在網(wǎng)絡(luò)時代的今天,數(shù)據(jù)信息是否安全時刻觸動著每個人的心弦。有關(guān)專家告訴《中國科學(xué)報》記者,盡管大數(shù)據(jù)已使用多年,但在技術(shù)監(jiān)管領(lǐng)域,各環(huán)節(jié)仍存在諸多技術(shù)難點。
數(shù)據(jù)來源是否可靠待鑒定
據(jù)了解,此次大數(shù)據(jù)安全整治檢查中一項重點工作是對合法采集內(nèi)容與非法采集內(nèi)容進行分類。其中,對于非法采集信息,將進行集中打擊、銷毀;對合法、合規(guī)采集的信息,則納入保護監(jiān)管范圍。
浙江大學(xué)網(wǎng)絡(luò)空間安全研究中心主任任奎表示,從網(wǎng)絡(luò)安全的角度來看,首先,大數(shù)據(jù)在采集的過程中一方面需要考慮對數(shù)據(jù)源進行認證,確保數(shù)據(jù)本身的可靠性,如何在不增加負荷的情況下,特別是針對物聯(lián)網(wǎng)中計算處理能力相對較弱的設(shè)備,實現(xiàn)有效的認證還有待研究。另一方面需要重視隱私保護,如何有效地對數(shù)據(jù)進行脫敏仍然存在挑戰(zhàn),當前比較熱門的方法諸如差分隱私技術(shù)仍在積極發(fā)展中。
“公民的信息是公民的私有財產(chǎn),如果不對數(shù)據(jù)進行溯源來證明數(shù)據(jù)來源渠道,那么很可能助長非法數(shù)據(jù)來源的氣焰。”上海交通大學(xué)計算機科學(xué)與工程系教授朱浩瑾說。
中國科學(xué)院信息工程研究所DCS中心副研究員王躍武告訴記者,對于大數(shù)據(jù)而言,關(guān)鍵還是盡量將技術(shù)做到更完善,來保證數(shù)據(jù)分析結(jié)果的真實性、可靠性。
非關(guān)系型數(shù)據(jù)庫為數(shù)據(jù)存儲主流
提及目前大數(shù)據(jù)存儲環(huán)節(jié)存在的問題,任奎告訴記者,目前的主要問題是如何在有效保護數(shù)據(jù)的前提下,完整支持傳統(tǒng)的功能,諸如常見的搜索、排序、聚合分析等,當前相關(guān)安全技術(shù)與明文應(yīng)用相比,尚存在功能和性能上的差距,有待提高。
“此外,還應(yīng)該考慮如何進行安全去重等實際需求,從而減輕數(shù)據(jù)存儲的壓力,但這與‘備份’這種主動的防災(zāi)機制是不同的,相關(guān)安全技術(shù)在安全與性能的平衡方面仍然需要進一步研究。”任奎補充道。
采訪中,針對大數(shù)據(jù)的存儲技術(shù),王躍武與任奎一致認為,從軟件層面比較主流的是基于分布式系統(tǒng)的非關(guān)系型數(shù)據(jù)庫。
據(jù)了解,非關(guān)系型數(shù)據(jù)庫的優(yōu)點主要在于易擴展、高性能等,但是也存在諸如標準化不足、功能支持不夠豐富等缺點。常見的分類有鍵值存儲、列存儲、文檔存儲以及圖存儲。但是,如何權(quán)衡實際應(yīng)用中的需求,比如系統(tǒng)的一致性、可用性以及分區(qū)容錯性等,并提供定制化的技術(shù),仍有大量工作要做。
如何避免“中間人”的攻擊?
任奎表示,數(shù)據(jù)在網(wǎng)絡(luò)中進行傳輸,也需要防止監(jiān)聽、篡改這類傳統(tǒng)的“中間人”攻擊等,因此端到端加密是很有必要的。但是,端到端加密技術(shù)仍然面臨很多新型側(cè)信道攻擊來窺探隱私的挑戰(zhàn),尤其是最近一些以人工智能方法來展開的側(cè)信道分析工作也說明了這一領(lǐng)域仍然有很多問題需要解決。“除此以外,端對端加密雖然好用,但同時也給網(wǎng)絡(luò)入侵檢測、加密數(shù)據(jù)防火墻的設(shè)計帶來更多的挑戰(zhàn),如何安全、高效地支持這類應(yīng)用還需要進一步研究。”任奎說。
360安全專家劉洋曾在接受記者采訪時表示,傳統(tǒng)的網(wǎng)絡(luò)安全思路已經(jīng)無法保障大數(shù)據(jù)時代的安全。傳統(tǒng)網(wǎng)絡(luò)安全的防護思路是劃分邊界,將內(nèi)網(wǎng)、外網(wǎng)分開,業(yè)務(wù)網(wǎng)和公眾網(wǎng)分離,用終端設(shè)備將潛在風險隔離。通過在每個邊界設(shè)立網(wǎng)關(guān)設(shè)備和網(wǎng)絡(luò)流量設(shè)備來守住“邊界”,以期解決安全問題。但隨著移動互聯(lián)網(wǎng)、云服務(wù)的出現(xiàn),移動終端在4G信號、Wi-Fi信號、電纜之間穿梭,網(wǎng)絡(luò)邊界實際上已經(jīng)消亡。
大數(shù)據(jù)銷毀并非簡單的“刪除”“清空”
在朱浩瑾看來,在我國,數(shù)據(jù)銷毀仍是一個不小的問題。他指出,歐盟出臺的《通用數(shù)據(jù)保護條例》中明文規(guī)定了用戶的“被遺忘權(quán)”,即用戶個人可以要求責任方刪除關(guān)于自己的數(shù)據(jù)記錄,而國內(nèi)的法律無此規(guī)定。此外,企業(yè)究竟有無對數(shù)據(jù)進行銷毀,在技術(shù)上并不好驗證。“比如你的手機移動端可以進行一些設(shè)置,但是服務(wù)器端你怎么知道有沒有銷毀?”朱浩瑾補充道。
任奎指出,大數(shù)據(jù)的銷毀是實現(xiàn)數(shù)據(jù)有效管理的必要過程,其過程并非簡單的“刪除”“清空”,如何保證指定的內(nèi)容確實被“清除”與“銷毀”,除了技術(shù)層面的發(fā)展,仍需要建立行之有效的規(guī)范,例如美國國防部的DoD 5220.22-M規(guī)范。
對此,王躍武表達了不同意見。他表示,大數(shù)據(jù)時代,數(shù)據(jù)來源是一個由線到面的過程,銷毀從本質(zhì)上來講是一種消極的做法。“大數(shù)據(jù)如同金礦,我們盡力從中淘出金子,然后將其保護好,這才是我們該做的。”王躍武說。