傳媒行業(yè)用戶數(shù)據(jù)泄露防護(hù)芻論

摘? 要：市場發(fā)展與網(wǎng)絡(luò)時(shí)代的到來，使大數(shù)據(jù)技術(shù)發(fā)展速度加快，用戶數(shù)據(jù)的價(jià)值也日益體現(xiàn)，存有大量用戶數(shù)據(jù)的傳媒行業(yè)，在數(shù)據(jù)泄露防護(hù)方面受到了更嚴(yán)峻的挑戰(zhàn)。本文分析了當(dāng)前傳媒行業(yè)用戶泄露數(shù)據(jù)保護(hù)方面的現(xiàn)狀，提出了相應(yīng)的對策和方法，希望以此幫助提高傳媒行業(yè)對用戶數(shù)據(jù)的安全防護(hù)水平，加強(qiáng)企業(yè)存儲(chǔ)的用戶數(shù)據(jù)在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全防御能力。

關(guān)鍵詞：傳媒行業(yè);用戶數(shù)據(jù);數(shù)據(jù)泄露防護(hù);大數(shù)據(jù)? ? ? ? ? ? ? ? ? ? ?中圖分類號(hào)：TP309.2? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1671-0134（2020）08-123-02? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?DOI：10.19483/j.cnki.11-4653/n.2020.08.033

本文著錄格式：張利.傳媒行業(yè)用戶數(shù)據(jù)泄露防護(hù)芻論[J].中國傳媒科技，2020（8）：123-124.

導(dǎo)語

隨著大數(shù)據(jù)時(shí)代的來臨，大數(shù)據(jù)不但已經(jīng)成為推動(dòng)著社會(huì)和經(jīng)濟(jì)發(fā)展的新引擎，而且不斷影響著每個(gè)人的工作和生活。用戶數(shù)據(jù)則是大數(shù)據(jù)技術(shù)中占有舉足輕重的地位。不論是基于紙媒的傳統(tǒng)媒體，還是基于互聯(lián)網(wǎng)的新媒體、基于社交網(wǎng)絡(luò)的自媒體，都保存有大量的用戶數(shù)據(jù)，這些用戶數(shù)據(jù)是策劃選題，精準(zhǔn)推薦等行為的重要依據(jù);對于個(gè)人來說，用戶數(shù)據(jù)也屬于個(gè)人財(cái)產(chǎn)的一部分。大家熟知的電信詐騙和“網(wǎng)絡(luò)黑產(chǎn)”，都是不法獲取用戶數(shù)據(jù)，侵害用戶權(quán)益，以獲取不正當(dāng)利益?，F(xiàn)階段，傳媒行業(yè)已廣泛應(yīng)用分布式計(jì)算和分布式存儲(chǔ)等新技術(shù)，使得用戶數(shù)據(jù)安全面臨著更嚴(yán)峻的考驗(yàn)。[1]

1.用戶數(shù)據(jù)泄露現(xiàn)狀

近年來，大數(shù)據(jù)、互聯(lián)網(wǎng)、5G的迅速發(fā)展，帶來無限發(fā)展機(jī)遇的同時(shí)，卻也催生了大量的用戶數(shù)據(jù)泄露事件，傳媒行業(yè)也深受其害。2020年2月，超過1060萬名曾入住美高梅度假酒店的旅客的個(gè)人信息被發(fā)布至黑客論壇，泄露的身份信息包括姓名、家庭住址、電話號(hào)碼、郵件地址等。6月，科技巨頭甲骨文公司的數(shù)據(jù)管理平臺(tái)BlueKai因?yàn)樵诜?wù)器上不加密碼，從而泄露了全球數(shù)十億人的數(shù)據(jù)記錄。在國內(nèi)，2020年3月，暗網(wǎng)出現(xiàn)“5.38億新浪微博用戶綁定手機(jī)號(hào)數(shù)據(jù)，1.72億新浪微博賬號(hào)基本信息”的交易信息。4月青島市膠州中心醫(yī)院6000余人信息被泄露。[2]

2.用戶數(shù)據(jù)泄露防護(hù)對策

2.1建立健全相關(guān)法律和規(guī)定

在國外，2018年5月，歐盟推出的《通用數(shù)據(jù)保護(hù)條例》——GDPR正式實(shí)施，不但明確了用戶個(gè)人數(shù)據(jù)的范圍，而且對違反該規(guī)定的懲戒空前。2020年1月，被認(rèn)為是美國國內(nèi)最嚴(yán)格的隱私法《2018年加州消費(fèi)者隱私法案》正式生效。

2013年9月，針對日益嚴(yán)峻的用戶信息泄露事件的發(fā)生，我國工業(yè)和信息化部頒布《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》。2017年6月實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》。2020年4月，《信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價(jià)方法》等26項(xiàng)信息安全相關(guān)的國家標(biāo)準(zhǔn)正式發(fā)布。

以上相關(guān)法律法規(guī)的實(shí)施對用戶數(shù)據(jù)的保護(hù)提供了有效的法律保障，也對侵犯用戶數(shù)據(jù)的行為進(jìn)行了一定的界定和懲罰依據(jù)。但我國對于個(gè)人數(shù)據(jù)的定義、權(quán)限的所屬還存在模糊不清的狀況，而且隨著互聯(lián)網(wǎng)相關(guān)行業(yè)的不斷發(fā)展，信息技術(shù)的不斷更新，用戶數(shù)據(jù)的定義、侵犯用戶數(shù)據(jù)的方式、互聯(lián)網(wǎng)環(huán)境等等也在不斷發(fā)生著變化。所以可以借鑒歐美國家在用戶個(gè)人數(shù)據(jù)泄露防護(hù)方面的經(jīng)驗(yàn)，并根據(jù)我國互聯(lián)網(wǎng)實(shí)際情況，不斷完善具有中國特色社會(huì)主義的用戶數(shù)據(jù)泄露防護(hù)法律體系。[3]

2.2 強(qiáng)化傳媒行業(yè)的用戶數(shù)據(jù)泄露防護(hù)責(zé)任

對于傳統(tǒng)思維方式來說，傳媒行業(yè)更多關(guān)心的是新聞內(nèi)容數(shù)據(jù)的安全，因?yàn)檫@是企業(yè)保證核心競爭力的基礎(chǔ)，而對作為傳媒行業(yè)的支撐性數(shù)據(jù)——用戶數(shù)據(jù)的保護(hù)略有疏忽。但在大數(shù)據(jù)時(shí)代下，通過對用戶數(shù)據(jù)的挖掘和分析，勾畫出用戶畫像，從而有效地進(jìn)行個(gè)性化推薦、活動(dòng)營銷等。對于傳媒行業(yè)來說用戶數(shù)據(jù)是用戶服務(wù)模式的價(jià)值，因此也日益體現(xiàn)了用戶數(shù)據(jù)的保護(hù)也應(yīng)引起重視。

從本質(zhì)上來說，個(gè)人基本信息和行為信息等構(gòu)成的用戶數(shù)據(jù)，應(yīng)屬于使用戶本人的財(cái)產(chǎn)。第三方只有合法使用的權(quán)力，而無權(quán)對其侵占甚至用于非法用途。企業(yè)應(yīng)該真正承擔(dān)起保護(hù)用戶個(gè)人數(shù)據(jù)的責(zé)任，在保證正常運(yùn)營的情況下，盡可能減少對用戶數(shù)據(jù)的過度采集，更不能把用戶數(shù)據(jù)的價(jià)值占為己有，甚至將用戶數(shù)據(jù)進(jìn)行非法交易和買賣。

2.3 提升全社會(huì)的用戶保護(hù)意識(shí)

通過分析以往眾多的泄密事件的原因，可以發(fā)現(xiàn)，因企業(yè)內(nèi)部人員有意或無意的原因造成的泄密占有很大比重。通過宣傳和培訓(xùn)，讓員工牢固樹立保護(hù)用戶數(shù)據(jù)的意識(shí);通過建立用戶數(shù)據(jù)泄露防護(hù)規(guī)定，規(guī)范用戶數(shù)據(jù)采集和使用范圍，明確員工主體責(zé)任和獎(jiǎng)懲機(jī)制。堵住可能造成用戶數(shù)據(jù)泄露的管理漏洞。

此外，卡內(nèi)基梅隆大學(xué)安全與隱私研究所最近發(fā)表的一項(xiàng)研究表明，在明知賬號(hào)密碼泄露后，僅有約三分之一的用戶會(huì)更改密碼，而且修改密碼的用戶中，大多數(shù)也只是選擇與原密碼極為相似的字符和數(shù)字作為新密碼。[4]這項(xiàng)研究調(diào)查的數(shù)據(jù)雖然規(guī)模較小，但也較為準(zhǔn)確地反映出大多數(shù)用戶仍然缺乏對個(gè)人數(shù)據(jù)的保護(hù)意識(shí)。

3.數(shù)據(jù)泄露防護(hù)技術(shù)手段

3.1 加密保護(hù)技術(shù)

數(shù)據(jù)加密是當(dāng)前對數(shù)據(jù)進(jìn)行保護(hù)最基礎(chǔ)的辦法。通過密碼技術(shù)對再傳輸過程中或者存儲(chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行加密后，實(shí)現(xiàn)信息隱蔽，從而有效防止數(shù)據(jù)的泄露。

用戶數(shù)據(jù)主要由結(jié)構(gòu)化數(shù)據(jù)構(gòu)成，結(jié)構(gòu)明確，格式比較固定。常見的有對稱加密算法和非對稱加密算法。3DES、AES等對稱加密算法，可以使用加密密鑰還原出原始數(shù)據(jù)，導(dǎo)致密鑰的保護(hù)至關(guān)重要。MD5、SHA1等非對稱加密算法，加密密鑰無法解密數(shù)據(jù)，實(shí)現(xiàn)也比較簡單，使用較為廣泛，還可以通過對原始數(shù)據(jù)加入冗余、多次HASH等方式，增加破解難度。

此外，存儲(chǔ)用戶數(shù)據(jù)的介質(zhì)也可以進(jìn)行加密，以防止介質(zhì)物理丟失后造成數(shù)據(jù)泄露。介質(zhì)級(jí)加密的加密對象是存儲(chǔ)介質(zhì)，比如磁盤、磁帶等，主要通過數(shù)據(jù)控制器，對存儲(chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行加密。數(shù)據(jù)以密文形式存儲(chǔ)在存儲(chǔ)介質(zhì)中，但是在此之外以明文形式處理。[5]

3.2訪問控制技術(shù)

訪問控制技術(shù)是網(wǎng)絡(luò)安全防范和數(shù)據(jù)資源保護(hù)的關(guān)鍵技術(shù)之一，核心思想是保護(hù)數(shù)據(jù)的隱秘性。通過已制定的訪問控制策略，保證合法訪問主題訪問已授權(quán)的數(shù)據(jù)，防止非法主體侵入受保護(hù)的系統(tǒng)。

要制定合理的訪問控制策略來實(shí)現(xiàn)訪問控制，按照訪問主體所需權(quán)限的最小化原則，最大限度地限制可訪問和操作的數(shù)據(jù)范圍，避免來自突發(fā)事件、操作錯(cuò)誤和未授權(quán)主體等意外情況。

訪問主體申請?jiān)L問用戶數(shù)據(jù)時(shí)，首先通過統(tǒng)一安全認(rèn)證服務(wù)完成對主體身份的認(rèn)證，認(rèn)證方式可以使用傳統(tǒng)的靜態(tài)口令、IP白名單等方式，也可以集成現(xiàn)有的生物特征等新型高強(qiáng)度認(rèn)證方式。認(rèn)證完成后比對訪問控制策略，獲取主體相應(yīng)權(quán)限，對其申請的已授權(quán)操作給予放行，并阻止策略中已分配之外的其他行為。同時(shí)，記錄主體訪問資源、訪問時(shí)間、執(zhí)行的操作等，進(jìn)而便于審查和檢驗(yàn)主體操作環(huán)境及活動(dòng)，從而發(fā)現(xiàn)策略漏洞、入侵行為等隱患。

3.3 匿名化保護(hù)技術(shù)

所謂“匿名化”，是指通過特定的技術(shù)處理使數(shù)據(jù)失去可識(shí)別的能力，是使“敏感數(shù)據(jù)”脫敏的技術(shù)。數(shù)據(jù)匿名化的核心是通過切斷數(shù)據(jù)與個(gè)人之間的對應(yīng)關(guān)系，非法主體即使得到該“敏感數(shù)據(jù)”，但不能把該數(shù)據(jù)對應(yīng)到某個(gè)特定的人身上，使得用戶隱私得到保護(hù)。具體要求而言，匿名化保護(hù)技術(shù)是將數(shù)據(jù)移除可識(shí)別個(gè)人信息的部分，通過這一方法，使包括數(shù)據(jù)處理者在內(nèi)的，獲得該數(shù)據(jù)的任何主體，既不能僅從該數(shù)據(jù)本身準(zhǔn)確標(biāo)識(shí)旗指向的個(gè)人，也不能結(jié)合其他數(shù)據(jù)推理出指定個(gè)人相應(yīng)的敏感屬性值。

數(shù)據(jù)匿名技術(shù)，除要求處理過的數(shù)據(jù)無法識(shí)別個(gè)人之外，還需要通過隱私風(fēng)險(xiǎn)評估，保障個(gè)人隱私的安全。隱私風(fēng)險(xiǎn)評估不僅在事前階段需要，而且還應(yīng)該貫穿匿名化處理的整個(gè)過程。[6]

除以上之外，還有可信計(jì)算、數(shù)據(jù)泄露防護(hù)系統(tǒng)等一系列成熟的數(shù)據(jù)防護(hù)技術(shù)。但隨著互聯(lián)網(wǎng)技術(shù)的深入發(fā)展，相應(yīng)的破解和攻擊方式也層出不窮，具有更強(qiáng)防護(hù)性和更高實(shí)用性的數(shù)據(jù)防護(hù)技術(shù)也是當(dāng)下研究熱點(diǎn)之一。

結(jié)語

當(dāng)前，通過對用戶數(shù)據(jù)的分析和研究，大數(shù)據(jù)技術(shù)正在慢慢改變著傳媒行業(yè)的各個(gè)方面。對于傳媒行業(yè)，用戶數(shù)據(jù)已經(jīng)成為新的“石油”，在受到日益重視的同時(shí)，也面臨著更大的風(fēng)險(xiǎn)和挑戰(zhàn)。因此更需要提高從業(yè)人員的保護(hù)意識(shí)，加強(qiáng)數(shù)據(jù)泄露防護(hù)技術(shù)的應(yīng)用和研究，在國家相關(guān)法律和規(guī)定的指導(dǎo)下，在數(shù)據(jù)的使用和保護(hù)之間尋找一種平衡，以支持傳媒行業(yè)的健康發(fā)展。

參考文獻(xiàn)

[1]陳錦，王禹.從數(shù)據(jù)全生命周期看數(shù)據(jù)泄露防護(hù)問題[J].中國信息安全，2018（03）：69-71.

[2]FreeBuf， 2020上半年國內(nèi)外數(shù)據(jù)泄露大事件 [OL].https：//www.freebuf.com/column/241367.html，2020.

[3] 鄧明理. 大數(shù)據(jù)背景下個(gè)人數(shù)據(jù)的監(jiān)管保護(hù)[J]. 北京郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2019.21（01）.

[4]搜狐網(wǎng)，多數(shù)網(wǎng)民在賬號(hào)泄露后仍不更改密碼[OL]， https：//www.sohu.com/a/399426674_114760，2020.

[5]寇思佳.教育行業(yè)數(shù)據(jù)泄露防護(hù)淺析[J].網(wǎng)絡(luò)空間安全，2019，10（01）：14-17.

[6] 劉湘雯，王良民. 數(shù)據(jù)發(fā)布匿名技術(shù)進(jìn)展[J]. 江蘇大學(xué)學(xué)報(bào)（自然科學(xué)版），2016（05）.

作者簡介：張利（1986-）? 男，河南信陽人，工程師。