大数据背景下的
信息安全风险及防御(图)
本期主讲嘉宾 北京邮电大学信息安全中心主任 杨义先 教授
■ 嘉宾档案
天津日报报道 杨义先,北京邮电大学教授、博士生导师、首届长江学者特聘教授、首届国家杰出青年基金获得者、国家级教学名师、国家级教学团队(“信息安全”)带头人、全国百篇优秀博士学位论文导师、国家精品课程负责人,《安全简史》和《安全通论》的作者。
现任北京邮电大学信息安全中心主任、灾备技术国家工程实验室主任、中国密码学会副理事长、公共大数据国家重点实验室主任。长期从事网络与信息安全方面的科研、教学和成果转化工作,在国际四大学术名刊《PNAS》、Nature子刊《Scientific Report》等顶级刊物上发表过多篇论文。
曾获得荣誉:政府特殊津贴、国家级有突出贡献的中青年专家、国家级有突出贡献的中国博士学位获得者、第四届“中国青年科学家”、第四届“中国青年科技创新奖”、全国优秀科技工作者、中国科协第三届青年科技奖、“有可能影响中国21世纪的IT青年人物”。
◆大数据及大数据挖掘
读者朋友们,恭喜你们,到了大数据时代,你们就成“皇帝”了!当然,别高兴太早,我说的是那位“穿新衣的皇帝”。
为什么我会这样说呢?因为在大数据面前,你真的就是赤裸的:你说过什么话,做过什么事,有什么爱好,生过什么病,家住哪里,亲朋好友都有谁,等等,它都知道。可以说,你自己知道的,它几乎都知道,或者说它都能够知道。
甚至连你自己都不知道的事情,大数据也可能知道,比如,它能够发现你的许多潜意识习惯:集体照相时你喜欢站哪里呀,跨门槛时喜欢先迈左脚还是右脚呀,你喜欢与什么样的人打交道呀,你的性格特点都有什么呀,哪位朋友与你的观点不相同呀,等等。
再进一步地说,今后将要发生的事情,大数据它还是有可能知道,比如,根据你“饮食多、运动少”等信息,它就能够推测出,你可能会“三高”。当你与许多人都在购买感冒药时,大数据就知道:流感即将爆发了!实际上,大数据已经成功地预测了包括世界杯比赛结果、总统选举、多次股票的波动、物价趋势、用户行为、交通情况等一系列问题的发展趋势。
当然,这里的“你”并非仅仅指“你个人”,还包括但不限于,你的家庭、你的单位、你的民族、甚至你的国家。
那么,到底什么是大数据呢?国际权威咨询机构Gartner说:“大数据,就是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。”麦肯锡全球研究所说:“大数据是一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。”还有更多的权威专家们,总结了大数据的若干其他特性,比如,容量的超大性、种类的多样性、获取的快速性、管理的可变性、质量的真实性、渠道来源的复杂性、价值提取的重复性,等等。
其实,形象地说,所谓大数据,就是由许多千奇百怪的数据,杂乱无章地堆积在一起的东西。比如,你主动在网上说的话、发的微博微信、存的照片、收发的电子邮件、留下的诸如上网记录等行动痕迹,都是大数据的组成部分。在不知道的情况下,你被采集的众多信息,比如,被马路摄像头获取的视频、手机定位系统留下的路线图、在各种情况下被录下的语音、驾车时的GPS信号、电子病历档案、公交刷卡记录等被动信息,也都是大数据的组成部分。还有,各种传感器设备自动采集的有关温度、湿度、速度等万物信息,仍然还是大数据的组成部分。总之,每个人、每种通信和控制类设备,无论它是软件还是硬件,其实都是大数据之源。
一句话,无论你是否喜欢,大数据它就在那里;无论主动还是被动,你都在为大数据作贡献。大数据是人类的必然。
大数据到底是靠什么法宝,才知道那么多秘密的呢?用行话说,它利用了一种名叫“大数据挖掘”的技术,采用了诸如神经网络、遗传算法、决策树方法、粗糙集方法、覆盖正例排斥反例方法、统计分析方法、模糊集方法等高大上的方法。大数据挖掘的过程,可以分为数据收集、数据集成、数据规约、数据清理、数据变换、挖掘分析、模式评估、知识表示等八大步骤。
大数据挖掘,从正面来说,是创造价值;从负面来说,就是泄露隐私了!大数据隐私是如何被泄露的呢?请先跟我来分解一下经典的“人肉搜索”吧!
一大群网友,出于某种约定的目的,比如,搞臭某人或美化某人,充分利用自己的一切资源渠道,尽可能多地收集当事人或物的所有信息,包括但不限于网络搜索得到的信息(这是主流)、道听途说的信息、线下知道的信息、各种猜测的信息,等等;然后,将这些信息按照自己的目的精炼成新信息,反馈到网上与其同志们分享。这就完成了第一次“人肉迭代”。接着,大家又在第一次“人肉迭代”的基础上,互相取经,再接再厉,交叉重复进行信息的收集、加工、整理等工作,于是,便诞生了第二批“人肉迭代”。如此循环往复,经过N次不懈迭代后(新闻名词叫“发酵”),当事人或物的丑恶(或善良)画像就跃然纸上了。如果构成“满意画像”的素材确实已经“坐实”,至少主体是事实,那么,“人肉搜索”就成功了。
其实,所谓的大数据挖掘,在某种意义上说,就是由机器自动完成的特殊“人肉搜索”而已。只不过,现在“人肉”的目的,不再限于抹黑或颂扬某人,而是有更加广泛的目的,比如,为商品销售者寻找最佳买家、为某类数据寻找规律、为某些事物之间寻找关联,等等,总之,只要目的明确,那么,大数据挖掘就会有用武之地。
如果将“人肉”与大数据挖掘相比,那么,此时网友被电脑所替代;网友们收集的信息,被数据库中的海量异构数据所替代;网友寻找各种人物关联的技巧,被相应的智能算法替代;网友们相互借鉴、彼此启发的做法,被各种同步运算所替代;各次迭代过程仍然照例进行,只不过机器的迭代次数更多、速度更快而已,每次迭代其实就是机器的一次“学习”过程;网友们的最终“满意画像”,被暂时的挖掘结果所替代,因为,对大数据挖掘来说,永远没有尽头,结果会越来越精准,智慧程度会越来越高,用户只需根据自己的标准,随时选择满意的结果就行了。当然,除了相似性外,“人肉”与“大数据挖掘”肯定也有许多重大的区别,比如,机器不会累,它们收集的数据会更多、更快,数据的渠道来源会更广泛,总之,网友的“人肉”,最终将输给机器的“大数据挖掘”。
◆安全、黑客与代码
“安全”是一个很主观的概念,与角度密切相关。同一个事件,对不同的人,从不同的角度来说可能会得出完全相反的结论。所以,研究“安全”,必须只锁定一个角度,比如,“我”的角度。
其次,“安全”是一个与时间密切相关的概念。同一个系统,在昨天安全,绝不等于今天也安全;同样,在今天安全,也绝不等于明天就安全。当然,一个“在昨天不安全”的系统,今天也不会自动变为安全。
还有,“安全”是一个与对象密切相关的概念。若A和B是两个相互独立的系统,若我们只考虑A系统的安全,那么,B系统是否安全就应该完全忽略。
谈到安全的概念,很多读者会立刻想到危害安全的黑客。如果说安全的核心是对抗,那么在对抗的两个主角(攻方与守方)中,攻方(黑客)又是第一主角,原因在于守方(红客)是因攻方(黑客)而诞生的。
广义地说,系统(或组织)的破坏者都统称为“黑客”,他们以扰乱既有秩序为目的。
人们开发软件、研制信息产品、建设网络系统时,肯定都希望安全第一。但是,“理想很丰满,现实很骨感”,任何系统都不可能绝对安全,其安全性也无法事先严格证明,只能由实践来检验。无论多么认真,无论花费多少时间和精力,只要是人造的东西,就一定会有安全缺陷;而且,这些缺陷有时还很难被发现。怎么办呢?当然只好由专门检测人员,利用特制工具,来挖掘、修补和处理这些潜在的缺陷。
除了带工资外,从纯技术角度看,这些检测人员与黑客其实没啥区别;而且,他们显然都是绝不可少的,因为,“带着缺陷运行的系统”更危险、更可怕。从这个角度看,黑客的产生也是不可避免的。因为,即使是经过高级专门人员检测后,也还会遗留一些未被发现的缺陷,于是,社会上便出现了一批“志愿者”,他们不分昼夜,不辞辛劳,对这些系统反复进行地毯式搜索,希望找到更多的漏洞去换钱,或以此证明自己的能力。这批“志愿者”就俗称黑客。
电脑由硬件和软件两部分组成,前者决定了它的体力,后者决定了它的智力。软件的具体表现形式,其实就是称作代码的东西,它们不过只是一些逻辑命令而已,让电脑第一步这样,第二步那样,等等。电脑也很听话,指令让它干什么,它就干什么;让它做好事,它就做好事;让它做坏事,它就做坏事;甚至让它自杀,它也会毫不犹豫地遵令行事。
虽然人类一厢情愿地,将做好事的代码称为善意代码,简称为代码;将做坏事的代码称为恶意代码,但是,从电脑角度来看,它们都是代码,都是应该一视同仁地执行的命令。
仅仅从代码的角度来看,编写恶意代码更容易,编写善意代码更难,因为,善意代码的目标是要把某些工作做成,而恶意代码则是要把这些工作搞砸;而普遍规律是:败事容易,成事难。恶意代码是一个庞大的家族,甚至已经形成了一个个黑色部落。比如病毒、蠕虫、僵尸、木马等,都是典型的恶意代码的代表。
计算机病毒能够像寄生虫那样,把自己附着在各种类型的文件上,当文件被复制或在网上传播时,病毒也就随同文件一起快速蔓延。由于其独特的复制能力,而且还很难从正常文件中被切割,所以病毒对资源的消耗和破坏能力都很强,并且不易根除。
蠕虫病毒既可无限再生,又可迅速传播。蠕虫病毒是能够独立作战的“自包含程序”,它能将其自身功能的全部或部分,传染到网上的其他终端。蠕虫主要包括主机蠕虫和网络蠕虫,前者完全包含在其运行的主机中,并且通过网络将自身拷贝到其他终端。一旦它完成拷贝动作后,就会自杀,让其克隆物继续作恶;因此,在任何时刻,都只有一个蠕虫拷贝在运行。
僵尸病毒通过“互联网中继聊天服务器(IRC)”来控制一大群计算机;此时这些所谓的“计算机”已经失去了独立的行动能力,而只能听由“赶尸者”,即黑客指挥。目前,僵尸已经成为互联网上黑客最青睐的作案工具之一了。针对手机用户,僵尸的攻击更加传奇。轻者,其手机被莫名扣费、朋友被广告短信深夜骚扰;重者,存款泡汤、为害八方。手机僵尸的扩散特点很像传销组织,一级感染一级,时间越长,被感染和控制的手机也就越多,呈指数级爆炸型增长。而且,它还在不断变异。有些变异后,竟然能够在关机或锁定的情况下,让手机仍然自动发送信息;甚至,还能反过来将“试图消灭它的杀毒软件”杀死。
木马病毒通过特定程序(木马程序)来控制另一台计算机,它不会自我繁殖,也并不刻意感染其他文件,相反它要尽量伪装自己,别引起外界的注意,让人在不知不觉中将其植入自己的电脑,使其成为“被控制端”。待到冲锋号响起后,黑客在控制端发出命令,木马就开始行动,或毁坏被控制端,或从中窃取任何文件、增加口令,或浏览、移动、复制、删除、修改注册表和计算机配置等。木马病毒一旦启动,就很难被阻止,因为,它会将自己加载到核心软件中,系统每次启用,它就自动开始运行;干完坏事后,它还会立刻隐形(自动变更文件名),或马上将自身复制到其他文件夹中,还可以不经用户准许就偷偷获得使用权。
◆风险防御建议
大数据时代背景下,针对过去已经遗留在网上的海量碎片信息,如何进行隐私保护呢?如果单靠技术,显然无能为力,甚至会越“保护”就越“泄露隐私”,因此,必须多管齐下。比如,从法律上,禁止以“人肉搜索”为目的的大数据挖掘行为;增加“网民的被遗忘权”等法律条款,即,网民有权要求相关网络删除“与自己直接相关的信息碎片”。从管理角度,也可以采取措施,对一些恶意的大数据行为进行发现、监督和管控。另外,在必要的时候,还需要重塑“隐私”概念,因为,毕竟“隐私”本身就是一个与时间、地点、民族、宗教、文化等有关的东西,在某种意义上也是一种约定俗成的东西。
针对今后的网络行为,应该如何来保护自己的隐私,至少不要把过多的没必要的碎片信息遗留在网上呢?在这里,我想提供一个很实用的策略,那就是:匿名!只要做好匿名工作,那么,谈论什么“隐私泄露”,就是无本之木、无源之水了。匿名的重点包括:
身份匿名。任何绯闻或丑事儿,当大家并不知道你就是当事人时,请问你的隐私被泄露了吗?当然没有!没准你还踮着脚、伸着长脖子往前挤,还想多看几眼热闹呢!
属性匿名。如果你觉得自己的某些属性(比如,在哪里工作、有啥爱好、病史记录等)需要保密,那么,请记住:打死也不要在网上发布自己的这些消息,甚至要有意避开与这些属性相关的东西。这样别人就很难对你顺藤摸瓜了。 关系匿名。如果你不想让别人知道你与张三是朋友,那么,最好在网上离张三远一点儿,不要去关注与他相关的任何事情,更别与他搭讪。
位置匿名。这一点用不着我来教你了吧。至少别主动在社交媒体上随时暴露自己的行踪,好像生怕别人不知道“你现在正在某饭店吃饭”一样。
概括一下,在大数据之前,隐私保护的哲学是:把“私”藏起来,而我的身份可公开。今后,大数据隐私保护的哲学将变成:把“私”公开(实际上是没法不公开),而我的身份却被藏起来,即匿名。
杨教授支招
对于我们普通的个人用户,应该如何防范恶意代码呢?希望以下这几招能对你有帮助。
1.永远不要执行任何来历不明的软件或程序,除非您确信自己的防毒水平已登峰造极;
2.永远不要相信你邮箱不会收到含有恶意代码的邮件;
3.用电邮给朋友发软件时,记得叮嘱对方先查毒,因为,在你电脑上不发作的病毒,没准在朋友电脑上就复活了;
4.永远不要因为对方是你的好朋友,就轻易执行他发过来的软件或程序,因为你无法确信他是否安装过病毒防火墙,也许你的朋友中了黑客程序还不知道,还以为是什么好东西寄来与你分享呢;
5.千万不要随便留下你的个人资料,因为你永远不会知道是否有人会处心积虑地收集起来,用于今后找你麻烦;
6.千万不要轻易相信网络上认识的新朋友,因为“在网络上,没有人会知道你是一只狗”!你无法判断,对方是否想把你当作实验品。
面对各种各样的黑客,我们更要注意保护自己,以下十点建议也许对你有益。
1.使用杀毒软件并经常升级,从而使恶意程序远离你的计算机;
2.别允许网店储存你的信用卡资料,哪怕是为了方便你今后购物;
3.设置口令时,请使用由数字和字母混排而成的、难以破译的口令;
4.对不同的网站和程序,使用不同的口令,以防止被黑客破译;
5.使用最新版本的浏览器、电子邮件和其他网络软件;
6.别向可疑网站发送信用卡卡号,留意浏览器底部信息栏中显示的挂锁图标或钥匙图标;
7.确认你要点击的网站地址正确无误,别被黑客用“李鬼”钓了鱼;
8.使用“对cookie程序有控制权”的安全程序;
9.如果你在用数字用户专线或调制解调器连接因特网,请安装防火墙软件,并监视数据流动;
10.别轻易打开电子邮件的附件,除非你确认信息的来源安全。
在一个充满陷阱的网络世界里,要想保护自己,的确很不容易。请你时刻提醒自己:在某个角落里,某些毫无道德的人,正在刺探你的漏洞,并利用它们来窃取你的敏感秘密。最后,我愿将“世界头号黑客”凯文·米特尼克亲自总结的“反欺骗十大招”分享给读者朋友们,希望你们不是下一位上当者!
1.备份资料,记住你的系统永远不会是无懈可击的,灾难性的数据损失会发生在你身上,只需一条蠕虫或一只木马就已足够;
2.选择很难猜的口令,不要随意填上几个与你有关的数字当作口令,在任何情况下,都要及时修改默认口令;
3.记得安装杀毒软件,并让它及时更新升级;
4.及时更新操作系统,时刻留意软件制造商发布的各种补丁,并及时安装应用;
5.不用电脑时,千万别忘了断开网线和电源;
6.在浏览器中会出现一些黑客钓鱼,对此要保持清醒,拒绝点击,同时将电子邮件客户端的自动脚本功能关闭;
7.在发送敏感邮件时要加密,也可用加密软件保护你的硬盘数据;
8.安装一个或几个反间谍程序,并且要经常运行检查;
9.使用个人防火墙并正确设置它,阻止其他计算机、网络和网址与你的计算机建立连接,指定哪些程序可以自动连接到网络;
10.关闭所有你不使用的系统服务,特别是那些可以让别人远程控制你的计算机的服务,如RemoteDesktop、RealVNC和NetBIOS等。