新疆大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的安全保障體系研究

楊 娟，趙 娜 YANG Juan,ZHAO Na

（1.新疆新投中智物流產(chǎn)業(yè)研究院股份有限公司，新疆 烏魯木齊 830001；2.西南交通大學(xué) 經(jīng)濟管理學(xué)院，四川 成都610031）

1 大數(shù)據(jù)產(chǎn)業(yè)及信息安全發(fā)展?fàn)顩r

2016年10月新疆維吾爾自治區(qū)人民政府辦公廳印發(fā)了《關(guān)于運用大數(shù)據(jù)加強對市場主體服務(wù)和監(jiān)管實施方案》 （以下簡稱“《實施方案》”），《實施方案》中指出，如今新疆的大數(shù)據(jù)時代已經(jīng)來臨，新疆也正在積極建設(shè)大數(shù)據(jù)產(chǎn)業(yè)，大數(shù)據(jù)正逐步體現(xiàn)其應(yīng)用價值。最重要的是能為新疆大數(shù)據(jù)產(chǎn)業(yè)創(chuàng)造巨大社會和經(jīng)濟價值。同樣隨著互聯(lián)網(wǎng)+的發(fā)展，大數(shù)據(jù)也快速的滲透到了各類互聯(lián)網(wǎng)產(chǎn)業(yè)當(dāng)中，尤其是各種互聯(lián)網(wǎng)金融平臺，以及以信息數(shù)據(jù)為依托的各類生活軟件和業(yè)務(wù)當(dāng)中。這種高強度的輻射范圍使得大數(shù)據(jù)安全保障存在的隱患可能造成的負面影響范圍也有所提高。電信部門對客戶信息的泄露事件似乎已經(jīng)屢見不鮮，而12306作為國家的官方網(wǎng)站出現(xiàn)的用戶信息泄露的問題進一步警示人們應(yīng)當(dāng)在大數(shù)據(jù)時代背景下的加快建設(shè)信息安全保障體系。

在大數(shù)據(jù)發(fā)展較早的國家，早就經(jīng)歷了安全隱患大量爆發(fā)的問題，對數(shù)據(jù)安全的重要性認識以及相應(yīng)的數(shù)據(jù)安全保障措施和體系的建設(shè)上更加成熟和規(guī)范，本文就國際上大數(shù)據(jù)發(fā)展成熟地區(qū)和國家在法律規(guī)定、國家政策以及安全技術(shù)和數(shù)據(jù)安全水平方面展開論述。

（1）國內(nèi)法以及國際法對數(shù)據(jù)安全的保護

美國2014年頒布了《國家網(wǎng)絡(luò)安全保護法案》，并積極推動出臺《網(wǎng)絡(luò)安全信息共享法案》，這些法律規(guī)范推出的目的在于敦促私企與政府分享網(wǎng)絡(luò)安全信息，這是由于在互聯(lián)網(wǎng)信息飛速發(fā)展的時代，人們生活中大量的活動都涉及到用戶信息的獲取，政府通過私企對市民的數(shù)據(jù)信息進行搜集，更加快速有效。歐盟通過新版《數(shù)據(jù)保護法》，強調(diào)本地存儲和禁止跨國分享，以避免跨國信息的分享導(dǎo)致國家或者商業(yè)秘密的流失，這一措施顯然是必要的，是符合國家利益的。俄羅斯2015年起實行新法規(guī)定，互聯(lián)網(wǎng)企業(yè)需將收集的俄羅斯公民信息存儲在俄羅斯國內(nèi)。

（2）推行和實施與國家整體政策相配合的安全策略

各個國家都同樣重視大數(shù)據(jù)時代各類信息安全的保障問題，但是由于各個國家之間的政體以及具體國情的不同，在將數(shù)據(jù)安全作為國家戰(zhàn)略的重要組成部分的同時，既要重點突出數(shù)據(jù)安全與其他傳統(tǒng)安全保障不同之處，還要必須與國家政策的其他部分相輔相成，互相配合。日本2013年《創(chuàng)建最尖端IT戰(zhàn)略》中明確指出了開放公共數(shù)據(jù)和大數(shù)據(jù)保護的國家戰(zhàn)略；印度2014年國家電信安全政策指導(dǎo)意見草案對移動數(shù)據(jù)保護作出規(guī)定。法國“未來投資計劃”有力推動云計算數(shù)據(jù)安全保護政策落實；英國“Data。Gov。uk”項目實測開放政府?dāng)?shù)據(jù)保護政策的應(yīng)用效果。

（3）大數(shù)據(jù)時代信息安全的保障需要從多重安全環(huán)節(jié)著手和深入

在大數(shù)據(jù)時代，人們逐漸認識到數(shù)據(jù)信息的快速流通不僅給人們帶來了無可比擬的質(zhì)的飛躍，同時傳統(tǒng)的信息安全管理技術(shù)早已無法對大數(shù)據(jù)時代的數(shù)據(jù)信息進行有效、真實的采集，甚至在信息的管理上更加薄弱，數(shù)據(jù)信息的存儲更容易被攻擊和泄露，信息的發(fā)布甚至?xí)淮鄹?，因此大?shù)據(jù)時代信息安全的保障需要從多個關(guān)鍵環(huán)節(jié)進行，采集、存儲、挖掘和發(fā)布等關(guān)鍵環(huán)節(jié)，已具備傳輸安全和SSL/VPN技術(shù)、數(shù)字加密、數(shù)據(jù)恢復(fù)技術(shù)及基于生物特征等的身份認證和強制訪問控制技術(shù)、基于日志的安全審計和數(shù)字水印等溯源技術(shù)等保護數(shù)據(jù)安全的通用技術(shù)手段。此外，數(shù)據(jù)防泄漏 (DLP)技術(shù)、云平臺數(shù)據(jù)安全等數(shù)據(jù)安全防護專用技術(shù)的研發(fā)與應(yīng)用正不斷提速。

（4）數(shù)據(jù)信息安全技術(shù)強化是重中之重，認證標(biāo)準不斷更新

在大數(shù)據(jù)時代，地區(qū)與地區(qū)之間的界限逐漸趨于無形狀態(tài)，國家內(nèi)部建立了國家統(tǒng)一的數(shù)據(jù)安全標(biāo)準，同時為了適應(yīng)數(shù)據(jù)傳播速度快、傳播范圍廣的特征，大部分國家與國家標(biāo)準組織對數(shù)據(jù)安全信息進行了接軌，在信息數(shù)據(jù)安全上提出了相關(guān)的認證標(biāo)準，并且根據(jù)數(shù)據(jù)技術(shù)的不斷提高，進行相應(yīng)的更新。美國國家標(biāo)準與技術(shù)研究院（NIST）發(fā)布了用戶身份識別指南；ISO/IEC制定了公共云計算服務(wù)的數(shù)據(jù)保護控制措施實用規(guī)則。美國TRUSTe隱私認證得到全球很多國家消費者認可和信賴；歐盟委員會開展數(shù)據(jù)跨境流動安全評估，成為評判數(shù)據(jù)能否轉(zhuǎn)移的重要依據(jù)。

2 新疆大數(shù)據(jù)產(chǎn)業(yè)信息安全面臨的主要挑戰(zhàn)

（1）傳統(tǒng)的數(shù)據(jù)存儲硬件設(shè)施存在缺陷，存在數(shù)據(jù)丟失隱患

數(shù)據(jù)信息雖然無形，但必須存儲在各類計算機終端以及專業(yè)的數(shù)據(jù)中心中，這些作為儲存作用的硬件設(shè)施是數(shù)據(jù)信息受到攻擊和信息泄露的重災(zāi)區(qū)，因此對數(shù)據(jù)信息的存儲設(shè)備進行安全保障是重要的工作內(nèi)容。新疆大數(shù)據(jù)產(chǎn)業(yè)的安全面臨各種挑戰(zhàn)，首先是數(shù)據(jù)存儲終端設(shè)備。近年來針對IDC的攻擊日趨增加，2014年12月阿里云稱遭遇全球最大規(guī)模DDoS攻擊，2015年初一家亞洲網(wǎng)絡(luò)運營商的數(shù)據(jù)中心遭遇334Gbps的垃圾數(shù)據(jù)流攻擊。同時，以侵犯數(shù)據(jù)安全的各類惡意應(yīng)用、病毒等日益增多，對用戶隱私和財產(chǎn)安全構(gòu)成極大隱患。

（2）來自網(wǎng)絡(luò)的數(shù)據(jù)信息安全威脅不斷變化，促使大數(shù)據(jù)時代安全技術(shù)創(chuàng)新

在網(wǎng)絡(luò)時代的今天，數(shù)據(jù)信息的傳播有賴于無形的橋梁——互聯(lián)網(wǎng)，數(shù)據(jù)信息日新月異，為了獲取各類數(shù)據(jù)信息的網(wǎng)絡(luò)威脅也隨之發(fā)展，甚至在技術(shù)革新的數(shù)據(jù)時代，各類數(shù)據(jù)網(wǎng)絡(luò)威脅的數(shù)據(jù)復(fù)雜性和隱蔽性更高，造成的危險影響更加惡劣。2014年作為數(shù)據(jù)技術(shù)企業(yè)的索尼公司遭遇ATP攻擊，大量員工信息及影視拷貝遭泄露。新型網(wǎng)絡(luò)威脅的層出不窮倒逼網(wǎng)絡(luò)數(shù)據(jù)保護技術(shù)創(chuàng)新突破。

（3）信息數(shù)據(jù)的價值性高，引發(fā)了一系列非法數(shù)據(jù)攻擊活動

信息數(shù)據(jù)便捷性使得盜取信息數(shù)據(jù)的成本更低，同時高價值的數(shù)據(jù)信息會使得大量的不法分子為了獲取非法利益，對用戶的信息數(shù)據(jù)進行盜竊甚至篡改，將用戶信息進行盜竊、篡改、販賣或者利用不正當(dāng)?shù)母鞣N行為破壞用戶信息，以至于當(dāng)前對數(shù)據(jù)信息的盜竊行為和活動規(guī)模日益擴大，低成本高利益的信息數(shù)據(jù)的誘惑，促生了信息黑客的產(chǎn)業(yè)鏈，雖然國家工信部針對這類問題進行了嚴厲的打擊，但是由于網(wǎng)絡(luò)信息時代的行為模式和渠道不同，具有很強大的復(fù)雜性和隱蔽性，使得信息數(shù)據(jù)盜竊和攻擊的行為難以得到徹底有效的控制，仍面臨嚴峻的考驗。

（4）數(shù)據(jù)跨地區(qū)流動成為監(jiān)管難的重災(zāi)區(qū)

數(shù)據(jù)信息的流動性是其適應(yīng)和推動當(dāng)前緊急快速發(fā)展的大數(shù)據(jù)時代的關(guān)鍵特征，同時也因此創(chuàng)造了大量的就業(yè)機會，推動了信息技術(shù)的進步，創(chuàng)造了更多的社會福利。但同時數(shù)據(jù)信息的擴張性也使得這些數(shù)據(jù)信息的來源者受到了主權(quán)、產(chǎn)權(quán)以及隱私權(quán)上的威脅，跨地區(qū)的數(shù)據(jù)流通和流失不僅僅能使商業(yè)秘密的盜竊造成經(jīng)濟財產(chǎn)上的損失，甚至?xí)蔀閲倚畔⑿孤对斐傻闹卮蟮膰H安全威脅，而這種數(shù)據(jù)跨地區(qū)流動仍然是監(jiān)管難的重災(zāi)區(qū)，缺少全面的監(jiān)管和規(guī)范。

（5）數(shù)據(jù)資源需求強烈，開放共享與安全保護矛盾凸顯

數(shù)據(jù)資源的要求越來越多，大數(shù)據(jù)時代人們不能進行數(shù)據(jù)的利用和分享就會導(dǎo)致生活的不通暢。智能移動終端的不斷完善使得這種需求更加的強烈，城市化的進行和不斷發(fā)展也需要數(shù)據(jù)的共享，同時人們的財產(chǎn)安全甚至是生命安全都受到數(shù)據(jù)資源的影響，商業(yè)進程的不斷完善，定位信息系統(tǒng)的發(fā)展等都是在進行信息數(shù)據(jù)的共享，用戶的行為就是在共享數(shù)據(jù)，多方面對數(shù)據(jù)共享的要求，使得數(shù)據(jù)資源的保護面臨嚴峻的困難，國家數(shù)據(jù)資源的開放共享與安全保護已成為長期存在矛盾的難題。

總而言之，正如國務(wù)院2015年8月印發(fā)的《促進大數(shù)據(jù)發(fā)展行動綱要》中指出，我國在大數(shù)據(jù)發(fā)展和應(yīng)用方面已具備一定基礎(chǔ)，擁有市場優(yōu)勢和發(fā)展?jié)摿?，但也存在政府?dāng)?shù)據(jù)開放共享不足、缺乏頂層設(shè)計和統(tǒng)籌規(guī)劃、法律法規(guī)建設(shè)滯后、創(chuàng)新應(yīng)用領(lǐng)域不廣、安全基礎(chǔ)薄弱等問題。具體到大數(shù)據(jù)安全問題而言，大數(shù)據(jù)和網(wǎng)絡(luò)密不可分，網(wǎng)絡(luò)上的任何攻擊動作都可能對其造成影響。

3 大數(shù)據(jù)安全保障體系框架

針對上述問題的描述，為保障大數(shù)據(jù)應(yīng)用“可管、可控、可信”，我們從大數(shù)據(jù)保密性、完整性、可用性等角度出發(fā)，構(gòu)建了較為完善的大數(shù)據(jù)應(yīng)用安全保障體系，如圖1所示。新疆大數(shù)據(jù)安全保障體系共包含了三個大部分，分別是跟蹤測評、服務(wù)支撐以及主體部分，其中主體部分又考慮了策略、組織、運營、技術(shù)、應(yīng)用、基礎(chǔ)設(shè)施六個方面。

圖1 大數(shù)據(jù)安全保障體系框架圖

從總體的策略上來說，要將國家和新疆地方制定的大數(shù)據(jù)安全政策貫徹到底，再在政策有效指導(dǎo)的基礎(chǔ)上，形成總體的策略，為大數(shù)據(jù)安全的其它方面的開展做好保障，制定更為完善的安全標(biāo)準，做到新疆大數(shù)據(jù)安全的保障方面有組織、有計劃、求開放、講策略，從整體上和上層建筑上做好完善的規(guī)劃和設(shè)計。除此之外，就是要建立起行之有效的監(jiān)管和防控體制，在大數(shù)據(jù)安全保障的相關(guān)機構(gòu)和角色設(shè)立上需有科學(xué)的規(guī)劃，在聽取各方專業(yè)意見的基礎(chǔ)上，形成能夠有效指導(dǎo)的相關(guān)文件和意見，推動新疆地區(qū)大數(shù)據(jù)的安全、開放和共享，使新疆地區(qū)大數(shù)據(jù)產(chǎn)業(yè)在相關(guān)的管理制度、運營過程的安全性、技術(shù)的實時防護等方面可以滿足發(fā)展要求。此外，在發(fā)展新疆地區(qū)的大數(shù)據(jù)產(chǎn)業(yè)的同時，在行業(yè)發(fā)展的初期還要建立起行業(yè)標(biāo)準，發(fā)布數(shù)據(jù)開放政策。

從組織的構(gòu)建上來說，組織的安全是新疆地區(qū)大數(shù)據(jù)安全的重要保障，大數(shù)據(jù)安全的人才儲備、崗位的設(shè)計、人才的宣傳培訓(xùn)、崗位建設(shè)、資金的保障、數(shù)據(jù)的分級管理、信息的治理等方面密切相關(guān)。首先要建立起新疆大數(shù)據(jù)產(chǎn)業(yè)人才儲備計劃，整合各關(guān)鍵部門、單位的大數(shù)據(jù)安全協(xié)同組織，并在充分協(xié)調(diào)的基礎(chǔ)上進行明確的分工，然后對人才進行進一步的宣傳和培訓(xùn)，針對不同的人才進行不同的專業(yè)設(shè)計，不同的數(shù)據(jù)安全環(huán)節(jié)分配人才。通過相互配合，從人力角度抓重點、抓關(guān)鍵地解決整個網(wǎng)絡(luò)信息鏈條上的安全問題，在執(zhí)行和監(jiān)督上下力氣，確保新疆大數(shù)據(jù)安全要求標(biāo)準合格，才能真正推動新疆大數(shù)據(jù)安全能力的提高和建設(shè)完善。

運營，主要從數(shù)據(jù)的生命周期進行分析，安全隱患可能存在于大數(shù)據(jù)生命過程中的各個環(huán)節(jié)中。大數(shù)據(jù)安全運行保障有兩種，一種是對生命周期安全的保障，另外一種是對安全運行能力的保障。大數(shù)據(jù)生命周期是一個過程，是將大數(shù)據(jù)的初始數(shù)據(jù)首先轉(zhuǎn)化為可用于行動的知識，然后進行知識應(yīng)用，最后將知識自然遺忘或?qū)⒅R主動遺忘的一種過程。大數(shù)據(jù)生命周期安全的保障是要保障大數(shù)據(jù)生命周期各環(huán)節(jié)的安全，這些環(huán)節(jié)包括數(shù)據(jù)的采集、傳輸、存儲、使用、共享與銷毀等。每個階段的安全措施如圖2所示。

圖2 數(shù)據(jù)生命周期安全運營

技術(shù)，其實是包括數(shù)據(jù)層、應(yīng)用層、系統(tǒng)層這三個層面的安全。

數(shù)據(jù)層的安全主要是解決數(shù)據(jù)生命周期各個階段所面臨的各種安全問題，采用的關(guān)鍵安全防護技術(shù)包含了數(shù)據(jù)加密技術(shù)、安全數(shù)據(jù)融合技術(shù)、數(shù)據(jù)脫敏技術(shù)、數(shù)據(jù)溯源技術(shù)等。

應(yīng)用層的安全則主要是負責(zé)大數(shù)據(jù)業(yè)務(wù)應(yīng)用的安全問題，采用的關(guān)鍵安全防護技術(shù)包括身份訪問與控制、業(yè)務(wù)邏輯安全、服務(wù)管理安全、不良信息管控等。

系統(tǒng)層的安全防護是為了解決系統(tǒng)面臨的安全問題，采用的關(guān)鍵技術(shù)都有大數(shù)據(jù)安全態(tài)勢的感知、實時的安全檢測、安全事件的管理、系統(tǒng)邊界的防御、高級持續(xù)性威脅（APT）攻擊防御等關(guān)鍵技術(shù)。

應(yīng)用，該部分主要是從數(shù)據(jù)提供者到數(shù)據(jù)應(yīng)用者再到數(shù)據(jù)消費者的過程中可能出現(xiàn)的安全問題進行防范及解決，主要進行預(yù)防及處置的是從數(shù)據(jù)的提供者到應(yīng)用者再到消費者的周期中可能出現(xiàn)的安全隱患。以處置大數(shù)據(jù)系統(tǒng)中數(shù)據(jù)提供者、數(shù)據(jù)消費者、大數(shù)據(jù)應(yīng)用提供者、大數(shù)據(jù)框架提供者、系統(tǒng)協(xié)調(diào)者等主體之間接口面臨的安全問題為主要任務(wù)，采用的關(guān)鍵技術(shù)包括對數(shù)據(jù)提供者—大數(shù)據(jù)應(yīng)用提供者之間的接口安全控制技術(shù)、大數(shù)據(jù)應(yīng)用提供者—數(shù)據(jù)消費者之間的接口安全控制技術(shù)、大數(shù)據(jù)應(yīng)用提供者—大數(shù)據(jù)框架提供者的接口安全控制技術(shù)、大數(shù)據(jù)框架提供者內(nèi)部以及系統(tǒng)控制器的安全控制技術(shù)等。

基礎(chǔ)設(shè)施保障，是大數(shù)據(jù)安全使用的基礎(chǔ)保障，包含了大數(shù)據(jù)的物理環(huán)境、網(wǎng)絡(luò)、云基礎(chǔ)設(shè)施、計算設(shè)施、存儲設(shè)施的安全保障。

服務(wù)支撐，大數(shù)據(jù)安全管理過程保障是以大數(shù)據(jù)的安全保障對象為中心和基本點，貫穿大數(shù)據(jù)安全管理的整個過程，以PDCA循環(huán)方法為手段來保障大數(shù)據(jù)能夠安全、可持續(xù)的一種能力，這種能力對于整個大數(shù)據(jù)安全管理的周期都至關(guān)重要，對于大數(shù)據(jù)安全風(fēng)險的管控是一種行之有效的方法。大數(shù)據(jù)安全保障的整個過程可大致劃分為總體規(guī)劃、設(shè)計構(gòu)思、具體實施、識別風(fēng)險與改進等階段。在規(guī)劃階段，主要的任務(wù)是分析和尋找大數(shù)據(jù)運營中潛在的風(fēng)險或者安全隱患，對大數(shù)據(jù)安全進行整體性、方向性和條理性的規(guī)劃與布局，并在此階段提出大數(shù)據(jù)安全管理的整體目標(biāo)以及具體維護的關(guān)鍵領(lǐng)域。在設(shè)計階段，主要制定為實現(xiàn)目標(biāo)計劃、維護關(guān)鍵領(lǐng)域安全而采取的安全策略和措施，對大數(shù)據(jù)管理協(xié)調(diào)部門的分工進行統(tǒng)籌、對主要的參與者和計劃的實施者也應(yīng)當(dāng)予以確認。在實施階段，主要采取安全防護手段和技術(shù)維護手段，在此階段應(yīng)當(dāng)建立起包括安全保障能力、維持正常運行的能力、技術(shù)防護能力、服務(wù)支撐能力、針對網(wǎng)絡(luò)攻擊的預(yù)防和監(jiān)測能力在內(nèi)的全方位能力系統(tǒng)。在識別階段，主要就是在后期對于新疆大數(shù)據(jù)安全狀況的維護進行監(jiān)督，并對于當(dāng)前的大數(shù)據(jù)安全風(fēng)險進行及時的識別。改進階段主要是針對整個大數(shù)據(jù)安保系統(tǒng)進行全面的提升，以增強大數(shù)據(jù)安全保障的整體能力。

4 大數(shù)據(jù)安全保障評價指標(biāo)體系

建立全面的大數(shù)據(jù)安全保障評價指標(biāo)體系，力求全面評價大數(shù)據(jù)安全戰(zhàn)略保障是否完備、管理手段是否高效、業(yè)務(wù)運營流程是否成熟可靠，通過該體系使得決策人員能夠?qū)ふ业秸_的解決方法，不斷改進后臺的監(jiān)管與保護措施，確保能夠長期、穩(wěn)定地維護大數(shù)據(jù)的安全。與此同時，大數(shù)據(jù)安全評價指標(biāo)體系是通過對大數(shù)據(jù)進行整體性與各級別綜合評價和分析得出的。

大數(shù)據(jù)安全保障評價指標(biāo)體系共有3個層級。其中一級指標(biāo)和二級指標(biāo)構(gòu)成的指標(biāo)體系框架如圖3所示，一共包含3項一級指標(biāo)13項二級指標(biāo)，二級指標(biāo)下可以根據(jù)新疆大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的具體情況設(shè)計三級指標(biāo)，三級指標(biāo)相對靈活，用來細化評估內(nèi)容，可以對它進行適當(dāng)?shù)臄U展或者刪減。大數(shù)據(jù)安全保障評價指標(biāo)體系的一級指標(biāo)中的建設(shè)情況指標(biāo)用于評價保障措施，運行能力指標(biāo)用于評價保障能力，安全態(tài)勢指標(biāo)用于評價保障效果。大數(shù)據(jù)安全保障評價指標(biāo)體系的二級指標(biāo)依據(jù)大數(shù)據(jù)安全保障對象和內(nèi)容，對一級指標(biāo)進行分析和分解后設(shè)計：建設(shè)情況指標(biāo)下設(shè)6項二級指標(biāo)，包含了保障體系中橫向的策略、組織、運營、技術(shù)、應(yīng)用、基礎(chǔ)設(shè)施6個部分內(nèi)容，運行能力指標(biāo)下設(shè)5項二級指標(biāo)，包含了大數(shù)據(jù)安全防護能力指標(biāo)、大數(shù)據(jù)安全檢測能力指標(biāo)、大數(shù)據(jù)安全應(yīng)急響應(yīng)能力指標(biāo)、大數(shù)據(jù)安全災(zāi)備恢復(fù)能力指標(biāo)、大數(shù)據(jù)安全信息對抗能力指標(biāo)；安全態(tài)勢指標(biāo)下設(shè)3項二級指標(biāo)，包含了大數(shù)據(jù)網(wǎng)絡(luò)及信息系統(tǒng)安全指標(biāo)、大數(shù)據(jù)生命周期運營安全指標(biāo)、個人信息保護指標(biāo)三個部分。

圖3 大數(shù)據(jù)安全保障評價體系

5 建議

隨著新疆大數(shù)據(jù)時代的來臨，人們逐漸認識到數(shù)據(jù)安全的重要性，國家也出臺了相應(yīng)的措施進行保護，《加強網(wǎng)絡(luò)信息保護的決定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)體現(xiàn)了國家對該問題的高度重視，國家和行業(yè)以及企業(yè)和個人都對該問題提高了重視，這使得網(wǎng)絡(luò)數(shù)據(jù)安全保障體系的建設(shè)速度大大加快，取得較好的成果，保護個人的信息安全，同時推動網(wǎng)絡(luò)信息時代的進步，智能終端的建設(shè)以及人們生活水平的提高。但必須承認，當(dāng)前我國在數(shù)據(jù)安全的保障上還缺乏有效的手段和實踐的辦法，很多單位在數(shù)據(jù)安全的防護上缺少針對性的法律文件的軟件支持，在各類網(wǎng)絡(luò)安全的硬件設(shè)施上，同樣具有系統(tǒng)上的缺陷。

一是加快數(shù)據(jù)安全保護立法進程。推進數(shù)據(jù)安全立法，明確數(shù)據(jù)保護的對象、范疇和違法責(zé)任等，出臺關(guān)于數(shù)據(jù)開放共享和跨境流動監(jiān)管的法律法規(guī)。除此之外，加大現(xiàn)存相關(guān)法律的調(diào)整范圍，將互聯(lián)網(wǎng)、云計算時代下的數(shù)據(jù)保護納入法律范圍。

二是制定國家數(shù)據(jù)安全保護戰(zhàn)略。要從國家安全、國家戰(zhàn)略資源的高度去定位數(shù)據(jù)安全，加深數(shù)據(jù)戰(zhàn)略規(guī)劃。出臺通信、金融等重點行業(yè)的關(guān)鍵數(shù)據(jù)和用戶信息的跨境流動監(jiān)管政策，推動立法以規(guī)范我國公民個人信息的境內(nèi)存儲。積極參與國際規(guī)則的制定，提升我國在數(shù)據(jù)保護領(lǐng)域的話語權(quán)，營造一個良好的國際環(huán)境以開展我國的數(shù)據(jù)安全保護。

三是強化數(shù)據(jù)安全保護技術(shù)攻關(guān)。加快數(shù)據(jù)保護關(guān)鍵技術(shù)手段建設(shè)，加強身份管理、APT攻擊防御、DDoS攻擊溯源等核心技術(shù)的研發(fā)。加強數(shù)據(jù)安全監(jiān)管支撐技術(shù)研究，提升對與敏感數(shù)據(jù)泄露、違法跨境數(shù)據(jù)流動等危害安全行為的監(jiān)測與處理能力。

四是完善數(shù)據(jù)安全標(biāo)準體系與評估體系。綜合謀劃數(shù)據(jù)安全的相關(guān)標(biāo)準制定，對于通用和專用的數(shù)據(jù)安全標(biāo)準的研發(fā)要積極主動。同時，對于數(shù)據(jù)安全的相關(guān)檢測與評估要進一步加強，做好數(shù)據(jù)跨境流動的安全評估工作。

6 結(jié)束語

當(dāng)今這個大數(shù)據(jù)時代，是一個機遇和挑戰(zhàn)共存的時代。面對發(fā)展過程中的新形勢以及出現(xiàn)的新問題，我們要堅持安全和發(fā)展齊頭并進，筑起新疆大數(shù)據(jù)安全管理的堅實長城，守護好新疆大數(shù)據(jù)信息主權(quán)和用戶隱私，才能有效杜絕大而無序、大而無安的現(xiàn)象存在，真正實現(xiàn)大數(shù)據(jù)時代的長治久安。

[1]Grady N W,Underwood M,Roy A,et al.Big Data:Challenges,practices and technologies:NIST Big Data Public Working Group workshop at IEEE Big Data 2014[C]//IEEE International Conference on Big Data.IEEE,2015:11-15.

[2]Parise S.Big data:A revolution that will transform how we live,work,and think,by Viktor Mayer-Schonberger and Kenneth Cukier[Z].2016.

[3]Chen Y,Paxson V,Katz R H.What's New About Cloud Computing Security?[Z].2014.

[4]Chiang C W,Lin C C,Chang R I.A new scheme of key distribution using implicit security in Wireless Sensor Networks[C]//The,International Conference on Advanced Communication Technology.IEEE,2010:151-155.

[5]Japkowicz N,Stefanowski J.A Machine Learning Perspective on Big Data Analysis[C]//Big Data Analysis:New Algorithms for a New Society.Springer International Publishing,2016.

[6]Grover N. ”Big Data”-Architecture,Issues,Opportunities and Challenges[J].International Journal of Computer&Electronics Research,2014,3(1):15-17.

[7]邁爾·舍恩伯格，庫克耶，盛楊燕,等.大數(shù)據(jù)時代[J].當(dāng)代勞模，2014,8(10):88.

[8]呂欣，韓曉露.健全大數(shù)據(jù)安全保障體系研究[J].信息安全研究，2015,1(3):211-216.

[9]呂欣，韓曉露.大數(shù)據(jù)安全和隱私保護技術(shù)架構(gòu)研究[J].信息安全研究，2016,2(3):244-250.

[10]張濱.運營商大數(shù)據(jù)安全保障體系研究[J].電信工程技術(shù)與標(biāo)準化，2016,29(12):1-7.

[11]廖曉斌.新疆大數(shù)據(jù)時代發(fā)展初探[J].中國管理信息化，2017,20(5):190-192.