大數據時代,數據與信息安全如何完美平衡?

0 評論 12653 瀏覽 30 收藏 8 分鐘

在我們談信息安全的時候,我想先澄清一個概念,什么叫做信息安全。在我眼中,我把信息安全分成三大類:

  • 信息層面的信息安全,學校中的信息安全專業,主要致力于通信加密,密碼加固等傳統的安全領域。
  • 用戶層面的信息安全,也就是說用戶把信息存儲到了你的服務器上,你要怎么樣保證用戶的隱私不受侵犯。
  • 架構層面的信息安全,簡而言之,就是如何保證信息不丟。

我們逐個來講。

信息層面的信息安全

這是我最弱的一環,我只能簡單的談談我的看法。從最簡單的說起:

我們為什么要從HTTP切換到HTTPS?為什么有一天大家都拋棄了HTTP而投向了HTTPS的懷抱?畢竟HTTPS需要消耗比HTTP更大的硬件開銷,在架構層面同樣需要做出很多的調整。

那是因為HTTP無論對于網絡傳輸的內容,還是對于協議本身信息都沒有做過任何的加密,從而使得用戶的任何信息在網絡中都可能被捕獲。這時,我相信有人會講:那我們是一個內容瀏覽類的網站,用戶并不需要輸入信息,那是不是就可以不使用HTTPS了呢?答案是使用HTTP不僅會發生泄漏數據,還會發生注入數據;這也是我們常常提到的流量劫持。

當然,由于HTTPS對于服務器資源的消耗,HTTP也推出了HTTP/2,除了一些新的特性之外,當然也加入了信息加密的功能。另外,密碼的加密也是老生常談,密碼的加密是一個聽上去簡單實際很復雜的事情,歸根結底,密碼加密是一個需要平衡的事情,如果采用簡單加密方式(例如MD5),那么自然也會容易被解密,但是如果采用復雜加密算法,自然也對CPU提出了更高的要求。

用戶層面的信息安全

用戶隱私在近年來被提升到了一個前所未有的高度。大數據時代人人都在做數據分析,卻又人人都在做用戶隱私。那么如何把握數據分析和用戶隱私之間的平衡?

也許我們在很久之前就觸犯了“用戶隱私”,當我們在電商網站上點擊“喜歡”的時候,這個數據來源于“用戶隱私”;當我們在搜索引擎上看到“搜索廣告”的時候,這個數據也來源于“用戶隱私”;甚至我們可以說:如果我們嚴格地去界定“用戶隱私”,我們如今的產品會死掉90%甚至更多。

那么我們到底如何去客觀地理解用戶隱私?我對隱私的紅線是:用戶的數據分析是機器可讀但是人工不可讀的。舉個例子:

我們在做用戶的垃圾郵件過濾的時候,我們需要對每封郵件抽取特征,其中包括發件人,發件時間以及對于郵件正文內容的結構化抽取,然后通過分類算法對郵件進行分類。

但是我們要注意一點,這個過程,我們對“人”是不可見的,我們會對幾千萬的數據進行機器處理,我們處理的是宏觀上的“大數據”;但是如果我們是通過人去掃描數據庫,然后提取出了郵件記錄并且去做人眼識別,那么這個行為是侵犯用戶隱私的。

再者,是否侵犯用戶隱私的一個隱含區分點是“侵犯隱私”之后做了什么?例如我們對搜索記錄進行數據分析后為用戶推薦了更好的結果,我們說這并不是侵犯數據隱私;但是如果我們對搜索結果進行分析后,將用戶的資料提供給了某醫院,那么用戶隱私就被侵犯了。

一言結之,是否侵犯隱私一定程度上關聯與后續的操作是否侵犯到了用戶切身的利益。

最后,是否侵犯隱私的一個標準在于我們最終暴露的是用戶的什么信息。

我們都知道DMP行業提供API使得DSP可以進行更加精準的廣告投放,但是提供什么樣的信息成為了關鍵。如果提供的是用戶的消費記錄,這個是侵犯隱私的,如果提供的是通過數據挖掘得到的收入水平,那么這個信息也許是不侵犯隱私的。

其實用戶隱私是一個很敏感的詞,也許這個詞天生就與數據挖掘、數據分析互相抵觸,法律上也并沒有對相關的標準拉過紅線,如何把握也許值得我們更深入地探討。

關于架構層面的安全

這一層面的安全說起來比較復雜,我只舉兩個例子。

第一,一份數據應該存多少份才能保證數據不丟,什么樣的存儲架構可以較好地平衡數據備份和存儲成本之間的平衡?在存儲上,我們希望平衡成本和可靠性,例如我們可以通過EC2冗余算法來平衡;再者我們需要多機房的互備來防止數據中心的災難性事故;但是是否我們就是盲目地將存儲成本除以2?這不但對于成本是巨大的消耗,對于網絡帶寬、磁盤壓力也是種巨大的消耗;那么我們可以去折中地拆分數據的冷熱分區,以及適當采用廉價磁盤+云備份的模式保證我們整體數據的安全。

第二,在存儲架構上對于高安全性信息進行隔離。例如我們將用戶的用戶名、密碼、鹽存儲在同一個數據庫,那么對于入侵者而言,只要拖下來就全部獲取了。我們是否應該將彼此依賴的鹽、加密密碼分離存儲,或者采用更高的安全性方案進行存儲?是值得我們探討的事情。

另外,提及一個小的trick:由于MYSQL的各種入侵方法已經成熟的不能再成熟了,所以對于一些公司而言,不妨將一些敏感、又訪問壓力不大的信息存儲于一些相對冷門的數據庫中,這樣可以在一定程度上加固信息的安全性。

信息安全是一個龐大的領域,其中涉及到很多知識點,但是大多公司都對其沒有提及足夠的重視,因為信息安全是一個“黑天鵝”事件,以至于大家不愿意在上面投入巨大的精力,也希望隨著國內對于安全的越來越重視,更多的公司也能在信息安全領域投入越來越多的注意。

 

本文由極光推送CTO @黃鑫 投稿發布于人人都是產品經理?,未經許可,禁止轉載。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
白桃汽水不加冰
重度拖延癥
1096篇作品 16279690總閱讀量
02-155477 瀏覽
B端表單|表單的主要分類和相關控件認識
08-162826 瀏覽
LLM趨勢下的數字化轉型范式變革
08-106082 瀏覽
小紅書究竟是什么?
04-142933 瀏覽
AI會搶走修圖軟件的飯碗嗎?
07-122484 瀏覽
不到5天用戶破億,Threads增速超ChatGPT,其它APP破億用了多久?
評論
評論請登錄
  1. 目前還沒評論,等你發揮!