数据泄露成为大数据时代面临的新问题

近期，全球11个国家的41家凯悦酒店支付系统被黑客入侵，大量数据外泄，这也是自2016年1月后，该酒店集团发生的第二次严重数据泄露事件。据统计，中国共有18家凯悦酒店受到影响，是这次事件中受影响最大、数量最多的国家。泄露的信息包括住客支付卡姓名、卡号、到期日期和验证码。

为了防止数据泄露，企业都做了哪些努力？

近日，顺丰正式上线“丰密面单”。该面单将可实现收寄件人姓名、手机、地址的全面隐藏或加密化，让个人信息不再随着快递包裹裸奔。据悉，“丰密面单”不仅可对姓名、电话等敏感字段进行隐藏，并且客户的地址信息也会由编码代替，从而在快递面单上完全实现个人信息加密化。

安全已经上升为国家战略

十九大会上，习近平总书记在报告中表示，坚持互联网发展和管理的方针，积极利用、科学发展、依法管理、确保安全；依法加强网络社会管理，加强网络新技术运用管理，确保互联网可管可控，使我们的网络空间明朗起来。做这项工作不容易，但再难也要做；要抓紧制定立法规则，完善互联网信息内容管理、关键信息技术设施保护等法律法规，依法治理网络空间，维护公民的合法权益。

安全是大数据交易领域的基础

“安全至上”对于各个行业都是如此，而对大数据行业尤甚。“无安全，不交易”，没有先进、科学、有效的安全技术作保障，大数据交易企业寸步难行。因此，选择一家“靠谱”的大数据公司进行合作，除了考虑数据源的合法性外，安全性也是考量的又一硬性标准。

数据宝在安全性上采用“双重加密技术”，杜绝数据在输入和传输过程中被盗用和篡改，保障了数据安全。那么，如何快速理解这项“双重加密技术”？本次宝妹特邀数据宝技术部总监sum，抽出宝贵的时间来为我们简单解释一下该技术。

以下是宝妹对技术总监sum的专访：

宝妹：能谈谈您对“数据安全”的理解和看法吗？

sum：做到数据安全，首先要能保障数据主体的保密权，以及获取、利用、支配其信息的权利，允许或者不允许他人获悉或者使用自己信息的权利。其次，平台自身要加快健全有效的基础监管制度，加强综合监管、协调监管、功能监管。最后，加大监管技术创新力度，充分运用大数据技术丰富监管信息，完善监管手段、改善监管方式。

宝妹：能简单介绍一下数据宝的“双重加密技术”吗？

sum：在介绍数据宝“双重加密技术”之前，需要理解两个概念，即：“对称加密”和“非对称加密”。数据宝的安全体系是基于这两种加密方式建立起来的。

数据宝根据不同的应用场景制定独有的加密算法（商业保密），利用自己研发的技术把“对称加密”和“非对称加密”混合在安全算法中，即实现了“对称加密”的快速高效性，又实现了“非对称加密”过程的安全性，保障了上下游的数据安全。值得一提的是，这2种加密方式，数据宝平台根据用户不同的应用场景进行灵活匹配。

宝妹：如何理解“对称加密”，它有什么优势和不足？

sum：“对称加密”是最快速、最简单的一种加密方式，加密与解密用的是同样的密钥（key）,这种方法在密码学中叫做对称加密算法。但对称加密的一大缺点是密钥的管理与分配。在发送密钥的过程中，密钥有很大的风险会被黑客们拦截。现实中通常的做法是将对称加密的密钥进行非对称加密，然后传送给需要它的人。

宝妹：“非对称加密”能起到什么作用呢？

sum：非对称加密为数据的加密与解密提供了一个非常安全的方法，它使用了一对密钥，公钥和私钥。私钥只能由一方安全保管，不能外泄，而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密，而解密则需要另一个密钥。

小案例：你向数据宝请求公钥，数据宝将公钥发给你，你使用公钥对数据加密，那么只有私钥的持有人（数据宝）才能对你的数据进行解密，这样数据在传输过程中就不会被拦截、篡改了。因为，与对称加密不同的是，数据宝不需要将私钥通过网络发送出去，安全性大大提高。

宝妹：“双重加密技术”如何在数据宝平台实现的？

sum：针对数据宝平台的用户，用户在输入参数后，这些参数经由“双重加密”，转变为无法破译的密文传输到数据平台，数据宝平台利用特定的加密解密规则对密文进行解密，对接数据源加密规则进行数据处理。这样就完成了输入过程中的数据安全。

在输出的过程中，为了保证用户出参数据安全，同样的，我们通过“双重加密技术”对出参进行加密，再以密文的方式传输给用户，用户在接收到密文后，利用钥进行解密，从而获悉数据认证结果。这样就完成了输出过程中的数据安全。

最后，我强调一点，关于加密方式我们会根据具体应有场景进行灵活选择或者组合，以达到保障数据安全的同时，提高用户体验的目的。

宝妹：一个安全的大数据平台，要具备哪些特质？

sum：1.数据安全；数据安全指的是，如果从事大数据行业，特别是在大数据交易领域，你的数据源必须是合法授权的，这样加工出来的数据产品才是合法的。数据宝平台的所有数据均是国家部委的一手合法数据资源。在这样的公司担任技术总监一职，我的腰杆比谁挺得都直！

2.技术安全；建立技术安全就是为了对客户、数据资源方负责。如果一个大数据交易平台擅自缓存数据，对客户数据也不能加以保护，甚至没有数据安全意识。虽然前期会节省很大一笔技术开发资金，但是后期却会给平台、客户以及供应商带来很大的麻烦。

3.人员安全；我在每周例会上都会对部门全体技术人员反复强调，要加强数据安全意识，保障信息的保密性、完整性和可用性；要对各个环节进行缜密地监督检查，发现问题及漏洞要及时解决等。

宝妹：关于上面提到的“数据安全”，我们如何甄别数据源合法性呢？

sum：嗯......针对“合法性”我总结了4个鉴别小技巧:

1.响应速度。数据响应速度低于200毫秒的公司，一般数据调取源头可能是本地存储，即自有数据或死库，有缓存数据的嫌疑；

2.价格便宜。接口价格低未必是好事，死库数据接口交易降低成本，价格虽低，风险却很高；

3.机房规模。一家专门从事数据接口交易的公司，如果机房庞大，一般存在缓存数据的嫌疑；

4.承诺书。是否敢出具承诺书，做出不做缓存，不做死库，违者罚款十倍的处罚承诺。

宝妹：你怎样评价自己？

sum：我是个典型的技术人，有强烈的目标感，是个十足的行动派！

宝妹：对于数据安全，您有怎样的建议吗?

sum：“如果把大数据比喻成“钻石矿”，那我们技术人员就要成为钻石矿的“守护神”。“兵马未动粮草先行”，一个做大数据交易的平台，你首先要做好技术保障，对客户、对数据供应方负责，然后在大数据行业激烈的竞争中，才能成为“常胜将军”。