千里眼顺风耳已经不再稀奇，火眼金睛水遁土遁成为现实，无处遁形安全吗？网上约车、购物、叫外卖……从早上一睁眼到晚上睡觉，到处都是拿着手机，直勾勾的盯着小小的屏幕。许多年轻人几乎每时每刻都享受着手机App带来的便利，没有手机的生活可能真的受不了。

有人说，App本身跟位置并没有太多的关系，可是App会强行搜索你的位置信息，而你的位置信息根本屏蔽不了。只要你的手机里安装了百度、高德等导航软件，无论你在哪里都能很快通过手机里App提供的数据找到你。名字可以造假、身份信息也可以造假，但位置信息是无论如何都掩盖不了。岂不知，当你全神贯注盯着手机玩的时候，自己就成为透明人了。

每年的春运都是舆论和公众关注的焦点。网民为了抢到一张宝贵的车票施展了浑身解数，最为广泛的方法是下载第三方的抢票软件，网民往往忽略一个非常严重的问题：信息的泄露。在去年的12月份，12306网站爆出了信息泄露事件，导致超过13万条的用户个人信息被公开。

此次12306用户数据泄露是由“撞库”攻击导致的。“撞库”是指黑客通过收集互联网已泄露的用户名和密码信息，生成庞大的密码库，到12306等网站尝试批量登录，然后得到一系列可以登录的用户名和密码。2015年全球数据泄密的事故1673起，涉及7亿多条数据记录；医疗行业丢失了8000多万份个人隐私数据，真的成为现实版的《窃听风云》。

刘春峰认为，就像空气和水一样，数据在我们周围自然而然地存在着。每一次点击鼠标，每一次刷卡消费，每一次拨打电话，每一次驾车出行……数据便已生成。每一个人既是数据的消费者，也是数据的生产者，每天都生成海量数据。很多“手机控”在下载安装App时不注意看授权权限条款，直接同意安装，就是这么一个简单的动作，App会完成访问通讯录、读取通话记录、读取短信记录、读取位置信息、监听手机通话等一系列行为，用户的隐私就泄露了。保护数据最终的目的是让我们的数据流动起来，产生价值。

年来个人隐私泄露事件接连不断，如“CSDN网站600万用户数据外泄”、“知名连锁酒店2000万个人开房隐私泄露”，以及互联网社交平台上各种有关研究生、公务员考生、建造师和造价员的个人信息倒卖层出不穷。几次重大的网站个人隐私泄露事件发现导致网站用户信息泄露的原因主要是由于网站平台自身的安全防护不到位，以及开放的第三方程序/接口安全防护不足。

拥有用户越多的公司掌握的数据越多。越是享受数字化的便利，隐私越少。只要一上网，我们基本上等同于裸奔。只要你掏出手机打开App，你今天去了哪儿、你的电话号码是多少、你的实时位置信息、你在手机上进行的一切动作，都被悄无声息地记录在册。

企业利用App软件收集用户相关数据的行为存在很大争议。现在滴滴公司已经覆盖了全国400多个城市，是全球最大的一站式出行平台，掌握了3亿多客户端用户的数据。滴滴公司掌握了所有用户交通出行的信息，包括姓名、实时的位置、手机号码、真实出行的轨迹、单位的地址、家庭住址。

在数据价值和产权没有明确分类和清晰界定的时候，数据收集者的动机可能被隐藏，数据安全和各类隐私存在着一定的风险。当整个国家的各种数据都汇聚到一个人手上的时候，他跟恐怖分子没有什么区别。谁能保证他会做出什么事情来。对个人数据保护同样采取加密的手段，存取要控制，形成日志。让系统能够进行日志的回溯，可以回溯到过去的某一个节点，进行实时监控。

数据安全与个人隐私，应该说数据安全这一方面的话题更多地需要技术供应商考虑，但个人隐私绝不只是靠厂家解决。不能把保护用户隐私的希望寄托在互联网企业身上，因为它们既是数据管理者又是使用者，这就好比让“裁判员”当“运动员”一样。密码是保障大数据安全的有效手段。密码技术与核技术、航天技术一直被视作国家安全的三大支撑技术，从国之重器的角度上讲，在身份认证、安全隔离、信息加密等方面有着不可替代的作用。

保护数据最好的方式就是分布式存储，别把所有的东西都放在一个篮子里。现有的数据中心技术是不足的，过去大多数安全分析工具方法是针对小数据设计的，直接把它用到大数据上，处理能力不够，直接用来存储大数据，并不安全。

数据保护除了在技术上进行突破外，应该完善相应的数据交易规则。应当通过立法来保护个人隐私数据，进行数据资产化立法。数据只有通过一系列的处理才能产生真正的价值，数据资产化是立法的前提。

上网痕迹是大数据非常重要的组成部分，对于坏人也最能形成巨大的威慑力，真正的坏人最怕留下痕迹，所以痕迹的留存对保障安全是很重要的，用户本质上并不怕留下痕迹，只是怕痕迹被别有用心的人偷走、滥用。黑客每天都会利用扫描工具对各大网站进行疯狂地扫描，若网站存在SQL注入等漏洞或Web服务器本身含有漏洞，则黑客可轻易挖掘出这些漏洞，并利用其进行数据窃取。

一般可以采用用户名+密码验证，确认用户登录身份并根据数据库中预设的权限，向用户展示相应的界面。对于重要的网站应用，需要根据PKI机制验证用户提供的证书，从而对用户身份认证，并确保交易的不可抵赖性。

对于使用Web浏览器的网上系统应用，采用SSL+数字证书结合的方式，保证通信数据的加密传输，也保证了用户端对服务器端的认证，避免用户被冒充合法网站的“钓鱼网站”欺骗，从而泄露机密信息，造成不可挽回的经济损失。

系统服务器侧应根据账号，对用户的使用行为进行详细的日志记录和审计，通过上述因素的日志记录，进行阶段性的审计从而做到发现用户账号的盗用、恶意使用等问题，尽早进行处理。系统服务器侧应部署IDS入侵检测系统、IPS入侵防护系统、防火墙等设备或者部署目前高效、流行的UTM设备，对恶意用户采用的各种攻击手段进行检测和防护，重点过滤恶意流量、突发流量等。

系统的服务器端，尤其是数据库服务器端，应该通过配置和增加对用户非常应用请求的过滤和处理模块，以避免由于数据库的自身漏洞未及时打上补丁而遭受目前流行的SQL注入攻击等。包括大量的服务器类型，包括数据库服务器、Web服务器、FTP服务器、邮件服务器等，为了避免由于恶意流量造成的某种服务器崩溃，而引起的攻击后果扩散，并最终导致其他服务器也发生“雪崩效应”，则需要通过子网隔离、DMZ区域的设定等方式来将这些服务器放置在不同的安全域当中，做到流量和数据的安全隔离，从而将服务器端在遭受攻击后对整个业务系统及其他内网资源和数据造成的影响尽量控制在最低的范围内。

系统面临着巨大的服务量，服务器端的设备基本上都需要有多台服务器进行业务分担，这样才能提高性能，避免处理瓶颈的出现，需要采用合理的负载均衡和负载保护机制。对各服务器的业务流量进行有效地分担，可按照Round Robin、LRU等方式来进行负载均衡。负载保护机制需要实时地对每台服务器的CPU资源、内存资源等进行评估，如果一旦超过设定的阈值。将马上进行过载保护从而保证服务器自身的安全。任何系统都不能说100%的安全，都需要考虑在遭受攻击或者是经受自然灾害后的备份恢复工作，需要着重考虑如下几点：

1、选择合适的备份策略做好提前备份包括全备份、差分备份、增量备份等等；

2、选择合适的备份介质包括磁带、光盘、RAID磁盘阵列等；

3、选择合适的备份地点包括本地备份、远程备份等等电脑自动关机；

4、选择合适的备份技术包括NAS、SAN、DAS等等 ；

5、作好备份的后期维护和安全审计跟踪。

6、严格划分管理人员的角色及其对应的权限，避免一权独揽，引起安全隐患；

7、作好服务器机房的物理条件管理，避免电子泄露、避免由于静电等引起的故障；

8、应作好服务器管理员的帐号/口令管理，要求使用强口令，避免内部人员盗用；

9、作好服务器的端口最小化管理，避免内部人员扫描得出服务器的不必要的开放端口及其漏洞，实行内部攻击；

10、作好服务器系统软件、应用软件的日志管理和补丁管理工作，便于审计和避免由于安全漏洞而遭受到内部人员的攻击；

11、根据业务和数据的机密等级需求，严格划分服务器的安全域，避免信息泄露。

用漏洞扫描和挖掘设备，对内网各服务器进行阶段性的扫描，并根据扫描所得的风险和漏洞进行及时地修补，以实现该漏洞为黑客使用之前进行自行修复的目的。在日常的工作和生活中，个人应该如何提高密码安全意识。

1. 切忌一套密码到处用，不同的网站应设置单独的账号和密码;

2. 密码设置尽量使用“字母+数字+特殊字符”形式的高强度密码，且长度至少为8位;

3. 需要定期对各套密码进行更换，建议每两个月更换一次密码。

有矛就有盾，道高一尺魔高一丈，安全问题关系到大数据应用的得失与成败。