2013年1月2日的存档

大数据时代下的信息安全 (2013-1-2)

刚写了一篇安全危机,就发生了两件事,一件坏事,另外一件也许算是好事。第一件是王小山被链家连续骚扰一个月,在微博上大体看到了事情的发展,链家从哪里拿到了王小山的房产信息和个人联系信息的,这是一个问题,就跟我一直在担心大数据时代个人的数据信息被人出卖给合法以及非法的组织一样。第二件事情现在网上闹得很凶,人大常委会制定了一个法规:《关于加强网络信息保护的决定》,这个事情好的一面是开始了网络信息有序化和制约的机制,不好的一面就不说了,不同的人有不同的解读。但我还是觉得很悲观,中国人如果不能解决有法不依的局面,多好的法律都实际用途不大。制定了信息保护的机制,也很难保证个人的这些信息不被滥用,不被盗用的问题。
在大数据时代下,恐惧的不仅仅是信息的保护问题,还涉及到这些数据的本身的特性的问题。网络信息有几个特性,其一是信息是不灭的,它不像有形的物质,假如一个杯子被打碎了,虽然构成杯子的物质并没有变,但它已经不是那个杯子了。而信息不同,它是不灭的,自从产生之后,信息就可以不停的变换载体,或者是磁盘,或者是光盘,这些承载体可以被销毁,但信息本身并没有被消灭。这就是说,你的个人数据一旦出现在网络上,就很难真的全面擦除掉。其二是信息可以廉价复制,广泛传播。信息的复制不像有型物质的复制,一条复杂信息复制成一千万份很容易。也就是说这些数据可以大量地复制,广泛地传播,开销很小。其三是信息的时效性。我们通常说时效性是这个信息的价值在时间点不同是不同的,但时效性可以另外来解释,就是信息是可记录的,可回溯的,十年前的数据,今天仍然可以检索到,你十年前在网上发过的一帖子,在今天仍然会被人看到。大数据这个概念一经提出,就打开了一个窗户,大家可以根据信息的特性来挖掘和处理这些数据,在这里,数据信息的时效性就价值巨大了,当时没有用,可以保留下来,时间长了之后根据时间轴来关联,就能发现很多东西。人的记忆总是会遗忘,人们总是对这种遗忘的记忆感到很遗憾,但现在,进入了大数据时代,网络不但能记住你所有的一切,还不停的在里面翻箱倒柜的查找和分析,一切都可以被量化,是不是更让人感觉崩溃?
记得有一次看香港的一个颁奖晚会,黄秋生在以《无间道》获奖的时候上台引用了狄更斯《双城记》中的一句话“这是最好的时代,这是最坏的时代”!对这一幕,我印象很深刻,我认为这句话也是对大数据时代最好的描述。网络和通信的发展,积累到现在,有足够多的数据和参与者,有足够多的应用,演进到了挖掘和使用这些数据的阶段,不仅仅是信息产业,很多传统产业也开始考虑怎么使用这些海量的数据。不仅仅是创业公司要在这里面发掘出更多的商业机会,很多大数据的拥有者本身,也希望通过这些数据在某种程度上预见未来,给公司或者机构的决策提供依据,给自己的业务增加附加值。更多的公司,希望通过对这些海量的数据进行挖掘,获得自己感兴趣的东西,以提供更个性化的服务,来获得用户。比如广告公司,就是典型,通过对用户群体的数据挖掘,可以找到更具针对性的广告投放方式和内容,对广告对象的价值排名,高价值用户就可以试用较高付出的方式来进行广告投放,假如有一天你收到了杜蕾斯公司首席执行官签名赠送的套装礼物,别意外,那肯定是你在各种网店网购了许多该公司产品之后作为VIP用户获得的回馈。王小山的遭遇只是一个初级的阶段,地产中介知道了优质房源,才会锲而不舍的连续打一个月电话找你。当有一天中介公司根据你的收入水准和你以及女朋友所在公司的位置为你量身打造的一套出租房信息并主动联系你的时候,才稍微有点大数据时代的样子!移动运营商、搜索引擎服务商、淘宝这样的网络购物平台、SNS服务商以及各种网络和手机应用服务商,当他们都开始在海量数据里分析和提炼有价值的数据,可以为你进行更加体贴和个性的服务,这很好。不好的是,他们知道了你的一切,只有你自己知道的一切,都不再是秘密;更不好的是,这些数据的拥有者联合起来分析的时候,你,就是一个透明体;更更不好的是,这些数据可能会被他们卖给别人,尽管有了法律和制约,他们不能卖给那些不怀好意的组织和机构,但如果法律那么有用,这个世界还需要法庭干什么。作为个体的个人,面对这些数据,基本是逃无可逃,你无法保障你的数据不会被分析和滥用。
用淘宝的时候,经常会去看一个猜猜你喜欢的宝贝这个栏目,经常发现自己确实是很喜欢这个东西,然后加入收藏。在亚马逊买书的时候,也经常参考根据我的购书记录或者收藏推荐的书,大部分推荐的还真是我感兴趣的。我想他们如果愿意的话,可能可以分析出我的身高体重,兴趣爱好,有什么嗜好,可以分析出我的所在公司,薪金待遇,富有情况,有没有车有没有房有没有结婚有没有孩子,甚至包括我的性格和为人这些东西。最近用手机,发现每一个应用都在打开的时候询问,是否允许给我发消息是否可以记录我的位置信息是否能反馈数据,这些应用大部分都跟位置服务没有什么关系或者一丁点儿的关系,它们这是在干什么?明显的是在收集我的信息,收集我的爱好,收集我的习惯。手机这东西一直随身,24小时全天候的信息,都在泄露出去。也许哪一天我走到一条街道,就有人自动给我发这条街道的打折店信息。最近我老收到联通的电话,盛情邀请我使用联通的服务,免费赠送联通电话号码,他们怎么会知道我用苹果手机使用移动的服务?然后过了几天,移动也给我来电话,说我如果扣除60元话费,移动将在以后的一年里每月给我10元话费,他们怎么知道联通给我打过电话,他们怎么知道我用的是什么服务?都是手机泄露的秘密!移动运营商,网络服务商,银行,这些你经常打交道的服务,他们知道你太多的信息和秘密。
我们都是习惯的奴隶,我们的行为同质化同类化的情况是非常严重的,很多人的邮件账户和网络各种账户都有很重的关联,每一个需要注册邮箱的地方,都存在这个问题,没有人会申请无数个邮箱来使用这些服务。需要密码的地方实在太多了,多到没有办法每个账户都使用不同的密码。当你的所有网络数据都无法避免的被人拿到之后,破解你的账户和密码,也许就是几分钟的事,有你的出生年月日,有你的重要纪念日,知道你老婆孩子的生日,知道你的住房地址,知道你的手机号码,知道你的座机号码,甚至知道你十年前的各种数据,破解这些,对于一个黑客来说,也许只需要一个简单的字典加一些简单的算法,就足够了。特别是,如果你在某个网站或者服务的账号密码被泄露的情况下,黑客知道了你的某一个邮件关联的账户名称和秘密,再去破解其它的就更加简单。对于大部分人来说,这些行为是完全同质化的。2011年底,CSDN大规模数据遭到泄露,很多账户密码被公开的发到网上共享,虽然由此引发了很多人的恐慌,但更多人的人,可能到现在也不知道他们的账户密码已经被别人知道了,这么长时间里也没有修改过自己的密码。这是大数据时代信息危机的一个典型例子,CSDN被破解,对用户的直接危害很小,但如果这些数据和大量网民的其它信息作一个关联,带来的危害就很大,特别是,如果你的个人通信服务和工具的账户密码和这些有关联甚至同类的话,黑客通过顺跟摸瓜的方式,很容易破解你的其它账户,直到破解你的银行账号。
和大数据同时并称的概念,还有一个云计算,在很多情况下,这两种技术和概念几乎是互相依托存在,焦不离孟孟不离焦。大数据需要云的概念来进行存储、计算和分析,云计算服务需要大数据来支撑。这两个东西加在一起,对传统的网络有一个很大的颠覆,带来的安全问题更为严重和可怕。云计算有几个特点,首要的当然是分散,分散存储分散计算分散服务。云计算是分布式计算、并行计算、效用计算、网络化存储、虚拟化、负载均衡等技术发展融合的产物。看了这些名词就知道云计算和传统的差别了,这个体系相比传统的网络结构来说,复杂和离散了很多,弹性大了很多。传统安全体系的设计架构和方法,将受到更大得多的挑战。当一个企业把数据存储在中心服务器的时候,只需要保证这个服务器的安全就够了,但在云计算的架构上,对这个中心服务器的安全措施,需要复制到所有存放数据的云节点上去才行,还不包括节点之间怎么样保证安全的数据交互。以前只要保证中心服务器的管理员的安全能力,现在要对所有能访问和维护的人员进行同样的能力要求。如果云是覆盖全国的,或者覆盖全球的,那么在其它国家和地域的数据更无法保证安全,保证不会被公开的拿走。看过听过多场的云安全的论坛和会议,现在提出的一些安全保证架构和方法,很明显还无法保障云计算和大数据能够得到安全的保护。
在大数据时代,数据安全的重要性,已经到了一个举足轻重的程度,不重视安全的企业,也许就会在某一天,突然的垮掉,不仅仅是被外部攻击,更大的可能是被用户完全的抛弃,你不保护我,我就放弃你,这没有什么好说的,当人们真切的感受的数据安全的重要性的时候。2012年移动和电信这样的运营商,纷纷成立了安全研究机构和执行机构,算是某种程度上对安全的重视,看到了不重视安全可能会带来的后果和危害。但这些机构的职能和权利还远远不够满足信息安全的需要。对于大部分网络企业来说,安全,以及数据安全,根本就没有放到一个足够的高度来看待。甚至很多网络企业的安全,就是网络工程师自己来负责安全的设计和维护。看看国内多少企业有首席安全官这个职位的,更多是首席信息官来监管安全,就是有CSO,其管理范围和在公司的话语权也是相当的弱势。对于国内大型运营商以及像淘宝、京东和腾讯这样有重量级海量数据的企业来说,可能负责信息安全职能的负责人,只是营运部门下属的一个二级甚至三级主管。在这样的情况下,信息安全,就仅仅只是一个好听的口号和宣传。这一点,从国内安全界的规模就可以看出来,国外安全界的产业规模是上千亿上万亿美金来计算的,营业额超过十亿百亿的安全企业不鲜见,国内安全界营业额超过一亿人民币的安全企业都屈指可数,这个差距是很巨大的。没有足够的盾,就无法挡住各种犀利的矛,没有足够的安全措施,就无法保护网络和数据的安全。希望国内的产业界能真正重视安全的问题,提高安全在公司和机构的分量。
2013年初于北京