摘要：大數(shù)據(jù)和人工智能時代，數(shù)據(jù)因易受到模型算法攻擊以及網(wǎng)站病毒攻擊等因素影響，面臨多重風(fēng)險，易導(dǎo)致重要數(shù)據(jù)泄露。然而對大數(shù)據(jù)和人工智能系統(tǒng)而言，需要大量數(shù)據(jù)作為支撐提供服務(wù)，這些數(shù)據(jù)中包含多種敏感信息，如財務(wù)信息和個人隱私等。如果這些數(shù)據(jù)被篡改或者濫用，會帶來嚴(yán)重的后果。相關(guān)部門應(yīng)根據(jù)現(xiàn)實(shí)情況，全面分析數(shù)據(jù)安全風(fēng)險因素，制定合理的應(yīng)對策略，降低數(shù)據(jù)安全風(fēng)險系數(shù)。

關(guān)鍵詞：大數(shù)據(jù)；人工智能時代；數(shù)據(jù)安全；風(fēng)險

doi：10.3969/J.ISSN.1672-7274.2024.09.065

中圖分類號：TP 309.2 文獻(xiàn)標(biāo)志碼：A 文章編碼：1672-7274（2024）09-0-03

Data Security Risks and Response Strategies in the Era of Big data

and Artificial Intelligence

ZHANG Wei

（Beijing Municipal Supervision Commission Python Mountain Lien Security Center， Beijing 102200，China）

Abstract： In the era of big data and artificial intelligence， data information is vulnerable to multiple risks such as model algorithm attacks and website poisoning attacks， which can easily lead to important data leaks. However， for big data and artificial intelligence systems， a large amount of data is needed as support to provide services， which includes various sensitive information such as financial information and personal privacy. If these data are tampered with or abused， it will bring serious consequences. Relevant departments should comprehensively analyze data security risk factors based on the actual situation， formulate reasonable response strategies， and reduce the data security risk coefficient.

Keywords： big data; the era of artificial intelligence; data security; risk

1 大數(shù)據(jù)

大數(shù)據(jù)（Big data），或稱巨量資料，指的是所涉及的資料量規(guī)模巨大到無法通過主流軟件工具，在合理時間內(nèi)擷取、管理、分析并整理成為幫助企業(yè)經(jīng)營決策目的的資訊。目前適用于進(jìn)行大數(shù)據(jù)處理的技術(shù)包括分布式文件系統(tǒng)、云計算平臺、可拓展存儲系統(tǒng)等。根據(jù)其具有大量（Volume）、高速（Velocity）、多樣（Variety）、低價值密度（Value）、真實(shí)性（Veracity）的特征。

2 人工智能

人工智能（Artificial Intelligence）是計算機(jī)科學(xué)的一個分支。它結(jié)合數(shù)學(xué)、計算機(jī)科學(xué)、心理學(xué)等多學(xué)科理論，通過讓計算機(jī)模擬人類的思考和行為過程，實(shí)現(xiàn)人機(jī)交互，提高計算機(jī)的智能化水平，以更好地服務(wù)于人類社會。人工智能的研究領(lǐng)域涵蓋了機(jī)器人、語言識別、圖像識別、自然語言處理、專家系統(tǒng)等，目標(biāo)是讓計算機(jī)具有像人類一樣的思維和行為能力。

3 數(shù)據(jù)安全

數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于被有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。其涵蓋多個方面，包括但不限于機(jī)密性、完整性和可用性。數(shù)據(jù)安全還涉及部署工具和技術(shù)，以增強(qiáng)組織對其關(guān)鍵數(shù)據(jù)所在位置及其使用方式的可見性，包括加密、數(shù)據(jù)屏蔽和敏感文件編輯等保護(hù)措施。

4 大數(shù)據(jù)和人工智能時代數(shù)據(jù)安全面 臨的風(fēng)險

4.1 數(shù)據(jù)質(zhì)量安全風(fēng)險

該風(fēng)險主要發(fā)生在主數(shù)據(jù)項(xiàng)目建設(shè)初期，由于數(shù)據(jù)來源眾多，類型繁雜，導(dǎo)致不完整、不準(zhǔn)確、不一致、重復(fù)或無效數(shù)據(jù)出現(xiàn)。該風(fēng)險產(chǎn)生的原因與數(shù)據(jù)投毒攻擊和數(shù)據(jù)深度偽造有關(guān)。數(shù)據(jù)投毒攻擊是指在訓(xùn)練數(shù)據(jù)中，通過加入影響數(shù)據(jù)質(zhì)量的信息，如不符合現(xiàn)實(shí)情況的信息或存有惡意的樣本信息等，使得訓(xùn)練出的算法模型在決策期間出現(xiàn)誤差?，F(xiàn)階段數(shù)據(jù)投毒攻擊包括兩類：第一類是借助模型偏斜方法，運(yùn)用虛假信息或惡意信息樣本，改變原有信息內(nèi)涵。這樣工作人員在檢索中，易檢索到錯誤信息，從而改變分類器分類界限，造成數(shù)據(jù)質(zhì)量安全風(fēng)險。第二類是通過誤導(dǎo)反饋方式，按照大數(shù)據(jù)和人工智能運(yùn)行特征，利用反饋機(jī)制整理目標(biāo)數(shù)據(jù)，通過模型反饋機(jī)制，向大數(shù)據(jù)和人工智能模型中加入偏離實(shí)際情況的數(shù)據(jù)，從而給后期決策造成不利影響。

數(shù)據(jù)深度偽造是指運(yùn)用大數(shù)據(jù)和人工智能技術(shù)生產(chǎn)出質(zhì)量不達(dá)標(biāo)或者虛假產(chǎn)品，通過生成器中的神經(jīng)網(wǎng)絡(luò)，將需要攻擊的數(shù)據(jù)和源數(shù)據(jù)模擬進(jìn)行加工，生成與想要替換樣本相似的模型，然后通過鑒別器神經(jīng)網(wǎng)絡(luò)，對該模型的虛假程度進(jìn)行多次驗(yàn)證、評估和改進(jìn)，以創(chuàng)造與真實(shí)產(chǎn)品極為接近的模型[1]。近年隨著大數(shù)據(jù)和人工智能技術(shù)發(fā)展成熟，部分不法分子為了牟利，通常會將該模型用到人臉識別、語言識別等領(lǐng)域，利用人臉、語言變換偽裝等手段，給網(wǎng)絡(luò)平臺輸入虛假信息，導(dǎo)致相關(guān)網(wǎng)絡(luò)平臺受到虛假信息干擾，在后期做出錯誤驗(yàn)證判斷，從而使得重要數(shù)據(jù)信息泄露。

4.2 數(shù)據(jù)隱私泄露風(fēng)險

該風(fēng)險是指未經(jīng)授權(quán)，在網(wǎng)絡(luò)上不當(dāng)?shù)嘏睹舾袛?shù)據(jù)或信息，導(dǎo)致個人敏感信息泄露，使得個人和相關(guān)企業(yè)財務(wù)損失、聲譽(yù)受損等。該風(fēng)險在數(shù)據(jù)收集和處理過程中經(jīng)常出現(xiàn)，部分黑客通過侵入數(shù)據(jù)庫或系統(tǒng)，從中獲取重要數(shù)據(jù)，今后根據(jù)個人需求將其外泄。比如，黑客針對一個組織或多個組織蓄意攻擊，利用大數(shù)據(jù)和人工智能技術(shù)，從特定網(wǎng)絡(luò)平臺中非法獲取相關(guān)數(shù)據(jù)，在后期通過販賣信息進(jìn)行獲利。再者，內(nèi)部人員操作行為不當(dāng)或者管理疏忽，也會導(dǎo)致該風(fēng)險出現(xiàn)。比如，內(nèi)部人員在數(shù)據(jù)收集、存儲、傳輸或處理過程中，因操作行為不規(guī)范、使用未加密傳輸敏感數(shù)據(jù)等，導(dǎo)致數(shù)據(jù)隱私泄露。此外，部分電子設(shè)備加工企業(yè)未遵循法律規(guī)定，借助智能應(yīng)用程序，在開發(fā)的軟件系統(tǒng)中嵌入隨意開采使用者引思數(shù)據(jù)的功能，過度采集使用者隱私數(shù)據(jù)，如個人居住隱私、通信隱私以及網(wǎng)絡(luò)交流隱私等，甚至在使用者不知道個人各項(xiàng)隱私已經(jīng)被過度采集的情況下，在后臺隨意整合、處理等，從而導(dǎo)致數(shù)據(jù)隱私泄露風(fēng)險出現(xiàn)[2]。比如，某電子設(shè)備加工企業(yè)，在生產(chǎn)相關(guān)電子設(shè)備期間，利用大數(shù)據(jù)和人工智能技術(shù)，安裝語音以及視頻信息采集功能，當(dāng)使用者將計算機(jī)系統(tǒng)與該設(shè)備連接起來時，該設(shè)備在未經(jīng)過使用者同意情況下，實(shí)時錄入使用者在計算機(jī)系統(tǒng)中存儲的語音隱私和視頻隱私等，導(dǎo)致使用者個人隱私被過度采集，從而引發(fā)數(shù)據(jù)隱私泄露風(fēng)險。

另外，在數(shù)據(jù)竊取攻擊中，不法分子通過前期設(shè)計好的模型，隨意竊取目標(biāo)對象產(chǎn)生的各類數(shù)據(jù)，將關(guān)鍵數(shù)據(jù)整合起來，后期按照實(shí)際需求加工利用，實(shí)現(xiàn)竊取訓(xùn)練數(shù)據(jù)的目標(biāo)。目前常見的數(shù)據(jù)竊取攻擊包含三類，分別是模型逆向攻擊、成員推斷攻擊、模型萃取攻擊。模型逆向攻擊是指不法分子借助訓(xùn)練好的竊取模型，運(yùn)用數(shù)據(jù)關(guān)聯(lián)和推算演繹技術(shù)等，按照計算機(jī)系統(tǒng)以及電子設(shè)備中的各類信息之間的輸入輸出關(guān)系，逆向還原相關(guān)訓(xùn)練數(shù)據(jù)。比如，不法分子運(yùn)用用戶姓名、性別以及其他身份信息等，通過該模型，模仿制造出與用戶本人沒有任何區(qū)別的人臉信息，以竊取使用者財物。成員推斷攻擊是指不法分子按照虛擬模型評估結(jié)果，總結(jié)模型訓(xùn)練數(shù)據(jù)中是否存在價值較高的樣本信息，根據(jù)竊取需求，有計劃地整合相關(guān)使用者隱私數(shù)據(jù)，在后期將相關(guān)數(shù)據(jù)提供給其他不法商家或者使用者。比如，不法分子可以借助虛擬模型，從醫(yī)療、交通、吃住等角度出發(fā)，評估使用者隱私數(shù)據(jù)，并將獲取的使用價值較高的數(shù)據(jù)信息分類整理，在后期分別販賣給其他不法使用者，導(dǎo)致使用者隱私數(shù)據(jù)泄露。模型萃取攻擊是指不法分子利用訪問模型中的應(yīng)用程序接口，通過大數(shù)據(jù)和人工智能技術(shù)，算出模型中錄入的參數(shù)和架構(gòu)等信息，以實(shí)現(xiàn)竊取模型信息目標(biāo)，使得數(shù)據(jù)隱私泄露案事件頻發(fā)[3]。

5 大數(shù)據(jù)和人工智能時代數(shù)據(jù)安全風(fēng) 險的應(yīng)對策略

5.1 完善數(shù)據(jù)安全法律規(guī)定

加強(qiáng)立法是應(yīng)對數(shù)據(jù)安全風(fēng)險的重要手段。雖然近年我國已經(jīng)出臺了《中華人民共和國網(wǎng)絡(luò)安全法》，闡明了網(wǎng)絡(luò)信息安全、監(jiān)測預(yù)警與應(yīng)急處置、法律責(zé)任等，但是在大數(shù)據(jù)和人工智能時代下，不法分子竊取、過度采集使用者個人隱私、財務(wù)隱私等手段越來越多，并且部分模型隱蔽性越來越高。為了切實(shí)保障使用者各項(xiàng)隱私數(shù)據(jù)安全，應(yīng)在現(xiàn)有法律基礎(chǔ)上，不斷完善數(shù)據(jù)安全法律規(guī)定，針對現(xiàn)有數(shù)據(jù)安全風(fēng)險類型以及引發(fā)原因，填補(bǔ)現(xiàn)有法律體系監(jiān)管漏洞，應(yīng)從制度上明確劃分?jǐn)?shù)據(jù)所有者、使用者以及共享者等不同群體，在數(shù)據(jù)安全保護(hù)方面的責(zé)任和義務(wù)，制定相應(yīng)嚴(yán)懲措施，一旦發(fā)現(xiàn)有關(guān)人員或組織違反法律規(guī)定，依法嚴(yán)肅打擊處理，以強(qiáng)化法律威懾性，降低數(shù)據(jù)安全風(fēng)險。

5.2 做好數(shù)據(jù)安全存儲管理

大數(shù)據(jù)和人工智能時代的數(shù)據(jù)量越來越大，類型較多，需要通過虛擬分布式存儲方法，在云端進(jìn)行分類保存、管理和恢復(fù)等。有關(guān)部門要想有效應(yīng)對數(shù)據(jù)安全風(fēng)險，應(yīng)做好數(shù)據(jù)安全存儲管理，通過多副本存儲、差異性存儲、密匙管理的方式，提高數(shù)據(jù)存儲安全性，最大限度降低數(shù)據(jù)安全風(fēng)險。其一，在多副本存儲中，有關(guān)部門可以利用云存儲技術(shù)，將需要存儲的數(shù)據(jù)劃分為多個數(shù)據(jù)塊備份，將不同備份分別存儲到不同位置，設(shè)計各個位置中的重要數(shù)據(jù)、隱私數(shù)據(jù)等存儲量，防止后期出現(xiàn)重要數(shù)據(jù)或隱私數(shù)據(jù)全部外泄情況。其二，在差異性存儲中，有關(guān)部門可以將結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)、重要數(shù)據(jù)以及通用數(shù)據(jù)等分別進(jìn)行存儲和云存儲，保障各類數(shù)據(jù)安全[4]。其三，在密匙管理中，有關(guān)部門應(yīng)運(yùn)用安全套接層技術(shù)，將各類數(shù)據(jù)加密保存，屏蔽不法分子和網(wǎng)絡(luò)攻擊，保障數(shù)據(jù)在下載使用、上傳整理以及共享使用等環(huán)節(jié)的安全性。

5.3 加強(qiáng)訪問控制安全管理

大數(shù)據(jù)和人工智能時代，使用者在登錄各類電子設(shè)備和軟件時，不可避免地會按照平臺提示，錄入個人信息。為了防止個人隱私信息和重要財務(wù)信息外泄，有關(guān)部門應(yīng)加強(qiáng)訪問控制安全管理，運(yùn)用多種安全技術(shù)工具，嚴(yán)控訪問信息，避免不法分子未經(jīng)使用者同意，隨意竊取或者泄露使用者信息。例如，有關(guān)部門可以運(yùn)用4A認(rèn)證技術(shù)，將需要訪問控制的電子設(shè)備和有關(guān)軟件，與運(yùn)維人員的計算機(jī)系統(tǒng)連接起來，通過唯一賬號認(rèn)證、授權(quán)等方式，借助唯一標(biāo)識訪問被托管服務(wù)器，為使用者提供雙因子認(rèn)證和靜態(tài)口令認(rèn)證等不同強(qiáng)度的身份認(rèn)證方法。當(dāng)有關(guān)人員需要使用相關(guān)數(shù)據(jù)時，要求其按照身份認(rèn)證規(guī)定，輸入個人信息、身份信息以及工作信息等，并根據(jù)系統(tǒng)提示，上傳相關(guān)原始憑證，完成臉部動態(tài)識別，由系統(tǒng)對比分析相關(guān)信息是否一致完整，對審核通過的使用者提供數(shù)據(jù)使用權(quán)限。與此同時，有關(guān)部門可以對C/S、B/S結(jié)構(gòu)類型的數(shù)據(jù)，設(shè)計統(tǒng)一訪問控制權(quán)限，利用應(yīng)用大數(shù)據(jù)和人工智能技術(shù)生產(chǎn)的訪問模型，實(shí)時錄入有關(guān)人員訪問電子設(shè)備、軟件、網(wǎng)絡(luò)系統(tǒng)等行為，定期分析相關(guān)行為數(shù)據(jù)是否存在安全隱患，提前處理違規(guī)操作行為，并對監(jiān)控到的重點(diǎn)人群設(shè)計特殊訪問控制權(quán)限，在后期持續(xù)監(jiān)督有關(guān)人群數(shù)據(jù)使用行為，一旦發(fā)現(xiàn)其存在違規(guī)操作現(xiàn)象，則運(yùn)用技術(shù)控制方法，保護(hù)數(shù)據(jù)安全，并結(jié)合技術(shù)統(tǒng)計的數(shù)據(jù)使用者信息，快速找到責(zé)任人進(jìn)行處理。

5.4 建設(shè)數(shù)據(jù)安全保障體系

大數(shù)據(jù)和人工智能時代，有關(guān)部門在應(yīng)對數(shù)據(jù)安全風(fēng)險時，應(yīng)根據(jù)各類風(fēng)險形成原因，建設(shè)數(shù)據(jù)安全保障體系，通過設(shè)計數(shù)據(jù)安全風(fēng)險感知體系、零信任數(shù)據(jù)安全機(jī)制，降低數(shù)據(jù)安全風(fēng)險。第一，在設(shè)計數(shù)據(jù)安全風(fēng)險感知體系時，有關(guān)部門應(yīng)做好數(shù)據(jù)統(tǒng)計分析，動態(tài)整理評估可能引發(fā)數(shù)據(jù)變化的因素，從發(fā)展角度出發(fā)，分析有關(guān)數(shù)據(jù)未來演變趨勢，然后運(yùn)用大數(shù)據(jù)和人工智能技術(shù)，總結(jié)各類數(shù)據(jù)處理日志中是否存在安全隱患，并通過可視化技術(shù)，提前感知有關(guān)數(shù)據(jù)安全隱患，利用圖畫和圖表等形式，直觀展示出來，組織專人運(yùn)用數(shù)據(jù)訪問和數(shù)據(jù)流阻攔管控方法，降低數(shù)據(jù)安全風(fēng)險[5]。第二，在制定零信任數(shù)據(jù)安全機(jī)制時，有關(guān)部門應(yīng)以零信任機(jī)制為基礎(chǔ)，重新建設(shè)數(shù)據(jù)邊界，統(tǒng)一管理涉及有關(guān)數(shù)據(jù)的人員、設(shè)備和軟件等，降低數(shù)據(jù)在上傳、下載以及使用期間的外泄概率，減小被不法分子竊取或者攻擊的可能性。

5.5 設(shè)置數(shù)據(jù)安全管控平臺

有關(guān)部門在設(shè)置該平臺時，可以運(yùn)用大數(shù)據(jù)和人工智能技術(shù)，開發(fā)樣例數(shù)據(jù)庫，在該數(shù)據(jù)庫中設(shè)計信息自動采樣、分類錄入以及動態(tài)查驗(yàn)等功能，將各類數(shù)據(jù)在對接、處理以及共享等環(huán)節(jié)產(chǎn)生的信息，進(jìn)行動態(tài)采樣，并將采集到的信息全部整合到樣例數(shù)據(jù)庫中，設(shè)置數(shù)據(jù)自動查驗(yàn)功能，對數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量以及數(shù)據(jù)使用等進(jìn)行全方位查驗(yàn)[6]。同時，有關(guān)部門可以在該平臺中設(shè)置數(shù)據(jù)流動態(tài)監(jiān)控板塊，在該板塊中開發(fā)數(shù)據(jù)流動態(tài)監(jiān)測、自動預(yù)警等功能，一旦發(fā)現(xiàn)數(shù)據(jù)出現(xiàn)斷流、積壓或者波動不符合正常規(guī)律等情況，通過線上設(shè)備進(jìn)行預(yù)警，引導(dǎo)有關(guān)人員及時處理風(fēng)險隱患，確保數(shù)據(jù)安全。

6 結(jié)束語

綜上所述，大數(shù)據(jù)和人工智能時代，數(shù)據(jù)安全風(fēng)險頻發(fā)，給社會和諧穩(wěn)定、企業(yè)發(fā)展以及個人利益等造成嚴(yán)重影響。有關(guān)部門應(yīng)結(jié)合現(xiàn)實(shí)情況，深入分析各類風(fēng)險引發(fā)因素，并探尋相應(yīng)應(yīng)對策略，完善數(shù)據(jù)安全法律規(guī)定，做好數(shù)據(jù)安全存儲管理、加強(qiáng)訪問控制安全管理，建設(shè)數(shù)據(jù)安全保障體系、設(shè)置數(shù)據(jù)安全管控平臺，采用多種方法加大數(shù)據(jù)安全管控力度，降低數(shù)據(jù)安全風(fēng)險。

參考文獻(xiàn)

[1] 方艷梅．深度偽造對人臉識別支付系統(tǒng)安全性的挑戰(zhàn)與應(yīng)對[J]．金融科技時代，2020，28（3）：5．

[2] 紀(jì)守領(lǐng)，杜天宇，李進(jìn)鋒，等．機(jī)器學(xué)習(xí)模型安全與隱私研究綜述[J]．軟件學(xué)報，2021，32（1）：41-67．

[3] 楊洗．?dāng)?shù)字媒體時代的數(shù)據(jù)濫用：成因、影響與對策[J]．中國出版，2020（12）：3-8．

[4] 劉金瑞．?dāng)?shù)據(jù)安全范式革新及其立法展開[J]．環(huán)球法律評論，2021，43（1）：5-21．

[5] 苗杰．人臉識別“易破解”面臨的風(fēng)險挑戰(zhàn)及監(jiān)管研究[J]．信息安全研究，2021，7（10）：984-988．

[6] 胡小偉．人工智能時代算法風(fēng)險的法律規(guī)制論綱[J]．湖北大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2021，48（2）：120-131．