大數據時代如何保障個人信息安全？

在當今社會、尤其在城市叢林裡面生存，必然要跟網路打交道，衣食住行、購物、娛樂、消費都離不開網路，更不用說幾乎無處不在的攝像頭。這些方便我們、一定程度上也保護了我們，但我們的隱私在大數據下基本上沒有處於裸露狀態。如果這些被別有用心的人利用的話，對我們的安全將會照成極大的傷害。但對於掌握大數據資源、且能有效利用都是互聯網行業巨頭、或者政府，通常不會做惡、因為互聯網的作用是雙向，任何行為都會暴露在網路上、甚至還沒有來得及處理就已經散播出去。

另外，隨著國人隱私的意識覺醒，國家也開始立法來保護公眾的隱私安全，公安機關在互聯網安全監督檢查中，發現互聯網服務提供者和聯網使用單位，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息，尚不構成犯罪的，應當依照網路安全法予以處罰。

即便這樣，我們通常來說只需要注意一些事情就會讓自己的隱私泄露的概率大大降低，減少無謂傷害，如：在社交平台上要儘可能避免透露或標註自己的真實身份，在朋友圈晒圖片的時候，也須格外謹慎；不要在不正規的網站、APP上註冊真實姓名等信息；在網上交易收到產品後的快遞單一定要撕掉或塗黑等，隱匿個人信息等等。

網路攻擊就像流感病毒，一旦防不住，擴散是必然的，最壞的結果之一就是造成數據泄露。但這並不意味著，數據泄露的罪魁禍首就是萬惡的攻擊者。很多時候，「中招」也和企業沒有做好預防工作有關。今天，我們用六個問題，來試試你的企業數據泄露的風險有多大？

1、你足夠了解自己的數據嗎？

談數據泄露，首先談數據。

很多企業對自己數據的分級不清晰，不了解哪些數據已經對外泄露，甚至不知道自己的敏感數據主要存在哪些地方（伺服器、終端、網盤等）。

建議：企業在部署安全防護之前，應對數據的存放位置、存儲地安全性、和數據的敏感程度做一個梳理。例如，哪些是最敏感、最容易被攻擊者「瞄上」的（用戶賬號密碼、信用卡信息等），哪些是風險相對較小的數據。了解自己的數據，可以讓之後的許可權管理、防護部署、漏洞修復少費很多功夫。

同時，企業員工可以定期給數據存放點做「保修」，例如伺服器升級、終端系統升級等。

2、數據沒有「裸奔」吧？

數據在產生、通信、傳輸、存儲的過程中，都有可能被篡改、劫持、釣魚攻擊盯上。如果這個時候，數據沒有加密，那麼攻擊者就會直接看到明文數據。目前，很多企業在數據保護上面還做得遠遠不夠。例如，全球還有半數的企業沒有將網站從HTTP轉為HTTPS，讓數據在網路上「裸奔」。

HTTPS化，已經成為了全球大企業的必然選擇。蘋果就宣布2017年1月1日起，所有提交到App Store 的App必須強制開啟ATS安全標準(AppTransport Security)，所有連接必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。

建議：企業需要對關鍵、敏感的數據進行全鏈路的保護，也就是從數據的產生、通信、存儲到銷毀，都需要呆在加密的環境中。另外，建議企業跟上全球步伐，利用雲上證書服務實現一鍵HTTPS化。

從上圖看，數據從客戶端出來就已經是密文數據了。那麼企業的用戶在任何網路鏈路上接入，即使被監聽，黑客截獲的數據都是密文數據，無法在現有條件下還原出原始數據信息。

3、知道自己所在行業的最大威脅，和高危路徑嗎？

知己知彼，百戰百勝。企業需要知道所處行業的主要攻擊類型。例如，在直播、遊戲行業，因為DDoS攻擊所導致的數據泄露事件就特別頻繁。

但無論哪個行業，Web攻擊都是第一大要害。阿里雲安全團隊發現，85%以上的企業數據泄露都是因Web攻擊引起，包括SQL注入、釣魚、社工、撞庫等。

建議：在部署安全防護產品時，不能「跟風」。企業應去了解針對所處行業的安全解決方案。一般來說，安全專家們在與各行各業打交道的過程中，對每個行業的高發事件，及其所對應的攻擊類型，都了如指掌，能為每個行業定製「配套」的產品、架構和防護流程。

而針對最需要警惕的Web攻擊，建議每一家企業都能部署Web應用防火牆WAF。據阿里雲安全團隊的經驗，如果企業能按時做好風險掃描、系統升級、再部署Web應用防火牆WAF，能有效抵禦90%以上的Web入侵。

4、修復漏洞的時候，能不犯拖延症嗎？

阿里雲安全研究發現，大約有20%的企業，超過一個月或者長期不修復自己的高危漏洞，讓系統在危險狀態下運作。

建議：企業需要定期進行漏洞掃描和系統升級；另外，對漏洞的修復要「有重點」。企業在精力、時間有限的情況下，可以優先那些最容易被攻擊者瞄上的熱門漏洞。

尤其是像Struts2 這樣的大規模漏洞爆發之後，企業需要在幾個小時內馬上修復，還要有臨時補救措施，否則很容易發生數據泄露事件。

科普:Struts2是Apache項目下的一個Web 框架，普遍應用於各大企業和門戶網站。在2013年6月底發布的Struts2.3.15版本被曝出存在重要的安全漏洞，攻擊者可遠程執行伺服器腳本代碼等。

在此基礎上，漏洞不僅要靠修，還要靠預防。建議企業定期進行安全測試，或發起眾測項目，讓專業的安全公司和測試人員為企業漏洞情況做診斷，達到更好的查漏補缺效果。

5、把正確的許可權給正確的人了嗎？

許可權管理和訪問控制，對於保護敏感數據、防範商業間諜是必不可少的。潛伏在企業中的「內鬼」，會將機密數據偷偷泄露出去。這時候，做好分權、分區，就決定了你讓什麼人，看到和處理哪些數據。

建議：雲上針對租戶賬號提供賬號登錄雙因素驗證機制(MFA)、密碼安全策略、和審計功能，企業可以方便的在自己的雲上界面中啟用和關閉，以確保雲服務賬號的安全性。

而在訪問控制上，企業可以限制SSH、RDP業務管理源地址、對資料庫連接源IP進行訪問控制，實現最小化訪問範圍，僅允許授信人員訪問，並對出口網路行為實時分析和審計。

6、員工的安全意識培訓做了嗎？

很多大事故都起源於小錯誤。千萬不要忽視員工在聊天時隨便截圖、隨便點郵件中的鏈接等習慣，也特別要重視代碼安全。員工基本安全能力和意識的缺失，是很多數據泄露事件背後的真正原因。

弱密碼就是一個特別常犯的「低級錯誤」。Verizon的2016年數據泄露調查報告顯示，63%的數據泄露事件，都跟企業使用弱密碼，初始密碼和被竊後的密碼有關。看看下圖就知道，全球最常被使用的500個密碼，有多麼「弱智」了。

我這人屬於不管事那種人，所以，任何人知道我的信息都無法破解。我沒有信息，有信息早就讓別人知道了，因此，不存在信息安全的問題，很長的一段時間裡，別人以騙子手法想獲得我的信息，還說要給我好幾百元錢，就是把你手頭掌握的信息全部拿給我，我說，這要等兒女下班來再說，我一無權，二無錢，要我的相信做什麼？我一錢不值。拿我的信息幹什麼？那些騙子們也是看人做事。大數據時代要講數據文明，不能說進入大數據時代，就沒有秘密可言了，它是一種時代的標誌，並不是一種精神負擔，大數據不可能像蘋果手機那樣跟著人生足跡走，假設是這樣的話，說明大數據太過靈敏，已經到了不可饒恕的地步。竟然管起閑事來了，大數據時代怎麼是這個樣子！

隨著移動互聯網，物聯網的發展，每天都有海量的用戶數據產生和被搜集。比如每天用的手機可能無時無刻有多少App在收集你的數據，想一想確實挺可怕的。比如小米，樂視打造的智能家居，一系列的智能家用電器通過收集用戶的生活習慣的數據去智能化的給用戶提供服務，但是由於這些數據已經被收集，它的安全直接關係到用戶的安全。

對於BAT這樣的公司，大部分人每天都在用他們的服務，比如你在淘寶買個東西，你的地址，電話這些敏感信息就被收集了。如果這些大公司沒有法律的約束，嚴格的監管，他可以肆無忌憚的侵犯用戶隱私。前段時間菜鳥和順豐之爭可以看出我們國家在這方面還是沒有很完善的法律。

個人信息包含敏感信息，行為習慣信息等等。敏感信息是應該受嚴格保護的，一旦泄露會導致用戶的人身生命安全的。比如電話信息泄露給犯罪分子，會收到敲詐電話。我以前就接到過敲詐電話，說他是東北的，知道我們家地址，如果不匯錢就弄我們家。行為習慣信息可以分析出用戶的習慣愛好，已經日常生活，很多也是很涉及到用戶人身安全的。

現在的智能設備裡面有很多用戶信息，很多人把不要的智能設備賣給收貨的，這個其實有安全隱患的，確保把智能設備所有的數據刪除後再賣。

在當前的大數據時代下，面對日益嚴峻的個人信息安全問題，在深入剖析網路搜索引發個人信息安全危機成因的基礎上，下文重點從意識培養、立法監管、技術應用三方面提出構建個人信息安全保障體系的構想。

1.培養個人信息安全保護自律意識

大數據時代保護個人信息安全，既需要相關企業和部門強化自律，加強監督和管理，同時也需要公眾整體提高個人信息安全保護的意識和能力，一旦發現個人信息遭到泄露，要積極向信息管理部門提出投訴。

同時，為了遏制「人肉搜索」產生的信息失控和價值亂序現象，需要大力加強文化傳播和道德培養的力度，將保護個人隱私且不窺探他人隱私作為一種社會美德進行推廣。

2.加大個人信息安全立法監管力度

面對技術的日新月異以及信息數據的幾何級數增長，政府立法和監管的步伐必須緊跟甚至超過技術的發展。總的來說，一方面，在現有的法律法規基礎上，立法部門應儘快出台個人信息保護的專門法，規範並協調其他相關法律法規的執行，同時更加具體和細化相關法律法規，為監管部門提供有效的法律依據。另一方面，學習借鑒其他國家先進的立法和監管經驗，加強各國政府之間的交流合作，共同保護區域及全球信息安全。如美國就十分注重個人信息和隱私權的保護，先後制定了《聯邦電子通訊隱私法案》《公民網路隱私權保護暫行條例》等法律法規，對網路侵權事件加以懲罰。

為規範個人信息安全保護的管理標準，我國首項個人信息保護國家標準《信息安全技術、公共及商用服務信息系統個人信息保護指南》於2013年2月1日起正式實施。該標準對個人信息的使用和處理作出了明確規定，保護公民對個人信息處理的知情權和決定權，旨在提高個人信息保護意識，規範個人信息處理行為，促進個人信息合理利用，保護公民的合法權益。但作為一項指南型的標準，其實施最終取決於相關行業主體的配合情況。因此，政府還需進一步出台具有強制效應的應對措施。

3.提高個人信息安全技術應用水平

除了意識培養和立法監管之外，技術應用層面也是大數據時代保護個人信息安全的一個重要著力點。在技術領域，應積極鼓勵個人信息保護的技術研發和創新，加快建立統一規範的網路認證標準體系，從技術層面落實個人信息安全的保護。

一方面，加強大數據背景下的個人信息安全技術研發。「傳統的信息安全技術不能完全照搬到新興的大數據領域，雲計算、物聯網、移動互聯網等新技術的快速發展，為大數據的收集、處理和應用提出了新的安全挑戰。」⑨因此，需要進一步加大對於大數據安全保障關鍵技術研發的資金投入，研究基於大數據的網路搜索追蹤方法，「依據分區域、按等級、多層次的防護思路進行安全規劃、安全評估、安全加固與安全維護，並且對已有的安全技術進行改進與完善，」⑩提高安全技術產品水平，搶佔安全技術發展先機。另一方面，鼓勵對個人隱私保護技術的研發和創新。技術手段是法律措施的重要補充，針對網路搜索的各個階段採用不同的技術進行隱私保護，從技術層面保障個人信息安全。通過對隱私保護技術的廣泛應用，在保持個人信息相對的獨立性和保密性的同時，保證數據的正常採集、傳播和處理。

一句話，計算機系統永遠as weak as the weakest part。就是只要有一個部件有缺陷，就會被整體攻陷。

還有一句話，沒有絕對安然的系統，安全有成本，攻擊也有成本。可以這麼類比一下，一般家庭裝個防盜門就可以了，但金庫的大門則需要更多的防範。

第三，雖然道高一尺魔高一丈，但有防範還是勝過沒有防範。一排住宅看過去，就你家不裝防盜門，那小毛賊可能就會拿你練手。

最後，要養成一些好習慣。比如開機wifi密碼不要用簡單的數字，最好是大小寫字母加上數字和特殊符號。更新防火牆和病毒庫。小心釣魚網站。

更多技巧可以單獨問我。多謝關注

大數據時代，固然是一種進步，但同時也帶來了許多的隱患。比如個人信息的泄露等等。對於個人信息的保護，首先，我們不應該向別人透露自己的信息。第二，盡量不要把自己的信息與互聯網連接。第三，在傳輸信息的時候應使用加密技術。反正無論如何，請保護好自己自己的個人信息，一旦個人信息暴露，就好像整個人都放在陽光之下，其後果不可估量。最後，請大家多增加自身的憂患意識，盡量不要使用公共充電樁給手機充電，盡量不要把自己的手機給別人使用等等，保障個人信息安全，歸根結底還是要靠自己。

大數據時代的到來，普通人群不可能保證自己的信息安全。

你在互聯網的一舉一動哪怕是一個點擊都會被上傳到大數據。

可以不用身份證和手機號註冊不網購不填地址等等等等，但實現起來太困難，現在只要你正常上網，信息就會被泄露。

你沒事只是沒人弄你，不代表你安全。

謝謝邀請

現在這個網路技術飛速發展的時代,個人信息的安全卻始終得不到保障,我們總是會被各種騷擾電話、騷擾簡訊干擾。其實根據2015年頒布的《刑法修正案九》規定:侵犯公民個人信息已經入罪,其規定了新的侵犯公民個人信息罪罪名,並加重處罰,最高可判7年。那麼大數據時代該如何保障我們的個人信息安全呢?

電信專家表示:「現在電信詐騙已經是專業化的精細分工,實施詐騙的人,基本不是泄露和收集信息的人。一個快遞小哥,銷售了5000個快遞信息,這能判他多大的罪?」 儘管規定了7年的最高刑罰,但司法實踐中的量刑普遍偏低,量刑普遍在2年以下,還有的被判決免予刑事處罰。

重慶大學法學院教授說:「我國目前關於個人信息保護的法律規範十分零散,而且規範所處的效力位階普遍較低。譬如《電信和互聯網用戶個人信息保護規定》屬於部門規章,又如廣東與上海等沿海省市對個人信息保護的規範屬於地方性法規。但從嚴格意義上講,個人信息保護非《網路安全法》的立法任務,把個人信息保護加進去,是對嚴峻的個人信息泄露形勢疲於應付的結果。」

有必要制定一部《個人信息保護法》,賦予主體自由支配並排除他人侵害的權利,同時通過系統的制度設計來防止他人侵權。個人信息保護法是信息社會的人權宣言書,它應當回答個人信息保護的本旨和根本手段是什麼,以及不同社會領域下如何應對新的風險。