牟明福，蘇正泉

(1.中共貴州省委黨校，貴州 貴陽 550028；2.國家行政學(xué)院，北京 100089)

0　引言

大數(shù)據(jù)是基于云計(jì)算、物聯(lián)網(wǎng)等為基礎(chǔ)構(gòu)建的新型信息技術(shù)系統(tǒng)和架構(gòu)，相對(duì)于傳統(tǒng)信息化系統(tǒng)，其網(wǎng)絡(luò)邊界更寬、信息生態(tài)系統(tǒng)覆蓋面更廣、數(shù)據(jù)集中度更高，面臨的安全風(fēng)險(xiǎn)也隨之加劇。大數(shù)據(jù)安全是一場必要的斗爭[1]；大數(shù)據(jù)的發(fā)展，帶來一系列新的挑戰(zhàn)，直接影響和關(guān)涉國家安全、個(gè)人隱私[2]。隨著大數(shù)據(jù)技術(shù)不斷發(fā)展，世界各國政府把信息網(wǎng)絡(luò)安全戰(zhàn)略逐漸從互聯(lián)網(wǎng)信息安全擴(kuò)展到大數(shù)據(jù)信息安全領(lǐng)域[3]。

目前，國內(nèi)外學(xué)者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的方法、模型、影響因素均有專門研究[4-8]。陳火全[9]提出大數(shù)據(jù)背景下建立基于信譽(yù)機(jī)制的P2P網(wǎng)絡(luò)安全治理策略；陳建昌[10]對(duì)大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全，從物理安全、信息傳播安全、管理安全3個(gè)方面進(jìn)行了分析，并提出加強(qiáng)技術(shù)防范和提高安全防范意識(shí)的網(wǎng)絡(luò)安全防護(hù)措施；陳明奇等[1]研究指出，美國實(shí)際上已經(jīng)確立了基于大數(shù)據(jù)的信息網(wǎng)絡(luò)安全戰(zhàn)略；張玉蘭[11]等提出，不是所有安全事件都能完全預(yù)防,高效的事件響應(yīng)能力可降低信息安全事件損失和破壞。綜合以上研究成果可知，現(xiàn)階段缺乏對(duì)大數(shù)據(jù)發(fā)展中信息安全風(fēng)險(xiǎn)的系統(tǒng)辨識(shí)，且對(duì)信息安全風(fēng)險(xiǎn)全過程治理的研究尚有不足。

信息安全是國家安全的重要組成之一，既影響國家安全又聯(lián)系國民安全。圍繞數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析4個(gè)大數(shù)據(jù)核心環(huán)節(jié)，進(jìn)行系統(tǒng)的信息安全風(fēng)險(xiǎn)辨識(shí)，引入公共安全管理、風(fēng)險(xiǎn)治理理論，探索構(gòu)建信息安全防御策略，對(duì)強(qiáng)化大數(shù)據(jù)發(fā)展中的信息安全管理、推動(dòng)信息安全戰(zhàn)略落地，是非常必要且具有積極借鑒意義的。

1　信息安全的內(nèi)涵及發(fā)展

1.1　與安全一脈相承并不斷深化的信息安全

安全在各個(gè)領(lǐng)域都普遍存在，它有2層含義，一是指安全的狀態(tài)，即沒有危險(xiǎn)，沒有恐懼；二是指對(duì)安全的維護(hù)，指安全措施和安全機(jī)構(gòu)。信息安全，是在信息作為與物質(zhì)、能源一起構(gòu)成社會(huì)發(fā)展基本要素后，其重要性日漸凸顯并為保護(hù)其價(jià)值而逐步發(fā)展的概念，它的含義在“安全的狀態(tài)”和“安全的維護(hù)”這2個(gè)方面都各有所指，且其重點(diǎn)目標(biāo)、概念、范圍也在信息化發(fā)展中不斷演化：從最初的強(qiáng)調(diào)“通信保密”到“信息安全”、“計(jì)算機(jī)安全和信息安全”以及總體性的“信息安全”；范圍領(lǐng)域則從最早主要涉及軍事領(lǐng)域，擴(kuò)展到信息化社會(huì)的各個(gè)方面；目標(biāo)從最早的“對(duì)作戰(zhàn)信息的保密”發(fā)展到“信息在各環(huán)節(jié)的完整性、可用性、可控制性和不可否認(rèn)性”；對(duì)應(yīng)地，其理論和實(shí)用技術(shù)關(guān)注的重點(diǎn)也由最初的“防止泄密”，發(fā)展成為“防范、監(jiān)測、管理、評(píng)估、控制、攻擊”等多方面的基礎(chǔ)理論和實(shí)用技術(shù)，并正在向“鑒別、授權(quán)、訪問控制、抗否認(rèn)性以及個(gè)人隱私、知識(shí)產(chǎn)權(quán)的保護(hù)”等方向不斷擴(kuò)展。

1.2　信息安全與網(wǎng)絡(luò)安全

“信息安全”對(duì)應(yīng)英文Information Security或Cyber Security 2種表述。中國使用信息安全更具普遍性，既指網(wǎng)絡(luò)安全，又指內(nèi)容安全；空間安全側(cè)重強(qiáng)調(diào)網(wǎng)絡(luò)空間的基礎(chǔ)設(shè)施安全，更為關(guān)注從宏觀視野上對(duì)信息安全進(jìn)行考察。

1.3　信息安全的本質(zhì)是數(shù)據(jù)安全

信息與其他資源一樣具有生命周期，從信息的產(chǎn)生到最終被使用并發(fā)揮作用，可將信息的生命周期分為需求、收集、傳輸、處理、存儲(chǔ)、維護(hù)、使用和退出等過程，綜合起來看，廣義上的信息安全指信息收集、處理、存儲(chǔ)、傳輸和使用等信息生命周期上各個(gè)環(huán)節(jié)的安全，每一個(gè)環(huán)節(jié)上都有數(shù)據(jù)的流動(dòng)和痕跡，因此信息安全從本質(zhì)上來說是信息資源(數(shù)據(jù))的安全。數(shù)據(jù)安全是網(wǎng)絡(luò)空間安全核心內(nèi)容[12]。信息安全核心任務(wù)就是綜合運(yùn)用技術(shù)與管理等各種手段，讓信息資源(數(shù)據(jù)資產(chǎn))免受威脅，或者將威脅所帶來的后果降到最低程度，以維護(hù)系統(tǒng)或組織的正常運(yùn)轉(zhuǎn)。

2　大數(shù)據(jù)發(fā)展引發(fā)信息安全新風(fēng)險(xiǎn)

隨著大數(shù)據(jù)應(yīng)用范圍和領(lǐng)域的擴(kuò)大，信息安全的需求也越來越迫切，并在數(shù)據(jù)(信息)流動(dòng)的各個(gè)環(huán)節(jié)都有風(fēng)險(xiǎn)和挑戰(zhàn)呈現(xiàn)出來?！袄忡R門”事件從某種程度上折射出我國網(wǎng)絡(luò)信息安全的脆弱，巨大的風(fēng)險(xiǎn)迫切地要求我國重新思索網(wǎng)絡(luò)信息安全戰(zhàn)略，在充分利用新技術(shù)以提升經(jīng)濟(jì)效率的同時(shí)，確保網(wǎng)絡(luò)信息安全、公民權(quán)利以及國家安全[13]。

2.1　復(fù)雜信息感知環(huán)境集聚數(shù)據(jù)采集風(fēng)險(xiǎn)

大數(shù)據(jù)環(huán)境下的數(shù)據(jù)采集，既有基于物聯(lián)網(wǎng)和各類傳感器的采集，也有基于網(wǎng)絡(luò)信息的數(shù)據(jù)采集，這就決定了大數(shù)據(jù)采集來源非常廣泛。連接在物聯(lián)網(wǎng)上的各種感知與終端設(shè)備(傳感器、智能家電、嵌入式系統(tǒng)等感知端)都是由諸如現(xiàn)場總線、無線局域網(wǎng)、樓域網(wǎng)、園區(qū)網(wǎng)等多樣化的自組織網(wǎng)絡(luò)構(gòu)成，從積極的意義上講，這些網(wǎng)絡(luò)實(shí)時(shí)產(chǎn)生和貢獻(xiàn)大量數(shù)據(jù)。從安全風(fēng)險(xiǎn)上看，一方面，由于感知終端處于公開、暴露、移動(dòng)、野外等復(fù)雜環(huán)境中，感知設(shè)備安全防護(hù)能力脆弱，且當(dāng)前的認(rèn)證、加密、防控、鑒別、審計(jì)等技術(shù)并不成熟或應(yīng)用不夠充分，“數(shù)據(jù)采集”中更容易出現(xiàn)安全問題；另一方面，“采集端所有權(quán)”廣泛分布的屬性，也導(dǎo)致基于這種復(fù)雜環(huán)境下采集數(shù)據(jù)所對(duì)應(yīng)的信息安全需求比傳統(tǒng)局域網(wǎng)、廣泛連接的互聯(lián)網(wǎng)更高，對(duì)隱私權(quán)的保護(hù)問題也更為突出[14-15]。

2.2　多樣化的數(shù)據(jù)傳輸難以構(gòu)建統(tǒng)一的保密防御機(jī)制

基于大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)，既將感知數(shù)據(jù)向系統(tǒng)傳輸，又承擔(dān)對(duì)數(shù)據(jù)進(jìn)行加工后產(chǎn)出的“智慧服務(wù)”響應(yīng)向用戶進(jìn)行傳輸?shù)娜蝿?wù)。傳統(tǒng)的數(shù)據(jù)傳輸安全一般依靠基于密鑰的加密技術(shù)、建立可信平臺(tái)、建立專用隧道等方式進(jìn)行保障，但大數(shù)據(jù)環(huán)境下的數(shù)據(jù)采集端和服務(wù)響應(yīng)端，無論是載體形式、還是所支持的數(shù)據(jù)種類都非常多樣，針對(duì)不同的終端和多樣的數(shù)據(jù)很難構(gòu)建統(tǒng)一的加密機(jī)制。沒有統(tǒng)一的加密防御或放棄“加密”防御，數(shù)據(jù)可能會(huì)“裸身傳遞”，再加上探測、監(jiān)聽、數(shù)據(jù)截獲等各種網(wǎng)絡(luò)安全侵犯能力的更新，大數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)娘L(fēng)險(xiǎn)問題自然更為突出。

2.3　基于云計(jì)算技術(shù)的數(shù)據(jù)集中產(chǎn)生系列風(fēng)險(xiǎn)

首先，“云中數(shù)據(jù)”可能遭受“內(nèi)外攻擊”。大數(shù)據(jù)的“高價(jià)值屬性”決定了各類海量數(shù)據(jù)可能隱含巨大政治、軍事、經(jīng)濟(jì)、文化科研價(jià)值，這些海量數(shù)據(jù)集中存儲(chǔ)在云計(jì)算系統(tǒng)(數(shù)據(jù)中心)，自然就易于成為首選的攻擊目標(biāo)。在傳統(tǒng)網(wǎng)絡(luò)環(huán)境中，為了防御來自外部的攻擊，可以在內(nèi)、外部網(wǎng)絡(luò)間采用安全網(wǎng)關(guān)進(jìn)行防御，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部非法用戶的侵入。但在云計(jì)算技術(shù)服務(wù)方式下，公有云是為多租戶服務(wù)的，大量不同用戶的應(yīng)用都運(yùn)行在同一云計(jì)算系統(tǒng)(數(shù)據(jù)中心)內(nèi)部，更多的安全攻擊可能來自云計(jì)算系統(tǒng)內(nèi)部。因此，在云計(jì)算技術(shù)條件下，大數(shù)據(jù)集中系統(tǒng)不僅要防御外部對(duì)整個(gè)云計(jì)算系統(tǒng)(數(shù)據(jù)中心)實(shí)施網(wǎng)絡(luò)入侵和攻擊，而且要高度關(guān)注云內(nèi)部“壞分子”(微軟首席安全官—查理曾提出過“查理理論”：不論人口多少，壞分子總占有一定比例)對(duì)各類數(shù)據(jù)實(shí)施“前側(cè)后”(FSB)3種方式的攻擊。相應(yīng)地，又為基于云計(jì)算的大數(shù)據(jù)存儲(chǔ)帶來了更為復(fù)雜的安全風(fēng)險(xiǎn)[16]。

其次，用戶因數(shù)據(jù)托管而面臨新風(fēng)險(xiǎn)，如圖1所示。大數(shù)據(jù)技術(shù)背景下的數(shù)據(jù)集中，一般采用將用戶數(shù)據(jù)交云計(jì)算服務(wù)商(數(shù)據(jù)中心)托管實(shí)現(xiàn)數(shù)據(jù)集中存儲(chǔ)，它所面臨的新風(fēng)險(xiǎn)包括：優(yōu)先訪問權(quán)風(fēng)險(xiǎn)，用戶把數(shù)據(jù)交給云計(jì)算服務(wù)商后，具有數(shù)據(jù)優(yōu)先訪問權(quán)的并不是用戶自身而是云計(jì)算服務(wù)商；數(shù)據(jù)處所風(fēng)險(xiǎn)，客戶使用云計(jì)算服務(wù)時(shí)，并不知道自己數(shù)據(jù)存放在哪臺(tái)服務(wù)器上，甚至根本不了解這臺(tái)服務(wù)器被放置在哪個(gè)國家；數(shù)據(jù)隔離風(fēng)險(xiǎn)，大量用戶數(shù)據(jù)在云計(jì)算服務(wù)平臺(tái)中幾近處于共享環(huán)境中而很難隔離；數(shù)據(jù)恢復(fù)風(fēng)險(xiǎn)，用戶數(shù)據(jù)能否恢復(fù)、多久能得到恢復(fù)，取決于云計(jì)算服務(wù)商對(duì)數(shù)據(jù)的備份和恢復(fù)能力，而不是用戶自身；長期發(fā)展風(fēng)險(xiǎn)，如果用戶選擇了某家云計(jì)算服務(wù)商，就會(huì)一直期望這家服務(wù)商能平穩(wěn)發(fā)展，持續(xù)提供相應(yīng)服務(wù)，云計(jì)算服務(wù)商如果消失，可能會(huì)為用戶帶來“災(zāi)難性”的數(shù)據(jù)損失。

圖1　數(shù)據(jù)集中“托管”(存儲(chǔ))面臨新風(fēng)險(xiǎn)Fig.1　Data centralization "managed" (storage) face new risks

2.4　大數(shù)據(jù)的“精準(zhǔn)性”加工產(chǎn)生透視、截取用戶隱私及權(quán)益的風(fēng)險(xiǎn)

大量結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)采集、匯聚起來，通過數(shù)據(jù)挖掘、分析，大數(shù)據(jù)中蘊(yùn)含的價(jià)值能夠如“能源”或“鉆石”般被開采出來。但開采者(數(shù)據(jù)挖掘分析人員)并非都是數(shù)據(jù)及數(shù)據(jù)價(jià)值權(quán)益的擁有者，且用戶與開采者間因大數(shù)據(jù)、云計(jì)算技術(shù)水平的差異，存在嚴(yán)重的信息不對(duì)稱，大數(shù)據(jù)價(jià)值也只有通過系列的關(guān)聯(lián)分析、深度挖掘后才能顯現(xiàn)出其相應(yīng)價(jià)值，因而用戶向開采者事先無法準(zhǔn)確地依據(jù)數(shù)據(jù)價(jià)值進(jìn)行授權(quán)或契約。通過對(duì)數(shù)據(jù)進(jìn)行挖掘和開采后，開采者既可以在看到結(jié)果后全方位透視用戶的隱私和權(quán)益，又可以將開采結(jié)果部分或全部截獲，然后將經(jīng)截獲處理后的結(jié)果進(jìn)行掩飾或包裝，最后將包裝后的結(jié)果交付用戶。數(shù)據(jù)處理者有可能通過掌握的信息軌跡，預(yù)測數(shù)據(jù)權(quán)人的行為走向，進(jìn)而調(diào)整商業(yè)活動(dòng)模式[17]；在大數(shù)據(jù)發(fā)展的初期，沒有或難以構(gòu)建對(duì)數(shù)據(jù)挖掘的安全防御和監(jiān)控體系，整個(gè)數(shù)據(jù)挖掘過程猶如進(jìn)入“無人之境”。自然地，用戶的隱私和數(shù)據(jù)收益權(quán)益受到損失，風(fēng)險(xiǎn)演變成了危機(jī)[18]。

3　防范與化解大數(shù)據(jù)發(fā)展中的信息安全風(fēng)險(xiǎn)

全球數(shù)據(jù)空間沒有國界邊疆，大數(shù)據(jù)成為大國之間博弈和較量的利器[19]。強(qiáng)化大數(shù)據(jù)發(fā)展中的信息安全，就是要在對(duì)信息安全風(fēng)險(xiǎn)開展辨識(shí)的基礎(chǔ)上，綜合施策，預(yù)防和化解大數(shù)據(jù)發(fā)展中的信息安全風(fēng)險(xiǎn)，防止信息安全事件發(fā)生、降低信息安全事件損失。由信息安全戰(zhàn)略及大數(shù)據(jù)風(fēng)險(xiǎn)辯識(shí)、預(yù)防、化解、總結(jié)環(huán)節(jié)構(gòu)成的信息安全治理閉環(huán)如圖2所示。

圖2　信息安全治理閉環(huán)Fig.2　Information security management closed loop

3.1　將安全融入大數(shù)據(jù)發(fā)展戰(zhàn)略與規(guī)劃

知名IT評(píng)論人謝文強(qiáng)調(diào)：沒有市場經(jīng)濟(jì)制度和法治體系作為基礎(chǔ)支撐，大數(shù)據(jù)很可能成為發(fā)達(dá)國家在下一輪全球化競爭中的利器，而發(fā)展中國家依然處于被動(dòng)依附狀態(tài)；舍恩伯格在其所著的《大數(shù)據(jù)時(shí)代-生活、工作與思維的大變革》中，是用“無處不在的‘第三只眼’”、“我們的隱私被第二次利用了”，要“掙脫大數(shù)據(jù)的困境”對(duì)大數(shù)據(jù)發(fā)展中的信息安全進(jìn)行強(qiáng)調(diào)[20]。我國約有一半的人口已經(jīng)是互聯(lián)網(wǎng)網(wǎng)民，即使是非網(wǎng)民，也因?yàn)樯钤诖髷?shù)據(jù)時(shí)代，而無法與數(shù)據(jù)的產(chǎn)生、匯聚與使用“絕緣”，大數(shù)據(jù)發(fā)展既事關(guān)國家安全又直接聯(lián)系和影響人民群眾安全。圍繞大數(shù)據(jù)發(fā)展，推進(jìn)創(chuàng)新性的戰(zhàn)略計(jì)劃，在致力于提升綜合競爭實(shí)力的同時(shí)，要將重點(diǎn)鎖定在不斷滿足公眾日益增長的物質(zhì)、文化生活需求，并使其權(quán)益得到充分的保護(hù)。如果因?yàn)榇髷?shù)據(jù)發(fā)展中信息安全問題頻發(fā)，產(chǎn)生一些“數(shù)據(jù)利益權(quán)貴”、“數(shù)據(jù)挖掘投機(jī)分子”等而致公眾的隱私與數(shù)據(jù)權(quán)益受損，這樣的大數(shù)據(jù)發(fā)展戰(zhàn)略是得不償失和不可持續(xù)的。因此，需要將安全融入大數(shù)據(jù)發(fā)展戰(zhàn)略與規(guī)劃，大數(shù)據(jù)在引入安全問題的同時(shí)，也是解決信息安全問題的有效手段[21]。一方面，要審慎地推進(jìn)大數(shù)據(jù)發(fā)展，避免將各種安全風(fēng)險(xiǎn)放大；另一方面，高度重視大數(shù)據(jù)發(fā)展中的信息安全，自覺從發(fā)展屬性的角度考慮和重視安全，將其滲透到大數(shù)據(jù)發(fā)展戰(zhàn)略的每一方面[22-23]。

3.2　圍繞核心目標(biāo)加強(qiáng)大數(shù)據(jù)信息安全管理

需要著眼于大數(shù)據(jù)的全生命周期,基于大數(shù)據(jù)復(fù)雜性的基本特征及其量化指標(biāo),研究大數(shù)據(jù)環(huán)境下以數(shù)據(jù)為中心的計(jì)算模式,突破傳統(tǒng)的數(shù)據(jù)圍繞機(jī)器式計(jì)算,構(gòu)建以數(shù)據(jù)為中心的推送式計(jì)算模式[24]。無論大數(shù)據(jù)技術(shù)如何發(fā)展，數(shù)據(jù)仍然是信息安全的“核心目標(biāo)”，它的安全風(fēng)險(xiǎn)涉及數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)挖掘與應(yīng)用這個(gè)生命周期的各個(gè)環(huán)節(jié)。傳統(tǒng)信息安全具有“保密性、真實(shí)性、完整性、可用性、可控性”5方面防御目標(biāo)，大數(shù)據(jù)信息安全需要在此基礎(chǔ)上，關(guān)注系統(tǒng)可控性和問題可查性。

系統(tǒng)可控性是基于云計(jì)算技術(shù)的數(shù)據(jù)集中、數(shù)據(jù)挖掘與分析中的安全保護(hù)等需求而產(chǎn)生的，它要求對(duì)授權(quán)操作或使用數(shù)據(jù)的人或?qū)嶓w加以控制。大量數(shù)據(jù)聚集于一起的“資產(chǎn)”屬性尤為突出，在交付數(shù)據(jù)存儲(chǔ)過程中，用戶就非常有必要采用選擇本地、本區(qū)域數(shù)據(jù)中心存儲(chǔ)或強(qiáng)化數(shù)據(jù)備份的機(jī)制，做到將數(shù)據(jù)資產(chǎn)控制在自己可觸及范圍內(nèi)；問題可查性則要求在出現(xiàn)對(duì)數(shù)據(jù)的非法使用或破壞等信息安全問題時(shí)，能提供可追蹤調(diào)查的依據(jù)和手段。

據(jù)此構(gòu)建以數(shù)據(jù)為核心的信息安全防御管理體系，如圖3所示。

圖3　以數(shù)據(jù)為核心的信息安全防御管理體系Fig.3　Information security management system framework based on data

3.3　進(jìn)行大數(shù)據(jù)安全風(fēng)險(xiǎn)溝通

風(fēng)險(xiǎn)溝通是在不同利益相關(guān)者之間(如科技專家與普通大眾之間、政府官員與社區(qū)或社會(huì)團(tuán)體之間)針對(duì)有關(guān)風(fēng)險(xiǎn)因素進(jìn)行溝通的過程。由于風(fēng)險(xiǎn)具有主觀性，不同利益主體對(duì)風(fēng)險(xiǎn)的感知是不同的，任何一方的行動(dòng)都會(huì)對(duì)風(fēng)險(xiǎn)選擇和處置結(jié)果產(chǎn)生影響，因此，不同利益主體之間相互進(jìn)行信息溝通至關(guān)重要[25]。對(duì)大數(shù)據(jù)，尤其是大數(shù)據(jù)信息安全這一新興發(fā)展領(lǐng)域，廣大社會(huì)公眾普遍對(duì)其知之甚少，易于出現(xiàn)要么將安全問題“束之高閣”，要么“談信息安全色變”的傾向，既不利于對(duì)大數(shù)據(jù)發(fā)展的推動(dòng)，又無法科學(xué)保護(hù)大數(shù)據(jù)安全。圍繞大數(shù)據(jù)安全開展風(fēng)險(xiǎn)溝通，一是采取教育培訓(xùn)手段，拓展大數(shù)據(jù)及安全領(lǐng)域?qū)＜遗c民眾間的溝通，讓民眾了解大數(shù)據(jù)技術(shù)原理、特征并對(duì)大數(shù)據(jù)發(fā)展的安全風(fēng)險(xiǎn)、尤其是大數(shù)據(jù)發(fā)展可能對(duì)自身權(quán)益和隱私帶來的風(fēng)險(xiǎn)有所了解；二是針對(duì)基于大數(shù)據(jù)技術(shù)的數(shù)據(jù)采集、存儲(chǔ)、加工等應(yīng)用，積極開發(fā)和普及各種防御技術(shù)、產(chǎn)品和服務(wù)，建立為網(wǎng)絡(luò)用戶提供普遍性安全防御的機(jī)制，讓大數(shù)據(jù)安全嵌入政府公共服務(wù)；三是企業(yè)、公眾或其他社會(huì)組織在向受托方交付數(shù)據(jù)存儲(chǔ)或挖掘等任務(wù)時(shí)要充分溝通，明確雙方在風(fēng)險(xiǎn)防御中的法定職責(zé)、義務(wù)和恢復(fù)措施，共同控制風(fēng)險(xiǎn)；四是要引導(dǎo)媒體正確傳播大數(shù)據(jù)安全風(fēng)險(xiǎn)知識(shí)，尤其是要避免誤導(dǎo)式的風(fēng)險(xiǎn)溝通和知識(shí)傳播。

3.4　及時(shí)響應(yīng)和總結(jié)并舉，構(gòu)建風(fēng)險(xiǎn)問責(zé)機(jī)制

發(fā)展中的大數(shù)據(jù)信息安全在產(chǎn)生、發(fā)展和演化上存在多樣性，無論怎么努力，想要做到“百密而無一疏”，即保證百分之百的安全,這幾乎是不可能的。這就要求在大數(shù)據(jù)信息安全工作實(shí)踐中，一方面，要做好事前的預(yù)防和準(zhǔn)備，包括前述的風(fēng)險(xiǎn)辨識(shí)與溝通、信息安全管理防御體系的構(gòu)建等；另一方面，可以采用情景構(gòu)建或事件推演的方式,在前期工作基礎(chǔ)上，篩選出現(xiàn)有防護(hù)手段無法防止的事件,并推演出事件發(fā)生后的情景及變化，有針對(duì)性地制定應(yīng)急預(yù)案并作好數(shù)據(jù)多重備份等準(zhǔn)備,做到一旦有信息安全事件發(fā)生，能夠快速響應(yīng)和處置、控制事件的范圍，避免隱私侵犯的擴(kuò)大并降低數(shù)據(jù)財(cái)產(chǎn)權(quán)益損失。同時(shí)，探索建立風(fēng)險(xiǎn)問責(zé)機(jī)制，探究風(fēng)險(xiǎn)演變成事件的原因，查找在安全制度建設(shè)、防御體系構(gòu)建、安全策略等方面存在的缺失或漏洞并加以改進(jìn)，既在整個(gè)安全工作中形成事前預(yù)防、事中處置到事后總結(jié)的閉環(huán)，又能通過檢驗(yàn)、檢測推動(dòng)安全防御體系水平的提高[26]。

4　結(jié)論

1)我國目前還處在大數(shù)據(jù)發(fā)展起步階段，各種信息網(wǎng)絡(luò)安全問題日漸涌現(xiàn)和日趨復(fù)雜，主要在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析4個(gè)環(huán)節(jié)以不同風(fēng)險(xiǎn)形式呈現(xiàn)。

2)防范與化解大數(shù)據(jù)發(fā)展的信息安全系統(tǒng)性風(fēng)險(xiǎn)，需要將安全融入大數(shù)據(jù)發(fā)展戰(zhàn)略與規(guī)劃，加強(qiáng)大數(shù)據(jù)信息安全管理，進(jìn)行大數(shù)據(jù)安全風(fēng)險(xiǎn)溝通，科學(xué)處置信息安全事件，及時(shí)恢復(fù)信息化系統(tǒng)并科學(xué)總結(jié)信息安全應(yīng)對(duì)與處置，以構(gòu)筑健壯的風(fēng)險(xiǎn)防御體系。

[1]陳明奇，姜禾，張娟，等．大數(shù)據(jù)時(shí)代的美國信息網(wǎng)絡(luò)安全新戰(zhàn)略分析[J]．信息網(wǎng)絡(luò)安全，2012(8)：32-35．

CHEN Mingqi，JIANG He，ZHANG Juan, et al.Analysis of the U.S. information network security strategy in the era of big data[J].Net Info Security ，2012(8)：32-35.

[2]江常青．大數(shù)據(jù)對(duì)國家網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估[J]．中國信息安全，2015(5)：53-54．

JIANG Changqing.Big data risk assessment of national network security[J].China Information Security，2015(5)：53-54.

[3]蔡鈺．大數(shù)據(jù)時(shí)代信息網(wǎng)絡(luò)安全的戰(zhàn)略分析[J]．陜西行政學(xué)院學(xué)報(bào)，2015(3)：122-124．

CAI Yu.Strategic analysis of information network security in big data era[J].Journal of Shaanxi Academy of Governance，2015(3)：122-124.

[4]張利, 彭建芬, 杜宇鴿,等. 信息安全風(fēng)險(xiǎn)評(píng)估的綜合評(píng)估方法綜述[J]. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2012(10):1364-1369．

ZHANG Li,PENG Jianfen,DU Yuge,et al.Information security risk assessment survey[J]. Tsinghua Univ(Sci & Tech)，2012(10)：1364-1369.

[5]劉佳，徐賜文．信息安全風(fēng)險(xiǎn)評(píng)估方法的比較分析[J]．中央民族大學(xué)學(xué)報(bào)(自然科學(xué)版)，2012，21(2)：91-96．

LIU Jia，XU Ciwen.Comparative analysis of on the information security risking-assessment methods[J].Journal of MUC( Natural Sciences Edition)，2012,21(2)：91-96.

[6]吳德，劉三陽．信息安全風(fēng)險(xiǎn)評(píng)估模型SVRAMIS[J]．西安電子科技大學(xué)學(xué)報(bào)(自然科學(xué)版)，2013，40(1)：44-47, 154．

WU De,LIU Sanyang.Risk assessment model of information security SVRAMIS[J].Journal of Xidian University(Natural Sciences Edition),2013,40(1)：44-47,154.

[7]黃景文．信息安全風(fēng)險(xiǎn)因素分析的模糊群決策方法研究[J]．山東大學(xué)學(xué)報(bào)(理學(xué)版)，2012，47(11)：45-49．

HUANG Jingwen.Fuzzy group decision making for information security risk factors analysis[J].Journal of Shandong University (Natural Science)，2012,47(11)：45-49.

[8]曾忠平．信息安全人因風(fēng)險(xiǎn)研究進(jìn)展綜述[J]．情報(bào)雜志，2014(4)：6-11, 22．

ZENG Zhongping.A comprehensive review of the theories and practices of human factor risk analysis in information security management[J].Journal of Intelligence,2014(4):6-11,22.

[9]陳火全. 大數(shù)據(jù)背景下數(shù)據(jù)治理的網(wǎng)絡(luò)安全策略[J]. 宏觀經(jīng)濟(jì)研究, 2015(8):76-84．

CHEN Huoquan.Network security policy of data governance in big data context[J].Macroeconomics，2015(8)：76-84.

[10]陳建昌．大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全分析[J]．中國新通信，2013(17)：13-16．

CHEN Jianchang.Analysis of network security in big date environment[J]. China New Telecommunications，2013(17)：13-16.

[11]張玉蘭，陸松，邱嵐．基于信息安全事件的應(yīng)急處理機(jī)制研究與實(shí)踐[J]．信息安全與技術(shù)，2015，6(6)：77-80．

ZHANG Yulan,LU Song,QIU Lan,et al.Research and practice of information security emergency handling mechanism based on event[J].Cyberspace Security，2015,6(6)：77-80.

[12]惠志斌．新安全觀下中國網(wǎng)絡(luò)信息安全戰(zhàn)略的理論構(gòu)建[J]．國際觀察，2012(2)：17-22．

HUI Zhibin. Theoretical construction of China's network information security strategy under the new security concept[J].International Review,2012(2):17-22.

[13]李晶. “棱鏡”折射下的網(wǎng)絡(luò)信息安全挑戰(zhàn)及其戰(zhàn)略思考[J]. 情報(bào)理論與實(shí)踐, 2014, 37(4):48-52．

LI Jing.The challenges and strategic thinking of the network information security reflected by the prism[J].Information Studies:Theory & Application,2014,37(4):48-52.

[14]李孟剛．國家信息安全問題研究[M] ．北京：社會(huì)科學(xué)文獻(xiàn)出版社， 2012.

[15]賀洪明．基于個(gè)人信息利用的安全管理研究[J]．中共貴州省委黨校學(xué)報(bào)，2015(3)：88-91．

HE Hongming．Research on security management based on personal information[J] ．Journal of Guizhou Provincial Party School of the CPC，2015(3)：88-91.

[16]范淵．智慧城市與信息安全[M]．北京：電子工業(yè)出版社，2014.

[17] 蔣潔. 大數(shù)據(jù)輪動(dòng)的隱私風(fēng)險(xiǎn)與規(guī)制措施[J]. 情報(bào)科學(xué), 2014(6):18-23.

JIANG Jie．Privacy risks of moved big data and related control measures[J]．Information Science，2014(6)：18-23.

[18]維克托·邁爾-舍恩伯格,肯尼思·庫克耶 著,盛楊燕,周濤 譯．大數(shù)據(jù)時(shí)代-生活工作與思維大變革[M] ．杭州：浙江人民出版社，2013.

[19]馬建堂．切實(shí)把握大數(shù)據(jù)時(shí)代的新機(jī)遇、新變革[N]．經(jīng)濟(jì)日?qǐng)?bào)，2016-01-11(14)．

[20]劉德寰, 李雪蓮. 大數(shù)據(jù)的風(fēng)險(xiǎn)和現(xiàn)存問題[J]. 廣告大觀:理論版, 2013(3)：67-73．

LIU Dehuan LI Xuelian．Risk and the existing problems of big data[J] ．Outdoor Advertising(Theory Edition)，2013(3)：67-73.

[21]馮登國，張敏，李昊．大數(shù)據(jù)安全與隱私保護(hù)[J]．計(jì)算機(jī)學(xué)報(bào)，2014，37(1)：246-258．

FENG Dengguo,ZHANG Min,LI Hao.Big data security and privacy protection[J].Chinese Journal of Computer,2014,37(1):246-258.

[22]馬奔，毛慶鐸．大數(shù)據(jù)在應(yīng)急管理中的應(yīng)用[J]．中國行政管理，2015(3)：136-141, 151．

MA Ben,MAO Qingduo．The application of big data approach in emergency management[J]．Chinese Public Administration ，2015(3)：136-141,151.

[23]閃淳昌,薛瀾．應(yīng)急管理概論-理論與實(shí)踐[M]．北京：高等教育出版社，2012.

[24]程學(xué)旗，靳小龍，王元卓，等．大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J]．軟件學(xué)報(bào)，2014，9(9)：1889-1908．

CHENG Xueqi,JIN Xiaolong,WANG Yuanzhuo,et al. Survey on big data system and analytic technology[J]. Journal of Software, 2014,9(9):1889-1908.

[25]童星,張海波．中國應(yīng)急管理理論、實(shí)踐、政策[M]．北京：社會(huì)科學(xué)文獻(xiàn)出版社，2012.

[26]劉鐵民. 應(yīng)急預(yù)案重大突發(fā)事件情景構(gòu)建——基于“情景-任務(wù)-能力”應(yīng)急預(yù)案編制技術(shù)研究之一[J]. 中國安全生產(chǎn)科學(xué)技術(shù), 2012, 8(4):5-12．

LIU Tiemin．Studies on scenes'construction of emergency planning——partⅠof emergency planning technology based on "scene-task-ability" [J]．Journal of Safety Science and Technology，2012,8(4)：5-12．