“如果擔(dān)心被發(fā)現(xiàn)�,最好不要去做這件事�����。”谷歌公司高管這樣回答關(guān)于防止隱私泄露的詢問��。
在《第一財經(jīng)日報》記者參加的2014年中國計算機大會(CNCC2014)上�,來自科研院所�、安全廠商的資深安全專家紛紛聚焦“信息安全”,不過�����,沒有專家能確保“絕對”的“信息安全”�����。
“過去�����,隱私保護的研究主要在小數(shù)據(jù)集上����,模糊化、匿名化��、加密和密碼保護都是防止隱私泄露的常用技術(shù)。現(xiàn)在大規(guī)模數(shù)據(jù)采集技術(shù)�����、新型存儲技術(shù)���、高級分析技術(shù)��,都使得隱私保護面臨巨大挑戰(zhàn)��。”中國人民大學(xué)信息學(xué)院教授孟小峰在上述論壇上表示�。
傳統(tǒng)手段已失效
我國IMT2020(5G)推進組預(yù)測�����,到2020年�����,全球移動終端(不含物聯(lián)網(wǎng)設(shè)備)將超過100億�,2020年全球移動數(shù)據(jù)流量將比2010年增長200倍。到2030年����,“萬物互聯(lián)”的時代全面到來,全球物聯(lián)網(wǎng)連接數(shù)將達(dá)到1000億�,移動數(shù)據(jù)流量將比2010年增長近2萬倍。
過去兩年��,全球積累的數(shù)據(jù)量就已經(jīng)超過了以往人類所有歷史的總和��,讓過去基于小數(shù)據(jù)集的隱私保護技術(shù)難以應(yīng)付�����。
“大數(shù)據(jù)的廣度帶來了多元技術(shù)的融合���,使得傳統(tǒng)的模糊化技術(shù)�����、匿名技術(shù)幾乎無法生效��,大數(shù)據(jù)的深度帶來了實時分析���,使得傳統(tǒng)加密和密碼技術(shù)遇到巨大的瓶頸。”孟小峰說����。
孟小峰舉例說�,移動軌跡通常蘊含著豐富的個人敏感信息�,例如家庭住址和行為模式,而在每150萬條個人移動軌跡數(shù)據(jù)中��,在不依賴外部背景知識前提下�����,只要隨機給出2個時空數(shù)據(jù)點���,就可以甄別出50%的個人移動軌跡�����。隨機給出4個數(shù)據(jù)點��,被甄別出的幾率可達(dá)到95%����;驍(shù)據(jù)中隱藏著個人疾病情況�����,根據(jù)美國一項研究��,對20萬名志愿者基因信息進行匿名化處理����,然而通過把志愿者的匿名數(shù)據(jù)和美國公眾選民信息融合����,可甄別率達(dá)到了84%~87%。
設(shè)備�����、應(yīng)用爆炸式增長的當(dāng)下����,用戶也很難察覺自己何時、何地泄露了何種信息�。
360首席隱私官譚曉生表示,在新的技術(shù)環(huán)境下��,網(wǎng)絡(luò)的邊界已變得模糊�,“一切都可能成為被攻擊對象。”
“很不幸���,昨天我聽說360安全服務(wù)器也被攻破�,對搞安全的人來說,這一點都不奇怪��。今年我們實現(xiàn)了對特斯拉的破解���,公布的是開了車門����、開了車廂��,沒有告訴大家的是��,我們把引擎‘打著了’����,車是可以開走的。我們把漏洞通報給了特斯拉�����,他們的人當(dāng)天下午就飛回了總部����。”譚曉生說�����。
“萬物互聯(lián)����,它的脆弱性是怎么引進的?能不能徹底解決?如果不能徹底解決�����,能不能有減弱它的辦法?很遺憾����,這是由我們當(dāng)下計算機體系結(jié)構(gòu)的脆弱性造成的�,我們只能想辦法讓它發(fā)生得少一點,或者發(fā)生了危害會小一點���。”譚曉生說����。
新技術(shù)和立法
大數(shù)據(jù)帶來信息安全問題的同時�����,也潛在著巨大的經(jīng)濟價值。根據(jù)麥肯錫的分析�,如果現(xiàn)有大數(shù)據(jù)能夠被利用,將至少帶來3萬億美元的收益���。當(dāng)入網(wǎng)連接增至“千億”�����,其產(chǎn)生的網(wǎng)絡(luò)價值將有可能是現(xiàn)在的百倍以上����。對于業(yè)界而言��,迫切需要找到安全�、規(guī)范的大數(shù)據(jù)使用方式,開發(fā)其紅利���。
“互聯(lián)網(wǎng)帶來的紅利是讓信息流動更便捷�����,信息變得對稱����。當(dāng)我們試圖采用加密技術(shù)、隔離技術(shù)保障安全的時候�,這和互聯(lián)網(wǎng)本質(zhì)是違背的,所以國內(nèi)數(shù)據(jù)防泄露幾乎走不下去�����。”譚曉生說�����。
譚曉生介紹��,360希望促使技術(shù)人員報告漏洞�����,“不要害怕去報漏洞����,公開漏洞是逼迫開發(fā)者把漏洞去掉����。”另外,譚曉生也認(rèn)為需要提升基本安全能力�����,“已知的大量漏洞是因為程序員不懂安全,現(xiàn)在電路板設(shè)計基本沒有防止非法調(diào)試���,45分鐘破解22種設(shè)備����,就是在電路板串口上調(diào)試����,知道漏洞后就開始竄改。”
在孟小峰看來���,大數(shù)據(jù)時代的安全理論應(yīng)該有相應(yīng)變革��,“從過去建立在被動保護基礎(chǔ)上的理論體系�,演變成具有主動保護模式的隱私管理框架����。而不能出現(xiàn)了什么泄露問題,有了矛再去構(gòu)建盾�。”
中國工程院院士鄔江興認(rèn)為,建筑在圖靈可計算理論�、馮諾依曼結(jié)構(gòu)上的計算機體系���,在功耗、效能���、安全等多方面都面臨瓶頸����。鄔江興提出擬態(tài)計算�����、擬態(tài)安全理論�,通過系統(tǒng)結(jié)構(gòu)創(chuàng)新來改進現(xiàn)有計算機體系,“把動態(tài)性�、隨機性、多樣性導(dǎo)入計算機����,增量改造芯片�、操作系統(tǒng)、軟硬件���,構(gòu)建擬態(tài)芯片�、操作系統(tǒng)、防御體系����。”
除了技術(shù)上的創(chuàng)新,在一些專家看來���,國家亟須對大數(shù)據(jù)利用加以立法規(guī)范��。北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉認(rèn)為�,在信息網(wǎng)絡(luò)環(huán)境下�,個人信息及隱私等都具有了財產(chǎn)屬性,以營利為目的的企業(yè)可能會對存儲于云端的隱私等信息進行商業(yè)化利用���,造成用戶的隱私泄露�。國家應(yīng)將個人信息保護納入國家戰(zhàn)略資源的保護和規(guī)劃范疇���,制定相關(guān)行業(yè)標(biāo)準(zhǔn)�,并通過立法防范侵權(quán)行為�。
