不可忽略的信息安全問題

劉自成

大連市第二十三中學

不可忽略的信息安全問題

劉自成

大連市第二十三中學

在信息大爆炸的今天，信息數據傳播出現了很多新技術、新事物，如云計算、物聯網等。在時代創新與科研探索不斷催趕的大環境下，信息安全的重要性越來越得到人們的重視，雖然今天對于信息控制、安全與管理技術，我們也取得了很大進步。但目前，信息數據在收集、存儲和使用過程中面臨著諸多安全風險，尤其今天的大數據信息傳播可能導致大面積的隱私泄露，更為用戶帶來嚴重困擾。虛假或錯誤的數據也將給國家和企業帶來巨大的損失。本文分析了信息安全的意義，信息安全重要性及現狀，并針對現有的信息安全問題提出了個人的看法和見解。

信息安全；大數據；量子通信

1 什么是大數據、信息安全

隨著互聯網技術及其應用的發展，信息化，大數據時代已經到來。通過大數據﹑云計算﹑量子通訊等互聯網新技術的使用,個人信息的價值不斷被挖掘﹑被使用,每個人既是信息數據的提供者也是使用者，現有的信息安全手段已經不能滿足大數據時代的發展速度，信息安全既是一個不容忽視的國家安全戰略，也是一個值得重視的社會問題。

大數據是指所涉及的數據量規模巨大到無法通過人工或傳統的工具,在合理時間內達到截取﹑管理﹑處理并整理成為人類所能解讀的信息。

信息安全是指信息系統(包括硬件﹑軟件﹑數據﹑人﹑物理環境及其基礎設施)受到保護，不受偶然的或者惡意的原因而遭到破壞﹑更改﹑泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。它有以下幾個特性

保密性：保護自己所要傳輸的數據在沒有被允許的情況下被他人閱讀。每個人都有他自己的特殊訪問權限，有自己的訪問鑰匙，因此可以避免泄密。

可控性：要準備傳輸的數據完全可以按照自己的意愿來進行傳輸，一些不必要的文件可以進行控制。

永久性：不會隨著一些自然災害，人為失誤導致所有的文件全部丟失。在通過一些手段后可以繼續有權限或者有可能繼續閱讀或利用已丟失的文件。

2 信息安全的重要性

現如今，網絡發展在我國十分普遍，各種各樣的網站跌重而來。同時每人每天會產生很多信息，這些海量的信息迅速在網絡中傳播著。比如簡單地例子：當你用手機掃描二維碼,并將其用微博轉發的時候,你的消費習慣﹑偏好,甚至你的社交圈的信息,就已經被商家的大數據分析工具捕獲。隨后,他們需要做的,就是利用大數據對你的習慣和需要進行精準的分析﹑挖掘﹑展現和預測,向你提供進一步的信息和服務。在網絡信息中，有很多都是比較敏感的信息，有的關系到國家機密信息，有的關系到用戶的個人隱私。如果不法分子獲取了這方面信息，就會對信息安全性造成嚴重威脅，由于利用互聯網技術進行犯罪，一般不會留下犯罪痕跡，這樣更提高了利用網絡犯罪的幾率。

人是網絡上各類攻擊﹑破解﹑監聽各類信息數據的制造者，也是互聯網信息的管理者，下面是幾個嚴重導致信息泄露的例子：案例1：2013年8月20日，中國雅虎郵箱宣布停止提供服務。就在大家已快將其淡忘的時候，雅虎公司突然對外發布消息，承認在2014年的一次黑客襲擊中，至少5億用戶的數據信息遭竊。此次事件成為了有史以來規模最大的單一網站信息泄露事件，一經爆出立刻引發軒然大波。案例2：2014年1月,支付寶前技術員工涉嫌將多達20G的用戶數據非法販賣他人事件,引起廣泛關注;案例3：同年3月,攜程網爆發“安全門”事件,攜程網安全支付日志存在漏洞,導致大量用戶銀行卡信息泄露,引發一場“換卡潮”。由此可見，信息安全不容小覷。我們必須認真對待。

3 信息安全面臨三大主要問題

3.1 一個問題是信息數據未經授權被搜集

這種情況發生得比較多，多是發生在信息傳播過程中被黑客攻擊，信息數據被非法盜取。

3.2 第二個問題是信息數據超出范圍使用

所謂超范圍使用,是指企業通過一定的所謂合法的形式拿到個人信息,但是拿到以后使用信息的目的﹑用途以及范圍,并非信息權利主體所熟知。這種情況包括,當互聯網對一些數據信息進行更進一步或者深層挖掘時,這種挖掘在一定程度上有可能侵犯了權利主體的權益。因為互聯網企業之前可能告訴權利主體,獲取信息是基于特定的目的或者在特定范圍內使用,但是進一步挖掘就有可能觸犯了約定，無意或有意造成用戶隱私的泄露。

3.3 第三個問題,信息數據在存儲過程中被人為地濫用

前面所說的支付寶用戶數據被非法販賣事件就是這樣的案例。前幾年,某網絡社區也遇到這一問題,社區存儲的幾千萬用戶信息被黑客拿到后轉賣給第三家,最后造成信息濫用。

4 大數據時代的信息安全的對策

4.1 加強信息安全立法

信息安全保護既包括信息基礎設施保護，也包括個人信息安全保護。

信息基礎設施保護立法包括：一是將電信﹑金融﹑能源﹑交通等重要信息系統明確納入國家關鍵信息系統范疇；二是對進入關鍵信息基礎設施中的信息技術與產品進行強制性技術安全認證及供應鏈審查；三是明確信息安全監管機構。建議中央網絡安全和信息化領導小組辦公室牽頭建立國家關鍵信息基礎設施的產品﹑服務安全審查制度。

個人信息安全保護立法是盡快出臺《個人信息保護法》。雖然我國自上世紀90年代以來，先后出臺多部涉及互聯網個人信息安全的法規﹑條例﹑辦法，但是，從頒布者來看，多為國務院﹑工業和信息化部﹑公安部等行政部門，這種部門法規的效力和權威要低于國家法律；從內容來看，對侵害互聯網個人信息安全的行為的界定﹑處置依據尚比較模糊，對各類互聯網參與主體的責任劃分不夠清晰明確，特別是對互聯網信息企業在信息安全方面人員﹑設備投入沒有明確的規定，難以適應當前嚴峻的互聯網個人信息安全形勢；從實施效果來看，部分法規﹑辦法仍停留在說教層面，具體實踐中沒有得到很好地執行。另外，刑法中也沒有對破壞互聯網個人信息安全的行為如制造病毒﹑傳播惡意軟件，利用互聯網個人信息從事非法活動的相關法律責任和處罰辦法進行細化。所以今天，針對互聯網信息產業新事物﹑新技術，應該盡快出臺針對個人信息安全保護方面的新法規。

4.2 加強現有的信息安全體系的發展，構造安全的網絡信息傳播環境

網絡環境下的信息安全體系是保證信息安全的關鍵，其中包括計算機安全操作系統﹑各種安全協議﹑安全機制(數字簽名﹑消息認證﹑數據加密等)，直至安全系統，如UniNAC﹑DLP等，只要存在安全漏洞便可能威脅全局的安全。

信息在存儲﹑處理和交換過程中，都存在泄密或被截收﹑竊聽﹑竄改和偽造的可能性。不難看出，單一的保密措施已很難保證通信和信息的安全，必須綜合應用各種保密措施，即通過技術的﹑管理的﹑行政的手段，實現信源﹑信號﹑信息三個環節的保護，藉以達到秘密信息安全的目的。

4.3 使用新技術、新事物來保證信息安全

信息安全新技術包括云安全技術﹑物聯網安全技術﹑量子通信技術等。

云安全是一個從“云計算”演變而來的新名詞。云安全的策略構想是：使用者越多，每個使用者就越安全，因為如此龐大的用戶群，足以覆蓋互聯網的每個角落，只要某個網站被掛馬或某個新木馬病毒出現，就會立刻被截獲。

“云安全”通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬﹑惡意程序的最新信息，推送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

物聯網是通過智能感知﹑識別技術與普適計算在互聯網的綜合應用，物聯網的核心技術主要有三個特點：可跟蹤﹑可監控﹑可連接。因此，物聯網所面臨的安全性威脅也主要是這三方面的，具體來講，主要包括感知﹑傳輸和應用三個層面。物聯網安全問題的解決需要根據物聯網自身的特點以及它在各個領域的應用情況，推行因地制宜的解決方案。但是不管在任何領域，構建一個安全的物聯網體系都是根本，它能為物聯網的發展提供更好的平臺，同時，一個完善的防護措施也是必不可少的，它能從外部縮小安全隱患的威脅，能為物聯網的發展打造一個更加和諧的網絡環境，推動以物聯網為載體的經濟新模式高效快速地發展。

量子通信技術是近年發展信息傳播新技術，主要有兩種方式，一種是利用量子的不可克隆性質生成量子密碼，他是二進制形式的，可以給經典的二進制信息加密，這種通信方式稱為“量子密鑰分發”。第二種是利用量子糾纏用來傳輸量子信息的最基本單位——量子比特。兩個處于糾纏態的粒子A和B，不論它們分開多遠，我們把其中一個粒子(A)和攜帶想要傳輸的量子比特的粒子(C)一起測量一下，C的量子比特馬上消失，但是B就馬上攜帶上了C之前攜帶的量子比特，我們把這個過程叫做“量子隱形傳態”。

量子密鑰分發可為我們現在的通信建立牢不可破的量子密碼，從根本上保障我們的通信安全。量子密鑰分發以一個個單獨的光子作為載體，通過收發雙方通過隨機測量這些光子，選取共同測量方式的那些測量結果，就會形成一組量子密鑰。如果中間有人竊聽，收發雙方的測量錯誤會瞬間上升，馬上就會察覺有竊聽的存在。所以一組成功生成的量子密鑰一定是排除了一切竊聽的絕對安全的密鑰，用它加密的信息也是不可破譯的。

結束語:

大數據時代已然到來，隨之而來的既有機遇也有挑戰。我們應當根據當前出現的信息安全新問題，通過加強現有的信息安全體系﹑并積極采用新技術手段與相關政策法規等相結合的方法，才能更好地解決信息安全保護問題。