时代,通过云端的数据交换,厂商为用户提供服务。只要用户使用了厂商的服务,就会有相关的数据产生。你用微信的时候,为了匹配朋友,你的地址本自然要上传。为了与朋友聊天,你的聊天记录自然会保存在厂商的服务器上。但是,用户的信息和厂商之间,应该遵循平等交换的原则。什么叫平等交换?用户享受服务,厂商获取信息,但在这个过程中,用户要有知情权,厂商要得到用户授权才能使用用户信息,也就是说,用户要有选择权,有拒绝权。 举个例子,如果是一个类似大众点评这样的应用,因为要根据用户的地点给他找饭馆,自然它需要用户的位置信息,我认为这是合理的。这就是平等交换。但如果是一个小说阅读软件,也要获取用户的位置信息,我认为这个服务就不再是一个平等的交换,实际上它要了不该要的东西。平等交换原则也符合《消费者权益保护法》的基本原则,就是消费者要有知情权、选择权。
三是安全处理原则。有的人认为安全就是互联网安全公司干的事,就是杀毒软件的事,我觉得这个观点是错的。任何一家互联网公司,包括现在做可穿戴硬件的公司,都会变成一个互联网服务公司,用户会使用这些硬件产生大量的数据。所以,任何一家互联网公司都有责任保护用户信息的安全,要在云端对用户数据进行足够强度的加密,包括安全存储和安全传输。
感知层安全威胁
物联网感知层面临的安全威胁主要如下:
T1 物理攻击:攻击者实施物理破坏使物联网终端无法正常工作,或者盗窃终端设备并通过破解获取用户敏感信息。
T2 传感设备替换威胁:攻击者非法更换传感器设备,导致数据感知异常,破坏业务正常开展。
T3 假冒传感节点威胁:攻击者假冒终端节点加入感知网络,上报虚假感知信息,发布虚假指令或者从感知网络中合法终端节点骗取用户信息,影响业务正常开展。
T4 拦截、篡改、伪造、重放:攻击者对网络中传输的数据和信令进行拦截、篡改、伪造、重放,从而获取用户敏感信息或者导致信息传输错误,业务无法正常开展。
T5 耗尽攻击:攻击者向物联网终端泛洪发送垃圾信息,耗尽终端电量,使其无法继续工作。
T6 卡滥用威胁:攻击者将物联网终端的(U)SIM卡拔出并插入其他终端设备滥用(如打电话、发短信等),对网络运营商业务造成不利影响。
感知层由具有感知、识别、控制和执行等能力的多种设备组成,采集物品和周围环境的数据,完成对现实物理世界的认知和识别。感知层感知物理世界信息的两大关键技术是射频识别(Radio Frequency Identification,RFID)技术和无线传感器网络(Wireless Sensor Networ
k,WSN)技术。因此,探讨物联网感知层的数据信息安全,重点在于解决RFID系统和WSN系统的安全问题。
RFID技术是一种通过射频通信实现的非接触式自动识别技术。基于RFID技术的物联网感知层结构如图1所示:每个RFID系统作为一个独立的网络节点通过网关接入到网络层。因此,该系统架构下的信息安全依赖于在于单个RFID系统的信息安全。
物联网安全的特征是:感知网络的信息采集、传输与信息安全问题。
感知节点呈现多源异构性,感知节点通常情况下功能简单(如自动温度计)、携带能量少(使用电池),使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,所以没法提供统一的安全保护体系。
物联网的主要特征是:
物联网的主要特征有全面感知、可靠传递、智能处理。物联网是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时采集任何需要监控、连接、互动的物体或过程,通过各类可能的网络接入,实现物与物、物与人的泛在连接,实现对物品和过程的智能化感知、识别和管理。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)