大數(shù)據(jù)時代的隱私保護(hù)

責(zé)任編輯:editor007

作者:張放

2016-12-31 20:17:04

摘自:中國經(jīng)濟(jì)網(wǎng)

隨著數(shù)據(jù)發(fā)掘的不斷深入和在各行業(yè)應(yīng)用的不斷推進(jìn),大數(shù)據(jù)安全的“脆弱性”逐漸凸顯,國內(nèi)外數(shù)據(jù)泄露事件頻發(fā),用戶隱私受到極大挑戰(zhàn)。在大數(shù)據(jù)環(huán)境下隱私泄露的危險

隨著數(shù)據(jù)發(fā)掘的不斷深入和在各行業(yè)應(yīng)用的不斷推進(jìn),大數(shù)據(jù)安全的“脆弱性”逐漸凸顯,國內(nèi)外數(shù)據(jù)泄露事件頻發(fā),用戶隱私受到極大挑戰(zhàn)。而且在大數(shù)據(jù)環(huán)境下隱私泄露的危險,不僅僅在于泄露本身,還在于基于數(shù)據(jù)對下一步行動的預(yù)測和判斷,因此大數(shù)據(jù)時代的隱私保護(hù)儼然成為大數(shù)據(jù)應(yīng)用發(fā)展的一項重要課題。

目前隱私數(shù)據(jù)泄露的主要途徑包括以下兩個方面:非交互式泄露:主要指在信息系統(tǒng)內(nèi)部的隱私泄露,多發(fā)生在業(yè)務(wù)流程中有多個節(jié)點可以對數(shù)據(jù)進(jìn)行訪問;交互式泄露:主要是針對信息使用傳遞過程中發(fā)生的泄露,可能發(fā)生在區(qū)域性平臺數(shù)據(jù)交互等環(huán)節(jié),雖然有基于角色訪問控制的技術(shù),但是在權(quán)限分級、設(shè)定、信息分級等方面有較大的難度。

面對隱私數(shù)據(jù)泄露的隱患,很多情況下,人們認(rèn)為只要對數(shù)據(jù)進(jìn)行匿名處理或者對重要字段進(jìn)行保護(hù),個人隱私就是安全的,但是大量的事實已經(jīng)證明,可以通過收集其他周邊信息對具體個人進(jìn)行定位和辨識,下面就結(jié)合目前已有的技術(shù)手段對隱私保護(hù)進(jìn)行分析。

1.信息加密與隱私保護(hù)

在很多信息管理軟件中會應(yīng)用哈希(Hash)和加密(Encrypt)進(jìn)行數(shù)據(jù)保護(hù),哈希是將目標(biāo)對象轉(zhuǎn)換成具有相同長度的、不可逆的雜湊字符串(或叫作信息摘要),而加密是將目標(biāo)文本轉(zhuǎn)換成具有相同長度的,可逆的密文。在被保護(hù)數(shù)據(jù)僅僅用作比較驗證,以后不需要還原為明文形式時使用哈希,如果被保護(hù)數(shù)據(jù)在以后需要被還原為明文時,則使用加密。這兩種方法均可以保證在數(shù)據(jù)庫被非法訪問的情況下,隱私或敏感數(shù)據(jù)不被非法訪問者直接獲取,比如數(shù)據(jù)庫管理員的口令在經(jīng)過哈?;蚣用芎?,使入侵者無法獲得口令明文,也無法擁有對數(shù)據(jù)庫數(shù)據(jù)的查看權(quán)限。

2.標(biāo)識隱私匿名保護(hù)

標(biāo)識匿名隱私保護(hù),主要都是采取在保證數(shù)據(jù)有效性的前提下?lián)p失一些數(shù)據(jù)屬性,來保證數(shù)據(jù)的安全性,通常采用概化和有損連接的方式,同傳統(tǒng)泛化/隱匿方法相比,其在信息損失量和時間效率上具有明顯的優(yōu)勢,在數(shù)據(jù)發(fā)布中刪除部分身份標(biāo)識信息,然后對準(zhǔn)標(biāo)識數(shù)據(jù)進(jìn)行處理,當(dāng)然任何基于隱私保護(hù)的數(shù)據(jù)發(fā)布方法都會有不同程度的損失,對于發(fā)布后的重構(gòu)數(shù)據(jù)不可能,也不應(yīng)該恢復(fù)到原始數(shù)據(jù),所以未來在兼顧可用性與安全性的前提下,需要一種新的算法來找到可用與安全的折中點。

3.數(shù)據(jù)的分級保護(hù)制度

不同的信息在隱私保護(hù)中具有不同的權(quán)重,如果對所有信息都采用高級別的保護(hù),會影響實際運作的效率,同時也是對資源的浪費,但如果只對核心信息進(jìn)行保護(hù)也會通過關(guān)聯(lián)產(chǎn)生隱私泄露的隱患,所以需要建立一套數(shù)據(jù)的分級制度,針對不同級別的信息采用不同的保護(hù)措施,但是在不同行業(yè)中,由于涉及不同系統(tǒng)和運作方式,制定一套完善的分級制度還涉及以下的訪問權(quán)限控制問題。

4.基于訪問控制的隱私保護(hù)

系統(tǒng)中往往參與的人員節(jié)點越多,導(dǎo)致潛在泄露的點也越多,訪問控制技術(shù)可以對不同人員設(shè)置不同權(quán)限來限制其訪問的內(nèi)容,這其實也包括上面提到的數(shù)據(jù)分級問題,目前大部分的訪問控制技術(shù)均是基于角色的訪問控制,能很好地控制角色能夠訪問的內(nèi)容及相應(yīng)操作,但是規(guī)則的設(shè)置與權(quán)限的分級實現(xiàn)起來比較復(fù)雜,無法通過統(tǒng)一的規(guī)則設(shè)置來進(jìn)行統(tǒng)一的授權(quán),許多情況下需要對特定行業(yè)角色的特殊情況進(jìn)行單獨設(shè)置,不便于整體管理和調(diào)整。需要進(jìn)一步對規(guī)則在各行業(yè)的標(biāo)準(zhǔn)體系進(jìn)行深入研究。

通過對上面不同技術(shù)手段的分析可以看出,每項技術(shù)雖然各具特點,但在應(yīng)用和性能上都有一定的局限,一定程度上也缺乏標(biāo)準(zhǔn)制度的保障。目前在大數(shù)據(jù)領(lǐng)域針對隱私保護(hù)問題尚未建立起一套完整的保護(hù)體系和標(biāo)準(zhǔn),包括數(shù)據(jù)的存儲環(huán)節(jié)、訪問環(huán)節(jié)、應(yīng)用環(huán)節(jié)在內(nèi)尚未形成系統(tǒng)性的保護(hù),未來在構(gòu)建隱私保護(hù)體系時,在技術(shù)的基礎(chǔ)上,需要進(jìn)一步制定出相應(yīng)切實可行的制度來規(guī)范人們的行為以及技術(shù)手段的順利執(zhí)行。所以隱私保護(hù)離不開法律政策的支撐,也惟有通過技術(shù)手段和法規(guī)制度相結(jié)合,才能實現(xiàn)大數(shù)據(jù)領(lǐng)域?qū)?ldquo;不能說的秘密”真正的保護(hù)。(作者:工業(yè)和信息化部國際經(jīng)濟(jì)技術(shù)合作中心 張放)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號