大数据下信息安全管理思考.docVIP

大数据下信息安全管理思考 　　你有没有过这样的体验？ 　　你只不过在百度搜索了一下“MBA”，以后你登录任何一个不知名的网站，都会弹出一堆的MBA招生广告； 　　你只不过上午在京东收藏了一个手机页面，还在犹豫要不要买，下午就收到了同款手机优惠外呼； 　　你在淘宝上刚刚购买了一双NEW BALANCE跑步鞋，还没付款就又弹出“购买此产品35%的用户会购买跑步衣”。 　　你一方面觉得欣喜，因为似乎推荐的东西或多或少都还是比较令你心动；另一方面你又觉得有一点“细思恐极”，好像总有那么一只眼睛在注视着你，发现着你的“需求”，预测着你的行为。直到有一天，诈骗电话可以清楚说出你的名字，对你的朋友、生活如数家珍，差点就让你上当，你才意识到，原来你的隐私真的需要保护了。 　　如果说互联网时代的到来，是让记录在纸面上的“死”数据变成了信息化、电子化的“神经元”，那么大数据时代的到来，则是打通了所有的神经元，建造成一张无比恢弘巨大的“神经网络”。 　　从正面的意义上讲，这是人类整体的胜利！人类的决策将更趋于理性和精确，我们有能力发现隐藏在表象后面的深层次原因，是一场巨大的具有革命性的科技盛宴。 　　但从负面的意义上看，这也可能是对人类个体的威胁。某种程度上，你的所有行为都可以被量化被采集，你的所有想法都可以被概率预测，在技术面前，人人都在裸奔。 　　一、大数据信息安全原则 　　有人说，既然大数据这么恐怖，为什么我们不把潘多拉的魔盒给盖上？ 　　其实，任何一项技术都是中立的。汽车的发明解决了物流运输的动力问题，但也带来了不可逆转的环境污染和温室效应；核能是最高效的“不枯竭”能源，甚至为星际航行奠定了可能，但同时也让世界笼罩在恐怖的“核威胁”之下；电脑的发明让人类的生产力空前爆发，足不出户亦可通晓千里，但同时也让人们的身体机能（视力、体力）不断退化。 　　关于大数据的信息安全原则，仍然是模糊地带。2014年3月，小米公司董事长、全国人大代表雷军在两会期间发出关于加快实施大数据国家战略的建议。雷军在建议中表示，从人才培养、完善法律、基础建设、产业试点等方面着手，从国家层面上制定大数据发展规划。万里长征我们才走完第一步，借鉴国内外的探索经验，可以作为大数据行为边界的参照。 　　1、授权原则：不是“告知与许可”，而是谁使用，谁担责 　　“告知与许可”，历来被认为是隐私保护范畴的金科玉律，即使用我的信息，必须告知我并经过我的同意。但人们发现，在大数据时代，这个法则不适用了。数据的归属者甚至不知道自己产生了这条数据，也不会意识到是在哪里产生的；数据的采集者和使用者也没有能力和精力找到每一个客户（通常以百万、千万计）寻求许可。更重要的是，往往数据的第一级采集并不产生价值，而是数据采集挖掘后的二次应用，才可能导致客户的隐私侵犯。 　　基于此，后向追责更具有可行性和实操性，即作为数据的采集、加工、应用者，你可以不征求每个个体的同意而使用数据，但对此数据产生的一切后果需承担责任。那么问题来了，边界如何限定、行为如何追责，依赖于管理者的智慧及法律的顶层设计。 　　2、使用原则：基于大数据的重大决策，必须“公开、公正、可反驳” 　　考虑到越来越多的商业决策甚至政府决策都依托于大数据模型预测，因此模型应用必须遵循“公开、公正、可反驳”三大原则。 　　公开原则：如果算法模型将严重影响个人，必须公开数据来源和算法系统。 　　公正原则：重大决策模型必须有第三方的评估机构进行客观评定。 　　可反驳原则：类似于科学实验的“证伪”机制，即面向公正提供可对其预测结果进行反驳的途径。 　　3、定责原则：未发生的行为不能作为定责的依据 　　大数据模型通常用于概率预测，但之所以称之外概率，就是因为它还没有发生。99%的水货购买可能性不代表真的一定会购买，不能基于此就向其征收增值税；70%的故意伤害可能也只能去预防而不能直接去抓捕定罪。未发生的行为不能作为定责的依据。 　　二、呼叫中心客户信息安全保护措施 　　管好手中的数据，更要管好用数据的人。具体到呼叫中心，尤其是笔者所在的通信行业呼叫中心，客户的信息尤为敏感，因此大数据的信息安全管控尤为重要！广东移动客服中心于2012年起着手搭建大数据客户标签库，目前已涵盖全省1.07亿客户的800多个属性字段，基于省中心制定的信息安全管理流程未出现一例数据安全违规事故，不仅大数据本身不出问题，更应用大数据手段来解决信息安全的问题。 　　具体而言，包括两个维度8项举措： 　　1、数据维度： 　　1）信息加密：敏感信息加密处理 　　对一线客服而言，涉及到客户家庭住址、通话清单等敏感信息数据，一律屏蔽或半屏蔽，确保客户敏感信息无泄漏。 　　2）广采慎用：没想好，不使用 　　对于技术层面已经可以实现数