大數據時代背景下個人信息安全問題探索

◆李文琦 高樂 張婉婷

大數據時代背景下個人信息安全問題探索

◆李文琦 高樂通訊作者張婉婷

（五邑大學 智能制造學部 廣東 529000）

隨著科技的不斷發展，當今社會逐漸步入了信息化和大數據時代。在大數據時代背景下，各行各業都得到了飛速的發展，以網絡為基礎的通信、服務、計算等重要的信息基礎設施在人們生活中發揮著越來越重要的作用。隨著大數據、云計算、人工智能、物聯網等科技的快速發展，個人信息的安全也在面臨著前所未有的挑戰。大數據技術在此時是一把雙刃劍，合法有效的利用會為人們帶來更加方便快捷的物質生活和精神享受；但是非法操控大數據技術用來牟利就會給個人和社會帶來巨大的損失。本研究著眼于大數據時代個人信息安全問題進行探索，對個人信息安全問題進行了現狀梳理和典型案例分析，并針對性地提出相應的防護策略。

大數據；信息安全；計算機；防護策略

大數據時代的到來，社會的各行各業都發生了巨大的變革。社會越來越實現了信息化與智能化，以計算機網絡為基礎的通信、服務、計算等重要的信息基礎設施在人們生活中發揮著越來越重要的作用，但是個人信息安全問題也面臨著新的挑戰。大數據技術的應用在很大程度上促進了社會各個領域的數字化發展，但同時它也是一把雙刃劍，在大數據環境下個人信息更容易存在著潛在的風險[1-3]。在數字化的今天，個人信息安全隱患比較嚴重，更容易泄露，為不法分子帶來可乘之機。另一方面，大多數人們對互聯網和個人信息的認識模糊、法律意識不足以及對預防策略的缺乏也是很大的問題。當個人日常生活中享受網絡通信服務的便利時，人們通常會忽略網絡服務的陰暗面。例如在淘寶、拼多多、唯品會、京東、美團和其他軟件上購買服務時，個人信息會不同程度的暴露給商家。然而這些個人隱私信息一旦被不法分子利用后，將可能會給人們帶來不同程度的信息安全威脅和經濟損失。百度搜索首席執行官李彥宏曾經說過：“中國的互聯網用戶比起海外用戶對待隱私似乎更加開放，中國的用戶更加愿意拿自己的隱私去換取實際操作中的便利[4]。”除了個人法律意識的薄弱外，計算機和物聯網設備的系統漏洞和木馬攻擊也同樣會給人們帶來嚴重的威脅。因此，大數據環境下所面臨的個人隱私信息泄露、詐騙等問題依靠個人去解決是遠遠不夠的，它需要國家層面、社會層面、行業層面和個人的共同努力，為人們信息安全的保護提供有效的保障。所以針對個人信息安全問題展開探索具有很重要的現實意義。

1 個人信息安全風險類型

（1）計算機木馬

木馬病毒是含有特殊攻擊功能的一些惡意代碼，它通常隱匿在計算機正常的程序代碼中[5-7]。木馬病毒具有DoS攻擊、刪除文件、隱匿發送密碼、強制鎖屏、格式化硬盤、遠程訪問等惡意功能。木馬病毒惡意程序通常是尋找計算機漏洞，侵入計算機進行實時監控、資料修改等非法操作，并伺機竊取計算機的密碼和重要文件等。木馬病毒具有很強的隱蔽性和欺騙性，它廣泛地存在各類計算機設備和網絡載體中。一般情況下，木馬病毒主要存在于下載的文件、安裝包、APP應用程序之中。

（2）網絡黑客攻擊

TCP/IP通信協議中目前會存在一些漏洞，網絡黑客會針對這些漏洞進行攻擊并使網絡

出現癱瘓等問題，如圖1展示了TCP/IP通信過程中網絡黑客攻擊的過程[8]。當客戶端（client）發送指令嘗試連接服務器（servers）時，客戶端會向服務器發送一個syn數據包，此時服務器會分配緩沖資源（buffer resources）給連接。如果客戶端連續的發送一系列syn數據包給服務器，則服務器會連續的分配緩沖資源，當緩沖資源用盡后，網絡通信服務就會陷入癱瘓狀態，黑客攻擊便會乘虛而入。網絡黑客經常會偽裝成客戶機進行通信服務攔截，通常使用TCP/IP中的序列號認證通信方，黑客在獲取該序列號后會偽裝成相應的客戶機。最后，網絡黑客將源IP偽造成攻擊方系統的IP而不是客戶機端的IP，并向服務器發送syn數據包，服務器就會將ack包發送給攻擊方系統，實現網絡黑客攻擊。在目前網絡通信的環境下，網絡黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞攻擊主要是采用拒絕服務攻擊和信息炸彈，是為了擾亂計算機系統的正常運行，但不進行數據資料的竊?。黄茐男怨羰且云茐碾娔X信息系統的數據為目的，侵入他人計算機系統，盜竊數據資料和機密信。這兩種黑客攻擊模式都會給個人和企業乃至國家造成很大的經濟損失。

圖1 網絡黑客攻擊流程圖

（3）系統漏洞

計算機和手機系統漏洞同樣也會給個人信息安全帶來威脅[9]。在用戶使用計算機和智能手機的時候，經常會遇到系統更新、軟件版本升級、硬件系統更新等諸多因素。在計算機和智能手機的系統漏洞和數據傳輸的漏洞的情況下，不法分子會利用系統中存在的漏洞侵入系統中，并盜取計算機硬盤和手機內存中存儲的重要數據和文件，導致計算機或者智能手機時出現運行卡頓和死機等問題，嚴重情況下會使個人損失經濟財產。2020年移動應用安全大數據平臺利用安全檢測引擎，對全國3307221款應用進行104項的漏洞掃描，其中高達82.72%的應用存在著漏洞風險，不同風險等級漏洞見圖2，其中高危風險為81.07，中危風險為80.87%，低危風險為81.02%[10]。

圖2 不同風險等級漏洞占百分比

（4）信息詐騙

信息詐騙指不法分子借助各種非法途徑獲取到個人的信息，取得了個人的聯系方式后，利用通訊軟件、手機、偽基站群撥打或發送詐騙短信等方式騙取金錢，見圖3。近些年較為常見的詐騙方式表現出跨區域性、高科技性、多樣性等特征[11-12]，常見到的網絡詐騙包括購物詐騙、中獎詐騙、冒充他人詐騙、釣魚網站詐騙、虛假WiFi詐騙、商業投資詐騙以及網上交友等。部分詐騙已經形成有組織有規模的犯罪產業鏈。不法分子往往根據用戶個人信息捏造虛假事實，造成用戶內心恐慌，并加以誘導使用戶作出匯款、透漏更多隱私信息等行為。

（5）行業不規范操作

除了以上的幾種個人信息安全問題，行業的不規范操作，甚至有的行業在打法律的擦邊球，也對人們信息安全造成了潛在的威脅[11]。如今人們生活在一個數據化、智能化的時代，網絡環境就像人們生活的另一個空間，幾乎人人手中都有一部智能手機，更加方便登錄網絡進行交流和享受互聯網的服務。根據《2020中國互聯網移動應用隱私情況年度觀察報告》中顯示，當前全國范圍存有500萬款APP，累計下載量已超萬億次，個人用戶每天在各類APP上平均花費時間長達4.9小時。據統計，截至2020年12月，全國有Android應用共計330萬款以上，iOS應用共計210萬款以上，微信公眾號520萬個，微信小程序65萬個。當人們使用手機下載APP應用的時候，應用平臺一般都會要求獲取用戶的個人信息，如果用戶不同意就不能正常使用平臺提供的服務。雖然注冊前有用戶須知，需要用戶瀏覽后選擇同意才可以獲取相應的個人信息。但是對于大部分的用戶來說他們都不會認真的完整閱讀完用戶須知內容，毫無保留地把管理權限默認給予網絡應用平臺。2020年12月，針對全國手機應用程序進行了信息合規性抽樣檢測，共送檢50萬個應用。統計分析顯示，送檢樣品中有66.48%的應用存在“即使用戶明確表示不同意但是仍在收集用戶個人信息”的違規情況，61.00%的應用存在“收集用戶個人信息前未征得用戶同意”的違規情況。該違規行為是指在用戶使用APP時，在用戶不知情的情況下收集相關個人信息數據，容易造成用戶在不知情的情況下隱私信息被盜取，被販賣，被他人記錄等結果；

圖3 網絡詐騙一般流程

2 個人信息安全案例

（1）木馬病毒案例

發生在2017年的“想哭”病毒（WannaCry）是歷史上非常著名的病毒，文件的大小僅有3.3MB，是由不法分子NSA（National Security Agency）泄露的危險漏洞永恒之藍（EternalBlue）進行傳播，該病毒的特點是傳播速度極為迅速，破譯難度大，對于一些人只有支付一些金錢才能免于文件的丟失。另外一件病毒案件是發生在2012年12月6日，國內出現一款名為“支付大盜”的新型網購木馬病毒。該木馬病毒的特點是木馬病毒網站利用競價百度排名機制偽裝為“阿里旺旺官網”，借此誘騙網民下載偽造的軟件，該軟件中存在著木馬病毒。當用戶進行資金交易時，木馬病毒發揮作用暗中劫持用戶的網上支付資金，將付款對象竄改為黑客賬戶，進而將資金轉移。

（2）網絡黑客案例

2016年3月，廣州市公安局破獲一起網絡黑客竊取乘客個人信息的案件，抓獲了一名年僅19歲的網絡黑客。這名網絡黑客通過網絡攻擊和非法竊取各大航空公司官網、票務代售平臺和電子商務平臺大量的個人信息。網絡犯罪破案比較困難，需要民警和網絡技術部門協力合作。在偵破案件過程中，網絡警察通過篩查發現一個網絡訪客，未經授權偷偷進入了航空公司的票務系統平臺，竊取旅客訂單信息，包括姓名和聯系方式等。經過多方取證和審訊最終破案。在該網絡黑客的電腦里面，共發現多達167萬條旅客個人信息，而且截至案發時，共計80多萬條個人信息已被售賣給其他犯罪團伙。

（3）漏洞攻擊案例

2016年OpenSSL協議出現了信息漏洞問題，被爆出存在“水牢漏洞”的嚴重安全漏洞。不法分子利用這一漏洞開始攻擊網站并讀取用戶的個人信息，包括個人交易密碼、信用卡賬號、加密的金融數據等，給用戶帶來了極大的傷害。目前全世界有超過一半的網絡服務器都使用OpenSSL協議進行加密，所以此次系統安全漏洞給全球網站的安全帶來了嚴重的挑戰。無獨有偶，2016年IOS公布了IOS9.1系統，此前IOS系統也存在了兩種漏洞威脅，分別是沙盒逃逸漏洞和內核漏洞，這兩種漏洞均會造成在安裝在個人設備中的app文件被竊讀和內核信息的泄露。

（4）信息詐騙案例

2020年9月21日，廣州市越秀區破獲一起信息詐騙案件，受害人羅某稱被人詐騙8136.48元。經過警察調查取證，發現羅某曾收到一條顯示“市場監管部門”發來的手機短信，信息顯示：“為支持全國個體工商戶積極應對疫情影響共克難關，給予你租金減免補貼登錄確認補貼金額?！痹谛畔⒛┪哺綆в幸粋€網址。羅某信以為真就打開了提供的網址，并按照參考步驟一步步填寫了個人信息、住址、銀行卡號、密碼以及驗證碼。事后收到了銀行發來扣款8136.48元人民幣的短信，羅某才知道自己上當受騙了。

（5）APP應用案例

2019年央視3.15晚會主持人現場使用“社保掌上通”APP查詢個人社保信息，旁邊的網絡安全專家通過抓取分析數據包發現，查詢時，用戶的信息已被發送至一家大數據公司的服務器，使得個人隱私信息通過手機APP泄露。用戶在查詢信息時，被默認同意了一份授權協議，協議中包括“您再次充分地、有效地、不可撤銷地、明示同意并授權我們使用您的社保賬戶密碼為您提供服務”，以及“在遵循本協議的條件下，對您的信息進行采集、分析、處理和模擬您登錄學信網、社保、公積金等獲取您的個人信息”等條款。

3 個人信息安全防護策略

針對個人信息安全問題，提出以下幾條防護策略。

（1）數據加密技術

當前木馬病毒入侵和黑客入侵問題嚴重，為了有效解決這一問題，應該重視加密數據信息，并且大力運用加密技術，通過加密技術來抵御病毒入侵及黑客入侵。對于非常重要的信息數據，可采用將其轉化為亂碼形式的科學手段，然后再對其進行信息的傳輸。就當前社會發展現狀來講，加密技術在運用過程中可以將其劃分為公開密鑰以及私人密鑰，私人密鑰在加密時需使用相同密鑰加密數據，比較典型的便是數據加密算法，公開密鑰在加密時和私人密鑰之間有所不同，需使用兩個不一致的密鑰，兩個密鑰屬于一對，需一同使用情況下才能獲得比較理想的效果。

（2）網絡防火墻技術

在使用計算機網絡過程中，為了解決病毒入侵及黑客入侵的問題，應重視計算機系統軟件和計算機硬件設備之間的組合，使計算機在使用和運行過程中，無論是外部網絡還是內部網絡都能具有保護屏障，這一屏障也應運用于公共網絡環境以及專用網絡環境當中，其實這一屏障就是防火墻。用戶在使用計算機過程中，在保證網絡環境正常和信息在存儲中的安全性方面防火墻發揮著十分重要的作用。因此用戶在使用計算機時應注重運用防火墻功能，根據實際情況避免出現不明程序運行問題去制定與外部信息訪問相適應的訪問的權限。我們應該注重對防火墻的宣傳，因為很多用戶在使用計算機時，并不了解防火墻這一技術，所以要使更多用戶了解防火墻在使用時的基本原理與主要作用，認識到防火墻對于網絡信息安全實現的重要性。同時用戶在使用軟件時，應保證下載渠道的正規性，使系統軟件在運行過程中獲得堅固屏障，進而使網絡在運行時的安全性得到保證。

（3）防病毒軟件

為了有效應對計算機病毒，需要充分應用防病毒軟件。對病毒進行預防、檢測與清除是防病毒軟件的關鍵所在，防病毒軟件有兩種使用情況，第一種是用軟件光盤或軟盤啟動電腦，對電腦資源進行掃描查殺，這種方法我們可以稱之為系統防毒方式，它的優點是不占用系統資源，而且在啟動電腦時殺病毒對存在于內存中的永駐性病毒非常有效。第二種情況是將軟件安裝在電腦中，這樣就可以在每次啟動電腦時或在操作系統中對系統資源進行掃描、查殺，這種方法我們可以稱之為系統內防毒方式，它的優點是可以設置定時查殺程序和實時監控程序，隨時防止病毒的侵入。例如較常用的防病毒軟件金山、360、卡巴、瑞星。

（4）入侵檢測技術

入侵檢測技術是指對信息進行收集與檢測或網絡封包，在檢測到可能的入侵行為時會發出警報通知，從而及時對網絡信息安全攻擊進行應對處理。該技術主要分為特征檢測和異常檢測兩類，特征檢測是基于已知系統和應用軟件的弱點攻擊模式進行檢測，異常檢測則是通過行為比較的方式進行檢測，二者均是防火墻技術的有效補充。各種黑客工具是黑客必備的利器，查找系統漏洞并實施攻擊是一項復雜且重復的任務，為防御黑客并理解復雜的系統結構，必須精通且靈活使用各種黑客工具。

（5）加強法律意識

企業單位應該利用計算機算法和機器學習等手段最大化利用數據，將對消費者產生的影響降到最低。我們在加快推進信息安全技術防護工作的同時，也要不斷完善信息安全法規體系，切實開展全民信息安全教育，增強自身網絡信息安全意識和法律意識等。第一，針對網絡安全的薄弱環節并且結合我國現狀和國情，政府部門應不斷完善安全審計等有關的法律體系，建立完善的網絡安全管理體系，確保對網絡安全問題的有效合理預測，并能采取有效措施應對網絡安全突發事件。同時，要對網絡系統和數據進行備份，以防由于外部因素造成數據損壞或丟失。第二，注重教育和培訓，從小做起，從自身做起，充分利用各種信息安全防護設備，建立完善的網絡安全人員培訓體系，進一步提高網絡人員的安全防護技能水平。把網絡信息安全教育和日常性教育相結合，采用多渠道和多方位等形式對網民進行安全教育和引導。第三，通過宣傳增強網民信息安全意識。一方面媒體宣傳健康上網，樹立正確的價值觀；另一方面宣傳普及網絡安全知識，增強網民的網絡信息安全意識。

4 結語

在大數據時代背景下，各領域都得到了空前的發展。隨著大數據、云計算、人工智能、物聯網等科技的快速發展，個人信息的安全也在面臨著前所未有的挑戰。大數據技術在此時是一把雙刃劍，合法有效的利用會為人們帶來更加方便快捷的物質生活和精神享受；但是非法操控大數據技術用來牟利就會給個人和社會帶來巨大的損失。由于網絡環境的復雜性、多變性與網絡信息的特殊性，信息安全問題也會隨之相伴。盡管近年來網民遭遇網絡安全事件的數量較前幾年有所下降，這在一定程度上說明了大眾信息安全防范意識逐漸提高，我國信息安全防護工作取得了進展，但隨著大數據時代下互聯網科技的逐漸發展，新的病毒、詐騙手段等問題也會不斷涌現。因此，對待我國網民信息安全防護工作的態度依然不能有一絲一毫的懈怠，我們需要更加重視信息安全問題，加強對信息安全的管理，采取提高多方面技術手段，促使網絡信息為大眾提供更加安全可靠的信息服務。

[1]趙正東，王乃冬.大數據時代個人信息侵權及保護問題探索[J].延邊大學學報（社會科學版），54（1）：116-122.

[2]李茹玥.大數據背景下信息安全初探[J].網絡安全技術與應用，2020（01）:65-66.

[3]杜小紅.大數據背景下的個人信息保護[J].法學研究（法制與社會），2020（4下）：14-15.

[4]周林興，韓永繼.大數據環境下個人信息治理研究[J].情報科學，2021，39（03）：11-18.

[5]彭雨婷.大數據時代個人信息保護制度完善研究[J].武漢冶金管理干部學院學報，30（4）：36-38.

[6]汪劍.互聯網網絡安全威脅治理，法制在“行動”[J].法制博覽，2021（08）：165-166.

[7]康志博.基于android平臺的木馬機理與檢測技術研究[D].北京郵電大學，2014.

[8]吳振庭.淺談大數據背景下的個人信息安全防護[J].電腦編程技術與維護，2020（06）：157-159.

[9]常莽.信息泄漏頻發究竟有沒有辦法[J].計算機與網絡，2020，46（24）.

[10]何翠云.網絡個人信息保護需多方努力[N].中華工商時報，2021-04-21.

[11]李悅.中國網民信息安全狀況研究[J].合作經濟與科技，2021（05）：182-183.

[12]賀軍忠.2020. 基于Python的網絡黑客攻擊技術分析研究與防范策略[J].汕頭大學學報（自然科學版），35（3）：72-80.

信息安全工程實踐平臺與人才培養模式的構建（JX2020052）；省級質量工程項目《藍盾信息安全學院》（GDJX2020009）