信息化觀察網(wǎng)

近幾年來，數(shù)據(jù)安全問題日漸凸顯，其中最主要的原因就是“大數(shù)據(jù)”的出現(xiàn)，“大數(shù)據(jù)”發(fā)發(fā)展在給經(jīng)濟(jì)社會發(fā)展帶來創(chuàng)新活力的同時(shí)也使傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)面臨嚴(yán)重威脅。社會是進(jìn)步的是發(fā)展的，“大數(shù)據(jù)”的應(yīng)用雖然有弊端，但是它的有利之處遠(yuǎn)遠(yuǎn)大于弊端，因此不可能因?yàn)樗谋锥司屯磺?。那么針?ldquo;大數(shù)據(jù)”帶來的新的威脅和風(fēng)險(xiǎn)，該從哪里入手保障？

一直以來，安全都是大數(shù)據(jù)發(fā)展中面臨的重要問題。尤其是隨著我們邁入數(shù)據(jù)經(jīng)濟(jì)時(shí)代，當(dāng)生活與數(shù)據(jù)息息相關(guān)，企業(yè)經(jīng)營、居民身份，以及越來越多的社會行為都轉(zhuǎn)換成為網(wǎng)絡(luò)上的數(shù)據(jù)，數(shù)據(jù)安全的重要性更是不斷提升。雖然今天的數(shù)據(jù)安全問題依然無法得到妥善解決，但是隨著人們對數(shù)據(jù)安全的重視不斷提升，以及新技術(shù)、新應(yīng)用的快速推出，數(shù)據(jù)安全保護(hù)的手段日漸豐富起來。俗話說，發(fā)展的問題在發(fā)展中解決。相信隨著大數(shù)據(jù)不斷發(fā)展，大數(shù)據(jù)安全保障的能力也將持續(xù)增強(qiáng)。

隨著大數(shù)據(jù)時(shí)代的到來，大數(shù)據(jù)技術(shù)為經(jīng)濟(jì)社會發(fā)展帶來創(chuàng)新活力的同時(shí)，也使傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)面臨嚴(yán)重威脅與全新挑戰(zhàn)。尤其是隨著大數(shù)據(jù)產(chǎn)業(yè)深入發(fā)展，新形勢下的數(shù)據(jù)安全、隱私安全乃至大數(shù)據(jù)平臺安全等均面臨新的威脅和風(fēng)險(xiǎn)。如何從法規(guī)、制度、技術(shù)等層面入手保障大數(shù)據(jù)安全，是業(yè)界關(guān)注和探索的重點(diǎn)。

安全問題日漸凸顯

大數(shù)據(jù)的概念起源于2000年前后，伴隨著互聯(lián)網(wǎng)應(yīng)用發(fā)展而誕生。當(dāng)時(shí)，互聯(lián)網(wǎng)網(wǎng)頁爆發(fā)式增長，產(chǎn)生的數(shù)據(jù)量激增，為了提高用戶檢索信息效率，谷歌等公司開始建立索引庫以提供搜索服務(wù)，成為大數(shù)據(jù)應(yīng)用的起點(diǎn)。2012年之后，大數(shù)據(jù)技術(shù)方興未艾，經(jīng)過數(shù)年蓬勃發(fā)展，如今業(yè)界對大數(shù)據(jù)的認(rèn)識已經(jīng)基本趨于一致，尤其對于大數(shù)據(jù)的基本特性已達(dá)成共識。

當(dāng)前，大數(shù)據(jù)已進(jìn)入應(yīng)用發(fā)展階段，技術(shù)創(chuàng)新和商業(yè)模式創(chuàng)新推動(dòng)各行業(yè)應(yīng)用逐步成熟，應(yīng)用創(chuàng)造的價(jià)值占市場規(guī)模的比重日益增大，成為新的經(jīng)濟(jì)增長動(dòng)力。中國信息通信研究院發(fā)布的《中國大數(shù)據(jù)發(fā)展調(diào)查報(bào)告（2017）》（以下簡稱“報(bào)告”）數(shù)據(jù)顯示， 2016年中國大數(shù)據(jù)核心產(chǎn)業(yè)的市場規(guī)模約為168億元，較2015年增速達(dá)45%，伴隨著國家政策激勵(lì)以及大數(shù)據(jù)應(yīng)用模式逐步成熟，未來幾年中國大數(shù)據(jù)市場仍將保持快速增長，預(yù)計(jì)到2020年中國大數(shù)據(jù)市場規(guī)模將達(dá)到578億元。

隨著數(shù)據(jù)資產(chǎn)價(jià)值持續(xù)攀升、大數(shù)據(jù)產(chǎn)業(yè)規(guī)模不斷壯大，大數(shù)據(jù)技術(shù)在改善社會生產(chǎn)生活的同時(shí)，其安全問題也逐漸顯現(xiàn)出來。2017年1月，大數(shù)據(jù)基礎(chǔ)軟件陷入一場全球范圍的大規(guī)模勒索攻擊，Hadoop集群被黑客鎖定為攻擊對象。同時(shí)，據(jù)Shodan互聯(lián)網(wǎng)設(shè)備搜索引擎的分析顯示，因Hadoop服務(wù)器配置不當(dāng)導(dǎo)致5120TB數(shù)據(jù)暴露在公網(wǎng)上，涉及近4500臺HDFS服務(wù)器。同時(shí)，近年來全球數(shù)據(jù)安全事件層出不窮，如何在大數(shù)據(jù)時(shí)代解決數(shù)據(jù)安全問題成為全球普遍關(guān)注的熱點(diǎn)。

大數(shù)據(jù)分析平臺安全與其承載數(shù)據(jù)的安全同生共息，在數(shù)據(jù)成為國家基礎(chǔ)戰(zhàn)略資源和社會基礎(chǔ)生產(chǎn)要素的今天，大數(shù)據(jù)安全與國家安全的關(guān)系越發(fā)緊密，在保障國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定等方面發(fā)揮愈加關(guān)鍵的作用，亟須采取有效的應(yīng)對措施以抵御大數(shù)據(jù)安全風(fēng)險(xiǎn)。

數(shù)據(jù)保護(hù)面臨新挑戰(zhàn)

大數(shù)據(jù)技術(shù)的發(fā)展賦予了大數(shù)據(jù)安全區(qū)別于傳統(tǒng)數(shù)據(jù)安全的特殊性。在大數(shù)據(jù)時(shí)代新形勢下，數(shù)據(jù)安全、隱私安全乃至大數(shù)據(jù)平臺安全等均面臨新威脅與新風(fēng)險(xiǎn)，做好大數(shù)據(jù)安全保障工作面臨嚴(yán)峻挑戰(zhàn)。

大數(shù)據(jù)時(shí)代下數(shù)據(jù)安全保護(hù)需求外延擴(kuò)展，數(shù)據(jù)保護(hù)面臨全新挑戰(zhàn)。首先，大數(shù)據(jù)時(shí)代，數(shù)據(jù)被眾多聯(lián)網(wǎng)設(shè)備、應(yīng)用軟件所采集，數(shù)據(jù)來源廣泛，數(shù)據(jù)種類多樣，如何保證所采集的數(shù)據(jù)真實(shí)可信以及對輸入數(shù)據(jù)進(jìn)行完整性校驗(yàn)，變得至關(guān)重要，若利用虛假數(shù)據(jù)進(jìn)行分析處理，將影響結(jié)果的正確性，甚至造成重大決策失誤。其次，海量多源數(shù)據(jù)在大數(shù)據(jù)平臺匯聚，來自多個(gè)用戶的數(shù)據(jù)可能存儲在同一個(gè)數(shù)據(jù)池中，并分別被不同用戶使用，要在看不見他人數(shù)據(jù)內(nèi)容的前提下對數(shù)據(jù)進(jìn)行加工利用，即實(shí)現(xiàn)數(shù)據(jù)“可用不可見”，必須強(qiáng)化數(shù)據(jù)隔離和訪問控制，否則將引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)。再者，大數(shù)據(jù)技術(shù)促使數(shù)據(jù)生命周期由傳統(tǒng)的單鏈條逐漸演變成為復(fù)雜多鏈條形態(tài)，增加了共享、交易等環(huán)節(jié)，且數(shù)據(jù)應(yīng)用場景和參與角色愈加多樣化，使得數(shù)據(jù)安全需求外延擴(kuò)展。最后，利用大數(shù)據(jù)技術(shù)對海量數(shù)據(jù)進(jìn)行挖掘分析所得結(jié)果可能包含涉及國家安全、經(jīng)濟(jì)運(yùn)行、社會治理等敏感信息，需要對分析結(jié)果的共享和披露加強(qiáng)安全管理，一旦泄露，將威脅國家安全與社會穩(wěn)定。

大數(shù)據(jù)技術(shù)應(yīng)用使隱私保護(hù)和公民權(quán)益面臨嚴(yán)重威脅。大數(shù)據(jù)場景下無所不在的數(shù)據(jù)收集技術(shù)、專業(yè)多樣的數(shù)據(jù)處理技術(shù)，使用戶很難確保自己的個(gè)人信息被合理收集、使用與清除，進(jìn)而削弱了用戶對其個(gè)人信息的自決權(quán)利。同時(shí)，大數(shù)據(jù)資源開放和共享的訴求與個(gè)人隱私保護(hù)存在天然矛盾，為追求最大化數(shù)據(jù)價(jià)值，濫用個(gè)人信息幾乎是不可避免的，使個(gè)人隱私處于危險(xiǎn)境地。此外，利用大數(shù)據(jù)技術(shù)進(jìn)行深度關(guān)聯(lián)分析、挖掘，可以從看似與個(gè)人信息不相關(guān)的數(shù)據(jù)中獲得個(gè)人隱私，個(gè)人信息的概念就此泛化，保護(hù)難度直線上升。進(jìn)一步，大數(shù)據(jù)技術(shù)可能引發(fā)自動(dòng)化決策帶來的“數(shù)字歧視”等社會公平性問題，例如針對特定個(gè)人施加標(biāo)簽以劃分等級或進(jìn)行價(jià)格歧視等差別化對待，侵害公民合法權(quán)益。

大數(shù)據(jù)技術(shù)創(chuàng)新演進(jìn)使傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)面臨嚴(yán)峻挑戰(zhàn)。首先，大數(shù)據(jù)存儲、計(jì)算和分析等關(guān)鍵技術(shù)的創(chuàng)新演進(jìn)帶動(dòng)信息系統(tǒng)軟硬件架構(gòu)的全新變革，可能在軟件、硬件、協(xié)議等多方面引入未知的漏洞隱患，而現(xiàn)有安全防護(hù)技術(shù)無法抵御未知漏洞帶來的安全風(fēng)險(xiǎn)。其次，現(xiàn)有大數(shù)據(jù)平臺大多基于Hadoop框架進(jìn)行二次開發(fā)，缺乏有效的安全機(jī)制，其安全保障能力仍然比較薄弱。再者，傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)安全邊界相對清晰，而由于大數(shù)據(jù)技術(shù)采用底層復(fù)雜、開放的分布式存儲和計(jì)算架構(gòu)，使得大數(shù)據(jù)環(huán)境下安全邊界變模糊，傳統(tǒng)基于邊界的安全防護(hù)技術(shù)不再適用。最后，大數(shù)據(jù)技術(shù)發(fā)展催生出新型高級的網(wǎng)絡(luò)攻擊手段，例如針對大數(shù)據(jù)平臺的高級持續(xù)性威脅（APT）攻擊和大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊時(shí)有發(fā)生，導(dǎo)致傳統(tǒng)檢測、防御技術(shù)無法有效抵御外界攻擊。

三大舉措夯實(shí)安全基石

面對大數(shù)據(jù)時(shí)代嚴(yán)峻復(fù)雜的安全問題，亟須采取針對性的手段措施，構(gòu)建大數(shù)據(jù)安全保障體系，為大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展保駕護(hù)航。

一是加強(qiáng)大數(shù)據(jù)安全立法，明確數(shù)據(jù)安全主體責(zé)任。推動(dòng)出臺電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全保護(hù)指導(dǎo)意見，嚴(yán)格規(guī)范網(wǎng)絡(luò)數(shù)據(jù)的收集、存儲、使用和銷毀等行為，落實(shí)數(shù)據(jù)生命周期各環(huán)節(jié)的安全主體責(zé)任。立足大數(shù)據(jù)技術(shù)和業(yè)務(wù)發(fā)展現(xiàn)狀，進(jìn)一步細(xì)化完善個(gè)人信息保護(hù)規(guī)定，并從嚴(yán)制定相關(guān)具體規(guī)定或條款，以有效應(yīng)對當(dāng)前大數(shù)據(jù)應(yīng)用引發(fā)的個(gè)人信息安全風(fēng)險(xiǎn)。

二是抓住數(shù)據(jù)利用和共享合作等關(guān)鍵環(huán)節(jié)，加強(qiáng)數(shù)據(jù)安全監(jiān)管執(zhí)法。定期開展數(shù)據(jù)安全監(jiān)督檢查，督促企業(yè)加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估，對發(fā)現(xiàn)的問題及時(shí)整改。對企業(yè)的個(gè)人信息開發(fā)利用、數(shù)據(jù)外包服務(wù)的使用、數(shù)據(jù)共享合作等行為加強(qiáng)安全監(jiān)管，推行合同范本明確相關(guān)主體安全義務(wù)和責(zé)任。督促企業(yè)加強(qiáng)數(shù)據(jù)安全監(jiān)測預(yù)警，提升突發(fā)事件應(yīng)急處置能力。加大數(shù)據(jù)安全事件行政執(zhí)法力度，依法依規(guī)對相關(guān)涉事企業(yè)違法行為進(jìn)行嚴(yán)厲處罰。

三是強(qiáng)化技術(shù)手段建設(shè)，構(gòu)建大數(shù)據(jù)安全保障技術(shù)體系?；诖髷?shù)據(jù)時(shí)代形勢特點(diǎn)，建立健全數(shù)據(jù)安全防護(hù)體系，加強(qiáng)數(shù)據(jù)防攻擊、防泄露、防竊取等安全防護(hù)技術(shù)手段建設(shè)，強(qiáng)化數(shù)據(jù)安全監(jiān)測、預(yù)警、控制和應(yīng)急處置能力，構(gòu)建大數(shù)據(jù)安全保障技術(shù)體系。鼓勵(lì)企業(yè)、機(jī)構(gòu)研究開發(fā)同態(tài)加密、多方安全計(jì)算等前沿?cái)?shù)據(jù)安全保護(hù)技術(shù)，同時(shí)推動(dòng)數(shù)據(jù)脫敏、數(shù)據(jù)審計(jì)、數(shù)據(jù)備份等技術(shù)手段在大數(shù)據(jù)環(huán)境下的增強(qiáng)應(yīng)用，提升大數(shù)據(jù)環(huán)境下數(shù)據(jù)安全保護(hù)水平。

（原標(biāo)題：保障大數(shù)據(jù)安全，從哪里入手？）