大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)信息安全及防范措施

王路遙

摘要

隨著互聯(lián)網(wǎng)的高速發(fā)展，我國(guó)已快速進(jìn)入“數(shù)字經(jīng)濟(jì)”時(shí)代，“大數(shù)據(jù)”被廣泛應(yīng)用到日常生活的各個(gè)方面，給企業(yè)的發(fā)展提供了強(qiáng)有力的技術(shù)基礎(chǔ)和發(fā)展空間。與此同時(shí)，無(wú)論是國(guó)家監(jiān)管部門(mén)、國(guó)際組織還是普通用戶(hù)對(duì)信息安全重要性的認(rèn)識(shí)也在不斷加深，所以“大數(shù)據(jù)”的應(yīng)用也給企業(yè)提出更高的技術(shù)要求，需要應(yīng)用提供方提供更高效安全的算法，以及在新型數(shù)據(jù)分析、網(wǎng)絡(luò)傳輸、信息處理和存儲(chǔ)等多個(gè)方面提升安全性，尤其是涉及用戶(hù)個(gè)人信息等關(guān)鍵敏感數(shù)據(jù)的安全防護(hù)技術(shù)。本文以“大數(shù)據(jù)”時(shí)代為背景，探討網(wǎng)絡(luò)信息安全的相關(guān)風(fēng)險(xiǎn)，并就其防范措施展開(kāi)討論。

【關(guān)鍵詞】大數(shù)據(jù) 網(wǎng)絡(luò)信息安全 防范措施

“大數(shù)據(jù)”在互聯(lián)網(wǎng)的高速發(fā)展下應(yīng)運(yùn)而生，各類(lèi)數(shù)據(jù)信息通過(guò)網(wǎng)絡(luò)傳遞、交換、共享后提升了信息的利用效率，也提高了居民生活的便捷性，隨之而來(lái)的是信息泄露的風(fēng)險(xiǎn)性也相對(duì)提高。信息安全問(wèn)題主要體現(xiàn)在程序設(shè)計(jì)開(kāi)發(fā)存在安全漏洞、運(yùn)行和使用配置不當(dāng)、信息安全管理不到位以及保密意識(shí)薄弱等。為了解決這些問(wèn)題我們應(yīng)從技術(shù)和管理兩方面入手，通過(guò)程序結(jié)構(gòu)安全設(shè)計(jì)、漏洞掃描、網(wǎng)絡(luò)監(jiān)測(cè)、安全保密等多種技術(shù)提升安全性，同時(shí)制定并實(shí)施嚴(yán)格的安全管理制度。

1 大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的特點(diǎn)

在“大數(shù)據(jù)”的背景下，網(wǎng)絡(luò)信息安全問(wèn)題逐漸表現(xiàn)出三大特征：復(fù)雜性、嚴(yán)重性、易發(fā)性。

復(fù)雜性是指影響網(wǎng)絡(luò)信息安全因素呈現(xiàn)出復(fù)雜化和多元化的趨勢(shì)，風(fēng)險(xiǎn)和威脅不僅僅來(lái)自于傳統(tǒng)的病毒入侵、惡意攻擊、軟硬件故障等，還來(lái)自于“大數(shù)據(jù)”分析之后基于用戶(hù)行為特征產(chǎn)生的新安全風(fēng)險(xiǎn)，如從不同途徑獲取的信息整合后就可以得出用戶(hù)畫(huà)像和用戶(hù)習(xí)慣，對(duì)個(gè)人隱私和安全造成威脅。

其次嚴(yán)重性是指一旦信息安全受到破壞，其后果之嚴(yán)重不可預(yù)計(jì)。徐玉玉被電信詐騙案、勒索病毒爆發(fā)、多家外賣(mài)平臺(tái)信息泄露等諸多信息安全事件無(wú)不是為信息行業(yè)從業(yè)者敲響了警鐘。國(guó)家有關(guān)監(jiān)管部門(mén)及國(guó)際組織也關(guān)注到了網(wǎng)絡(luò)信息安全的重要性。2018年6月公安部發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》中特別增加了對(duì)“大數(shù)據(jù)”等新技術(shù)新應(yīng)用的風(fēng)險(xiǎn)管控要求，11月又發(fā)布了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指引》（征求意見(jiàn)稿），同時(shí)多次開(kāi)展App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理行動(dòng)。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效近一年就收到了近10萬(wàn)起投訴，說(shuō)明個(gè)人用戶(hù)對(duì)于“大數(shù)據(jù)”背景下的個(gè)人信息安全也有了深刻的認(rèn)識(shí)。國(guó)際標(biāo)準(zhǔn)化組織ISO相繼發(fā)布ISO27017和ISO27018標(biāo)準(zhǔn)，補(bǔ)充了ISO27000系列標(biāo)準(zhǔn)在云服務(wù)和個(gè)人信息安全上的不足。

易發(fā)性是指信息安全事件的發(fā)生頻率越來(lái)越高。目前各類(lèi)互聯(lián)網(wǎng)應(yīng)用百花齊放，都保留有大量用戶(hù)信息，但各家應(yīng)用提供方的安全防范水平和風(fēng)險(xiǎn)意識(shí)參差不齊，信息安全技術(shù)的交流和共享嚴(yán)重不足，而0day交易、數(shù)據(jù)盜取販賣(mài)等黑色產(chǎn)業(yè)的技術(shù)積累和交換反而發(fā)展的更加迅速。

2 淺析網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的成因

2.1 缺乏相應(yīng)的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)防范經(jīng)驗(yàn)

在實(shí)際應(yīng)用過(guò)程中，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)有一部分是來(lái)自于操作系統(tǒng)或應(yīng)用自身在開(kāi)發(fā)過(guò)程中存在漏洞，如軟件架構(gòu)未進(jìn)行安全評(píng)估、安全團(tuán)隊(duì)在軟件開(kāi)發(fā)過(guò)程中介入較晚、使用的開(kāi)源代碼本身包含漏洞、Intel等硬件提供商存在漏洞等。另外還有來(lái)自軟件傳播或用戶(hù)安裝使用方面引入的風(fēng)險(xiǎn)，比如仿冒軟件提供商的釣魚(yú)網(wǎng)站、第三方下載網(wǎng)站加殼修改、用戶(hù)尋求盜版等。通常來(lái)說(shuō)，操作系統(tǒng)或應(yīng)用自身帶來(lái)的安全風(fēng)險(xiǎn)通過(guò)軟件更新和安裝補(bǔ)丁等手段可以得到修復(fù)和控制，而用戶(hù)在下載和使用軟件過(guò)程中造成的后門(mén)植入、病毒木馬等風(fēng)險(xiǎn)往往更容易造成信息泄露并對(duì)使用者產(chǎn)生較大影響。

2.2 網(wǎng)絡(luò)信息安全管理不到位引起的問(wèn)題

三分技術(shù)，七分管理，部分管理者對(duì)網(wǎng)絡(luò)信息安全不夠重視、網(wǎng)絡(luò)信息安全專(zhuān)業(yè)人員匱乏、缺乏強(qiáng)有力的網(wǎng)絡(luò)安全管理制度或形同虛設(shè)等原因都使得網(wǎng)絡(luò)安全形勢(shì)更加嚴(yán)峻。除此之外，很多個(gè)人用戶(hù)也缺乏網(wǎng)絡(luò)信息安全意識(shí)以及技能，存在隨意填寫(xiě)提交個(gè)人信息、不注意軟件和應(yīng)用來(lái)源、對(duì)于惡意應(yīng)用和不合理的權(quán)限要求缺乏辨識(shí)能力等問(wèn)題。

3 大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)信息安全防范措施

3.1 加強(qiáng)系統(tǒng)自身的安全性與防護(hù)性

針對(duì)操作系統(tǒng)和應(yīng)用本身可能出現(xiàn)的漏洞，在軟件設(shè)計(jì)開(kāi)發(fā)之處就應(yīng)遵循安全開(kāi)發(fā)生命周期（SDL）的相關(guān)要求，遵循最小權(quán)限原則，安全團(tuán)隊(duì)和開(kāi)發(fā)團(tuán)隊(duì)?wèi)?yīng)當(dāng)協(xié)同工作，從需求分析時(shí)就應(yīng)參與到軟件的開(kāi)發(fā)中，從源頭上減少漏洞和安全風(fēng)險(xiǎn)，同時(shí)也可以降低企業(yè)后期維護(hù)成本。系統(tǒng)和應(yīng)用使用者在部署和使用軟件應(yīng)用時(shí)應(yīng)該從正規(guī)途徑獲取，及時(shí)更新軟件版本和安裝補(bǔ)丁，利用防火墻、WAF、態(tài)勢(shì)感知、DLP、認(rèn)證加密、數(shù)字證書(shū)、數(shù)字簽名等各類(lèi)軟硬件安全系統(tǒng)構(gòu)建異構(gòu)的縱深安全體系，在網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全等多個(gè)不同層面、通過(guò)不同手段進(jìn)行系統(tǒng)加固，同時(shí)還需要關(guān)注信息安全的審計(jì)和回溯，讓非法攻擊者進(jìn)不來(lái)、拿不走、看不懂、改不了、跑不掉。

3.2 構(gòu)建起更為完善的網(wǎng)絡(luò)安全管理制度

隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展，因信息數(shù)據(jù)不當(dāng)收集、泄露、濫用造成的信息安全事件屢有發(fā)生。除了網(wǎng)絡(luò)運(yùn)營(yíng)者和應(yīng)用提供方需要健全并落實(shí)相關(guān)網(wǎng)絡(luò)安全管理制度以外，國(guó)家相關(guān)監(jiān)管部門(mén)也應(yīng)加強(qiáng)這方面的監(jiān)督和巡查，讓制度真正落地。可喜的是，我國(guó)在刑法、民法總則、網(wǎng)絡(luò)安全法等多部法律法規(guī)中已經(jīng)對(duì)網(wǎng)絡(luò)信息安全作出了相關(guān)規(guī)定，個(gè)人信息保護(hù)法也已經(jīng)列入十三屆全國(guó)人大二次會(huì)議的立法規(guī)劃，相信相關(guān)網(wǎng)絡(luò)安全立法會(huì)更加完善。

4 結(jié)束語(yǔ)

在“大數(shù)據(jù)”時(shí)代，加強(qiáng)網(wǎng)絡(luò)信息安全防范措施已經(jīng)勢(shì)在必行，這即是網(wǎng)絡(luò)信息技術(shù)發(fā)展的需要，也是數(shù)字經(jīng)濟(jì)發(fā)展的要求。各種信息化、數(shù)字化應(yīng)用已經(jīng)快速融入到日常生活中，風(fēng)險(xiǎn)與機(jī)遇并存，不論是專(zhuān)業(yè)技術(shù)人員還是普通用戶(hù)都需要不斷提升網(wǎng)絡(luò)信息安全意識(shí)和應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的能力，健全落實(shí)網(wǎng)絡(luò)安全管理制度，讓“互聯(lián)網(wǎng)+”在更安全更清朗的環(huán)境中發(fā)揮更大的作用。

參考文獻(xiàn)

[1]田茂呈.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全的發(fā)展歷程及其特點(diǎn)[J].電子測(cè)試，2018（23）.

[2]王麗麗.云計(jì)算中虛擬化技術(shù)的安全問(wèn)題及對(duì)策研究[J].首都師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2015，23（04）：16-19.