信息安全是一個龐大的領(lǐng)域，其中涉及到很多知識點，但是大多公司都對其沒有提及足夠的重視，因為信息安全是一個“黑天鵝”事件，以至于大家不愿意在上面投入巨大的精力，也希望隨著國內(nèi)對于安全的越來越重視，更多的公司也能在信息安全領(lǐng)域投入越來越多的注意。

[[216520]]

在我們談信息安全的時候，我想先澄清一個概念，什么叫做信息安全。在我眼中，我把信息安全分成三大類：

1. 信息層面的信息安全，學校中的信息安全專業(yè)，主要致力于通信加密，密碼加固等傳統(tǒng)的安全領(lǐng)域。
2. 用戶層面的信息安全，也就是說用戶把信息存儲到了你的服務器上，你要怎么樣保證用戶的隱私不受侵犯。
3. 架構(gòu)層面的信息安全，簡而言之，就是如何保證信息不丟。

潘多拉的盒子被打開了。一時間，席卷全球的“勒索病毒”，讓整個互聯(lián)網(wǎng)行業(yè)如臨大敵，并再次敲響了互聯(lián)網(wǎng)安全行業(yè)的警鐘。

而這背后，早已經(jīng)形成了一條完整且成熟的網(wǎng)絡黑產(chǎn)產(chǎn)業(yè)鏈。游走于地下的網(wǎng)絡黑客，隱藏在黑暗之中，伺機而動，不得不防。

信息層面的信息安全

我們?yōu)槭裁匆獜腍TTP切換到HTTPS?為什么有一天大家都拋棄了HTTP而投向了HTTPS的懷抱?畢竟HTTPS需要消耗比HTTP更大的硬件開銷，在架構(gòu)層面同樣需要做出很多的調(diào)整。

那是因為HTTP無論對于網(wǎng)絡傳輸?shù)膬?nèi)容，還是對于協(xié)議本身信息都沒有做過任何的加密，從而使得用戶的任何信息在網(wǎng)絡中都可能被捕獲。這時，我相信有人會講：那我們是一個內(nèi)容瀏覽類的網(wǎng)站，用戶并不需要輸入信息，那是不是就可以不使用HTTPS了呢?答案是使用HTTP不僅會發(fā)生泄漏數(shù)據(jù)，還會發(fā)生注入數(shù)據(jù);這也是我們常常提到的流量劫持。

當然，由于HTTPS對于服務器資源的消耗，HTTP也推出了HTTP/2，除了一些新的特性之外，當然也加入了信息加密的功能。另外，密碼的加密也是老生常談，密碼的加密是一個聽上去簡單實際很復雜的事情，歸根結(jié)底，密碼加密是一個需要平衡的事情，如果采用簡單加密方式(例如MD5)，那么自然也會容易被解密，但是如果采用復雜加密算法，自然也對CPU提出了更高的要求。

用戶層面的信息安全

用戶隱私在近年來被提升到了一個***的高度。大數(shù)據(jù)時代人人都在做數(shù)據(jù)分析，卻又人人都在做用戶隱私。那么如何把握數(shù)據(jù)分析和用戶隱私之間的平衡?

也許我們在很久之前就觸犯了“用戶隱私”，當我們在電商網(wǎng)站上點擊“喜歡”的時候，這個數(shù)據(jù)來源于“用戶隱私”;當我們在搜索引擎上看到“搜索廣告”的時候，這個數(shù)據(jù)也來源于“用戶隱私”;甚至我們可以說：如果我們嚴格地去界定“用戶隱私”，我們?nèi)缃竦漠a(chǎn)品會死掉90%甚至更多。

那么我們到底如何去客觀地理解用戶隱私?我對隱私的紅線是：用戶的數(shù)據(jù)分析是機器可讀但是人工不可讀的。舉個例子：

我們在做用戶的垃圾郵件過濾的時候，我們需要對每封郵件抽取特征，其中包括發(fā)件人，發(fā)件時間以及對于郵件正文內(nèi)容的結(jié)構(gòu)化抽取，然后通過分類算法對郵件進行分類。

但是我們要注意一點，這個過程，我們對“人”是不可見的，我們會對幾千萬的數(shù)據(jù)進行機器處理，我們處理的是宏觀上的“大數(shù)據(jù)”;但是如果我們是通過人去掃描數(shù)據(jù)庫，然后提取出了郵件記錄并且去做人眼識別，那么這個行為是侵犯用戶隱私的。

再者，是否侵犯用戶隱私的一個隱含區(qū)分點是“侵犯隱私”之后做了什么?例如我們對搜索記錄進行數(shù)據(jù)分析后為用戶推薦了更好的結(jié)果，我們說這并不是侵犯數(shù)據(jù)隱私;但是如果我們對搜索結(jié)果進行分析后，將用戶的資料提供給了某醫(yī)院，那么用戶隱私就被侵犯了。

一言結(jié)之，是否侵犯隱私一定程度上關(guān)聯(lián)與后續(xù)的操作是否侵犯到了用戶切身的利益。

***，是否侵犯隱私的一個標準在于我們最終暴露的是用戶的什么信息。

我們都知道DMP行業(yè)提供API使得DSP可以進行更加精準的廣告投放，但是提供什么樣的信息成為了關(guān)鍵。如果提供的是用戶的消費記錄，這個是侵犯隱私的，如果提供的是通過數(shù)據(jù)挖掘得到的收入水平，那么這個信息也許是不侵犯隱私的。

其實用戶隱私是一個很敏感的詞，也許這個詞天生就與數(shù)據(jù)挖掘、數(shù)據(jù)分析互相抵觸，法律上也并沒有對相關(guān)的標準拉過紅線，如何把握也許值得我們更深入地探討。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者(微信號：JW-assoc)】

戳這里，看該作者更多好文