1���、加大隱私泄露風(fēng)險 從個人隱私的角度而言���,用戶在互聯(lián)網(wǎng)中產(chǎn)生的數(shù)據(jù)具有累積性和關(guān)聯(lián)性�����,單點信息可能不會暴露隱私�,但如果采用大數(shù)據(jù)關(guān)聯(lián)性抽取和集成有關(guān)該用戶的多點信息并進(jìn)行匯聚分析����,其隱私泄露風(fēng)險將大大增加,其關(guān)聯(lián)性利用類似于現(xiàn)實生活中的“人肉搜索”將某人或事物暴露���。 從企業(yè)�、政府等大的角度而言��,大數(shù)據(jù)安全標(biāo)準(zhǔn)體系尚不完善,隱私保護(hù)技術(shù)和相關(guān)法律法規(guī)尚不健全���,加之大數(shù)據(jù)所有權(quán)和使用權(quán)出現(xiàn)分離��,使得數(shù)據(jù)公開和隱私保護(hù)很難做到友好協(xié)調(diào)�����,在數(shù)據(jù)的合法使用者在利用大數(shù)據(jù)技術(shù)收集��、分析和挖掘有價值信息的同時����,攻擊者也同樣可以利用大數(shù)據(jù)技術(shù)最大限度地獲取他們想要的信息��,無疑增加了企業(yè)和政府敏感信息泄露的風(fēng)險���。 從大數(shù)據(jù)基礎(chǔ)技術(shù)的角度而言���,無論是被公認(rèn)為大數(shù)據(jù)標(biāo)準(zhǔn)開源軟件的Hadoop,還是大數(shù)據(jù)依托的數(shù)據(jù)庫基礎(chǔ)NOSQL�,其本身均存在數(shù)據(jù)安全隱患。Hadoop作為一個分布式系統(tǒng)架構(gòu)對數(shù)據(jù)的匯聚增加數(shù)據(jù)泄露風(fēng)險的同時,作為一個云平臺也存在著云計算面臨的訪問控制問題�����,其派生的新數(shù)據(jù)也面臨加密問題��。NOSQL技術(shù)將不同系統(tǒng)����、不同應(yīng)用和不同活動的數(shù)據(jù)進(jìn)行關(guān)聯(lián),加大隱私泄露風(fēng)險�����,又由于數(shù)據(jù)的多元非結(jié)構(gòu)化�,使得企業(yè)很難對其中的敏感信息進(jìn)行定位和保護(hù)���。 2�、大數(shù)據(jù)成為黑客攻擊的目標(biāo)和手段 大數(shù)據(jù)其自身規(guī)模大且集中的特點使得其在網(wǎng)絡(luò)空間中無疑是一個更易被“發(fā)現(xiàn)”�、“命中”的大目標(biāo),低成本高收益的攻擊效果對黑客而言是充滿誘惑力的���。 此外����,大數(shù)據(jù)也被當(dāng)做黑客的攻擊手段,除了獲取用戶或其他組織機(jī)構(gòu)的敏感信息之外�����,也可以對這些信息進(jìn)行篡改����、偽造、重放�����,通過控制關(guān)鍵節(jié)點放大攻擊效果��,或控制大量傀儡機(jī)發(fā)起傳統(tǒng)單點攻擊不具備的高數(shù)量級僵尸網(wǎng)絡(luò)攻擊����。更甚者,利用大數(shù)據(jù)價值密度低的特征��,將大數(shù)據(jù)作為APT攻擊的載體�����,稀釋APT攻擊代碼攜帶的安全分析工具所需的價值點,或誤導(dǎo)安全廠商或安全分析工具進(jìn)行安全監(jiān)測的方向��。若將該手段與0day漏洞結(jié)合利用���,后果將不堪設(shè)想��。 3�、大數(shù)據(jù)對信息安全的合規(guī)性要求 大數(shù)據(jù)時代����,出現(xiàn)數(shù)據(jù)擁有權(quán)和使用權(quán)分離,數(shù)據(jù)經(jīng)常脫離數(shù)據(jù)擁有者的控制范圍活躍著���,這就對數(shù)據(jù)需求合規(guī)性和用戶授權(quán)合規(guī)性提出新的要求��,包括數(shù)據(jù)形態(tài)和轉(zhuǎn)移方式的合規(guī)性��。數(shù)據(jù)需求方為精準(zhǔn)開展一個業(yè)務(wù)要求數(shù)據(jù)擁有者提供原始敏感數(shù)據(jù)或未脫敏的統(tǒng)計類數(shù)據(jù),顯然這有違背信息安全的本意�。就算數(shù)據(jù)需求遵循最小級原則,對數(shù)據(jù)的提供未超出合理范圍��,用戶授權(quán)仍是數(shù)據(jù)服務(wù)的前提����,包括轉(zhuǎn)移數(shù)據(jù)使用的目的����、范圍�����、方式以及授權(quán)信息的保存等各個環(huán)節(jié)�����。 在對信息安全提出合規(guī)性要求的同時��,引入第三方的標(biāo)準(zhǔn)符合性審查服務(wù)似乎也很必要�����。如通過針對數(shù)據(jù)提供者和接受者雙方的審查��,包括文檔資料安全規(guī)范的審查��,技術(shù)輔助現(xiàn)場審查���,在供方和需方之間做掃描和數(shù)據(jù)檢測���,提供第三方公平的數(shù)據(jù)安全審查服務(wù)�����。
擴(kuò)展閱讀:OA辦公系統(tǒng)_協(xié)同辦公系統(tǒng)����;免費OA協(xié)同辦公系統(tǒng)專題���;在線OA協(xié)同辦公系統(tǒng)專題���;..之大數(shù)據(jù)所有權(quán)和使用權(quán)出現(xiàn)分離,使得數(shù)據(jù)公開和隱私保護(hù)很難做到友好協(xié)調(diào)���,在數(shù)據(jù)的合法使用者在利用大數(shù)據(jù)技術(shù)收集�、分析和挖掘有價值信息的同時���,攻擊者也同樣可以利用大數(shù)據(jù)技術(shù)最大限度地獲取他們想要的信息���,無疑增加了企業(yè)和政府敏感信息泄露的風(fēng)險����。從大數(shù)據(jù)基礎(chǔ)技術(shù)的角度而言�����,無論是被公認(rèn)為大數(shù)據(jù)標(biāo)準(zhǔn)開源軟件..
|
