上海,中国的经济、金融、贸易、航运中心,一直以变革、创新引领着中国企业的发展。在“互联网+”浪潮下,上海企业首当其冲,这座城市,一直用信息化手段推动着企业的高速发展。2016年10月28日,企业网D1net携手上海CIO联盟共同举办的CIO沙龙活动在上海盛大举行,来自各行业的CIO共聚一堂,共同探讨各行业在互联网+实践方面的信息化实践,涵盖大数据实践、互联网风控等领域。
以下为:上海市企业信息化促进中心常务副主任罗钢在上海CIO沙龙的演讲,题目是:《大数据分析的风险与安全》
罗钢:上次沙龙的时候我曾经讲过一次大数据,今天我从另外一个角度来探讨一下关于大数据的问题。
大数据之大,不仅仅在于数据量大,而在于其全,也就是说可以做一个全维度的分析。
我们所有的business都是一个对人的了解过程,只要你了解了人和人性,你就能挣到钱,不管在哪个方面。所以想办法找出一个顾客的画像是最重要的。
那么随后也就带来了一个问题,一开始就出现一个严重的事情,10大酒店泄露大量房客的开房信息。2月11号,包括锦江之星、橘子、速8、布丁、低端的、高端的包括万豪、丽思卡尔顿、喜达屋、喜来登、爱美,都泄露了自己的房客的信息,不仅包括顾客的姓名、身份证号码、手机号、方间号、房型、开放时间、退房时间、家庭住址、信用卡的后4位、还有信用卡截止时间。有了姓名和身份证,还有手机号都对应上去以后,就可以做很多事情了。
接下来我们做一个简单的统计,在2000万的个人信息当中,经过过滤,去除一些无效或者重复的信息,大概有1800万条,先清洗一下,涉及到上海的,上海户籍人口86万人,男女比例61%比39%。然后女性当中18到30岁的女性占比达38%。这可以做什么事情?卖化妆品的人肯定对这感兴趣了。我可以向你定向发送高端化妆品的广告了。
然后浦东新区占20%最多,其次是杨浦和普陀、黄埔三种,这是一个简单的一个统计,还没有深入地去做,大家都可以想到,这个数据如果落到不法分子手上能干什么?事情能干的事情太多了。
汇丰银行大量的秘密文件被曝光,还揭示了它的瑞士分行帮助富有客户逃税的事情,还有做避税建议,等等。这是一个事情,涉及到3万多个账户,1200亿的美元资产。
还有,深圳、上海、河北、河南、山西、安徽的卫生和社保系统出了大量的高危漏洞,一个星期的时间涉及到人员达数千万,包括个人身份证、社保、参保信息、财务、薪酬、房屋等等都知道。
然后看看国外,有一个安全公司,被黑客攻击了。泄露了400G的内部数据,包括各种各样的漏洞以及攻击工具都暴露在这个地方。更可怕的是,这个东西可以在互联网上直接公开下载。
美国婚外情网站“阿什莉·麦迪逊”(Ashley Madison),号称“约炮界的谷歌”,不明身份的黑客在网络上公布了会员的详细资料,称此举是为逼停网站。
还有,英国240万网络用户加密信用卡数据外泄,大麦网泄露600多万用户信息,国家旅游局也泄露我们的信息,涉及到6000万客户和6万多个旅行社的账号,包括100万的导游的信息,还有可以利用该漏洞进行审核拒签都行。
所以我们发现一个问题,就是每一家企业都以要搞大数据的名义收集了很多个人数据,但是他们也没好好用。企业大数据与公共安全是一个很严重的问题。阿里收集了很多数据,可是这个数据并没有用于淘宝。举个简单的例子,我在淘宝上买了一个Macbook Pro,接下来我的每天recommendation是什么呢?Macbook air。这就是典型的懂技术不懂业务。
我们仔细分析过淘宝的智能推荐系统,发现它并没有实现这个功能,并没有实现在合适的地方,合适的渠道,合适的时机,合适的用户和内容,为什么?随便举两个例子,第一,价格失真,淘宝上的价格是假的。第二,淘宝上的可供数量也是虚假的,它对产品的描述也是不规范的,从大数据的角度来讲,它的数据太脏了。
当企业大到一定程度,涉及到大量的公共数据的时候,是不是应该考虑一下,这家企业本身的性质和政府如何去管控它?
中国政府非常的开放,上海市也挺开放的,像刚才讲的上海有数据服务网,谁都可以进去,这是向公众开放的。里面的数据资源已经开放了很多,还包括有地理信息。
这些数据放上来,我发现都是适于公开的。这些数据挤出来不容易,经信委专门成立了一个大数据库来挤出这个数据,到各个委办去挤。所以说经济数据是最多的,经济运行数据,各种年报月报,半月报等等。
那么大数据的安全威胁,不仅仅来源于应用层面,在技术层面,在网络层面的各种安全威胁,实际上有很多。最重要的我个人认为,是意识淡薄,不仅中国人意识淡薄,外国人也意识淡薄。所以首先要有这个意识,第二个就是移动数据的安全压力增大,因为大量的东西都是在空中跑。
第二个问题,就是不要谈系统能不能破解,是系统值不值得被破解,这个系统多长时间能被破解。然后网络化环境下,大数据更容易遭受攻击,这个是肯定的。
那么海量的非结构化数据的安全存储,因为它是非结构化的,所以存储的东西千奇百怪,那么这些数据的生命周期,也是有一个多样化的变化。
接下来就是技术的高速发展增进了安全风险,这是一个很严重的问题,为了方便大家,我们搞了各种各样的登录方式,但是都逃不过一个人,黑客。那么我们的应对策略,我们提出来几条,从安全策略,管理存储和应用这个方面,就不多讲了。我要讲一个前置的安全管理,前置的安全管理指什么?企业要有一个人来统筹这些东西,应该是我们企业当中对大数据安全意识最强的人,可能是CIO,当然也有可能是CEO,在整个公司里面,从管理制度,从存储,从应用几个方面来强化安全策略。
从国家的层面来讲,我们的大数据战略的储备是相当不足的,我们缺乏大数据战略的顶层设计,第二个我们条块分割、体制治理阻碍了国家治理中的数据开放和共享。我们传统的治理思维和治理体制跟不上大数据时代的发展。
我们的立法相当的滞后,法律法规及配套政策严重缺失,那么接下来全球的战略博弈升级,大数据安全与安全防御的风险剧增,有很多在平时看不到的数据泄露,是成单位成建制地在向外面泄露。
所以我们的策略,一个是要完成顶层设计,然后推动大数据的共享开放,构建国家的大数据中心,这个大数据中心不能像过去一样,把所有的东西全部都堆到一块。然后接下来要数据安全的审计部门推动政府部门的共享联动,哪些东西能共享,哪些不能共享。然后加强大数据的专项人才培养,培育大数据的安全能力。
最后就是安全的基础设施建设,一些核心基础设施,全面地完善安全等级制度。谢谢大家。
本文转自d1net(转载)
