1、加大隐私泄露风险 从个人隐私的角度而言,用户在互联网中产生的数据具有累积性和关联性,单点信息可能不会暴露隐私,但如果采用大数据关联性抽取和集成有关该用户的多点信息并进行汇聚分析,其隐私泄露风险将大大增加,其关联性利用类似于现实生活中的“人肉搜索”将某人或事物暴露。 从企业、政府等大的角度而言,大数据安全标准体系尚不完善,隐私保护技术和相关法律法规尚不健全,加之大数据所有权和使用权出现分离,使得数据公开和隐私保护很难做到友好协调,在数据的合法使用者在利用大数据技术收集、分析和挖掘有价值信息的同时,攻击者也同样可以利用大数据技术最大限度地获取他们想要的信息,无疑增加了企业和政府敏感信息泄露的风险。 从大数据基础技术的角度而言,无论是被公认为大数据标准开源软件的Hadoop,还是大数据依托的数据库基础NOSQL,其本身均存在数据安全隐患。Hadoop作为一个分布式系统架构对数据的汇聚增加数据泄露风险的同时,作为一个云平台也存在着云计算面临的访问控制问题,其派生的新数据也面临加密问题。NOSQL技术将不同系统、不同应用和不同活动的数据进行关联,加大隐私泄露风险,又由于数据的多元非结构化,使得企业很难对其中的敏感信息进行定位和保护。 2、大数据成为黑客攻击的目标和手段 大数据其自身规模大且集中的特点使得其在网络空间中无疑是一个更易被“发现”、“命中”的大目标,低成本高收益的攻击效果对黑客而言是充满诱惑力的。 此外,大数据也被当做黑客的攻击手段,除了获取用户或其他组织机构的敏感信息之外,也可以对这些信息进行篡改、伪造、重放,通过控制关键节点放大攻击效果,或控制大量傀儡机发起传统单点攻击不具备的高数量级僵尸网络攻击。更甚者,利用大数据价值密度低的特征,将大数据作为APT攻击的载体,稀释APT攻击代码携带的安全分析工具所需的价值点,或误导安全厂商或安全分析工具进行安全监测的方向。若将该手段与0day漏洞结合利用,后果将不堪设想。 3、大数据对信息安全的合规性要求 大数据时代,出现数据拥有权和使用权分离,数据经常脱离数据拥有者的控制范围活跃着,这就对数据需求合规性和用户授权合规性提出新的要求,包括数据形态和转移方式的合规性。数据需求方为精准开展一个业务要求数据拥有者提供原始敏感数据或未脱敏的统计类数据,显然这有违背信息安全的本意。就算数据需求遵循最小级原则,对数据的提供未超出合理范围,用户授权仍是数据服务的前提,包括转移数据使用的目的、范围、方式以及授权信息的保存等各个环节。 在对信息安全提出合规性要求的同时,引入第三方的标准符合性审查服务似乎也很必要。如通过针对数据提供者和接受者双方的审查,包括文档资料安全规范的审查,技术辅助现场审查,在供方和需方之间做扫描和数据检测,提供第三方公平的数据安全审查服务。
..
|
