物联网技术的信息安全

物联网的安全和互联网的安全问题一样，永远都会是一个被广泛关注的话题。由于物联网连接和处理的对象主要是机器或物以及相关的数据，其“所有权”特性导致物联网信息安全要求比以处理“文本”为主的互联网要高，对“隐私权”(Privacy)保护的要求也更高（如ITU物联网报告中指出的），此外还有可信度(Trust)问题，包括“防伪”和DoS（Denial of Services）（即用伪造的末端冒充替换（eavesdropping等手段）侵入系统，造成真正的末端无法使用等），由此有很多人呼吁要特别关注物联网的安全问题。
物联网系统的安全和一般IT系统的安全基本一样，主要有8个尺度： 读取控制，隐私保护，用户认证，不可抵赖性，数据保密性，通讯层安全，数据完整性，随时可用性。 前4项主要处在物联网DCM三层架构的应用层，后4项主要位于传输层和感知层。其中“隐私权”和“可信度”（数据完整性和保密性）问题在物联网体系中尤其受关注。如果我们从物联网系统体系架构的各个层面仔细分析，我们会发现现有的安全体系基本上可以满足物联网应用的需求，尤其在其初级和中级发展阶段。
物联网应用的特有（比一般IT系统更易受侵扰）的安全问题有如下几种：
1 Skimming：在末端设备或RFID持卡人不知情的情况下，信息被读取
2 Eavesdropping: 在一个通讯通道的中间，信息被中途截取
3 Spoofing：伪造复制设备数据，冒名输入到系统中
4 Cloning: 克隆末端设备，冒名顶替
5 Killing:损坏或盗走末端设备
6 Jamming: 伪造数据造成设备阻塞不可用
7 Shielding: 用机械手段屏蔽电信号让末端无法连接
主要针对上述问题，物联网发展的中、高级阶段面临如下五大特有（在一般IT安全问题之上）的信息安全挑战：
1 4大类（有线长、短距离和无线长、短距离）网路相互连接组成的异构（heterogeneous）、多级(multi-hop)、分布式网络导致统一的安全体系难以实现“桥接”和过度
2 设备大小不一，存储和处理能力的不一致导致安全信息（如PKI Credentials等）的传递和处理难以统一
3 设备可能无人值守，丢失，处于运动状态，连接可能时断时续，可信度差，种种这些因素增加了信息安全系统设计和实施的复杂度
4 在保证一个智能物件要被数量庞大，甚至未知的其他设备识别和接受的同时，又要同时保证其信息传递的安全性和隐私权
5 多租户单一Instance服务器SaaS模式对安全框架的设计提出了更高的要求
对于上述问题的研究和产品开发，国内外都还处于起步阶段，在WSN和RFID领域有一些针对性的研发工作，统一标准的物联网安全体系的问题还没提上议事日程，比物联网统一数据标准的问题更滞后。这两个标准密切相关，甚至合并到一起统筹考虑，其重要性不言而喻。
物联网信息安全应对方式：
首先是调查。企业IT首先要现场调查，要理解当前物联网有哪些网络连接，如何连接，为什么连接，等等。
其次是评估。IT要判定这些物联网设备会带来哪些威胁，如果这些物联网设备遭受攻击，物联网在遭到破坏时，会发生什么，有哪些损失。
最后是增加物联网网络安全。企业要依靠能够理解物联网的设备、协议、环境的工具，这些物联网工具最好还要能够确认和阻止攻击，并且能够帮助物联网企业选择加密和访问控制（能够对攻击者隐藏设备和通信）的解决方案。

大数据时代如何立法保护用户隐私_数据分析师考试

随着互联网（特别是移动互联网）、物联网、云计算等信息技术的发展，大数据近年来得到迅猛发展。一些互联网企业、电信运营商纷纷推出了大数据发展战略，有关政策法规特别是涉及用户隐私的法律问题的研究成了大数据发展研究必不可少的一部分。然而，这里有许多问题尚存争议。

大数据发展呼唤用户隐私保护

互联网特别是移动互联网的创新发展，在给社会带来巨大价值的同时，也给用户信息（包括个人信息和法人信息）的保护带来了巨大挑战。其主要原因是：网络社会是一个陌生人的社会；隐私容易泄露，广电、通信网络具有形态多样、全空间传感、多媒体采集、传播及时、全球直达、自由交互、容量大、安全性差等特点；侵权行为主体的认定困难，人人都可以在网上采用匿名的方式发布信息，受害人、加害人、编者、作者、传播人、发布人一般都不是熟人关系，相关链条庞杂；隐私一旦遭受侵害，很难得到充分的救济，信息主体一旦被关注，通过网络即可源源不断地得到其丰富信息，因而大大放大了其危害。

网络社会与市场经济的双重发展，使得用户信息越来越有价值，其保护的重要性越来越突出。其合理利用和有效保护之间的矛盾也越来越突出。

包括互联网企业、电信运营商在内的信息运营商正在涉足“让数据转化为利润”或“数据货币化” 的数据经营（或称“大数据”）业务，以提升营销能力、管理能力，寻找更多数据增值产品方面的利润增长点。

跟踪研究国内外用户隐私保护法规政策的现状与发展趋势，可为大数据类的项目规避政策和法规风险，提出合理的立法诉求打下基础。

用户隐私保护的概念界定

隐私权的概念只有100多年的历史，最早是美国学者布兰代斯和沃伦1890年在《哈佛法律评论》所发之文《论隐私权》中提出来的，后被美国的判例所采纳，并逐渐被美国有关的法律确认，在世界范围内得到了广泛采用。目前，隐私权已经是两大法系普遍都接受或者认可的重要的法律概念，甚至成了宪法权利。

不过有意思的是：隐私权在美国和欧洲的核心理念有所不同：在美国更多意味着自由（美国最初的隐私权是指免打扰权或者独处权），而在欧洲更多意味着尊严，更多地与“人必须遮羞”联系在一起。这就是为什么斯诺登事件在美国和欧洲的法律界和公众中引起的反应有所差异的原因。

用户隐私权（本文主要是指个人隐私权），一般来说是指以信息所属主体私密利益为内容的民事权利。由于目前个人隐私基本没有财产属性，或财产属性还比较弱，故隐私权一般被纳入人身权的范畴。

用户隐私权的保护实际是指用户隐私信息的保护。一般将个人隐私信息中那些一旦泄露即可识别用户主体的信息称之为个人识别信息，即属于隐私敏感的信息。例如：姓名、住址、身份z号、手机号、电子邮件地址、QQ号、微信账号等。

用户隐私保护和信息安全的概念密切相关。英文的Cybersecurity在中国官方语言中近似的词（如中国政府向ITU等组织提交提案时使用的）是“网络与信息安全”，包括网络安全和信息安全两方面。“网络安全”包括访问控制、入侵检测、身份识别等，“信息安全”实际主要是指内容安全。用户隐私保护是信息安全的一部分。本文仅研究其“法律权利与义务”部分。

用户隐私保护，核心是尊重信息主体的个体意志，即信息主体享有其个体信息的自由支配权，包括信息披露的范围、对象、方式等。

有争议的隐私法律问题

· 实名制—有作用吗？大规模泄露用户隐私谁负责？

实施网络用户身份实名制（包括电话实名制和网络登录实名制）的初衷是防止犯罪（如恐怖袭击）和网络匿名诽谤。韩国是第一个推行实名制且推行得最彻底的国家，但因大规模用户隐私暴露，韩国政府终于退让，改为限制网站收集和登记用户身份z行为。

国际上的争议是：网络实名制对解决其初衷问题似乎作用不大，却反而抑制了网络的使用。如首尔大学的研究表明，诽谤跟帖数量从实名制实施前的139%仅下降到了后来的122%。而网络论坛平均参与者从2500余人锐减到不到800人。网络实名制让更多的人在网上选择沉默。但是，即便沉默，个人信息依然有被窃取的可能。

· 关于数据最长保存时间—运营商的数据就是其资产吗？

在大数据时代，一般认为，数据即资产。然而部分互联网企业遭遇的案例，对该想法构成了挑战：2009年，欧盟数据保护工作组分别致信谷歌、微软和雅虎三大搜索巨头，认为搜索引擎服务商保护用户搜索记录时间超过6个月的理由并不成立，因此要求这三大搜索引擎商必须缩短用户搜索信息的保留时间。目前，中国一般是规定用户数据（如通话详单）的最短保存时间，或许将来还会规定最长保存时间。

· 用户信息的二次利用问题—是告知与许可？还是让信息使用者承担责任？

“告知与许可原则”面临着挑战。由于大数据的价值越来越多地源于用户数据的二次（及以上）利用。这就有可能颠覆目前通行的“告知与许可原则”，即信息收集者必须事先告知用户其数据的用途。有些数据开发如要征得用户同意，在技术、人力、财力、时间（包括及时性和耗时）及商业保密考虑上，实际都是不可能的。

尽管在很多场合，信息运营商预先提供了格式的隐私保护声明，让用户选择“同意”或“不同意”。但用户实际上并不去仔细阅读这些烦琐的法律文件，而选择信任有信誉和品牌的信息运营商。因此，可能的替代规则是：让信息使用者自己承担责任。因为他们自己最容易把握其风险和收益。

· 大数据时代匿名原则失效了吗 ？

匿名使用原则是一般的原则，但其有失效的例子。2006年8月，美国在线（AOL）公布了大量的旧搜索数据以供社会研究。这些数据被作了精心的匿名化即用户姓名和地址等个人信息都采用特殊的数字符号代替。尽管如此，《纽约时报》还是在几天之内通过对搜索记录综合分析后，发现数据库中的“4 417 749号”代表的是佐治亚州利尔本的一位62岁寡妇塞尔玛·阿诺德。由此引起了公愤，导致美国在线的首席技术官和另外两名员工被开除。由此是否可以得出这样的结论：在网络时代，匿名化（或单纯隐藏）对大数据可能是无效的。

· 个人动机与预测分析—人需要为其行为倾向负责吗 ？

由于大数据最重要的应用是预测，故未来可能单凭人的犯罪动机，就可以实施对其逮捕。相似的原理也适用于政府管理社会和企业管理员工的重大决策。因此，必须拓宽对公正的理解，保护个人动机，以维护人们选择自我行为的自由意志，即个人可以并应该为他们的实际行为而非行为倾向负责。就像目前我们为程序公正所作的努力一样。

· 隐私权的可克减性原则—隐私保护与公共利益如何权衡？

隐私权的可克减性是指与生命权、健康权等不同，隐私权利应在一定情况下受到限制，甚至在特定情况下可以暂时停止权利人行使权利，或者在其与其他权利发生冲突时，优先保护其他权利。

在一些涉及公共卫生（如流行病）的个人隐私的统计、搜集方面，人们比较能达成一致。但涉及诸如国家安全之类问题时（例如美国斯诺登“棱镜”项目），争议就比较大了。

一般认为，公众人物（如明星、官员）的隐私权应该小一些。

总之，在大数据时代，用户隐私保护必须得到切实加强，但也应研究修改、设定相关政策法律，以适应时代发展的需要。

以上是小编为大家分享的关于大数据时代如何立法保护用户隐私的相关内容，更多信息可以关注环球青藤分享更多干货

物联网是一个非常先进的、综合性的和复杂的系统。其最终目标是为单个产品建立全球的、开放的标识标准，并实现基于全球网络连接的信息共享。物联网（Internet
of
Things）理念指的是将无处不在（Ubiquitous）的末端设备（Devices）和设施（Facilities），包括具有“内在智能”的设备如传感器、移动终端、工业系统、楼控系统、家庭智能设施、视频监控系统等，以及具有“外在使能”（Enabled）的物品如贴上RFID的各种资产（Assets）、携带无线终端的个人或车辆等“智能化物件或动物”、通过各种无线和/或有线的长距离和/或短距离通信网络实现互联互通（M2M）、应用大集成（Grand
Integration）。
物联网功能在于，能基于云计算的SPI等营运模式，在内网（Intranet）、专网（Extranet/***）或互联网（Internet）环境下，采用适当的信息安全保障机制，提供安全可控（隐私保护）乃至个性化的实时在线监测、定位追溯、报警联动、调度指挥、预案管理、进程控制、远程维保、在线升级、统计报表、决策支持、领导桌面（Dashboard）等管理和服务功能，实现对“万物”（Things）的“高效、节能、安全、环保”的“管、控、营”一体化服务。
具体的来说，物联网的基本功能特征是提供“无处不在的连接和在线服务”（Ubiquitous
Connectivity），
具备十大基本功能。
在线监测：这是物联网最基本的功能，物联网业务一般以集中监测为主、控制为辅。
定位追溯：一般基于GPS（或其他卫星定位，如北斗）和无线通信技术，或只依赖于无线通信技术的定位，如基于移动基站的定位、RTLS等。
报警联动：主要提供事件报警和提示，有时还会提供基于工作流或规则引擎（Rule“s
Engine）的联动功能。
指挥调度：基于时间排程和事件响应规则的指挥、调度和派遣功能。
预案管理：基于预先设定的规章或法规对事物产生的事件进行处置。（证据采集）
安全隐私：由于物联网所有权属性和隐私保护的重要性，物联网系统必须提供相应的安全保障机制。
远程维保：
这是物联网技术能够提供或提升的服务，主要适用于企业产品售后联网服务。
在线升级：这是保证物联网系统本身能够正常运行的手段，也是企业产品售后自动服务的手段之一。
领导桌面：
主要指Dashboard或BI个性化门户，经过多层过滤提炼的实时资讯，可供主管负责人实现对全局的”一目了然“。
统计决策：
指的是基于对联网信息的数据挖掘和统计分析，提供决策支持和统计报表功能。

---