大數(shù)據(jù)面臨的信息安全風(fēng)險及應(yīng)對策略研究

忻高峰 ， 肖靜

(1.工業(yè)和信息化部電子第五研究所，廣東廣州 510610；2.寧波賽寶信息產(chǎn)業(yè)技術(shù)研究院有限公司，浙江寧波 315040；3.工業(yè)和信息化部電子第五研究所華東分所，江蘇蘇州 215011)

0 引言

在互聯(lián)網(wǎng)技術(shù)火熱發(fā)展的今天，大數(shù)據(jù)呈現(xiàn)出了爆發(fā)式的增長之勢，數(shù)據(jù)已經(jīng)成為了一種新的資源，為這個快速發(fā)展的社會提供著巨大的價值，也為創(chuàng)新驅(qū)動、萬眾創(chuàng)新的時代主題提供了推動力。這些龐大的數(shù)據(jù) “寶藏”將成為 “未來的新石油”。未來的數(shù)據(jù)占有和控制將成為各個國家的另一個重要核心競爭力。

雖然大數(shù)據(jù)的潛在價值非常巨大，但其面對的挑戰(zhàn)也非常大且問題類型有很多，大數(shù)據(jù)主要以非結(jié)構(gòu)化為主，包括圖文檔、語音、日志和地理位置信息等，這些多類型的數(shù)據(jù)對數(shù)據(jù)的處理能力提出了更高的要求，例如：怎樣進(jìn)行數(shù)據(jù)存儲，如何進(jìn)行數(shù)據(jù)花費，如何提高數(shù)據(jù)保存時間等等。Cartner有分析報告指出，大數(shù)據(jù)安全是一場巨大的戰(zhàn)爭；還有其他研究報告指出，大數(shù)據(jù)還面臨著多項信息安全挑戰(zhàn)，為了有效地避免和解決大數(shù)據(jù)帶來的信息安全問題，建立大數(shù)據(jù)工作組，探究針對大數(shù)據(jù)信息安全問題的有效解決措施已刻不容緩[1]。

因此，本文從各種能夠?qū)е麓髷?shù)據(jù)安全問題的方面進(jìn)行了分析和問題整理，并且提出了有效的解決方案和應(yīng)對措施，為大數(shù)據(jù)信息安全框架的建立提供了一定的參考和借鑒。

1 大數(shù)據(jù)存在的重點領(lǐng)域及其安全的重要性

1.1 個人數(shù)據(jù)

近年來，隨著QQ、微信等社交軟件的不斷增多，越來越多的用戶信息被存儲在這些軟件中；隨著微信支付、支付寶支付等移動支付手段的蓬勃發(fā)展，大量的用戶隱私數(shù)據(jù)被暴露在網(wǎng)絡(luò)環(huán)境中。這些社交軟件、支付手段在給人們的生活帶來便利的同時，也帶來了一系列的信息安全問題[2]。如果這些信息被不法分子利用的話，就將會對用戶的財產(chǎn)造成巨大的損失；如果掌握個人大數(shù)據(jù)的企業(yè)遭到黑客攻擊或者被內(nèi)部人員出賣數(shù)據(jù)的話，將會對用戶的工作、生活產(chǎn)生重大的影響。目前全社會都非常關(guān)心這個問題，用戶在享受移動互聯(lián)網(wǎng)帶來便利的同時，如何更好地被保護(hù)好個人數(shù)據(jù)安全已成為了用戶最關(guān)心的話題。

1.2 工業(yè)大數(shù)據(jù)

近年來，隨著中國持續(xù)地推進(jìn)智能制造、工業(yè)4.0戰(zhàn)略，工業(yè)大數(shù)據(jù)的價值被不斷地挖掘，工業(yè)大數(shù)據(jù)是在工業(yè)數(shù)據(jù)進(jìn)行采集加工后產(chǎn)生的數(shù)據(jù)。工業(yè)大數(shù)據(jù)是指在工業(yè)領(lǐng)域中，圍繞典型的智能制造模式，從客戶需求到銷售、訂單、計劃、研發(fā)、設(shè)計、工藝、制造、采購、供應(yīng)、庫存、發(fā)貨、交付、售后服務(wù)、運維和報廢或回收再制造等整個產(chǎn)品全生命周期各個環(huán)節(jié)所產(chǎn)生的各類數(shù)據(jù)及相關(guān)技術(shù)和應(yīng)用的總標(biāo)[3-4]。工業(yè)數(shù)據(jù)具有數(shù)據(jù)題量大、分布廣泛、結(jié)構(gòu)復(fù)雜、數(shù)據(jù)變化快和數(shù)據(jù)價值不均勻等五大特征。同時，與個人數(shù)據(jù)相比，工業(yè)數(shù)據(jù)往往蘊藏著先進(jìn)制造業(yè)的尖端技術(shù)、客戶信息和制造工藝等重要內(nèi)容，這些數(shù)據(jù)往往是企業(yè)賴以生存和發(fā)展的根本，是企業(yè)核心競爭力的關(guān)鍵數(shù)據(jù)。這些數(shù)據(jù)往往關(guān)系著企業(yè)的命脈，企業(yè)能否處理好大數(shù)據(jù)利用和大數(shù)據(jù)信息安全之間的關(guān)系，將會對其生存發(fā)展產(chǎn)生重大的影響。

1.3 政府大數(shù)據(jù)

不僅企業(yè)能從他們搜集的海量大數(shù)據(jù)中獲取價值，政府也能從大數(shù)據(jù)中獲取價值。據(jù)了解，大數(shù)據(jù)技術(shù)領(lǐng)先的國家已實施大數(shù)據(jù)應(yīng)用政府項目，以提高國家運行效率、透明度、民眾福利和公共事務(wù)參與度，確保經(jīng)濟(jì)增長和國家安全。政府部門通過對所采用的大數(shù)據(jù)應(yīng)用項目進(jìn)行分析，能夠為國家提供未來大數(shù)據(jù)行動指導(dǎo)和國家決策。

與企業(yè)相比，政府大數(shù)據(jù)應(yīng)用的舉措具有不同的目標(biāo)和價值。企業(yè)的主要目標(biāo)是通過提供產(chǎn)品和服務(wù)獲取利潤，發(fā)展或維持自身的競爭優(yōu)勢，創(chuàng)造令消費者和其他利益相關(guān)者滿意的價值。政府的主要目標(biāo)則是維持國內(nèi)穩(wěn)定，實現(xiàn)可持續(xù)發(fā)展，保障公民的基本權(quán)利，改善國民福利和促進(jìn)經(jīng)濟(jì)增長。

因此，數(shù)據(jù)安全是政府大數(shù)據(jù)最基本的屬性，然而目前大部分大數(shù)據(jù)技術(shù)包括數(shù)據(jù)庫和分布式技術(shù)都缺乏足夠的安全保護(hù)工具。因此，搜集、存儲和使用大數(shù)據(jù)都需要特別注意。對政府而言，確保大數(shù)據(jù)安全是一個巨大的挑戰(zhàn)。

2 大數(shù)據(jù)面臨的幾個安全問題

2.1 數(shù)據(jù)處理、管理過程中造成的泄露

在對大數(shù)據(jù)進(jìn)行處理、分析和管理的過程中，都有可能造成用戶數(shù)據(jù)被泄露，主要體現(xiàn)在：首先，多條數(shù)據(jù)組合增加了加密信息被破解的可能性，同時通過對數(shù)據(jù)進(jìn)行提取分析，可以判斷用戶所屬的群體，增加了用戶隱私被盜的風(fēng)險；其次，在管理過程中，操作數(shù)據(jù)會破壞原來的信息安全體系結(jié)構(gòu)，從而增加數(shù)據(jù)被泄露和損害的可能性；最后，管理數(shù)據(jù)的員工如果隨意傳輸、竊取或故意泄露數(shù)據(jù)都會造成數(shù)據(jù)被盜的風(fēng)險。

2.2 技術(shù)漏洞

由于大數(shù)據(jù)的非線性增長，在處理海量數(shù)據(jù)時，數(shù)據(jù)的安全防護(hù)和實時監(jiān)測技術(shù)已經(jīng)很難確保信息的絕對安全。一方面，數(shù)據(jù)安全防護(hù)技術(shù)的更迭已經(jīng)趕不上數(shù)據(jù)爆炸式的增長，這樣一來便給了不法分子通過惡意盜取數(shù)據(jù)來謀取私利的機會；另一方面，實時監(jiān)測技術(shù)也比較滯后，無法滿足大數(shù)據(jù)爆炸式增長的需要，此外，現(xiàn)在的企業(yè)實時監(jiān)測數(shù)據(jù)的能力參差不齊，這也增加了數(shù)據(jù)上的不平等防護(hù)，同時就增加了安全風(fēng)險。

2.3 對數(shù)據(jù)進(jìn)行管理的相關(guān)法律法規(guī)不夠健全

現(xiàn)有的數(shù)據(jù)方面的法律法規(guī)已經(jīng)很難支撐信息安全工作的開展，已有的數(shù)據(jù)主要是為了計算出某個結(jié)果，收集的數(shù)據(jù)不可以為了計算另一個結(jié)果而被使用，用戶只能在信息所有者允許的情況下才能使用用戶信息。由于個人數(shù)據(jù)必須是準(zhǔn)確的，數(shù)據(jù)保存是有期限的，在我國數(shù)據(jù)保護(hù)方面的政策還不夠具體、不夠全面，以及海量數(shù)據(jù)的背景下，很難做到保證每一條數(shù)據(jù)的安全。

2.4 個人信息保護(hù)意識不強

現(xiàn)在的技術(shù)可以通過跟蹤用戶網(wǎng)絡(luò)行蹤來獲取用戶的位置信息、視頻信息甚至財務(wù)信息等，這就導(dǎo)致人們?nèi)チ四睦铩⒏闪耸裁炊急槐┞对趧e人眼前，更可怕的是當(dāng)背后操控這些的組織拿這些信息來牟利時，受害者卻不會反擊。所以說目前個人信息保護(hù)意識還不夠強，從而導(dǎo)致私人信息被泄露或非法利用的風(fēng)險增大。

2.5 黑客攻擊

大數(shù)據(jù)的潛在價值和數(shù)量之龐大，對不法分子來說是一個巨大的誘惑，因而其成為了黑客攻擊的目標(biāo)之一[5]。并且，由于在互聯(lián)網(wǎng)的大環(huán)境下，技術(shù)攻擊的成功率也較高，從而導(dǎo)致了大數(shù)據(jù)情況下的數(shù)據(jù)更加容易被攻擊和盜取，進(jìn)而導(dǎo)致數(shù)據(jù)信息風(fēng)險增加。

3 針對大數(shù)據(jù)存在的風(fēng)險問題應(yīng)該采取的措施

大數(shù)據(jù)給我們帶來了利益的同時，也帶來了一系列的信息安全風(fēng)險。因此，針對以上分析的問題，筆者提出了以下幾點解決措施。

3.1 加強信息安全防御體系建設(shè)

信息安全防御體系建設(shè)對于大數(shù)據(jù)安全來說起著至關(guān)重要的作用，很多數(shù)據(jù)的泄露都是由于安全設(shè)施出現(xiàn)了問題造成的。因此，有必要從以下幾個方面來加強信息安全防御體系建設(shè)：1)定期對防火墻、入侵檢測進(jìn)行維護(hù)檢查；2)定期進(jìn)行漏洞掃描和滲透測試；3)制定詳盡的突發(fā)狀況應(yīng)急方案，以便于處理緊急情況，從而有效地保護(hù)信息安全。

3.2 利用先進(jìn)的技術(shù)手段來規(guī)避風(fēng)險

利用先進(jìn)的技術(shù)手段來規(guī)避風(fēng)險是大數(shù)據(jù)時代保護(hù)數(shù)據(jù)安全最有效的應(yīng)對措施，主要包括實時監(jiān)測和安全防護(hù)。實時監(jiān)測數(shù)據(jù)的目的是為了能夠第一時間檢查出數(shù)據(jù)漏洞和黑客攻擊，而安全防護(hù)的目的是為了避免數(shù)據(jù)被外界木馬感染或被竊取，以防止網(wǎng)絡(luò)遭到攻擊。但是，現(xiàn)階段的網(wǎng)絡(luò)監(jiān)測技術(shù)還很難快速地識別信息安全風(fēng)險，因此，必須改進(jìn)和發(fā)展現(xiàn)有的監(jiān)測技術(shù)，以此來保護(hù)數(shù)據(jù)的安全。

3.3 制定數(shù)據(jù)保護(hù)制度

大數(shù)據(jù)時代，數(shù)據(jù)擁有者用戶有責(zé)任和義務(wù)保護(hù)數(shù)據(jù)安全。主要有以下幾個方面需要注意：1)設(shè)置嚴(yán)格的數(shù)據(jù)保護(hù)制度，從組織管理角度來講，應(yīng)設(shè)置數(shù)據(jù)訪問權(quán)限，這樣既可以避免數(shù)據(jù)泄露，也可以在數(shù)據(jù)意外泄露后清楚地問責(zé)，找到數(shù)據(jù)泄露的源頭；2)處理大規(guī)模數(shù)據(jù)時，應(yīng)該考慮用戶信息的隱私安全，應(yīng)盡量地降低用戶身份被識別出的風(fēng)險，針對這個問題，一方面可以通過刪除數(shù)據(jù)中有關(guān)用戶的敏感信息 (如身份證號、姓名和年齡等)來解決，另一方面也可以將典型數(shù)據(jù)轉(zhuǎn)為非典型數(shù)據(jù)，以此來降低用戶的準(zhǔn)確信息被識別的風(fēng)險；3)作為用戶，應(yīng)該學(xué)會保護(hù)好自己的數(shù)據(jù)，不輕易發(fā)布自己的隱私信息，以防止被不法分子非法利用。

3.4 完善數(shù)據(jù)相關(guān)法律法規(guī)

由于現(xiàn)在大數(shù)據(jù)方面的相關(guān)法律法規(guī)還不夠完善，因而造成了信息安全隱患。所以，必須要求相關(guān)部門完善相關(guān)管理政策。例如：1)對特定對象的數(shù)據(jù)做特別的保護(hù)規(guī)定；2)對特定的數(shù)據(jù)收集過程加以控制；3)對數(shù)據(jù)進(jìn)行權(quán)限管理，未經(jīng)授權(quán)不得使用；4)對數(shù)據(jù)操作者、管理者進(jìn)行法律培訓(xùn)，法律宣傳；5)對盜取數(shù)據(jù)、泄露數(shù)據(jù)的人員制定嚴(yán)格的法律懲罰規(guī)定。

4 結(jié)束語

大數(shù)據(jù)時代下，數(shù)據(jù)給我們帶來了價值的同時，也帶來了信息安全風(fēng)險問題。要想避免風(fēng)險、降低風(fēng)險所造成的損害，就必須從數(shù)據(jù)擁有者組織層面和大數(shù)據(jù)所處的時代背景中進(jìn)行控制，爭取做到無風(fēng)險或防患于未然。