大数据安全与隐私保护 课件 第1章 大数据安全的概念-v1.1

大数据安全的概念石瑞生网络空间安全学院1.1大数据的概念和内涵1.2大数据应用1.3理解大数据安全1.4大数据隐私与安全1.5相关法律法规1.6数字社会与国家安全1.7本章小结2内容提纲3大数据的概念和内涵4大数据的概念和内涵VelocityVolumeVarietyVeracityValueBIGDATAVolume：谷歌公司为了应对大数据的挑战，设计了MapReduce计算模式、GFS（GlusterFileSystem，一个开源的分布式文件系统）、BigTable数据管理系统，成为云计算技术的先驱。Velocity：例如微博数据，不仅数量大，而且时效性高。如果按照传统的搜索引擎模式处理，则需要花几天甚至几周时间采集数据、建立索引。Variety：大数据不仅有传统数据库管理的结构化数据，还有各种非结构化、半结构化数据。Veracity：例如，互联网上有大量无标注数据，以及人为的错误数据等。Value：大数据的目标就是从数据中发现价值、在应用中创造价值。本书从五个特征来定义大数据，这五个特征可以总结为五个V，即Volume（数据量大）、Velocity（速度快）、Variety（类型复杂）、Veracity（数据质量参差不齐）和Value（价值）5大数据应用大数据技术在很多领域得到了广泛的应用，对人类的生活、健康、经济、政治等方方面面产生了重要的影响。介绍几个广为人知的大数据应用的成功案例，来帮助我们建立起对大数据的感性认识。先讲一个发生在美国的真实的故事：几年前，一个美国家庭收到了一家商场投送的关于孕妇用品的促销劵，由于很明显促销劵是冲着这个家庭中的那位16岁女孩来的，女孩的父亲觉得受到了侮辱，于是怒气冲冲地找到了这家商场讨说法。为了平息这位父亲的怒气，商场做出了诚恳的道歉。但数天后，这位父亲赫然发现，其16岁的女儿真的未婚先孕了。那家商场之所以能未卜先知地知道该女孩怀孕，是因为该商场通过若干种商品的消费数据建立了一个怀孕预测指数，以此来预知其顾客的怀孕情况。可以说，这只是一个典型的大数据应用案例。6大数据应用谷歌流感趋势2008年11月谷歌公司启动的GFT项目，GFT只需分析数十亿搜索中45个与流感相关的关键词，就能比美国疾控中心（CDC，CentersforDiseaseControl）提前两周预报了2007-2008季流感的发病率。有了这两周，人们就可以有充足的时间提前预备，避免中招；利用大数据可以避免不必要的痛苦、麻烦和经济损失。华尔街利用微博数据预测股票2011年，美国印第安纳大学和英国曼彻斯特大学的三位学者合作发表了一篇题为“TwitterMoodPredictstheStockMarket”的论文，指出基于大量推文而分析出的公众情绪与道琼斯工业指数相关联，甚至具有预测性。他们选取2008年2月28日至2008年12月19日近1000万条推文作为样本，采用两种情绪追踪工具将其分类。研究者发现，将“冷静”情绪指数后移3天，竟然与道琼斯工业平均指数惊人一致，也就是说，Twitter（现已更名为X，本书仍沿用Twitter）反映出的情绪能在一定程度上预测3～4天后的股市变化。7大数据应用举例8理解大数据安全大数据时代的到来，给我们带来很多便利与舒适，但同时也带来新的问题与挑战。大数据安全涉及两个方面：一是大数据服务中的安全问题，二是大数据技术在安全领域的应用。（1）大数据服务中的安全问题主要包括以下几个方面的内容：大数据服务系统架构与认证授权问题；利用大数据服务的系统漏洞，攻击大数据服务系统；利用大数据服务的算法缺陷或者训练数据管理的漏洞，注入攻击数据；利用大数据服务的合法功能，来发起攻击；利用大数据服务系统的合法功能，获取隐私信息。（2）大数据技术在安全领域的应用一方面是利用大数据技术解决安全问题。例如：利用流量特征，识别攻击流量；利用大数据技术，分析微博、微信等社交数据，预测突发事件的走向，及时制定并动态调整应对措施；利用大数据技术，引导网络舆情的走向，防止事态恶化。这些技术已经被深入研究并广泛使用。9理解大数据安全10大数据隐私与安全隐私的起点1890年：布兰代斯&沃伦《隐私权》定义：不受干扰的权利，保障信仰、思想、情感与个性发展隐私保护的演变住宅为核心：最初隐私权集中在物理空间（住宅）以人为核心：1967年凯兹案→确认公共场所亦享有隐私权以信息为核心：信息技术兴起→个人身份信息广泛存储于政府、银行、医院等数据库关键案例1928年奥姆斯泰德案1967年凯兹案信息时代的隐私权代表人物：AlanWestin（哥伦比亚大学教授）定义：个人有权控制、编辑、管理、删除个人信息，并决定信息公开的时间、方式与范围11隐私的概念与起源12布兰代斯&沃伦《隐私权》（1890年）13隐私权第一次被写入法律（1902年）14隐私权法律的发展（早期）15水门事件（1974年）各种安全技术作为伴生技术，一直是随着技术的进步与发展不断演进的。信息技术与安全演进1960s计算机安全病毒雏形（磁芯大战）世界首个病毒（1983VAX/750）巴基斯坦智囊病毒（软盘感染，1980s）系统安全：病毒、木马、APT1970s网络安全数据通信+计算机商业化现代密码学兴起：对称加密标准化、RSA提出16安全、隐私与技术进步的关系信息技术与安全演进1990s内容安全万维网兴起→垃圾邮件、搜索作弊、水军、虚假信息技术应对：网页反作弊算法、验证码（CAPTCHA）2000s-今大数据与隐私安全AI破解验证码→垃圾信息卷土重来“互联网+”融合：网络安全与物理、金融、生产安全深度融合多层次安全体系：网络安全、系统安全、内容安全、隐私保护17安全、隐私与技术进步的关系18相关法律法规关于隐私权的重大历史事件：1965年，“中央数据银行”计划提出。1974年，水门事件促使美国《隐私法》（PrivacyActof1974）诞生。2002年，美国《2002年国土安全法》中重新提出的中央数据银行计划，有一个更响亮的名字：“全面信息知悉”计划（TotalInformationAwareness）。2018年5月25日，欧盟的《通用数据保护条例》全面实施。2021年，《中华人民共和国个人信息保护法》和《中华人民共和国数据安全法》正式施行。19隐私与法律中央数据银行1965年美国预算局提议建立“中央数据银行”，整合公民全生命周期信息，获学界支持，但因隐私担忧引发媒体、公众和ACLU反对，最终1968年国会否决该计划。水门事件与《隐私法》的诞生1974年，尼克松因水门事件丑闻而引咎辞职。1974年12月《隐私法》出台，规范政府收集和使用公民信息，保障查询与更正权；此后多部隐私与信息安全法相继实施，但消费与银行交易记录被最高法院判定不属隐私。20美国隐私权大事件元数据2013年斯诺登揭露NSA秘密收集全民电话元数据，虽非谈话内容，但通过通话时间、频率等可推断关系与兴趣，构成对隐私的深度监控，引发全球对政府监视与个人隐私的担忧。大数据时代的个人隐私网页搜索、购物记录、社交媒体和APP等产生的私密数据与元数据，可揭示个人行为与偏好。集合分析元数据能全面监控个人生活和群体动态，其重要性和价值甚至超过具体内容。《通用数据保护条例》2018年5月25日，《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR）在欧盟全面实施。它取代了欧盟个人资料保护的95/46/EC指令，旨在保障所有欧盟民众的个人数据隐私和安全，重塑整个欧盟地区的数据隐私保护形式。《非个人数据自由流动条例》欧洲议会和欧盟理事会于2018年11月14日共同颁布《非个人数据自由流动条例》（RegulationontheFreeFlowofNon-personalData，FFD）（以下简称《条例》）。《条例》旨在保障非个人数据在欧盟境内自由流动，并对数据本地化要求、主管当局的数据获取及跨境合作、专业用户的数据迁移等问题做了具体规定。《条例》已于2019年5月28日正式实施。《数据治理法案》（2020年2月19日）《数据法案》（2023年11月9日）21欧盟隐私权大事件“全面与进步跨太平洋伙伴关系协定”2017年11月11日，由启动“跨太平洋伙伴关系协定”（TPP）谈判的11个亚太国家共同发布了一份联合声明，宣布“已经就新的协议达成了基础性的重要共识”。“区域全面经济伙伴关系协定”2020年11月15日，第四次区域全面经济伙伴关系协定领导人会议以视频方式举行，会后东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了“区域全面经济伙伴关系协定”（RCEP）。“数字经济伙伴关系协定”“数字经济伙伴关系协定”（DEPA）由新加坡、智利、新西兰三国于2020年6月12日线上签署，旨在加强三国间数字贸易合作并建立相关规范。《欧盟-美国数据隐私框架》（2023年7月10日）22数字贸易协议中国关于数据安全的法律法规建设1．《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》和《中华人民共和国网络安全法》2．《信息安全技术个人信息安全规范》3．《网络数据安全管理条例》4．“数据二十条”5．国家数据局和“数据要素×”三年行动计划（2024—2026年）6．《全球数据安全倡议》23中国关于数据安全的法律法规建设数字社会是在农业、工业和信息社会基础上发展而来的新型社会形态，物理世界与数字世界高