信息化觀察網(wǎng)

工信部賽迪網(wǎng)絡(luò)安全研究所所長、賽迪區(qū)塊鏈研究院院長劉權(quán)博士

當(dāng)前，大數(shù)據(jù)安全主要表現(xiàn)在幾個方面：

網(wǎng)絡(luò)安全。數(shù)據(jù)與網(wǎng)絡(luò)密不可分，針對大數(shù)據(jù)的網(wǎng)絡(luò)犯罪行為日益猖獗。目前我國針對大數(shù)據(jù)的網(wǎng)絡(luò)安全防護(hù)不夠，無論是軟件還是硬件大多使用國外的產(chǎn)品或技術(shù)，容易造成信息泄露；

系統(tǒng)安全。在大數(shù)據(jù)時代，云平臺是大數(shù)據(jù)匯集和存儲的主要載體，云平臺數(shù)據(jù)安全是保證數(shù)據(jù)安全的重要環(huán)節(jié)；

終端安全。數(shù)據(jù)的搜集、存儲、訪問、傳輸必不可少地需要借助PC、移動等終端設(shè)備，攻擊終端設(shè)備可能獲得操作大數(shù)據(jù)的權(quán)限；

數(shù)據(jù)安全。大數(shù)據(jù)時代，看似無用的數(shù)據(jù)，經(jīng)過大數(shù)據(jù)分析技術(shù)極有可能轉(zhuǎn)化為由高價值的信息資產(chǎn)。這種信息一旦泄露，將嚴(yán)重威脅個人隱私安全，甚至對國家經(jīng)濟(jì)走勢、政治穩(wěn)定產(chǎn)生影響。

大數(shù)據(jù)平臺成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)

大數(shù)據(jù)時代，作為數(shù)據(jù)的載體，大型網(wǎng)站、數(shù)據(jù)中心、云計算中心等大數(shù)據(jù)平臺集聚大量數(shù)據(jù)，涉及個人隱私、財務(wù)等敏感數(shù)據(jù)，更是業(yè)務(wù)健康、安全運(yùn)轉(zhuǎn)的關(guān)鍵，吸引著更多的以商業(yè)目的或國家利益為背景的黑客的注意，成為更具吸引力的目標(biāo)。

數(shù)據(jù)的大量聚集，使得黑客一次成功的攻擊能夠獲得更多的數(shù)據(jù)，無形中降低了黑客的進(jìn)攻成本，增加了“收益率”。

大數(shù)據(jù)推高信息泄露的風(fēng)險

海量數(shù)據(jù)的不斷聚集，將促進(jìn)包括大量的企業(yè)運(yùn)營數(shù)據(jù)、客戶信息、個人的隱私和各種行為的細(xì)節(jié)記錄不斷積累，這些集中存儲的數(shù)據(jù)無形中增加了數(shù)據(jù)泄露的風(fēng)險

不法份子可借助大數(shù)據(jù)平臺泄露的數(shù)據(jù)對其它平臺進(jìn)行“撞庫”攻擊。由于各企業(yè)對數(shù)據(jù)傳輸和存儲的安全保障能力不一，一旦其中一個較為“脆弱”的數(shù)據(jù)平臺發(fā)生數(shù)據(jù)泄漏，其它“堅(jiān)固”的平臺也將遭受魚池之殃。

大數(shù)據(jù)加大網(wǎng)絡(luò)安全防護(hù)的難度

大數(shù)據(jù)分析技術(shù)使攻擊者的攻擊手段更加豐富。惡意攻擊者可以通過收集上網(wǎng)痕跡等信息，獲取潛在攻擊對象的相關(guān)信息，并利用大數(shù)據(jù)分析技術(shù)，對其真實(shí)身份、性格、消費(fèi)習(xí)慣、需求等個人信息進(jìn)行還原，嚴(yán)重威脅個人的隱私和安全。利用數(shù)據(jù)挖掘、關(guān)聯(lián)分析能夠從普通數(shù)據(jù)中提取大量具有統(tǒng)計意義的信息，可能分析出企業(yè)的商業(yè)布局，甚至國家的經(jīng)濟(jì)走向，進(jìn)而對企業(yè)或者國家發(fā)起更具有針對性和精確性的攻擊。

傳統(tǒng)的防火墻、病毒查殺、入侵檢測等安全防護(hù)軟件不能滿足當(dāng)前需求，防護(hù)措施的更新升級速度也無法跟上數(shù)據(jù)量非線性增長的步伐

大數(shù)據(jù)也可能成為高級病毒的載體，由于針對大數(shù)據(jù)等新技術(shù)產(chǎn)生的網(wǎng)絡(luò)威脅的防御體系尚未建立，隱藏在大數(shù)據(jù)中的病毒和惡意軟件難以發(fā)現(xiàn)。

大數(shù)據(jù)對保障基礎(chǔ)設(shè)施安全和國家主權(quán)維護(hù)提出新挑戰(zhàn)

電信網(wǎng)絡(luò)甚至工控系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施是大數(shù)據(jù)發(fā)展的基礎(chǔ)，大數(shù)據(jù)安全同樣依賴于基礎(chǔ)設(shè)施的安全，隨著經(jīng)濟(jì)全球化和供應(yīng)鏈全球化的影響，關(guān)鍵基礎(chǔ)設(shè)施的安全變得日益復(fù)雜，一國的基礎(chǔ)設(shè)施可能同時服務(wù)于多個國家，信息經(jīng)濟(jì)的高度全球相互依賴性，挑戰(zhàn)著原有的國家主權(quán)觀念。

隨著數(shù)據(jù)價值的不斷提高，數(shù)據(jù)資源成為國家核心戰(zhàn)略資產(chǎn)和社會財富，一個國家擁有數(shù)據(jù)的規(guī)模、活性及解釋運(yùn)用的能力將成為綜合國力的重要組成部分，對大數(shù)據(jù)的占有和控制權(quán)成為維護(hù)國家主權(quán)和核心利益的基礎(chǔ)。

我國大數(shù)據(jù)面臨的主要問題

法律規(guī)范缺失 數(shù)據(jù)管理缺乏依據(jù)

沒有對保護(hù)本國數(shù)據(jù)、限制數(shù)據(jù)跨境流通等做出明確規(guī)定，在金融、證券、保險等重要行業(yè)在華開展業(yè)務(wù)的外國企業(yè)大量將敏感數(shù)據(jù)傳輸、存儲至其國外的數(shù)據(jù)中心，存在不可控風(fēng)險。

缺乏企業(yè)和應(yīng)用程序關(guān)于搜集、存儲、分析、應(yīng)用數(shù)據(jù)的相關(guān)法規(guī)，電信、金融、物流等行業(yè)個人信息泄露、違規(guī)使用情況嚴(yán)重，移動應(yīng)用多在不必要的情況下采集用戶的手機(jī)通話記錄、短信、地理位置等信息，危及個人財產(chǎn)、生命安全。

產(chǎn)業(yè)根基不牢 數(shù)據(jù)主權(quán)面臨挑戰(zhàn)

大數(shù)據(jù)安全需要從底層芯片、基礎(chǔ)軟件到應(yīng)用分析軟件及服務(wù)等信息產(chǎn)業(yè)全產(chǎn)業(yè)鏈的支撐，我國信息技術(shù)起步較晚，大數(shù)據(jù)相關(guān)產(chǎn)業(yè)自主能力較差，數(shù)據(jù)采集、傳輸、存儲、處理等方面技術(shù)與國外存在較大差距，在處理芯片、存儲設(shè)備、大數(shù)據(jù)軟件等方面均存在受制于人的問題。

技術(shù)實(shí)力較弱 難以應(yīng)對大數(shù)據(jù)安全威脅

大數(shù)據(jù)處理核心技術(shù)難以掌控。Hadoop分布式數(shù)據(jù)處理技術(shù)、nosql數(shù)據(jù)庫及流式數(shù)據(jù)處理技術(shù)等分別被國外的Cloudera、IBM以及亞馬遜等企業(yè)所掌握，國內(nèi)的數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)關(guān)鍵技術(shù)多來自國外，缺乏對大數(shù)據(jù)技術(shù)研發(fā)的整體設(shè)計框架，與數(shù)據(jù)安全相關(guān)的產(chǎn)品和服務(wù)還存在缺口，難以應(yīng)對大數(shù)據(jù)應(yīng)用帶來的伴生性安全威脅和傳統(tǒng)安全威脅交織的復(fù)雜局面。

大數(shù)據(jù)安全經(jīng)費(fèi)投入分散 經(jīng)費(fèi)使用效率不高

大數(shù)據(jù)安全經(jīng)費(fèi)投入不足，現(xiàn)有的經(jīng)費(fèi)主要用于網(wǎng)絡(luò)輿情監(jiān)控等內(nèi)容審查方面，對大數(shù)據(jù)安全技術(shù)研究、大數(shù)據(jù)安全產(chǎn)品研發(fā)等的支持力度不夠，不能滿足我國大數(shù)據(jù)安全發(fā)展的需要，影響信息安全產(chǎn)業(yè)化進(jìn)程。

信息安全意識薄弱 大數(shù)據(jù)安全專業(yè)人才供血不足

全民安全意識薄弱，一些部門和人員對信息安全的戰(zhàn)略地位認(rèn)識不到位，“說起來重要，干起來次要”的情況普遍存在。

據(jù)Gartner統(tǒng)計，2015年全球新增440萬個與大數(shù)據(jù)相關(guān)的工作崗位，并催生大數(shù)據(jù)分析師、首席數(shù)據(jù)官等大數(shù)據(jù)相關(guān)職業(yè)。大數(shù)據(jù)安全發(fā)展對需要對數(shù)學(xué)、統(tǒng)計學(xué)、數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、自然語言處理、網(wǎng)絡(luò)安全等多方面知識綜合掌握，可承擔(dān)分析和挖掘的復(fù)合型人才、高端數(shù)據(jù)科學(xué)家以及管理人才存在很大缺口。

加強(qiáng)大數(shù)據(jù)安全保障的對策建議

從國家層面上來講，要盡快制定相關(guān)法律法規(guī)，明確各方責(zé)權(quán)；強(qiáng)化制度建設(shè)，加強(qiáng)重點(diǎn)領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管；加強(qiáng)大數(shù)據(jù)相關(guān)產(chǎn)品、服務(wù)管理，建立自主可控信息技術(shù)生態(tài)體系；加速發(fā)展大數(shù)據(jù)相關(guān)技術(shù)，建立網(wǎng)絡(luò)安全縱深防御體系；充分利用區(qū)塊鏈技術(shù)推動大數(shù)據(jù)價值實(shí)現(xiàn)，確保信息安全；堅(jiān)持積極防范，構(gòu)建基于等級保護(hù)的大數(shù)據(jù)縱深防御防護(hù)體系架構(gòu)。

從企業(yè)層面來講，要做到管理和技術(shù)并重，全方位提高信息安全防護(hù)能力；要做到管理和技術(shù)并重，全方位提高信息安全防護(hù)能力；要構(gòu)建大數(shù)據(jù)等級保護(hù)技術(shù)框架，確保大數(shù)據(jù)可信、可控、可管。

（本文根據(jù)工信部賽迪網(wǎng)絡(luò)安全研究所所長、賽迪區(qū)塊鏈研究院院長劉權(quán)博士在2019第四屆中國網(wǎng)絡(luò)信息安全峰會上的演講內(nèi)容整理，未經(jīng)本人確認(rèn)。）