大数据时代,数据与信息安全如何完美平衡?
随着信息技术的飞速发展和互联网技术的广泛应用,以大数据为代表的数据密集型技术将成为新时代技术变革的基础。但与此同时,数据的进一步集中和数据量的增加,使海量数据的安全防护面临巨大挑战,大数据在搜集、存储、使用等环节中仍面临着许多信息安全风险问题。
首先是信息层面安全
从最简单的说起,我们为什么要从HTTP切换到HTTPS,为什么有一天大家都抛弃了HTTP而投向了HTTPS的怀抱,毕竟HTTPS需要消耗比HTTP更大的硬件开销,在架构层面同样需要做出很多的调整。那是因为HTTP无论对于网络传输的内容,还是对于协议本身信息都没有做过任何的加密,从而使得用户的任何信息在网络中都可能被捕获。这时,相信有人会讲,那我们是一个内容浏览类的网站,用户并不需要输入信息,是否就可以不使用HTTPS了呢?
答案是使用HTTP不仅会发生泄漏数据,还会发生注入数据,这也是我们常常提到了流量劫持。当然,由于HTTPS对于服务器资源的消耗,HTTP也推出了HTTP/2,除了一些新的特性之外,当然也加入了信息加密的功能。另外,密码的加密也是老生常谈,密码的加密是一个听上去简单实际很复杂的事情,归根结底,密码加密是一个需要平衡的事情,如果采用简单加密方式(例如MD5),那么自然也会容易被解密,但是如果采用复杂加密算法,自然也对CPU提出了更高的要求。
其次是用户层面的信息安全
用户隐私在近年来被提升到了一个前所未有的高度,大数据时代人人都在做数据分析,却又人人都在做用户隐私,那么如何把握数据分析和用户隐私之间的平衡。
对于隐私的红线,用户的数据分析是机器可读但是人工不可读的。例如,对用户的垃圾邮件进行过滤的时候,我们会对几千万的数据进行机器处理,处理的是宏观上的“大数据”。但若是通过人去扫描数据库,然后提取出了邮件记录并且去做人眼识别,那么这个行为是侵犯用户隐私的。再者,是否侵犯用户隐私的一个隐含区分点是“侵犯隐私”之后做了什么,是否侵犯隐私一定程度上关联与后续的操作是否侵犯到了用户切身的利益。最后,是否侵犯隐私的一个标准在于我们最终暴露的是用户的什么信息。我们都知道DMP行业提供API使得DSP可以进行更加精准的广告投放,但是提供什么样的信息成为了关键,如果提供的是用户的消费记录,这个是侵犯隐私的,如果提供的是通过数据挖掘得到的收入水平,那么这个信息也许是不侵犯隐私的。
最后是架构层面的信息安全
这一层面比较复杂。第一,一份数据应该存多少份才能保证数据不丢,什么样的存储架构可以较好地平衡数据备份和存储成本之间的平衡。在存储上,我们希望平衡成本和可靠性。第二,在存储架构上对于高安全性信息进行隔离。例如我们将用户的用户名、密码、盐存储在同一个数据库,对于入侵者而言,只要拖下来就全部获取了,那么我们是否应该将彼此依赖的盐、加密密码分离存储,或者采用更高的安全性方案进行存储,是值得我们探讨的事情。
可以说,信息安全是一个庞大的领域,在信息技术层面越来越重要,我们应越来越重视这一方面,投入更多的精力。
