摘? 要：市場發(fā)展與網(wǎng)絡(luò)時代的到來，使大數(shù)據(jù)技術(shù)發(fā)展速度加快，用戶數(shù)據(jù)的價值也日益體現(xiàn)，存有大量用戶數(shù)據(jù)的傳媒行業(yè)，在數(shù)據(jù)泄露防護方面受到了更嚴峻的挑戰(zhàn)。本文分析了當前傳媒行業(yè)用戶泄露數(shù)據(jù)保護方面的現(xiàn)狀，提出了相應(yīng)的對策和方法，希望以此幫助提高傳媒行業(yè)對用戶數(shù)據(jù)的安全防護水平，加強企業(yè)存儲的用戶數(shù)據(jù)在復雜網(wǎng)絡(luò)環(huán)境中的安全防御能力。

關(guān)鍵詞：傳媒行業(yè);用戶數(shù)據(jù);數(shù)據(jù)泄露防護;大數(shù)據(jù)? ? ? ? ? ? ? ? ? ? ?中圖分類號：TP309.2? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A

文章編號：1671-0134（2020）08-123-02? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?DOI：10.19483/j.cnki.11-4653/n.2020.08.033

本文著錄格式：張利.傳媒行業(yè)用戶數(shù)據(jù)泄露防護芻論[J].中國傳媒科技，2020（8）：123-124.

導語

隨著大數(shù)據(jù)時代的來臨，大數(shù)據(jù)不但已經(jīng)成為推動著社會和經(jīng)濟發(fā)展的新引擎，而且不斷影響著每個人的工作和生活。用戶數(shù)據(jù)則是大數(shù)據(jù)技術(shù)中占有舉足輕重的地位。不論是基于紙媒的傳統(tǒng)媒體，還是基于互聯(lián)網(wǎng)的新媒體、基于社交網(wǎng)絡(luò)的自媒體，都保存有大量的用戶數(shù)據(jù)，這些用戶數(shù)據(jù)是策劃選題，精準推薦等行為的重要依據(jù);對于個人來說，用戶數(shù)據(jù)也屬于個人財產(chǎn)的一部分。大家熟知的電信詐騙和“網(wǎng)絡(luò)黑產(chǎn)”，都是不法獲取用戶數(shù)據(jù)，侵害用戶權(quán)益，以獲取不正當利益?，F(xiàn)階段，傳媒行業(yè)已廣泛應(yīng)用分布式計算和分布式存儲等新技術(shù)，使得用戶數(shù)據(jù)安全面臨著更嚴峻的考驗。[1]

1.用戶數(shù)據(jù)泄露現(xiàn)狀

近年來，大數(shù)據(jù)、互聯(lián)網(wǎng)、5G的迅速發(fā)展，帶來無限發(fā)展機遇的同時，卻也催生了大量的用戶數(shù)據(jù)泄露事件，傳媒行業(yè)也深受其害。2020年2月，超過1060萬名曾入住美高梅度假酒店的旅客的個人信息被發(fā)布至黑客論壇，泄露的身份信息包括姓名、家庭住址、電話號碼、郵件地址等。6月，科技巨頭甲骨文公司的數(shù)據(jù)管理平臺BlueKai因為在服務(wù)器上不加密碼，從而泄露了全球數(shù)十億人的數(shù)據(jù)記錄。在國內(nèi)，2020年3月，暗網(wǎng)出現(xiàn)“5.38億新浪微博用戶綁定手機號數(shù)據(jù)，1.72億新浪微博賬號基本信息”的交易信息。4月青島市膠州中心醫(yī)院6000余人信息被泄露。[2]

2.用戶數(shù)據(jù)泄露防護對策

2.1建立健全相關(guān)法律和規(guī)定

在國外，2018年5月，歐盟推出的《通用數(shù)據(jù)保護條例》——GDPR正式實施，不但明確了用戶個人數(shù)據(jù)的范圍，而且對違反該規(guī)定的懲戒空前。2020年1月，被認為是美國國內(nèi)最嚴格的隱私法《2018年加州消費者隱私法案》正式生效。

2013年9月，針對日益嚴峻的用戶信息泄露事件的發(fā)生，我國工業(yè)和信息化部頒布《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》。2017年6月實施《中華人民共和國網(wǎng)絡(luò)安全法》。2020年4月，《信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價方法》等26項信息安全相關(guān)的國家標準正式發(fā)布。

以上相關(guān)法律法規(guī)的實施對用戶數(shù)據(jù)的保護提供了有效的法律保障，也對侵犯用戶數(shù)據(jù)的行為進行了一定的界定和懲罰依據(jù)。但我國對于個人數(shù)據(jù)的定義、權(quán)限的所屬還存在模糊不清的狀況，而且隨著互聯(lián)網(wǎng)相關(guān)行業(yè)的不斷發(fā)展，信息技術(shù)的不斷更新，用戶數(shù)據(jù)的定義、侵犯用戶數(shù)據(jù)的方式、互聯(lián)網(wǎng)環(huán)境等等也在不斷發(fā)生著變化。所以可以借鑒歐美國家在用戶個人數(shù)據(jù)泄露防護方面的經(jīng)驗，并根據(jù)我國互聯(lián)網(wǎng)實際情況，不斷完善具有中國特色社會主義的用戶數(shù)據(jù)泄露防護法律體系。[3]

2.2 強化傳媒行業(yè)的用戶數(shù)據(jù)泄露防護責任

對于傳統(tǒng)思維方式來說，傳媒行業(yè)更多關(guān)心的是新聞內(nèi)容數(shù)據(jù)的安全，因為這是企業(yè)保證核心競爭力的基礎(chǔ)，而對作為傳媒行業(yè)的支撐性數(shù)據(jù)——用戶數(shù)據(jù)的保護略有疏忽。但在大數(shù)據(jù)時代下，通過對用戶數(shù)據(jù)的挖掘和分析，勾畫出用戶畫像，從而有效地進行個性化推薦、活動營銷等。對于傳媒行業(yè)來說用戶數(shù)據(jù)是用戶服務(wù)模式的價值，因此也日益體現(xiàn)了用戶數(shù)據(jù)的保護也應(yīng)引起重視。

從本質(zhì)上來說，個人基本信息和行為信息等構(gòu)成的用戶數(shù)據(jù)，應(yīng)屬于使用戶本人的財產(chǎn)。第三方只有合法使用的權(quán)力，而無權(quán)對其侵占甚至用于非法用途。企業(yè)應(yīng)該真正承擔起保護用戶個人數(shù)據(jù)的責任，在保證正常運營的情況下，盡可能減少對用戶數(shù)據(jù)的過度采集，更不能把用戶數(shù)據(jù)的價值占為己有，甚至將用戶數(shù)據(jù)進行非法交易和買賣。

2.3 提升全社會的用戶保護意識

通過分析以往眾多的泄密事件的原因，可以發(fā)現(xiàn)，因企業(yè)內(nèi)部人員有意或無意的原因造成的泄密占有很大比重。通過宣傳和培訓，讓員工牢固樹立保護用戶數(shù)據(jù)的意識;通過建立用戶數(shù)據(jù)泄露防護規(guī)定，規(guī)范用戶數(shù)據(jù)采集和使用范圍，明確員工主體責任和獎懲機制。堵住可能造成用戶數(shù)據(jù)泄露的管理漏洞。

此外，卡內(nèi)基梅隆大學安全與隱私研究所最近發(fā)表的一項研究表明，在明知賬號密碼泄露后，僅有約三分之一的用戶會更改密碼，而且修改密碼的用戶中，大多數(shù)也只是選擇與原密碼極為相似的字符和數(shù)字作為新密碼。[4]這項研究調(diào)查的數(shù)據(jù)雖然規(guī)模較小，但也較為準確地反映出大多數(shù)用戶仍然缺乏對個人數(shù)據(jù)的保護意識。

3.數(shù)據(jù)泄露防護技術(shù)手段

3.1 加密保護技術(shù)

數(shù)據(jù)加密是當前對數(shù)據(jù)進行保護最基礎(chǔ)的辦法。通過密碼技術(shù)對再傳輸過程中或者存儲介質(zhì)中的數(shù)據(jù)進行加密后，實現(xiàn)信息隱蔽，從而有效防止數(shù)據(jù)的泄露。

用戶數(shù)據(jù)主要由結(jié)構(gòu)化數(shù)據(jù)構(gòu)成，結(jié)構(gòu)明確，格式比較固定。常見的有對稱加密算法和非對稱加密算法。3DES、AES等對稱加密算法，可以使用加密密鑰還原出原始數(shù)據(jù)，導致密鑰的保護至關(guān)重要。MD5、SHA1等非對稱加密算法，加密密鑰無法解密數(shù)據(jù)，實現(xiàn)也比較簡單，使用較為廣泛，還可以通過對原始數(shù)據(jù)加入冗余、多次HASH等方式，增加破解難度。

此外，存儲用戶數(shù)據(jù)的介質(zhì)也可以進行加密，以防止介質(zhì)物理丟失后造成數(shù)據(jù)泄露。介質(zhì)級加密的加密對象是存儲介質(zhì)，比如磁盤、磁帶等，主要通過數(shù)據(jù)控制器，對存儲介質(zhì)中的數(shù)據(jù)進行加密。數(shù)據(jù)以密文形式存儲在存儲介質(zhì)中，但是在此之外以明文形式處理。[5]

3.2訪問控制技術(shù)

訪問控制技術(shù)是網(wǎng)絡(luò)安全防范和數(shù)據(jù)資源保護的關(guān)鍵技術(shù)之一，核心思想是保護數(shù)據(jù)的隱秘性。通過已制定的訪問控制策略，保證合法訪問主題訪問已授權(quán)的數(shù)據(jù)，防止非法主體侵入受保護的系統(tǒng)。

要制定合理的訪問控制策略來實現(xiàn)訪問控制，按照訪問主體所需權(quán)限的最小化原則，最大限度地限制可訪問和操作的數(shù)據(jù)范圍，避免來自突發(fā)事件、操作錯誤和未授權(quán)主體等意外情況。

訪問主體申請訪問用戶數(shù)據(jù)時，首先通過統(tǒng)一安全認證服務(wù)完成對主體身份的認證，認證方式可以使用傳統(tǒng)的靜態(tài)口令、IP白名單等方式，也可以集成現(xiàn)有的生物特征等新型高強度認證方式。認證完成后比對訪問控制策略，獲取主體相應(yīng)權(quán)限，對其申請的已授權(quán)操作給予放行，并阻止策略中已分配之外的其他行為。同時，記錄主體訪問資源、訪問時間、執(zhí)行的操作等，進而便于審查和檢驗主體操作環(huán)境及活動，從而發(fā)現(xiàn)策略漏洞、入侵行為等隱患。

3.3 匿名化保護技術(shù)

所謂“匿名化”，是指通過特定的技術(shù)處理使數(shù)據(jù)失去可識別的能力，是使“敏感數(shù)據(jù)”脫敏的技術(shù)。數(shù)據(jù)匿名化的核心是通過切斷數(shù)據(jù)與個人之間的對應(yīng)關(guān)系，非法主體即使得到該“敏感數(shù)據(jù)”，但不能把該數(shù)據(jù)對應(yīng)到某個特定的人身上，使得用戶隱私得到保護。具體要求而言，匿名化保護技術(shù)是將數(shù)據(jù)移除可識別個人信息的部分，通過這一方法，使包括數(shù)據(jù)處理者在內(nèi)的，獲得該數(shù)據(jù)的任何主體，既不能僅從該數(shù)據(jù)本身準確標識旗指向的個人，也不能結(jié)合其他數(shù)據(jù)推理出指定個人相應(yīng)的敏感屬性值。

數(shù)據(jù)匿名技術(shù)，除要求處理過的數(shù)據(jù)無法識別個人之外，還需要通過隱私風險評估，保障個人隱私的安全。隱私風險評估不僅在事前階段需要，而且還應(yīng)該貫穿匿名化處理的整個過程。[6]

除以上之外，還有可信計算、數(shù)據(jù)泄露防護系統(tǒng)等一系列成熟的數(shù)據(jù)防護技術(shù)。但隨著互聯(lián)網(wǎng)技術(shù)的深入發(fā)展，相應(yīng)的破解和攻擊方式也層出不窮，具有更強防護性和更高實用性的數(shù)據(jù)防護技術(shù)也是當下研究熱點之一。

結(jié)語

當前，通過對用戶數(shù)據(jù)的分析和研究，大數(shù)據(jù)技術(shù)正在慢慢改變著傳媒行業(yè)的各個方面。對于傳媒行業(yè)，用戶數(shù)據(jù)已經(jīng)成為新的“石油”，在受到日益重視的同時，也面臨著更大的風險和挑戰(zhàn)。因此更需要提高從業(yè)人員的保護意識，加強數(shù)據(jù)泄露防護技術(shù)的應(yīng)用和研究，在國家相關(guān)法律和規(guī)定的指導下，在數(shù)據(jù)的使用和保護之間尋找一種平衡，以支持傳媒行業(yè)的健康發(fā)展。

參考文獻

[1]陳錦，王禹.從數(shù)據(jù)全生命周期看數(shù)據(jù)泄露防護問題[J].中國信息安全，2018（03）：69-71.

[2]FreeBuf， 2020上半年國內(nèi)外數(shù)據(jù)泄露大事件 [OL].https：//www.freebuf.com/column/241367.html，2020.

[3] 鄧明理. 大數(shù)據(jù)背景下個人數(shù)據(jù)的監(jiān)管保護[J]. 北京郵電大學學報（社會科學版），2019.21（01）.

[4]搜狐網(wǎng)，多數(shù)網(wǎng)民在賬號泄露后仍不更改密碼[OL]， https：//www.sohu.com/a/399426674_114760，2020.

[5]寇思佳.教育行業(yè)數(shù)據(jù)泄露防護淺析[J].網(wǎng)絡(luò)空間安全，2019，10（01）：14-17.

[6] 劉湘雯，王良民. 數(shù)據(jù)發(fā)布匿名技術(shù)進展[J]. 江蘇大學學報（自然科學版），2016（05）.

作者簡介：張利（1986-）? 男，河南信陽人，工程師。