大數據和人工智能時代數據安全風險及應對策略

摘要：大數據和人工智能時代，數據因易受到模型算法攻擊以及網站病毒攻擊等因素影響，面臨多重風險，易導致重要數據泄露。然而對大數據和人工智能系統而言，需要大量數據作為支撐提供服務，這些數據中包含多種敏感信息，如財務信息和個人隱私等。如果這些數據被篡改或者濫用，會帶來嚴重的后果。相關部門應根據現實情況，全面分析數據安全風險因素，制定合理的應對策略，降低數據安全風險系數。

關鍵詞：大數據；人工智能時代；數據安全；風險

doi：10.3969/J.ISSN.1672-7274.2024.09.065

中圖分類號：TP 309.2 文獻標志碼：A 文章編碼：1672-7274（2024）09-0-03

Data Security Risks and Response Strategies in the Era of Big data

and Artificial Intelligence

ZHANG Wei

（Beijing Municipal Supervision Commission Python Mountain Lien Security Center， Beijing 102200，China）

Abstract： In the era of big data and artificial intelligence， data information is vulnerable to multiple risks such as model algorithm attacks and website poisoning attacks， which can easily lead to important data leaks. However， for big data and artificial intelligence systems， a large amount of data is needed as support to provide services， which includes various sensitive information such as financial information and personal privacy. If these data are tampered with or abused， it will bring serious consequences. Relevant departments should comprehensively analyze data security risk factors based on the actual situation， formulate reasonable response strategies， and reduce the data security risk coefficient.

Keywords： big data; the era of artificial intelligence; data security; risk

1 大數據

大數據（Big data），或稱巨量資料，指的是所涉及的資料量規模巨大到無法通過主流軟件工具，在合理時間內擷取、管理、分析并整理成為幫助企業經營決策目的的資訊。目前適用于進行大數據處理的技術包括分布式文件系統、云計算平臺、可拓展存儲系統等。根據其具有大量（Volume）、高速（Velocity）、多樣（Variety）、低價值密度（Value）、真實性（Veracity）的特征。

2 人工智能

人工智能（Artificial Intelligence）是計算機科學的一個分支。它結合數學、計算機科學、心理學等多學科理論，通過讓計算機模擬人類的思考和行為過程，實現人機交互，提高計算機的智能化水平，以更好地服務于人類社會。人工智能的研究領域涵蓋了機器人、語言識別、圖像識別、自然語言處理、專家系統等，目標是讓計算機具有像人類一樣的思維和行為能力。

3 數據安全

數據安全是指通過采取必要措施，確保數據處于被有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。其涵蓋多個方面，包括但不限于機密性、完整性和可用性。數據安全還涉及部署工具和技術，以增強組織對其關鍵數據所在位置及其使用方式的可見性，包括加密、數據屏蔽和敏感文件編輯等保護措施。

4 大數據和人工智能時代數據安全面 臨的風險

4.1 數據質量安全風險

該風險主要發生在主數據項目建設初期，由于數據來源眾多，類型繁雜，導致不完整、不準確、不一致、重復或無效數據出現。該風險產生的原因與數據投毒攻擊和數據深度偽造有關。數據投毒攻擊是指在訓練數據中，通過加入影響數據質量的信息，如不符合現實情況的信息或存有惡意的樣本信息等，使得訓練出的算法模型在決策期間出現誤差。現階段數據投毒攻擊包括兩類：第一類是借助模型偏斜方法，運用虛假信息或惡意信息樣本，改變原有信息內涵。這樣工作人員在檢索中，易檢索到錯誤信息，從而改變分類器分類界限，造成數據質量安全風險。第二類是通過誤導反饋方式，按照大數據和人工智能運行特征，利用反饋機制整理目標數據，通過模型反饋機制，向大數據和人工智能模型中加入偏離實際情況的數據，從而給后期決策造成不利影響。

數據深度偽造是指運用大數據和人工智能技術生產出質量不達標或者虛假產品，通過生成器中的神經網絡，將需要攻擊的數據和源數據模擬進行加工，生成與想要替換樣本相似的模型，然后通過鑒別器神經網絡，對該模型的虛假程度進行多次驗證、評估和改進，以創造與真實產品極為接近的模型[1]。近年隨著大數據和人工智能技術發展成熟，部分不法分子為了牟利，通常會將該模型用到人臉識別、語言識別等領域，利用人臉、語言變換偽裝等手段，給網絡平臺輸入虛假信息，導致相關網絡平臺受到虛假信息干擾，在后期做出錯誤驗證判斷，從而使得重要數據信息泄露。

4.2 數據隱私泄露風險

該風險是指未經授權，在網絡上不當地披露敏感數據或信息，導致個人敏感信息泄露，使得個人和相關企業財務損失、聲譽受損等。該風險在數據收集和處理過程中經常出現，部分黑客通過侵入數據庫或系統，從中獲取重要數據，今后根據個人需求將其外泄。比如，黑客針對一個組織或多個組織蓄意攻擊，利用大數據和人工智能技術，從特定網絡平臺中非法獲取相關數據，在后期通過販賣信息進行獲利。再者，內部人員操作行為不當或者管理疏忽，也會導致該風險出現。比如，內部人員在數據收集、存儲、傳輸或處理過程中，因操作行為不規范、使用未加密傳輸敏感數據等，導致數據隱私泄露。此外，部分電子設備加工企業未遵循法律規定，借助智能應用程序，在開發的軟件系統中嵌入隨意開采使用者引思數據的功能，過度采集使用者隱私數據，如個人居住隱私、通信隱私以及網絡交流隱私等，甚至在使用者不知道個人各項隱私已經被過度采集的情況下，在后臺隨意整合、處理等，從而導致數據隱私泄露風險出現[2]。比如，某電子設備加工企業，在生產相關電子設備期間，利用大數據和人工智能技術，安裝語音以及視頻信息采集功能，當使用者將計算機系統與該設備連接起來時，該設備在未經過使用者同意情況下，實時錄入使用者在計算機系統中存儲的語音隱私和視頻隱私等，導致使用者個人隱私被過度采集，從而引發數據隱私泄露風險。

另外，在數據竊取攻擊中，不法分子通過前期設計好的模型，隨意竊取目標對象產生的各類數據，將關鍵數據整合起來，后期按照實際需求加工利用，實現竊取訓練數據的目標。目前常見的數據竊取攻擊包含三類，分別是模型逆向攻擊、成員推斷攻擊、模型萃取攻擊。模型逆向攻擊是指不法分子借助訓練好的竊取模型，運用數據關聯和推算演繹技術等，按照計算機系統以及電子設備中的各類信息之間的輸入輸出關系，逆向還原相關訓練數據。比如，不法分子運用用戶姓名、性別以及其他身份信息等，通過該模型，模仿制造出與用戶本人沒有任何區別的人臉信息，以竊取使用者財物。成員推斷攻擊是指不法分子按照虛擬模型評估結果，總結模型訓練數據中是否存在價值較高的樣本信息，根據竊取需求，有計劃地整合相關使用者隱私數據，在后期將相關數據提供給其他不法商家或者使用者。比如，不法分子可以借助虛擬模型，從醫療、交通、吃住等角度出發，評估使用者隱私數據，并將獲取的使用價值較高的數據信息分類整理，在后期分別販賣給其他不法使用者，導致使用者隱私數據泄露。模型萃取攻擊是指不法分子利用訪問模型中的應用程序接口，通過大數據和人工智能技術，算出模型中錄入的參數和架構等信息，以實現竊取模型信息目標，使得數據隱私泄露案事件頻發[3]。

5 大數據和人工智能時代數據安全風 險的應對策略

5.1 完善數據安全法律規定

加強立法是應對數據安全風險的重要手段。雖然近年我國已經出臺了《中華人民共和國網絡安全法》，闡明了網絡信息安全、監測預警與應急處置、法律責任等，但是在大數據和人工智能時代下，不法分子竊取、過度采集使用者個人隱私、財務隱私等手段越來越多，并且部分模型隱蔽性越來越高。為了切實保障使用者各項隱私數據安全，應在現有法律基礎上，不斷完善數據安全法律規定，針對現有數據安全風險類型以及引發原因，填補現有法律體系監管漏洞，應從制度上明確劃分數據所有者、使用者以及共享者等不同群體，在數據安全保護方面的責任和義務，制定相應嚴懲措施，一旦發現有關人員或組織違反法律規定，依法嚴肅打擊處理，以強化法律威懾性，降低數據安全風險。

5.2 做好數據安全存儲管理

大數據和人工智能時代的數據量越來越大，類型較多，需要通過虛擬分布式存儲方法，在云端進行分類保存、管理和恢復等。有關部門要想有效應對數據安全風險，應做好數據安全存儲管理，通過多副本存儲、差異性存儲、密匙管理的方式，提高數據存儲安全性，最大限度降低數據安全風險。其一，在多副本存儲中，有關部門可以利用云存儲技術，將需要存儲的數據劃分為多個數據塊備份，將不同備份分別存儲到不同位置，設計各個位置中的重要數據、隱私數據等存儲量，防止后期出現重要數據或隱私數據全部外泄情況。其二，在差異性存儲中，有關部門可以將結構化數據、非結構化數據、重要數據以及通用數據等分別進行存儲和云存儲，保障各類數據安全[4]。其三，在密匙管理中，有關部門應運用安全套接層技術，將各類數據加密保存，屏蔽不法分子和網絡攻擊，保障數據在下載使用、上傳整理以及共享使用等環節的安全性。

5.3 加強訪問控制安全管理

大數據和人工智能時代，使用者在登錄各類電子設備和軟件時，不可避免地會按照平臺提示，錄入個人信息。為了防止個人隱私信息和重要財務信息外泄，有關部門應加強訪問控制安全管理，運用多種安全技術工具，嚴控訪問信息，避免不法分子未經使用者同意，隨意竊取或者泄露使用者信息。例如，有關部門可以運用4A認證技術，將需要訪問控制的電子設備和有關軟件，與運維人員的計算機系統連接起來，通過唯一賬號認證、授權等方式，借助唯一標識訪問被托管服務器，為使用者提供雙因子認證和靜態口令認證等不同強度的身份認證方法。當有關人員需要使用相關數據時，要求其按照身份認證規定，輸入個人信息、身份信息以及工作信息等，并根據系統提示，上傳相關原始憑證，完成臉部動態識別，由系統對比分析相關信息是否一致完整，對審核通過的使用者提供數據使用權限。與此同時，有關部門可以對C/S、B/S結構類型的數據，設計統一訪問控制權限，利用應用大數據和人工智能技術生產的訪問模型，實時錄入有關人員訪問電子設備、軟件、網絡系統等行為，定期分析相關行為數據是否存在安全隱患，提前處理違規操作行為，并對監控到的重點人群設計特殊訪問控制權限，在后期持續監督有關人群數據使用行為，一旦發現其存在違規操作現象，則運用技術控制方法，保護數據安全，并結合技術統計的數據使用者信息，快速找到責任人進行處理。

5.4 建設數據安全保障體系

大數據和人工智能時代，有關部門在應對數據安全風險時，應根據各類風險形成原因，建設數據安全保障體系，通過設計數據安全風險感知體系、零信任數據安全機制，降低數據安全風險。第一，在設計數據安全風險感知體系時，有關部門應做好數據統計分析，動態整理評估可能引發數據變化的因素，從發展角度出發，分析有關數據未來演變趨勢，然后運用大數據和人工智能技術，總結各類數據處理日志中是否存在安全隱患，并通過可視化技術，提前感知有關數據安全隱患，利用圖畫和圖表等形式，直觀展示出來，組織專人運用數據訪問和數據流阻攔管控方法，降低數據安全風險[5]。第二，在制定零信任數據安全機制時，有關部門應以零信任機制為基礎，重新建設數據邊界，統一管理涉及有關數據的人員、設備和軟件等，降低數據在上傳、下載以及使用期間的外泄概率，減小被不法分子竊取或者攻擊的可能性。

5.5 設置數據安全管控平臺

有關部門在設置該平臺時，可以運用大數據和人工智能技術，開發樣例數據庫，在該數據庫中設計信息自動采樣、分類錄入以及動態查驗等功能，將各類數據在對接、處理以及共享等環節產生的信息，進行動態采樣，并將采集到的信息全部整合到樣例數據庫中，設置數據自動查驗功能，對數據安全、數據質量以及數據使用等進行全方位查驗[6]。同時，有關部門可以在該平臺中設置數據流動態監控板塊，在該板塊中開發數據流動態監測、自動預警等功能，一旦發現數據出現斷流、積壓或者波動不符合正常規律等情況，通過線上設備進行預警，引導有關人員及時處理風險隱患，確保數據安全。

6 結束語

綜上所述，大數據和人工智能時代，數據安全風險頻發，給社會和諧穩定、企業發展以及個人利益等造成嚴重影響。有關部門應結合現實情況，深入分析各類風險引發因素，并探尋相應應對策略，完善數據安全法律規定，做好數據安全存儲管理、加強訪問控制安全管理，建設數據安全保障體系、設置數據安全管控平臺，采用多種方法加大數據安全管控力度，降低數據安全風險。

參考文獻

[1] 方艷梅．深度偽造對人臉識別支付系統安全性的挑戰與應對[J]．金融科技時代，2020，28（3）：5．

[2] 紀守領，杜天宇，李進鋒，等．機器學習模型安全與隱私研究綜述[J]．軟件學報，2021，32（1）：41-67．

[3] 楊洗．數字媒體時代的數據濫用：成因、影響與對策[J]．中國出版，2020（12）：3-8．

[4] 劉金瑞．數據安全范式革新及其立法展開[J]．環球法律評論，2021，43（1）：5-21．

[5] 苗杰．人臉識別“易破解”面臨的風險挑戰及監管研究[J]．信息安全研究，2021，7（10）：984-988．

[6] 胡小偉．人工智能時代算法風險的法律規制論綱[J]．湖北大學學報（哲學社會科學版），2021，48（2）：120-131．