我國大數(shù)據(jù)安全現(xiàn)狀、問題及對策建議

張博卿

（賽迪智庫網(wǎng)絡空間研究所，北京 100846）

1 引言

當前，大數(shù)據(jù)技術(shù)和應用的不斷發(fā)展，使得對海量數(shù)據(jù)進行處理和分析成為可能，在數(shù)據(jù)驅(qū)動不斷為人們生活帶來便利的同時，數(shù)據(jù)匯聚和分析對國家和個人也帶來了諸多安全隱患。本文分析我國大數(shù)據(jù)安全的現(xiàn)狀、存在的不足，并據(jù)此提出相關(guān)政策建議。

2 我國大數(shù)據(jù)安全現(xiàn)狀

一是大數(shù)據(jù)平臺成為網(wǎng)絡攻擊的顯著目標。

大數(shù)據(jù)時代，作為數(shù)據(jù)的載體，大型網(wǎng)站、數(shù)據(jù)中心、云計算中心等大數(shù)據(jù)平臺集聚大量數(shù)據(jù)，涉及個人隱私、財務等敏感數(shù)據(jù)，更是業(yè)務健康、安全運轉(zhuǎn)的關(guān)鍵，吸引著更多的以商業(yè)目的或國家利益為背景的黑客的注意，成為更具吸引力的目標。數(shù)據(jù)的大量聚集，使得黑客一次成功的攻擊能夠獲得更多的數(shù)據(jù)，無形中降低了黑客的進攻成本，增加了“收益率”。例如，2015年4月，遍布全國19個省份的社保系統(tǒng)信息泄露事件曝光，包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息的5300余萬條個人信息遭泄露。

二是大數(shù)據(jù)推高信息泄露的風險。

海量數(shù)據(jù)的不斷聚集，將促進包括大量的企業(yè)運營數(shù)據(jù)、客戶信息、個人的隱私和各種行為的細節(jié)記錄不斷積累，這些集中存儲的數(shù)據(jù)無形中增加了數(shù)據(jù)泄露的風險。不法分子可借助大數(shù)據(jù)平臺泄露的數(shù)據(jù)對其它平臺進行“撞庫”攻擊。由于各企業(yè)對數(shù)據(jù)傳輸和存儲的安全保障能力不一，一旦其中一個較為“脆弱”的數(shù)據(jù)平臺發(fā)生數(shù)據(jù)泄漏，其它“堅固”的平臺也將遭受魚池之殃。

三是大數(shù)據(jù)加大網(wǎng)絡安全防護的難度。

大數(shù)據(jù)分析技術(shù)使攻擊者的攻擊手段更加豐富。惡意攻擊者可以通過收集上網(wǎng)痕跡等信息，獲取潛在攻擊對象的相關(guān)信息，并利用大數(shù)據(jù)分析技術(shù)，對其真實身份、性格、消費習慣、需求等個人信息進行還原，嚴重威脅個人的隱私和安全。利用數(shù)據(jù)挖掘、關(guān)聯(lián)分析能夠從普通數(shù)據(jù)中提取大量具有統(tǒng)計意義的信息，可能分析出企業(yè)的商業(yè)布局，甚至國家的經(jīng)濟走向，進而對企業(yè)或者國家發(fā)起更具有針對性和精確性的攻擊。傳統(tǒng)的防火墻、病毒查殺、入侵檢測等安全防護軟件不能滿足當前需求，防護措施的更新升級速度也無法跟上數(shù)據(jù)量非線性增長的步伐。同時，大數(shù)據(jù)也可能成為高級病毒的載體，由于針對大數(shù)據(jù)等新技術(shù)產(chǎn)生的網(wǎng)絡威脅的防御體系尚未建立，隱藏在大數(shù)據(jù)中的病毒和惡意軟件難以發(fā)現(xiàn)。

四是大數(shù)據(jù)對保障基礎(chǔ)設施安全和國家主權(quán)維護提出新挑戰(zhàn)。

電信網(wǎng)絡甚至工控系統(tǒng)等關(guān)鍵基礎(chǔ)設施是大數(shù)據(jù)發(fā)展的基礎(chǔ)，大數(shù)據(jù)安全同樣依賴于基礎(chǔ)設施的安全，隨著經(jīng)濟全球化和供應鏈全球化的影響，關(guān)鍵基礎(chǔ)設施的安全變得日益復雜，一國的基礎(chǔ)設施可能同時服務于多個國家，信息經(jīng)濟的高度全球相互依賴性，挑戰(zhàn)著原有的國家主權(quán)觀念。隨著數(shù)據(jù)價值的不斷提高，數(shù)據(jù)資源成為國家核心戰(zhàn)略資產(chǎn)和社會財富，一個國家擁有數(shù)據(jù)的規(guī)模、活性及解釋運用的能力，將成為綜合國力的重要組成部分，對大數(shù)據(jù)的占有和控制權(quán)成為維護國家主權(quán)和核心利益的基礎(chǔ)。

3 我國大數(shù)據(jù)安全保障工作存在的不足

一是法律規(guī)范缺失，數(shù)據(jù)管理缺乏依據(jù)。

缺乏企業(yè)和應用程序關(guān)于搜集、存儲、分析、應用數(shù)據(jù)的相關(guān)法規(guī)，電信、金融、物流等行業(yè)個人信息泄露、違規(guī)使用情況嚴重，移動應用多在不必要的情況下采集用戶的手機通話記錄、短信、地理位置等信息，危及個人財產(chǎn)、生命安全。

二是產(chǎn)業(yè)根基不牢，數(shù)據(jù)主權(quán)面臨挑戰(zhàn)。

大數(shù)據(jù)安全需要從底層芯片、基礎(chǔ)軟件到應用分析軟件及服務等信息產(chǎn)業(yè)全產(chǎn)業(yè)鏈的支撐，我國信息技術(shù)起步較晚，大數(shù)據(jù)相關(guān)產(chǎn)業(yè)自主能力較差，數(shù)據(jù)采集、傳輸、存儲、處理等方面技術(shù)與國外存在較大差距，在處理芯片、存儲設備、大數(shù)據(jù)軟件等方面均存在受制于人的問題，具體表現(xiàn)在我國核心技術(shù)產(chǎn)品依賴國外，重要關(guān)鍵基礎(chǔ)設施和重要信息系統(tǒng)中大量使用國外基礎(chǔ)軟件以及核心關(guān)鍵設備。

據(jù)統(tǒng)計，我國芯片、元器件、網(wǎng)絡設備、通用協(xié)議和標準，90%依賴進口；防火墻、加密機等10類信息安全產(chǎn)品，65%來自進口；操作系統(tǒng)、數(shù)據(jù)庫、服務器、存儲設備自主率僅為2.75%、4.94%、13.8%、16.2%。

三是技術(shù)實力較弱，難以應對大數(shù)據(jù)安全威脅。

首先，我國尚未掌握大數(shù)據(jù)處理核心技術(shù)。Hadoop分布式數(shù)據(jù)處理技術(shù)、NOSQL數(shù)據(jù)庫及流式數(shù)據(jù)處理技術(shù)等分別被國外的Cloud era、IBM以及亞馬遜等企業(yè)所掌握，國內(nèi)的數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)關(guān)鍵技術(shù)多來自國外，缺乏對大數(shù)據(jù)技術(shù)研發(fā)的整體設計框架，與數(shù)據(jù)安全相關(guān)的產(chǎn)品和服務還存在缺口，難以應對大數(shù)據(jù)應用帶來的伴生性安全威脅和傳統(tǒng)安全威脅交織的復雜局面。

其次，缺乏針對大數(shù)據(jù)平臺網(wǎng)絡攻擊的有效應對。2014年，“心臟出血”漏洞以其超強破壞力在網(wǎng)絡安全業(yè)界引發(fā)了廣泛擔憂。據(jù)“從應對‘心臟出血’漏洞看各國攻防能力”的研究成果顯示，我國在漏洞修復和危機應急反應能力方面，全球排名僅居102位，與我國的網(wǎng)絡大國地位極不相稱。

最后，我國的網(wǎng)絡安全系統(tǒng)在預測、反應、防范和恢復能力方面存在許多薄弱環(huán)節(jié)。據(jù)英國《簡氏戰(zhàn)略報告》和其它網(wǎng)絡組織對各國信息防護能力的評估，我國被列入防護能力最低的國家之一，不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。

四是大數(shù)據(jù)安全經(jīng)費投入分散，經(jīng)費使用效率不高。

各部門對于大數(shù)據(jù)安全的經(jīng)費投入分散，大數(shù)據(jù)安全研究、工程項目、工作管理等經(jīng)費的歸口管理部門不同，彼此間的經(jīng)費投入缺乏協(xié)調(diào)，難以形成合力。同時，大數(shù)據(jù)安全經(jīng)費投入不足，現(xiàn)有的經(jīng)費主要用于網(wǎng)絡輿情監(jiān)控等內(nèi)容審查方面，對大數(shù)據(jù)安全技術(shù)研究、大數(shù)據(jù)安全產(chǎn)品研發(fā)等的支持力度不夠，不能滿足我國大數(shù)據(jù)安全發(fā)展的需要，影響信息安全產(chǎn)業(yè)化進程。

五是大數(shù)據(jù)安全專業(yè)人才供血不足。

我國大數(shù)據(jù)安全人才培養(yǎng)機制尚不健全，尚未形成高校、企業(yè)的聯(lián)合培養(yǎng)機制，培訓體系不健全，能夠培養(yǎng)大數(shù)據(jù)安全相關(guān)人才的院?；蛘吲嘤枂挝环浅Ｉ?，大多技術(shù)人員缺乏深入研究能力。據(jù)Gartner統(tǒng)計，近年來全球新增超過500萬個與大數(shù)據(jù)相關(guān)的工作崗位，并催生大數(shù)據(jù)分析師、首席數(shù)據(jù)官等大數(shù)據(jù)相關(guān)職業(yè)。大數(shù)據(jù)安全發(fā)展對需要對數(shù)學、統(tǒng)計學、數(shù)據(jù)分析、機器學習、自然語言處理、網(wǎng)絡安全等多方面知識綜合掌握，但我國可承擔分析和挖掘的復合型人才、高端數(shù)據(jù)科學家以及管理人才存在很大缺口。

4 加強大數(shù)據(jù)安全保障的對策建議

一是盡快制定相關(guān)法律法規(guī)，明確各方責權(quán)。

首先，應明確國家對本國數(shù)據(jù)資源進行保護、開發(fā)和利用的權(quán)利，明確對跨境傳輸數(shù)據(jù)進行管理和監(jiān)控的權(quán)利。其次，明確企業(yè)、應用程序的權(quán)利和義務，包括軟件采用最小特權(quán)原則，敏感數(shù)據(jù)不得出境，保護個人隱私，嚴格控制基于數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)技術(shù)產(chǎn)生的數(shù)據(jù)等。最后，切實加強對個人信息的保護，借鑒歐盟提出的“被遺忘權(quán)”等經(jīng)驗，為個人隱私維權(quán)提供依據(jù)。

二是強化制度建設，加強重點領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管。

一方面，加快建立大數(shù)據(jù)安全開放的監(jiān)管制度。制定大數(shù)據(jù)采集、傳輸、存儲、使用和跨境流動的規(guī)則，明確安全保護技術(shù)措施。從技術(shù)研發(fā)、內(nèi)部管理、用戶使用等環(huán)節(jié)出發(fā)，探索建立商業(yè)秘密、專利等企業(yè)敏感數(shù)據(jù)的安全保護規(guī)則和實踐。制定政府數(shù)據(jù)開放政策，探索大數(shù)據(jù)交換交易政策和規(guī)則。

另一方面，強化對重點行業(yè)和領(lǐng)域數(shù)據(jù)和網(wǎng)絡安全的監(jiān)管。在大型數(shù)據(jù)中心、重點行業(yè)和領(lǐng)域信息系統(tǒng)深入落實等級保護制度，開展信息安全風險評估，并部署基于主動防御理念的技術(shù)防護手段和措施。針對大數(shù)據(jù)平臺及服務商的可靠性及安全性，開展信息技術(shù)產(chǎn)品和服務審查，引導企業(yè)加強信息技術(shù)產(chǎn)品供應鏈管理，有效降低使用國外產(chǎn)品和服務而可能導致的數(shù)據(jù)泄露風險。

三是加強大數(shù)據(jù)相關(guān)產(chǎn)品、服務管理，建立自主可控信息技術(shù)生態(tài)體系。

針對關(guān)鍵領(lǐng)域和部門出臺強制性的標準和規(guī)定，加大對微軟、谷歌、騰訊、阿里等掌握大量數(shù)據(jù)的國內(nèi)外企業(yè)的監(jiān)管力度，明確相關(guān)數(shù)據(jù)的使用權(quán)限和要求，防范有意、無意的數(shù)據(jù)泄露。同時，借鑒美國等發(fā)達國家在網(wǎng)絡安全審查方面的經(jīng)驗，在我國即將推行的網(wǎng)絡安全審查制度中，建立大數(shù)據(jù)技術(shù)、產(chǎn)品及服務的安全檢測與審查制度。進一步的，明確國產(chǎn)化替代時間表和路線圖，加大政策扶持力度，鼓勵和扶助國內(nèi)電子產(chǎn)品廠商優(yōu)先采用國產(chǎn)硬件，要求新建的重要網(wǎng)絡和信息系統(tǒng)采用國產(chǎn)產(chǎn)品，推動關(guān)鍵信息技術(shù)和產(chǎn)品的國產(chǎn)化替代，建立自主可控信息技術(shù)產(chǎn)業(yè)生態(tài)體系。

四是加速發(fā)展大數(shù)據(jù)相關(guān)技術(shù)，建立網(wǎng)絡安全縱深防御體系。

一方面，加大對大數(shù)據(jù)安全保障關(guān)鍵技術(shù)研發(fā)的資金投入，推動基于大數(shù)據(jù)的安全技術(shù)研發(fā)，研究基于大數(shù)據(jù)的網(wǎng)絡攻擊追蹤方法。

另一方面，針對國家敏感、重要大數(shù)據(jù)防護目標，構(gòu)建具有反制能力的網(wǎng)絡安全積極防御體系，發(fā)展平戰(zhàn)結(jié)合、軍民結(jié)合、攻防兼?zhèn)涞木W(wǎng)絡空間力量，建設國家網(wǎng)絡空間戰(zhàn)略預警和積極防御平臺，精確預警、準確溯源、有效反制，提升對國家級、有組織網(wǎng)絡攻擊威脅的發(fā)現(xiàn)能力。

5 結(jié)束語

本文通過分析了我國大數(shù)據(jù)安全的現(xiàn)狀，從法律規(guī)范、技術(shù)實力和人才培養(yǎng)等方面給出了我國大數(shù)據(jù)安全方面存在的問題，最后提出了相應的對策建議，分別是盡快制定相關(guān)法律法規(guī)，明確各方責權(quán)；強化制度建設，加強重點領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管；加強大數(shù)據(jù)相關(guān)產(chǎn)品、服務管理，建立自主可控信息技術(shù)生態(tài)體系；加速發(fā)展大數(shù)據(jù)相關(guān)技術(shù)，建立網(wǎng)絡安全縱深防御體系。