大數據背景下網絡信息安全風險與防范策略研究

◆李建新

（常州信息職業技術學院 江蘇 213164）

摘要：大數據時代背景下的網絡安全面臨新的風險，信息泄露、信息詐騙和拖庫與撞庫等技術手段層出不窮。面對新的形勢，通過增強主觀意識、完善漏洞共享平臺、加強身份鑒權和建立健全法律保障體系等有效措施來保障網絡信息的安全。

關鍵詞：大數據；信息安全；防范

0 引言

當今的社會是一個高速發展的社會，科技的進步讓人與人之間的交流越來越密切，生活也越來越便利，大數據的應用越來越彰顯它的優勢。互聯網公司、電子商務、O2O和生產型企業等都在借助大數據技術進行產品銷售的預測、消費者行為判斷和風險預警，從而改善與優化公司的資源調配，進行精準營銷。在大數據給我們帶來便利生活、創造價值的同時，我們也應該清醒地認識到大數據背景下的網絡信息安全問題。

1 大數據背景下網絡信息安全面臨的風險與挑戰

1.1 信息泄露

中國互聯網絡信息中心發布的第42次《中國互聯網絡發展狀況統計報告》指出，截至2018年6月30日，中國網民規模達8.02億，互聯網普及率為57.7%。用戶的數據不再僅僅是從Web瀏覽器的Cookie中產生，智能電子設備、網絡搜索引擎、地圖定位導航、電子商務、媒體社交等在這些環節中都在產生數據。從用戶終端、傳輸管道到云端存儲都存在著信息泄露的可能。而背后的各電商平臺、社交軟件和廣告商等都在收集這些信息，利用大數據技術分析用戶行為，利用終端 APP甚至植入木馬向用戶推送各種促銷廣告從而帶來商機與利益。通常情況下，導致用戶信息泄露主要有以下途徑：①掌握用戶信息的公司因系統漏洞遭受惡意攻擊、員工主動倒賣導致群體性信息泄露。②電腦、手機等終端設備因感染病毒、木馬，甚至訪問釣魚網站、設備保管不善等都會造成個人信息的泄露。

1.2 信息詐騙

信息詐騙是指利用手機短信騙取金錢或財務的行為。隨著科技的發展，更多的科技產品、信息化的服務開始走進人們的生活。例如，人們在各大電子商務網站購買商品，從訂單的生成到商品到達客戶的手里，在整個商品運送的過程中，很多環節都會存在個人信息的泄露。而不法分子通過購買等不法行為收集用戶的個人信息，再進一步通過手機、偽基站發送詐騙短信、撥打詐騙電話。而這些實施詐騙的不法分子，因為已經有了部分用戶信息，再通過虛設的購物、中獎、退稅、違禁品、家人受傷住院、公檢法、勒索恐嚇等多種方式誘導用戶實施詐騙行為。近來，隨著網絡支付的普及與便捷性，通過替換二維碼變更收款賬戶、誘導用戶訪問釣魚網站等新形態的信息詐騙方式層出不窮。

1.3 拖庫與撞庫

拖庫是指黑客盜取了一些網站的數據庫，獲取了用戶的賬戶信息，其中主要是用戶名、密碼、郵箱、密保信息等。撞庫是指黑客利用拖庫獲得的用戶名和密碼在其他網站進行批量登錄，測試出有效的用戶名和密碼，通過撞庫，獲取更有價值的信息。由于用戶的使用習慣和安全風險意識較低，往往會在多個網站使用相同的用戶名和密碼，這就為撞庫帶來了一定的成功概率。現如今，依然還有一些不負責任的網站，將用戶的密碼以明文的形式存放在數據庫中，在這樣的情況下，一旦數據庫被拖庫，黑客直接就可以利用明文的用戶名和密碼進行撞庫。因此出于安全的考慮，一般需要將用戶的密碼做一次或多次，甚至配合鹽值進行MD5加密，然后存放在數據庫中。雖然說MD5算法本身是不可逆的，但也已經被證明存在碰撞的可能。現實應用中，沒有加鹽值的密文往往借助MD5字典來進行破解。

2 大數據背景下網絡信息安全風險防范策略分析

2.1 增強個人信息安全風險防范意識

個人信息泄露的源頭是用戶個人自身。因此在個人信息安全保護的過程中，個人作為信息的給予方，需要增強自我風險防范意識，主動接收信息安全的教育，借鑒他人的經驗，了解常見的信息詐騙的方式、方法和手段、養成良好的上網行為和習慣，妥善保管自身的密碼，采取有效保護措施來保護自身的信息安全。

2.2 建立完善漏洞共享平臺

信息的泄露，一方面是由于個人意識，管理制度等人為原因；另一方面是由于各大操作系統、網站、數據庫等系統應用軟件的漏洞。目前國內的主要漏洞共享響應平臺主要有國家信息安全漏洞共享平臺CNVD、國家信息安全漏洞庫CNNVD、補天漏洞響應平臺、綠盟漏洞庫等。建立、完善和整合漏洞共享平臺，將國家政府部門、重要的信息系統用戶、運營商、主要安全廠商、軟件廠商、科研院所、互聯網用戶等建立軟件安全漏洞統一收集、驗證、預警發布及應急處置體系，通過這一平臺，提升安全軟件漏洞整體研究水平與網絡安全預防能力，提高信息系統的安全性，帶動信息安全產業的發展，從而降低信息安全的風險。

2.3 加強身份鑒權機制

傳統的身份鑒別主要采用口令的方式。采用這種方式，技術實現比較簡單，經濟成本較低，口令一般由長度是5-8位的數字、字母及特殊字符組成。但采用口令的方式比較容易造成信息泄露，有很大的安全隱患。而較為可靠的標記技術正逐漸得到應用和發展，比如：指紋、虹膜、人臉識別、步態等新型身份識別技術正在降低實施門檻，為今后的身份鑒權提供有效的解決方案。

2.4 建立健全網絡安全相關法律法規制度體系

信息化產業已經成為國家的支柱產業，信息化的高速發展給各行各業帶來了發展的同時，也給國家的法律法規體制帶來了嚴峻的挑戰。各種網絡安全事件層出不窮，一旦處理不當會給國民經濟造成重大損失，也可能爆發大規模的群體事件。2017年1月1日實施的《中華人民共和國網絡安全法》是為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定的法律。網絡立法是網絡信息安全管理法制化的首要環節，加強建立健全相關法律法規制度體系建設，才能適應當前大數據背景下網絡信息安全環境的需要。

3 總結

大數據時代的到來，一方面給各行各業帶來了新的機遇，另一方面也給產業的發展帶來了新的挑戰，在肯定大數據帶來的各種便利的同時，我們也應該清醒地認識到大數據背景下網絡信息安全存在的各種風險。充分發揮個人、政府、企業及相關部門的力量，統籌協調推進，才能使得網絡信息安全得到切實有效的保障。