張博卿

（賽迪智庫網(wǎng)絡(luò)空間研究所，北京 100846）

1 引言

當(dāng)前，大數(shù)據(jù)技術(shù)和應(yīng)用的不斷發(fā)展，使得對海量數(shù)據(jù)進(jìn)行處理和分析成為可能，在數(shù)據(jù)驅(qū)動不斷為人們生活帶來便利的同時，數(shù)據(jù)匯聚和分析對國家和個人也帶來了諸多安全隱患。本文分析我國大數(shù)據(jù)安全的現(xiàn)狀、存在的不足，并據(jù)此提出相關(guān)政策建議。

2 我國大數(shù)據(jù)安全現(xiàn)狀

一是大數(shù)據(jù)平臺成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)。

大數(shù)據(jù)時代，作為數(shù)據(jù)的載體，大型網(wǎng)站、數(shù)據(jù)中心、云計算中心等大數(shù)據(jù)平臺集聚大量數(shù)據(jù)，涉及個人隱私、財務(wù)等敏感數(shù)據(jù)，更是業(yè)務(wù)健康、安全運(yùn)轉(zhuǎn)的關(guān)鍵，吸引著更多的以商業(yè)目的或國家利益為背景的黑客的注意，成為更具吸引力的目標(biāo)。數(shù)據(jù)的大量聚集，使得黑客一次成功的攻擊能夠獲得更多的數(shù)據(jù)，無形中降低了黑客的進(jìn)攻成本，增加了“收益率”。例如，2015年4月，遍布全國19個省份的社保系統(tǒng)信息泄露事件曝光，包括個人身份證、社保參保信息、財務(wù)、薪酬、房屋等敏感信息的5300余萬條個人信息遭泄露。

二是大數(shù)據(jù)推高信息泄露的風(fēng)險。

海量數(shù)據(jù)的不斷聚集，將促進(jìn)包括大量的企業(yè)運(yùn)營數(shù)據(jù)、客戶信息、個人的隱私和各種行為的細(xì)節(jié)記錄不斷積累，這些集中存儲的數(shù)據(jù)無形中增加了數(shù)據(jù)泄露的風(fēng)險。不法分子可借助大數(shù)據(jù)平臺泄露的數(shù)據(jù)對其它平臺進(jìn)行“撞庫”攻擊。由于各企業(yè)對數(shù)據(jù)傳輸和存儲的安全保障能力不一，一旦其中一個較為“脆弱”的數(shù)據(jù)平臺發(fā)生數(shù)據(jù)泄漏，其它“堅固”的平臺也將遭受魚池之殃。

三是大數(shù)據(jù)加大網(wǎng)絡(luò)安全防護(hù)的難度。

大數(shù)據(jù)分析技術(shù)使攻擊者的攻擊手段更加豐富。惡意攻擊者可以通過收集上網(wǎng)痕跡等信息，獲取潛在攻擊對象的相關(guān)信息，并利用大數(shù)據(jù)分析技術(shù)，對其真實(shí)身份、性格、消費(fèi)習(xí)慣、需求等個人信息進(jìn)行還原，嚴(yán)重威脅個人的隱私和安全。利用數(shù)據(jù)挖掘、關(guān)聯(lián)分析能夠從普通數(shù)據(jù)中提取大量具有統(tǒng)計意義的信息，可能分析出企業(yè)的商業(yè)布局，甚至國家的經(jīng)濟(jì)走向，進(jìn)而對企業(yè)或者國家發(fā)起更具有針對性和精確性的攻擊。傳統(tǒng)的防火墻、病毒查殺、入侵檢測等安全防護(hù)軟件不能滿足當(dāng)前需求，防護(hù)措施的更新升級速度也無法跟上數(shù)據(jù)量非線性增長的步伐。同時，大數(shù)據(jù)也可能成為高級病毒的載體，由于針對大數(shù)據(jù)等新技術(shù)產(chǎn)生的網(wǎng)絡(luò)威脅的防御體系尚未建立，隱藏在大數(shù)據(jù)中的病毒和惡意軟件難以發(fā)現(xiàn)。

四是大數(shù)據(jù)對保障基礎(chǔ)設(shè)施安全和國家主權(quán)維護(hù)提出新挑戰(zhàn)。

電信網(wǎng)絡(luò)甚至工控系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施是大數(shù)據(jù)發(fā)展的基礎(chǔ)，大數(shù)據(jù)安全同樣依賴于基礎(chǔ)設(shè)施的安全，隨著經(jīng)濟(jì)全球化和供應(yīng)鏈全球化的影響，關(guān)鍵基礎(chǔ)設(shè)施的安全變得日益復(fù)雜，一國的基礎(chǔ)設(shè)施可能同時服務(wù)于多個國家，信息經(jīng)濟(jì)的高度全球相互依賴性，挑戰(zhàn)著原有的國家主權(quán)觀念。隨著數(shù)據(jù)價值的不斷提高，數(shù)據(jù)資源成為國家核心戰(zhàn)略資產(chǎn)和社會財富，一個國家擁有數(shù)據(jù)的規(guī)模、活性及解釋運(yùn)用的能力，將成為綜合國力的重要組成部分，對大數(shù)據(jù)的占有和控制權(quán)成為維護(hù)國家主權(quán)和核心利益的基礎(chǔ)。

3 我國大數(shù)據(jù)安全保障工作存在的不足

一是法律規(guī)范缺失，數(shù)據(jù)管理缺乏依據(jù)。

缺乏企業(yè)和應(yīng)用程序關(guān)于搜集、存儲、分析、應(yīng)用數(shù)據(jù)的相關(guān)法規(guī)，電信、金融、物流等行業(yè)個人信息泄露、違規(guī)使用情況嚴(yán)重，移動應(yīng)用多在不必要的情況下采集用戶的手機(jī)通話記錄、短信、地理位置等信息，危及個人財產(chǎn)、生命安全。

二是產(chǎn)業(yè)根基不牢，數(shù)據(jù)主權(quán)面臨挑戰(zhàn)。

大數(shù)據(jù)安全需要從底層芯片、基礎(chǔ)軟件到應(yīng)用分析軟件及服務(wù)等信息產(chǎn)業(yè)全產(chǎn)業(yè)鏈的支撐，我國信息技術(shù)起步較晚，大數(shù)據(jù)相關(guān)產(chǎn)業(yè)自主能力較差，數(shù)據(jù)采集、傳輸、存儲、處理等方面技術(shù)與國外存在較大差距，在處理芯片、存儲設(shè)備、大數(shù)據(jù)軟件等方面均存在受制于人的問題，具體表現(xiàn)在我國核心技術(shù)產(chǎn)品依賴國外，重要關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)中大量使用國外基礎(chǔ)軟件以及核心關(guān)鍵設(shè)備。

據(jù)統(tǒng)計，我國芯片、元器件、網(wǎng)絡(luò)設(shè)備、通用協(xié)議和標(biāo)準(zhǔn)，90%依賴進(jìn)口；防火墻、加密機(jī)等10類信息安全產(chǎn)品，65%來自進(jìn)口；操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、存儲設(shè)備自主率僅為2.75%、4.94%、13.8%、16.2%。

三是技術(shù)實(shí)力較弱，難以應(yīng)對大數(shù)據(jù)安全威脅。

首先，我國尚未掌握大數(shù)據(jù)處理核心技術(shù)。Hadoop分布式數(shù)據(jù)處理技術(shù)、NOSQL數(shù)據(jù)庫及流式數(shù)據(jù)處理技術(shù)等分別被國外的Cloud era、IBM以及亞馬遜等企業(yè)所掌握，國內(nèi)的數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)關(guān)鍵技術(shù)多來自國外，缺乏對大數(shù)據(jù)技術(shù)研發(fā)的整體設(shè)計框架，與數(shù)據(jù)安全相關(guān)的產(chǎn)品和服務(wù)還存在缺口，難以應(yīng)對大數(shù)據(jù)應(yīng)用帶來的伴生性安全威脅和傳統(tǒng)安全威脅交織的復(fù)雜局面。

其次，缺乏針對大數(shù)據(jù)平臺網(wǎng)絡(luò)攻擊的有效應(yīng)對。2014年，“心臟出血”漏洞以其超強(qiáng)破壞力在網(wǎng)絡(luò)安全業(yè)界引發(fā)了廣泛擔(dān)憂。據(jù)“從應(yīng)對‘心臟出血’漏洞看各國攻防能力”的研究成果顯示，我國在漏洞修復(fù)和危機(jī)應(yīng)急反應(yīng)能力方面，全球排名僅居102位，與我國的網(wǎng)絡(luò)大國地位極不相稱。

最后，我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。據(jù)英國《簡氏戰(zhàn)略報告》和其它網(wǎng)絡(luò)組織對各國信息防護(hù)能力的評估，我國被列入防護(hù)能力最低的國家之一，不僅大大低于美國、俄羅斯和以色列等信息安全強(qiáng)國，而且排在印度、韓國之后。

四是大數(shù)據(jù)安全經(jīng)費(fèi)投入分散，經(jīng)費(fèi)使用效率不高。

各部門對于大數(shù)據(jù)安全的經(jīng)費(fèi)投入分散，大數(shù)據(jù)安全研究、工程項目、工作管理等經(jīng)費(fèi)的歸口管理部門不同，彼此間的經(jīng)費(fèi)投入缺乏協(xié)調(diào)，難以形成合力。同時，大數(shù)據(jù)安全經(jīng)費(fèi)投入不足，現(xiàn)有的經(jīng)費(fèi)主要用于網(wǎng)絡(luò)輿情監(jiān)控等內(nèi)容審查方面，對大數(shù)據(jù)安全技術(shù)研究、大數(shù)據(jù)安全產(chǎn)品研發(fā)等的支持力度不夠，不能滿足我國大數(shù)據(jù)安全發(fā)展的需要，影響信息安全產(chǎn)業(yè)化進(jìn)程。

五是大數(shù)據(jù)安全專業(yè)人才供血不足。

我國大數(shù)據(jù)安全人才培養(yǎng)機(jī)制尚不健全，尚未形成高校、企業(yè)的聯(lián)合培養(yǎng)機(jī)制，培訓(xùn)體系不健全，能夠培養(yǎng)大數(shù)據(jù)安全相關(guān)人才的院?；蛘吲嘤?xùn)單位非常少，大多技術(shù)人員缺乏深入研究能力。據(jù)Gartner統(tǒng)計，近年來全球新增超過500萬個與大數(shù)據(jù)相關(guān)的工作崗位，并催生大數(shù)據(jù)分析師、首席數(shù)據(jù)官等大數(shù)據(jù)相關(guān)職業(yè)。大數(shù)據(jù)安全發(fā)展對需要對數(shù)學(xué)、統(tǒng)計學(xué)、數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、自然語言處理、網(wǎng)絡(luò)安全等多方面知識綜合掌握，但我國可承擔(dān)分析和挖掘的復(fù)合型人才、高端數(shù)據(jù)科學(xué)家以及管理人才存在很大缺口。

4 加強(qiáng)大數(shù)據(jù)安全保障的對策建議

一是盡快制定相關(guān)法律法規(guī)，明確各方責(zé)權(quán)。

首先，應(yīng)明確國家對本國數(shù)據(jù)資源進(jìn)行保護(hù)、開發(fā)和利用的權(quán)利，明確對跨境傳輸數(shù)據(jù)進(jìn)行管理和監(jiān)控的權(quán)利。其次，明確企業(yè)、應(yīng)用程序的權(quán)利和義務(wù)，包括軟件采用最小特權(quán)原則，敏感數(shù)據(jù)不得出境，保護(hù)個人隱私，嚴(yán)格控制基于數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)技術(shù)產(chǎn)生的數(shù)據(jù)等。最后，切實(shí)加強(qiáng)對個人信息的保護(hù)，借鑒歐盟提出的“被遺忘權(quán)”等經(jīng)驗(yàn)，為個人隱私維權(quán)提供依據(jù)。

二是強(qiáng)化制度建設(shè)，加強(qiáng)重點(diǎn)領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管。

一方面，加快建立大數(shù)據(jù)安全開放的監(jiān)管制度。制定大數(shù)據(jù)采集、傳輸、存儲、使用和跨境流動的規(guī)則，明確安全保護(hù)技術(shù)措施。從技術(shù)研發(fā)、內(nèi)部管理、用戶使用等環(huán)節(jié)出發(fā)，探索建立商業(yè)秘密、專利等企業(yè)敏感數(shù)據(jù)的安全保護(hù)規(guī)則和實(shí)踐。制定政府?dāng)?shù)據(jù)開放政策，探索大數(shù)據(jù)交換交易政策和規(guī)則。

另一方面，強(qiáng)化對重點(diǎn)行業(yè)和領(lǐng)域數(shù)據(jù)和網(wǎng)絡(luò)安全的監(jiān)管。在大型數(shù)據(jù)中心、重點(diǎn)行業(yè)和領(lǐng)域信息系統(tǒng)深入落實(shí)等級保護(hù)制度，開展信息安全風(fēng)險評估，并部署基于主動防御理念的技術(shù)防護(hù)手段和措施。針對大數(shù)據(jù)平臺及服務(wù)商的可靠性及安全性，開展信息技術(shù)產(chǎn)品和服務(wù)審查，引導(dǎo)企業(yè)加強(qiáng)信息技術(shù)產(chǎn)品供應(yīng)鏈管理，有效降低使用國外產(chǎn)品和服務(wù)而可能導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。

三是加強(qiáng)大數(shù)據(jù)相關(guān)產(chǎn)品、服務(wù)管理，建立自主可控信息技術(shù)生態(tài)體系。

針對關(guān)鍵領(lǐng)域和部門出臺強(qiáng)制性的標(biāo)準(zhǔn)和規(guī)定，加大對微軟、谷歌、騰訊、阿里等掌握大量數(shù)據(jù)的國內(nèi)外企業(yè)的監(jiān)管力度，明確相關(guān)數(shù)據(jù)的使用權(quán)限和要求，防范有意、無意的數(shù)據(jù)泄露。同時，借鑒美國等發(fā)達(dá)國家在網(wǎng)絡(luò)安全審查方面的經(jīng)驗(yàn)，在我國即將推行的網(wǎng)絡(luò)安全審查制度中，建立大數(shù)據(jù)技術(shù)、產(chǎn)品及服務(wù)的安全檢測與審查制度。進(jìn)一步的，明確國產(chǎn)化替代時間表和路線圖，加大政策扶持力度，鼓勵和扶助國內(nèi)電子產(chǎn)品廠商優(yōu)先采用國產(chǎn)硬件，要求新建的重要網(wǎng)絡(luò)和信息系統(tǒng)采用國產(chǎn)產(chǎn)品，推動關(guān)鍵信息技術(shù)和產(chǎn)品的國產(chǎn)化替代，建立自主可控信息技術(shù)產(chǎn)業(yè)生態(tài)體系。

四是加速發(fā)展大數(shù)據(jù)相關(guān)技術(shù)，建立網(wǎng)絡(luò)安全縱深防御體系。

一方面，加大對大數(shù)據(jù)安全保障關(guān)鍵技術(shù)研發(fā)的資金投入，推動基于大數(shù)據(jù)的安全技術(shù)研發(fā)，研究基于大數(shù)據(jù)的網(wǎng)絡(luò)攻擊追蹤方法。

另一方面，針對國家敏感、重要大數(shù)據(jù)防護(hù)目標(biāo)，構(gòu)建具有反制能力的網(wǎng)絡(luò)安全積極防御體系，發(fā)展平戰(zhàn)結(jié)合、軍民結(jié)合、攻防兼?zhèn)涞木W(wǎng)絡(luò)空間力量，建設(shè)國家網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警和積極防御平臺，精確預(yù)警、準(zhǔn)確溯源、有效反制，提升對國家級、有組織網(wǎng)絡(luò)攻擊威脅的發(fā)現(xiàn)能力。

5 結(jié)束語

本文通過分析了我國大數(shù)據(jù)安全的現(xiàn)狀，從法律規(guī)范、技術(shù)實(shí)力和人才培養(yǎng)等方面給出了我國大數(shù)據(jù)安全方面存在的問題，最后提出了相應(yīng)的對策建議，分別是盡快制定相關(guān)法律法規(guī)，明確各方責(zé)權(quán)；強(qiáng)化制度建設(shè)，加強(qiáng)重點(diǎn)領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管；加強(qiáng)大數(shù)據(jù)相關(guān)產(chǎn)品、服務(wù)管理，建立自主可控信息技術(shù)生態(tài)體系；加速發(fā)展大數(shù)據(jù)相關(guān)技術(shù)，建立網(wǎng)絡(luò)安全縱深防御體系。