查看原文
其他

数字化时代,更多的徐玉玉需要保护【宁宇专栏-211】

2017-07-23 专栏 科技杂谈

【摘要】自动化被动式的数据收割,可以用数据描绘出更真实的你,这个时代更需要在数据和隐私保护方面下功夫,保护另一些“徐玉玉”。




| 科 | 技 | 杂 | 谈 |

中国通信行业第一自媒体



宁 宇


原中国移动业务支撑系统部经理,现华为业务软件部专家


愿意和大家分享运营商的辉煌与没落,成功与失败,他用他的故事和分析诉说:运营商和你们想的不一样。


 最新文章

MWC观展体会之三:咪咕与移动

MWC观展体会之二:运营商和设备商最后的同舟共济?

MWC观展体会之一:5G与物联网

如何识别和应对“假需求”

科技杂谈:keji_zatan长按二维码查看宁宇更多历史文章


徐玉玉案宣判了。


花季少女的殒命,引起了社会各界对信息安全的强烈关注。最终,第一被告人以诈骗罪和侵犯公民个人信息罪被判处无期徒刑;其他被告人也以诈骗罪被判处有期徒刑并处罚金。


但是,随着互联网和大数据迅猛发展,技术的演进带来很多新问题,我们应该如何以智慧和专业,避免更多的徐玉玉悲剧出现?


IT从业人士应该积极思考、研究,并通过技术手段不断加强对隐私数据和信息安全的保护,提升老百姓的安全感。


【数字化时代,数据可以描绘出更真实的你】


我们即将面临的一个现实问题是,在数字化时代,每一个人都有可能成为下一个徐玉玉。


当前,我们正在从互联网时代,走向一个全面的数字化时代。


越来越多的传统企业和行业,正在狂飙突进地奔向数字化:一方面,科技领域的创新,尤其是物联网的发展,正在让越来越多的实物完成数字化镜像,成为了数据;另一方面,互联网还在产生着越来越多的数据。


2015年曾有统计说,全球的数据量每年在以50%的增长率增加,当前在用的数据中80%都是近两年产生的;而现在,现实的情况可能比这个统计更夸张,各种数据的扩张速度,已经让人难以想象。


在这个过程中,数据的生成方式已产生质变,从我们主动的、可控的、有意识地提供数据,演变为被动的提供数据。


以前,被拦住要求填写问卷并赠予小礼品的时候,你可以拒绝;遇到通过免费或者优惠方式讨要信息的时候,你可以拒绝。但现在,手机、运动手表、行车记录仪……都在随时随地将你的一举一动数字化,甚至你可能都不知道。


更值得关注的是:随着大数据产业的发展,信息和数据越来越丰富,对个体的画像也越来越全面而精准,个人的隐性特征甚至隐私都可能被"计算"出来。用数据描绘出来的特征,甚至比你自己还了解你自己,更接近每一个个体的本性,更加真实、可信。


这是好事,但其中的风险也同样可怕。


如今,不法分子利用信息诈骗已经成为社会公害,无数的案例场景都表明:如果个人数据和信息被坏人掌握和利用,我们每一个人都有中招的可能;而如果对于任何事都要花大量的时间和精力去验证,会产生多少社会资源的损耗;在一个缺乏安全感的环境里生存,又会让我们有多少本不必要的困扰。


道高一尺魔高一丈,如今我们必须对于数据信息安全予以足够的关注和重视,将技术和管理手段相结合,构建信息社会的安全屏障。将信息安全保护做到位,也是推动大数据发展和数字化转型的手段和举措。否则人人自危,这个产业还怎么发展?


【他山之石:电信运营商的信息防护手段】


相对于其他行业和产业,电信运营商在数字化以及数据处理方面是领先的。


上个世纪的"97工程"等IT基础能力建设完成后,运营商面向客户的订单、话单、账单等信息早就全部实现数字化,网络设备管理以及企业内部管理也已实现数字化,再加之客户规模和系统规模超大,所以在信息安全管控方面已经有相对成熟的经验。


国内在数字化、信息化领域领先的还有金融行业,但由于业务特性等方面的差异,电信运营商的IT系统比金融行业更加开放,因此也就面临更多的安全威胁,有了更丰富的应对经验。


一般来说,IT系统对数据的"增"、"删"、"改"等操作比较重视,但往往对数据访问的安全管控不够。


究其原因,一方面是对安全性的重视不够,另一方面也有苦衷:如今的业务,大多更强调用户使用的便利性,以及IT系统的响应速度;如果加强对数据访问的安全管理,强化对数据访问的安全管控,可能导致访问效率的降低,影响查询等操作的实时性。


事实上,不少企业的IT系统并非不知道安全的重要性,并非没有解决办法,只是没有去做而已。


在现实中的信息泄露案件中,很多都是过于强调开放性和便利性,忽视对数据关键信息的保护。


比如,代理商可以直接访问系统核心数据库,调用客户资料,查阅订单信息等,而对这些行为,系统既没有进行隐私保护,又没有对查询访问行为进行记录,出现问题之后无法回溯。


如果我们的个人数据都存放在这样的系统里,客户隐私几乎是在裸奔,何谈安全感!


那么,应该如何平衡数据访问的便利性和安全性呢?


首先是要做到信息分级处理,之后就可以将需要高度关注和保护的敏感信息区别出来,进行重点保护,将涉及隐私或者关键字段的信息做模糊化处理,对于核心的数据访问采取"金库模式"(参考银行对金库的操作方式,包括操作与授权分离等),确保所有敏感操作都有严格的控制。


系统对数据的访问查询,既包括操作人员对数据库的查询,也包括各种应用对数据的调用。这些查询访问都应该留下痕迹,所有操作都记入不可删改的日志里,以备后续的审计检查或者追溯。如果遇到非常规操作(比如某账户短时间内频繁查询不同用户详单等),系统自动产生告警,提示系统管理员及时确认操作的合法性。


对于开放性的IT系统来说,反黑防毒是非常重要的安全战场,尤其是与公网相连的节点,如果安全管理手段跟不上,就可能吃大亏。


事实上,如今很多IT系统在安全上并没有少花钱,但是疏于管理,对于漏洞和病毒的防护慢半拍;也有的存在侥幸心理,结果一旦中招,悔之晚矣。


这些手段说出来并不复杂,更多还是安全意识的问题。只要意识到位了,完全可以花小钱办大事。


【结语】


曾几何时,当出现客户信息泄露的时候,社会上就有人指责是电信运营商泄露出去的,这些压力迫使电信运营商下大力气做信息安全防护。


如今,数字化时代里的IT系统越来越多,里面的数据越来越多,如果能将运营商在安全方面的经验和措施进行推广,制定IT系统里对数据保护的规则并推行,那么无论对信息的保护,还是对案件的追查,都会产生非常积极的作用。


徐玉玉的不幸,也是对所有人的警醒。亡羊补牢,为时未晚。


在数据爆炸性增长的时代里,希望各类IT系统都加强对于数据安全的保护,而且这些防护做得越早越好,越规范越好。


否则,不知道什么时候,类似于徐玉玉的悲剧就又出现了。


 近期热点文章

全网通还是4G+全网通:最终谁说了算?

从美国运营商云计算大撤退,看中国运营商该何去何从?

阿里巴巴的数据战争

三大运营商蒙圈了:Verizon、AT&T先后退出云业务领域

大数据的寒冬已至,谁将倒下,谁成巨人?

深度:掉进云计算大坑的运营商,还爬得出来吗?

科技杂谈:keji_zatan长按二维码关注科技杂谈


点击下方 【阅读原文】加入 “科技杂谈菁英会”。



2013年度最佳IT原创自媒体

2014年度最佳新媒体人

2014年度最受企业关注自媒体

2016年度T+自媒体睿见之星


| 新科技 | 睿思想 |

已入驻百度百家、腾讯新闻、搜狐新闻、今日头条、网易阅读

一点资讯、互联网实验室,北京时间等

犀牛财经自媒体联盟(xinews)成员

WeMedia成员


转载授权、商务合作,联系微信号:sophie0306



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存