大数据背景下网络信息安全风险与防范策略研究
2019-12-24李建新
◆李建新
(常州信息职业技术学院 江苏 213164)
摘要:大数据时代背景下的网络安全面临新的风险,信息泄露、信息诈骗和拖库与撞库等技术手段层出不穷。面对新的形势,通过增强主观意识、完善漏洞共享平台、加强身份鉴权和建立健全法律保障体系等有效措施来保障网络信息的安全。
关键词:大数据;信息安全;防范
0 引言
当今的社会是一个高速发展的社会,科技的进步让人与人之间的交流越来越密切,生活也越来越便利,大数据的应用越来越彰显它的优势。互联网公司、电子商务、O2O和生产型企业等都在借助大数据技术进行产品销售的预测、消费者行为判断和风险预警,从而改善与优化公司的资源调配,进行精准营销。在大数据给我们带来便利生活、创造价值的同时,我们也应该清醒地认识到大数据背景下的网络信息安全问题。
1 大数据背景下网络信息安全面临的风险与挑战
1.1 信息泄露
中国互联网络信息中心发布的第42次《中国互联网络发展状况统计报告》指出,截至2018年6月30日,中国网民规模达8.02亿,互联网普及率为57.7%。用户的数据不再仅仅是从Web浏览器的Cookie中产生,智能电子设备、网络搜索引擎、地图定位导航、电子商务、媒体社交等在这些环节中都在产生数据。从用户终端、传输管道到云端存储都存在着信息泄露的可能。而背后的各电商平台、社交软件和广告商等都在收集这些信息,利用大数据技术分析用户行为,利用终端 APP甚至植入木马向用户推送各种促销广告从而带来商机与利益。通常情况下,导致用户信息泄露主要有以下途径:①掌握用户信息的公司因系统漏洞遭受恶意攻击、员工主动倒卖导致群体性信息泄露。②电脑、手机等终端设备因感染病毒、木马,甚至访问钓鱼网站、设备保管不善等都会造成个人信息的泄露。
1.2 信息诈骗
信息诈骗是指利用手机短信骗取金钱或财务的行为。随着科技的发展,更多的科技产品、信息化的服务开始走进人们的生活。例如,人们在各大电子商务网站购买商品,从订单的生成到商品到达客户的手里,在整个商品运送的过程中,很多环节都会存在个人信息的泄露。而不法分子通过购买等不法行为收集用户的个人信息,再进一步通过手机、伪基站发送诈骗短信、拨打诈骗电话。而这些实施诈骗的不法分子,因为已经有了部分用户信息,再通过虚设的购物、中奖、退税、违禁品、家人受伤住院、公检法、勒索恐吓等多种方式诱导用户实施诈骗行为。近来,随着网络支付的普及与便捷性,通过替换二维码变更收款账户、诱导用户访问钓鱼网站等新形态的信息诈骗方式层出不穷。
1.3 拖库与撞库
拖库是指黑客盗取了一些网站的数据库,获取了用户的账户信息,其中主要是用户名、密码、邮箱、密保信息等。撞库是指黑客利用拖库获得的用户名和密码在其他网站进行批量登录,测试出有效的用户名和密码,通过撞库,获取更有价值的信息。由于用户的使用习惯和安全风险意识较低,往往会在多个网站使用相同的用户名和密码,这就为撞库带来了一定的成功概率。现如今,依然还有一些不负责任的网站,将用户的密码以明文的形式存放在数据库中,在这样的情况下,一旦数据库被拖库,黑客直接就可以利用明文的用户名和密码进行撞库。因此出于安全的考虑,一般需要将用户的密码做一次或多次,甚至配合盐值进行MD5加密,然后存放在数据库中。虽然说MD5算法本身是不可逆的,但也已经被证明存在碰撞的可能。现实应用中,没有加盐值的密文往往借助MD5字典来进行破解。
2 大数据背景下网络信息安全风险防范策略分析
2.1 增强个人信息安全风险防范意识
个人信息泄露的源头是用户个人自身。因此在个人信息安全保护的过程中,个人作为信息的给予方,需要增强自我风险防范意识,主动接收信息安全的教育,借鉴他人的经验,了解常见的信息诈骗的方式、方法和手段、养成良好的上网行为和习惯,妥善保管自身的密码,采取有效保护措施来保护自身的信息安全。
2.2 建立完善漏洞共享平台
信息的泄露,一方面是由于个人意识,管理制度等人为原因;另一方面是由于各大操作系统、网站、数据库等系统应用软件的漏洞。目前国内的主要漏洞共享响应平台主要有国家信息安全漏洞共享平台CNVD、国家信息安全漏洞库CNNVD、补天漏洞响应平台、绿盟漏洞库等。建立、完善和整合漏洞共享平台,将国家政府部门、重要的信息系统用户、运营商、主要安全厂商、软件厂商、科研院所、互联网用户等建立软件安全漏洞统一收集、验证、预警发布及应急处置体系,通过这一平台,提升安全软件漏洞整体研究水平与网络安全预防能力,提高信息系统的安全性,带动信息安全产业的发展,从而降低信息安全的风险。
2.3 加强身份鉴权机制
传统的身份鉴别主要采用口令的方式。采用这种方式,技术实现比较简单,经济成本较低,口令一般由长度是5-8位的数字、字母及特殊字符组成。但采用口令的方式比较容易造成信息泄露,有很大的安全隐患。而较为可靠的标记技术正逐渐得到应用和发展,比如:指纹、虹膜、人脸识别、步态等新型身份识别技术正在降低实施门槛,为今后的身份鉴权提供有效的解决方案。
2.4 建立健全网络安全相关法律法规制度体系
信息化产业已经成为国家的支柱产业,信息化的高速发展给各行各业带来了发展的同时,也给国家的法律法规体制带来了严峻的挑战。各种网络安全事件层出不穷,一旦处理不当会给国民经济造成重大损失,也可能爆发大规模的群体事件。2017年1月1日实施的《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。网络立法是网络信息安全管理法制化的首要环节,加强建立健全相关法律法规制度体系建设,才能适应当前大数据背景下网络信息安全环境的需要。
3 总结
大数据时代的到来,一方面给各行各业带来了新的机遇,另一方面也给产业的发展带来了新的挑战,在肯定大数据带来的各种便利的同时,我们也应该清醒地认识到大数据背景下网络信息安全存在的各种风险。充分发挥个人、政府、企业及相关部门的力量,统筹协调推进,才能使得网络信息安全得到切实有效的保障。
