2016年1月16日,由企業網D1Net和中國信息化發展戰略與創新聯盟聯合舉辦的2016年北京部委央企及大型企業CIO年會在北京隆重舉行,大咖云集,干貨爆棚,圍繞新IT架構和信息安全,CIO們碰撞思想火花,最前沿的技術廠商交流最新的研究成果及創新產品。技術與實戰在這里融合。
主持人:接下來我們將請出國家信息中心安全專家趙睿斌和我們分享大數據的安全與挑戰,大家掌聲歡迎!
國家信息中心安全專家趙睿斌
趙睿斌:大家好!我叫做趙睿斌,是國家信息中心的,今天我跟大家探討一下大數據面臨的一些機遇與挑戰,主要是回顧一下2014年和2015年重點的信息安全泄露的幾件大事,可能對在座各位有所啟發和學習。
主要分以下幾個點跟大家共同學習。第一、大數據安全是怎么回事?第二、大數據泄露事件。第三、大數據國內外是怎么樣的政策。第四、我們國家大數據安全應該采取哪些措施?
所謂大數據的定義,從這張圖上可以看到,我們國家從去年開始就是大數據在滿天飛,其實大數據跟我們生活是息息相關分不開的,包括物聯網、音頻采集、視頻采集、空氣傳感器、土壤傳感器,還有PC機、手機,包括小米網一直推,小米雷軍他們做的移動智能設備。其實無形中就是把數據采集起來形成一個大數據。另外,將傳統互聯網,比如筆記本、臺式機、電腦的個人信息,還有最重要的人手一部手機可能好幾部。這樣把所有的數據集中到一塊兒,它就是匯集了我們在生活、工作、社交,以及我們面臨的所有信息量產生的信息量集中的一個大數據。
其實大數據首先數據量要大,第二、類型要多樣化。不光是筆記本、臺式機產生的數據叫大數據。第二、包括運行高效,現在很多移動設備運算速率非常快,可能采用Hadoop大數據的一些框架,對高速運算和存儲提出一些要求,因為數據量大,這么多數據怎么處理,放在兩年以前這些數據處理起來是很難的,那時候存儲的設備也不容易,所以那時候這樣大的數據量很難進行分析。最后其實大數據最后還是產生價值的,不產生價值,大數據又不會起什么作用,當然價值也會被一些黑客,一些人員所利用,產生他們自己認為的企業價值。
這是2015年百度在春節時候一個圖像,過幾天春運開始了,可能也會上這個東西,就是我們人手一部手機,我們到哪兒要查一下,比如要查當地什么情況,百度地圖對你進行定位,就會密集的知道你春運期間北上廣,包括重慶,人流量特別密集,當天的數據從什么地方出發到什么地方,就知道從中有一個情況。就是一個科技公司能夠發現這個趨勢,這是很可怕的。這一塊如果天氣極端會發生航班延誤,這樣我們就會上網查一下航班是什么情況,這個圖百度并沒有連到中航信這樣的專業機票公司,就是至人查哪架航班,就知道哪架航班處于延誤狀態還是正常狀態,這是大數據發展的態勢。
所以,大數據給我們帶來信息安全的同時也為信息安全的發展奠定了機遇。因為我是從事信息安全的,說一說大數據一方面是指數據安全,另一方面就是大數據安全分析。大數據安全分析就是采用一些大數據手段對安全的事情,安全的一些工具,安全的一些本質進行一些大數據安全分析。數據安全比較簡單,大家都說數據安全如何存儲、如何保存、如何進行數據本身的安全,大數據安全其實有兩層含義的。
我們共同回顧一下這一兩年發生的重大安全事件。2013年重點的安全事件就是“棱鏡計劃”,那個時候技術手段還沒有這么強烈,包括雅虎一出現的時候,跟政府進行合作,進行了相關的監控,包括CII。到2013年斯諾登跑到香港披露了這個事,后來到俄羅斯進行避難。當時雖然我們從一些相關機構,相關的渠道知道美國在做這件事,但是我們不知道美國能做到這么嚴重的情況下。美國居然連默克爾的手機都能進行監控,按理說德國政府對于總統、總理的手機也是進行相關的一些加密措施或者一些相關的保密措施。但是,它依然能夠破解這種情況。
去年我還關注一些事件,就是美國大使館往往很多駐全球各地大使館上了特別大的一個圓球,里頭就是偵聽設備和監聽設備,能夠偵聽方圓多少公里,包括手機,咱們采取可能是跟移動基站之間的通信,比如發了一個郵件,發了一個短信全能收集到,美國的設備是非常非常先進的。尤其是針對俄羅斯、中國、伊朗、朝鮮這樣的一些國家是美國重點的監控。所以,斯諾登也不好說,但是斯諾登對整個事件信息安全作出了卓越的貢獻,美國認為他是叛逃者。
2014年有另外一個事就是索尼影業公司被黑客攻擊,索尼影業作為一個私人公司能夠被黑客攻擊后來據說是朝鮮派的一支黑客隊,個攻擊造成的損失上億美元,導致索尼近幾年的發展狀況每況愈下。2014年我們還發生另外一個大的事,就是12306用戶數據泄露,昨天一個新聞,還有人能夠搜到相關信息,黑客13條數據,現在有些人登錄12306的密碼沒有變,還是能夠利用你的用戶名、密碼登進去。12306個網站我們國家信息中心參與了一些相關建設,包括它的等級,它是全國第一個等級保護四級系統,按理說它的級別已經夠高了,但是依然能夠發生信息泄露,這也是很嚴重的事情。
2015年全球影響比較大的幾個信息安全事件,包括2015年1月俄羅斯約會網站Topface 2000萬用戶名和電子郵件地址被盜。2月Uber披露,5萬名Uber司機的個人信息被不知名的第三方人士獲取,包括社保碼、司機相片、車輛等級號等信息。3月,醫保提供商Premera藍十字披露,1100萬客戶的醫療和財務數據泄露等等,以上這些是到7月份的狀況。到8月份在線票務銷售平臺大麥網600余萬用戶賬戶密碼泄露并在黑產論壇公開售賣等等。
其實2015年的大數據安全事件約翰·吉布森事件,約翰·吉布森的信息得到了泄露,他是一個老師,他有一個姑娘,還有孩子,結果他上吊自殺了。為什么上吊自殺呢?因為他通過交友平臺可能交一些社交上的相關人員,但是他媳婦一直認為他是一個很守本分的人,在同事眼中也是很老實的一個人。雖然他這樣的做法我們不是要批判這個人,但是這個事件導致個人隱私泄露以后,確實最后也就失去他寶貴的生命。2015年7月美國人事管理辦公室OPM最終披露入侵事件帶來的整個影響,這個事件影響到2015年的12月份,2015年12月份,美國領事館和大使館把相關調查人員撤回到國內了,因為2150萬的個人信息泄露,我們如果有一定的分析能力就能知道在華的這些美國聯邦調查人員是具備一定的特工背景,能夠在華從事相關的特勤人員的手段,所以把受影響的特工就撤回去了,7月份做的事12月份才得到一個明顯的顯現。2015年機鋒2300萬信息被泄露,這個很可怕,這是我們國家自己做的一個機鋒網。還有酒店,包括喜來登、桔子酒店等。另一個就是社保系統,社保泄露5000多萬條,涉及30多個省市,社保信息如果泄露,別人就知道你現在的健康狀況是什么情況。還知道哪個醫生給你開的,個人情況是什么情況,你和誰之間是親戚,你和誰是相關的領導關系,從個人信息上,用大數據分析會發生無窮的結果。
2015年支付寶和攜程出的故障。支付寶因為一根光纜在蕭山地區被挖斷以后就受影響了,2小時無法使用支付寶。攜程5月28日因故障癱瘓了,說是由于員工錯誤操作,刪除了生產服務器上的執行代碼導致,這其實是官方的說辭。
從大數據安全分析來講,大數據成為網絡攻擊的一個目標。我們如果知道數據量,我們通過一定的相關分析,現在分析軟件越來越多了,我們就能知道個人隱私,個人隱私很可怕,我們每個人如果把我們的隱私暴露在公眾面前,就相當于我們沒有穿衣服一樣,你無法保護自己,這是最可怕的事。而且大數據技術,以前的黑客攻擊可能是個人喜歡一些相關的代碼,相關的一些黑客手段進行攻擊。如果用大數據平臺進行黑客攻擊,那是有組織,有幾率的行為,一旦發生攻擊是很可怕的。最后,大數據技術成為一個新的支撐,我是做信息安全的,希望通過大數據的技術提供一些安全的手段和安全的防護,防止詐騙或者黑客入侵。
回顧一下大數據國內外的相關政策。美國很早提出《大數據研究與發展計劃》,2015年又推行了《消費者隱私權利法》,就是消費者有隱私權利,不能隨便暴露我的隱私,你要暴露我的隱私,不管政府也好,企業也好,都需要承擔相應的法律責任。澳大利亞、英國、法國也對大數據的一些安全規定了一些自己的相關綱領和文件。從2015年8月31號,促進大數據發展的行動綱要,包括貴州也進行了大數據,把大數據做到一個高度上,國家也比較支持。可能最主要的一個,以前的信息泄露,過去就是我們聽的更多是病毒,以前360做病毒防護衛士,但是后來是有目的,有組織的攻擊,而且周密完善,目標明確。這是夜龍攻擊的情況,黑客有組織的攻擊了一家能源機構,這是夜龍攻擊的流程,不展開講了,這是夜龍攻擊的相關環節。
另外就是政網攻擊,更可怕,西門子的設備在伊朗運行了很長時間密謀被進行攻擊,后來一個工程師使用了U盤,觸發了政網病毒,導致伊朗核能退化很多年,讓你的離心機倍速的轉,這樣設備壞了,核設施的研發也緩慢了,美國太厲害了。2015年9月17號Xcode的惡意代碼,9月1號阿里云服務器預裝的安全產品云盾“安騎士”升級觸發了bug。這些都給我們提了個醒。
最后,大數據應用安全。大數據信息安全體系要建立起來,當然加快大數據安全的技術研發,把大數據怎么用在安全上,怎么解決安全上的問題,用大數據的手段解決。第三、加快對重點敏感數據的監管,要不監管一些重點敏感數據,咱們不重視,有人重視,別的國家拿走了,你就很麻煩了,或者一些關鍵企業認識不到數據的重要性偶然間失誤也會造成重大影響。
最近我在寫一篇文章就是“國家網絡空間安全體系建設”,我們國家如何從政策,從我們國家包括去年12月份烏鎮的會議,包括習近平在烏鎮會議上的講話,我們國家在網絡空間安全是一個什么態勢?在政策上我們如何支持這些行動,構建國家網絡空間安全體系,但是又不能跟世界不接軌,還得能跟美國進行對話、合作,得到美國的一些認同。有區別,有競爭,我們不是閉關自守,包括去年提的很多自主可控的一些相關的國產設備。如果完全什么都自主可控,都不用國外的一些設備,那么,不符合改革開放的一個理念。有些設備我們必須要國產,必須要自主,但有些設備我們也需要國外的先進的廠商引進來共同合作。所以,我最近一直在寫“國家網絡空間安全體系”的文章做一個研究,什么時候寫好了,大家可以在一塊兒共同探討一些,謝謝各位領導和專家。
京公網安備 11010502049343號