1�����、加大隱私泄露風(fēng)險 從個人隱私的角度而言�����,用戶在互聯(lián)網(wǎng)中產(chǎn)生的數(shù)據(jù)具有累積性和關(guān)聯(lián)性,單點信息可能不會暴露隱私����,但如果采用大數(shù)據(jù)關(guān)聯(lián)性抽取和集成有關(guān)該用戶的多點信息并進行匯聚分析,其隱私泄露風(fēng)險將大大增加���,其關(guān)聯(lián)性利用類似于現(xiàn)實生活中的“人肉搜索”將某人或事物暴露。 從企業(yè)�、政府等大的角度而言,大數(shù)據(jù)安全標(biāo)準(zhǔn)體系尚不完善���,隱私保護技術(shù)和相關(guān)法律法規(guī)尚不健全�����,加之大數(shù)據(jù)所有權(quán)和使用權(quán)出現(xiàn)分離�,使得數(shù)據(jù)公開和隱私保護很難做到友好協(xié)調(diào)��,在數(shù)據(jù)的合法使用者在利用大數(shù)據(jù)技術(shù)收集���、分析和挖掘有價值信息的同時��,攻擊者也同樣可以利用大數(shù)據(jù)技術(shù)最大限度地獲取他們想要的信息�����,無疑增加了企業(yè)和政府敏感信息泄露的風(fēng)險��。 從大數(shù)據(jù)基礎(chǔ)技術(shù)的角度而言����,無論是被公認(rèn)為大數(shù)據(jù)標(biāo)準(zhǔn)開源軟件的Hadoop,還是大數(shù)據(jù)依托的數(shù)據(jù)庫基礎(chǔ)NOSQL��,其本身均存在數(shù)據(jù)安全隱患�。Hadoop作為一個分布式系統(tǒng)架構(gòu)對數(shù)據(jù)的匯聚增加數(shù)據(jù)泄露風(fēng)險的同時,作為一個云平臺也存在著云計算面臨的訪問控制問題�,其派生的新數(shù)據(jù)也面臨加密問題。NOSQL技術(shù)將不同系統(tǒng)���、不同應(yīng)用和不同活動的數(shù)據(jù)進行關(guān)聯(lián)��,加大隱私泄露風(fēng)險�����,又由于數(shù)據(jù)的多元非結(jié)構(gòu)化����,使得企業(yè)很難對其中的敏感信息進行定位和保護。 2����、大數(shù)據(jù)成為黑客攻擊的目標(biāo)和手段 大數(shù)據(jù)其自身規(guī)模大且集中的特點使得其在網(wǎng)絡(luò)空間中無疑是一個更易被“發(fā)現(xiàn)”、“命中”的大目標(biāo)�����,低成本高收益的攻擊效果對黑客而言是充滿誘惑力的��。 此外��,大數(shù)據(jù)也被當(dāng)做黑客的攻擊手段��,除了獲取用戶或其他組織機構(gòu)的敏感信息之外�����,也可以對這些信息進行篡改�、偽造���、重放�,通過控制關(guān)鍵節(jié)點放大攻擊效果�,或控制大量傀儡機發(fā)起傳統(tǒng)單點攻擊不具備的高數(shù)量級僵尸網(wǎng)絡(luò)攻擊���。更甚者,利用大數(shù)據(jù)價值密度低的特征��,將大數(shù)據(jù)作為APT攻擊的載體���,稀釋APT攻擊代碼攜帶的安全分析工具所需的價值點�����,或誤導(dǎo)安全廠商或安全分析工具進行安全監(jiān)測的方向����。若將該手段與0day漏洞結(jié)合利用����,后果將不堪設(shè)想。 3���、大數(shù)據(jù)對信息安全的合規(guī)性要求 大數(shù)據(jù)時代�,出現(xiàn)數(shù)據(jù)擁有權(quán)和使用權(quán)分離���,數(shù)據(jù)經(jīng)常脫離數(shù)據(jù)擁有者的控制范圍活躍著��,這就對數(shù)據(jù)需求合規(guī)性和用戶授權(quán)合規(guī)性提出新的要求�,包括數(shù)據(jù)形態(tài)和轉(zhuǎn)移方式的合規(guī)性。數(shù)據(jù)需求方為精準(zhǔn)開展一個業(yè)務(wù)要求數(shù)據(jù)擁有者提供原始敏感數(shù)據(jù)或未脫敏的統(tǒng)計類數(shù)據(jù)�,顯然這有違背信息安全的本意。就算數(shù)據(jù)需求遵循最小級原則�,對數(shù)據(jù)的提供未超出合理范圍,用戶授權(quán)仍是數(shù)據(jù)服務(wù)的前提���,包括轉(zhuǎn)移數(shù)據(jù)使用的目的��、范圍����、方式以及授權(quán)信息的保存等各個環(huán)節(jié)��。 在對信息安全提出合規(guī)性要求的同時����,引入第三方的標(biāo)準(zhǔn)符合性審查服務(wù)似乎也很必要����。如通過針對數(shù)據(jù)提供者和接受者雙方的審查,包括文檔資料安全規(guī)范的審查��,技術(shù)輔助現(xiàn)場審查,在供方和需方之間做掃描和數(shù)據(jù)檢測�����,提供第三方公平的數(shù)據(jù)安全審查服務(wù)���。
..
|
