楊 娟，趙 娜 YANG Juan,ZHAO Na

（1.新疆新投中智物流產(chǎn)業(yè)研究院股份有限公司，新疆 烏魯木齊 830001；2.西南交通大學(xué) 經(jīng)濟(jì)管理學(xué)院，四川 成都610031）

1 大數(shù)據(jù)產(chǎn)業(yè)及信息安全發(fā)展?fàn)顩r

2016年10月新疆維吾爾自治區(qū)人民政府辦公廳印發(fā)了《關(guān)于運(yùn)用大數(shù)據(jù)加強(qiáng)對(duì)市場(chǎng)主體服務(wù)和監(jiān)管實(shí)施方案》 （以下簡(jiǎn)稱“《實(shí)施方案》”），《實(shí)施方案》中指出，如今新疆的大數(shù)據(jù)時(shí)代已經(jīng)來臨，新疆也正在積極建設(shè)大數(shù)據(jù)產(chǎn)業(yè)，大數(shù)據(jù)正逐步體現(xiàn)其應(yīng)用價(jià)值。最重要的是能為新疆大數(shù)據(jù)產(chǎn)業(yè)創(chuàng)造巨大社會(huì)和經(jīng)濟(jì)價(jià)值。同樣隨著互聯(lián)網(wǎng)+的發(fā)展，大數(shù)據(jù)也快速的滲透到了各類互聯(lián)網(wǎng)產(chǎn)業(yè)當(dāng)中，尤其是各種互聯(lián)網(wǎng)金融平臺(tái)，以及以信息數(shù)據(jù)為依托的各類生活軟件和業(yè)務(wù)當(dāng)中。這種高強(qiáng)度的輻射范圍使得大數(shù)據(jù)安全保障存在的隱患可能造成的負(fù)面影響范圍也有所提高。電信部門對(duì)客戶信息的泄露事件似乎已經(jīng)屢見不鮮，而12306作為國(guó)家的官方網(wǎng)站出現(xiàn)的用戶信息泄露的問題進(jìn)一步警示人們應(yīng)當(dāng)在大數(shù)據(jù)時(shí)代背景下的加快建設(shè)信息安全保障體系。

在大數(shù)據(jù)發(fā)展較早的國(guó)家，早就經(jīng)歷了安全隱患大量爆發(fā)的問題，對(duì)數(shù)據(jù)安全的重要性認(rèn)識(shí)以及相應(yīng)的數(shù)據(jù)安全保障措施和體系的建設(shè)上更加成熟和規(guī)范，本文就國(guó)際上大數(shù)據(jù)發(fā)展成熟地區(qū)和國(guó)家在法律規(guī)定、國(guó)家政策以及安全技術(shù)和數(shù)據(jù)安全水平方面展開論述。

（1）國(guó)內(nèi)法以及國(guó)際法對(duì)數(shù)據(jù)安全的保護(hù)

美國(guó)2014年頒布了《國(guó)家網(wǎng)絡(luò)安全保護(hù)法案》，并積極推動(dòng)出臺(tái)《網(wǎng)絡(luò)安全信息共享法案》，這些法律規(guī)范推出的目的在于敦促私企與政府分享網(wǎng)絡(luò)安全信息，這是由于在互聯(lián)網(wǎng)信息飛速發(fā)展的時(shí)代，人們生活中大量的活動(dòng)都涉及到用戶信息的獲取，政府通過私企對(duì)市民的數(shù)據(jù)信息進(jìn)行搜集，更加快速有效。歐盟通過新版《數(shù)據(jù)保護(hù)法》，強(qiáng)調(diào)本地存儲(chǔ)和禁止跨國(guó)分享，以避免跨國(guó)信息的分享導(dǎo)致國(guó)家或者商業(yè)秘密的流失，這一措施顯然是必要的，是符合國(guó)家利益的。俄羅斯2015年起實(shí)行新法規(guī)定，互聯(lián)網(wǎng)企業(yè)需將收集的俄羅斯公民信息存儲(chǔ)在俄羅斯國(guó)內(nèi)。

（2）推行和實(shí)施與國(guó)家整體政策相配合的安全策略

各個(gè)國(guó)家都同樣重視大數(shù)據(jù)時(shí)代各類信息安全的保障問題，但是由于各個(gè)國(guó)家之間的政體以及具體國(guó)情的不同，在將數(shù)據(jù)安全作為國(guó)家戰(zhàn)略的重要組成部分的同時(shí)，既要重點(diǎn)突出數(shù)據(jù)安全與其他傳統(tǒng)安全保障不同之處，還要必須與國(guó)家政策的其他部分相輔相成，互相配合。日本2013年《創(chuàng)建最尖端IT戰(zhàn)略》中明確指出了開放公共數(shù)據(jù)和大數(shù)據(jù)保護(hù)的國(guó)家戰(zhàn)略；印度2014年國(guó)家電信安全政策指導(dǎo)意見草案對(duì)移動(dòng)數(shù)據(jù)保護(hù)作出規(guī)定。法國(guó)“未來投資計(jì)劃”有力推動(dòng)云計(jì)算數(shù)據(jù)安全保護(hù)政策落實(shí)；英國(guó)“Data。Gov。uk”項(xiàng)目實(shí)測(cè)開放政府?dāng)?shù)據(jù)保護(hù)政策的應(yīng)用效果。

（3）大數(shù)據(jù)時(shí)代信息安全的保障需要從多重安全環(huán)節(jié)著手和深入

在大數(shù)據(jù)時(shí)代，人們逐漸認(rèn)識(shí)到數(shù)據(jù)信息的快速流通不僅給人們帶來了無可比擬的質(zhì)的飛躍，同時(shí)傳統(tǒng)的信息安全管理技術(shù)早已無法對(duì)大數(shù)據(jù)時(shí)代的數(shù)據(jù)信息進(jìn)行有效、真實(shí)的采集，甚至在信息的管理上更加薄弱，數(shù)據(jù)信息的存儲(chǔ)更容易被攻擊和泄露，信息的發(fā)布甚至?xí)淮鄹?，因此大?shù)據(jù)時(shí)代信息安全的保障需要從多個(gè)關(guān)鍵環(huán)節(jié)進(jìn)行，采集、存儲(chǔ)、挖掘和發(fā)布等關(guān)鍵環(huán)節(jié)，已具備傳輸安全和SSL/VPN技術(shù)、數(shù)字加密、數(shù)據(jù)恢復(fù)技術(shù)及基于生物特征等的身份認(rèn)證和強(qiáng)制訪問控制技術(shù)、基于日志的安全審計(jì)和數(shù)字水印等溯源技術(shù)等保護(hù)數(shù)據(jù)安全的通用技術(shù)手段。此外，數(shù)據(jù)防泄漏 (DLP)技術(shù)、云平臺(tái)數(shù)據(jù)安全等數(shù)據(jù)安全防護(hù)專用技術(shù)的研發(fā)與應(yīng)用正不斷提速。

（4）數(shù)據(jù)信息安全技術(shù)強(qiáng)化是重中之重，認(rèn)證標(biāo)準(zhǔn)不斷更新

在大數(shù)據(jù)時(shí)代，地區(qū)與地區(qū)之間的界限逐漸趨于無形狀態(tài)，國(guó)家內(nèi)部建立了國(guó)家統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)，同時(shí)為了適應(yīng)數(shù)據(jù)傳播速度快、傳播范圍廣的特征，大部分國(guó)家與國(guó)家標(biāo)準(zhǔn)組織對(duì)數(shù)據(jù)安全信息進(jìn)行了接軌，在信息數(shù)據(jù)安全上提出了相關(guān)的認(rèn)證標(biāo)準(zhǔn)，并且根據(jù)數(shù)據(jù)技術(shù)的不斷提高，進(jìn)行相應(yīng)的更新。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了用戶身份識(shí)別指南；ISO/IEC制定了公共云計(jì)算服務(wù)的數(shù)據(jù)保護(hù)控制措施實(shí)用規(guī)則。美國(guó)TRUSTe隱私認(rèn)證得到全球很多國(guó)家消費(fèi)者認(rèn)可和信賴；歐盟委員會(huì)開展數(shù)據(jù)跨境流動(dòng)安全評(píng)估，成為評(píng)判數(shù)據(jù)能否轉(zhuǎn)移的重要依據(jù)。

2 新疆大數(shù)據(jù)產(chǎn)業(yè)信息安全面臨的主要挑戰(zhàn)

（1）傳統(tǒng)的數(shù)據(jù)存儲(chǔ)硬件設(shè)施存在缺陷，存在數(shù)據(jù)丟失隱患

數(shù)據(jù)信息雖然無形，但必須存儲(chǔ)在各類計(jì)算機(jī)終端以及專業(yè)的數(shù)據(jù)中心中，這些作為儲(chǔ)存作用的硬件設(shè)施是數(shù)據(jù)信息受到攻擊和信息泄露的重災(zāi)區(qū)，因此對(duì)數(shù)據(jù)信息的存儲(chǔ)設(shè)備進(jìn)行安全保障是重要的工作內(nèi)容。新疆大數(shù)據(jù)產(chǎn)業(yè)的安全面臨各種挑戰(zhàn)，首先是數(shù)據(jù)存儲(chǔ)終端設(shè)備。近年來針對(duì)IDC的攻擊日趨增加，2014年12月阿里云稱遭遇全球最大規(guī)模DDoS攻擊，2015年初一家亞洲網(wǎng)絡(luò)運(yùn)營(yíng)商的數(shù)據(jù)中心遭遇334Gbps的垃圾數(shù)據(jù)流攻擊。同時(shí)，以侵犯數(shù)據(jù)安全的各類惡意應(yīng)用、病毒等日益增多，對(duì)用戶隱私和財(cái)產(chǎn)安全構(gòu)成極大隱患。

（2）來自網(wǎng)絡(luò)的數(shù)據(jù)信息安全威脅不斷變化，促使大數(shù)據(jù)時(shí)代安全技術(shù)創(chuàng)新

在網(wǎng)絡(luò)時(shí)代的今天，數(shù)據(jù)信息的傳播有賴于無形的橋梁——互聯(lián)網(wǎng)，數(shù)據(jù)信息日新月異，為了獲取各類數(shù)據(jù)信息的網(wǎng)絡(luò)威脅也隨之發(fā)展，甚至在技術(shù)革新的數(shù)據(jù)時(shí)代，各類數(shù)據(jù)網(wǎng)絡(luò)威脅的數(shù)據(jù)復(fù)雜性和隱蔽性更高，造成的危險(xiǎn)影響更加惡劣。2014年作為數(shù)據(jù)技術(shù)企業(yè)的索尼公司遭遇ATP攻擊，大量員工信息及影視拷貝遭泄露。新型網(wǎng)絡(luò)威脅的層出不窮倒逼網(wǎng)絡(luò)數(shù)據(jù)保護(hù)技術(shù)創(chuàng)新突破。

（3）信息數(shù)據(jù)的價(jià)值性高，引發(fā)了一系列非法數(shù)據(jù)攻擊活動(dòng)

信息數(shù)據(jù)便捷性使得盜取信息數(shù)據(jù)的成本更低，同時(shí)高價(jià)值的數(shù)據(jù)信息會(huì)使得大量的不法分子為了獲取非法利益，對(duì)用戶的信息數(shù)據(jù)進(jìn)行盜竊甚至篡改，將用戶信息進(jìn)行盜竊、篡改、販賣或者利用不正當(dāng)?shù)母鞣N行為破壞用戶信息，以至于當(dāng)前對(duì)數(shù)據(jù)信息的盜竊行為和活動(dòng)規(guī)模日益擴(kuò)大，低成本高利益的信息數(shù)據(jù)的誘惑，促生了信息黑客的產(chǎn)業(yè)鏈，雖然國(guó)家工信部針對(duì)這類問題進(jìn)行了嚴(yán)厲的打擊，但是由于網(wǎng)絡(luò)信息時(shí)代的行為模式和渠道不同，具有很強(qiáng)大的復(fù)雜性和隱蔽性，使得信息數(shù)據(jù)盜竊和攻擊的行為難以得到徹底有效的控制，仍面臨嚴(yán)峻的考驗(yàn)。

（4）數(shù)據(jù)跨地區(qū)流動(dòng)成為監(jiān)管難的重災(zāi)區(qū)

數(shù)據(jù)信息的流動(dòng)性是其適應(yīng)和推動(dòng)當(dāng)前緊急快速發(fā)展的大數(shù)據(jù)時(shí)代的關(guān)鍵特征，同時(shí)也因此創(chuàng)造了大量的就業(yè)機(jī)會(huì)，推動(dòng)了信息技術(shù)的進(jìn)步，創(chuàng)造了更多的社會(huì)福利。但同時(shí)數(shù)據(jù)信息的擴(kuò)張性也使得這些數(shù)據(jù)信息的來源者受到了主權(quán)、產(chǎn)權(quán)以及隱私權(quán)上的威脅，跨地區(qū)的數(shù)據(jù)流通和流失不僅僅能使商業(yè)秘密的盜竊造成經(jīng)濟(jì)財(cái)產(chǎn)上的損失，甚至?xí)蔀閲?guó)家信息泄露造成的重大的國(guó)際安全威脅，而這種數(shù)據(jù)跨地區(qū)流動(dòng)仍然是監(jiān)管難的重災(zāi)區(qū)，缺少全面的監(jiān)管和規(guī)范。

（5）數(shù)據(jù)資源需求強(qiáng)烈，開放共享與安全保護(hù)矛盾凸顯

數(shù)據(jù)資源的要求越來越多，大數(shù)據(jù)時(shí)代人們不能進(jìn)行數(shù)據(jù)的利用和分享就會(huì)導(dǎo)致生活的不通暢。智能移動(dòng)終端的不斷完善使得這種需求更加的強(qiáng)烈，城市化的進(jìn)行和不斷發(fā)展也需要數(shù)據(jù)的共享，同時(shí)人們的財(cái)產(chǎn)安全甚至是生命安全都受到數(shù)據(jù)資源的影響，商業(yè)進(jìn)程的不斷完善，定位信息系統(tǒng)的發(fā)展等都是在進(jìn)行信息數(shù)據(jù)的共享，用戶的行為就是在共享數(shù)據(jù)，多方面對(duì)數(shù)據(jù)共享的要求，使得數(shù)據(jù)資源的保護(hù)面臨嚴(yán)峻的困難，國(guó)家數(shù)據(jù)資源的開放共享與安全保護(hù)已成為長(zhǎng)期存在矛盾的難題。

總而言之，正如國(guó)務(wù)院2015年8月印發(fā)的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》中指出，我國(guó)在大數(shù)據(jù)發(fā)展和應(yīng)用方面已具備一定基礎(chǔ)，擁有市場(chǎng)優(yōu)勢(shì)和發(fā)展?jié)摿?，但也存在政府?dāng)?shù)據(jù)開放共享不足、缺乏頂層設(shè)計(jì)和統(tǒng)籌規(guī)劃、法律法規(guī)建設(shè)滯后、創(chuàng)新應(yīng)用領(lǐng)域不廣、安全基礎(chǔ)薄弱等問題。具體到大數(shù)據(jù)安全問題而言，大數(shù)據(jù)和網(wǎng)絡(luò)密不可分，網(wǎng)絡(luò)上的任何攻擊動(dòng)作都可能對(duì)其造成影響。

3 大數(shù)據(jù)安全保障體系框架

針對(duì)上述問題的描述，為保障大數(shù)據(jù)應(yīng)用“可管、可控、可信”，我們從大數(shù)據(jù)保密性、完整性、可用性等角度出發(fā)，構(gòu)建了較為完善的大數(shù)據(jù)應(yīng)用安全保障體系，如圖1所示。新疆大數(shù)據(jù)安全保障體系共包含了三個(gè)大部分，分別是跟蹤測(cè)評(píng)、服務(wù)支撐以及主體部分，其中主體部分又考慮了策略、組織、運(yùn)營(yíng)、技術(shù)、應(yīng)用、基礎(chǔ)設(shè)施六個(gè)方面。

圖1 大數(shù)據(jù)安全保障體系框架圖

從總體的策略上來說，要將國(guó)家和新疆地方制定的大數(shù)據(jù)安全政策貫徹到底，再在政策有效指導(dǎo)的基礎(chǔ)上，形成總體的策略，為大數(shù)據(jù)安全的其它方面的開展做好保障，制定更為完善的安全標(biāo)準(zhǔn)，做到新疆大數(shù)據(jù)安全的保障方面有組織、有計(jì)劃、求開放、講策略，從整體上和上層建筑上做好完善的規(guī)劃和設(shè)計(jì)。除此之外，就是要建立起行之有效的監(jiān)管和防控體制，在大數(shù)據(jù)安全保障的相關(guān)機(jī)構(gòu)和角色設(shè)立上需有科學(xué)的規(guī)劃，在聽取各方專業(yè)意見的基礎(chǔ)上，形成能夠有效指導(dǎo)的相關(guān)文件和意見，推動(dòng)新疆地區(qū)大數(shù)據(jù)的安全、開放和共享，使新疆地區(qū)大數(shù)據(jù)產(chǎn)業(yè)在相關(guān)的管理制度、運(yùn)營(yíng)過程的安全性、技術(shù)的實(shí)時(shí)防護(hù)等方面可以滿足發(fā)展要求。此外，在發(fā)展新疆地區(qū)的大數(shù)據(jù)產(chǎn)業(yè)的同時(shí)，在行業(yè)發(fā)展的初期還要建立起行業(yè)標(biāo)準(zhǔn)，發(fā)布數(shù)據(jù)開放政策。

從組織的構(gòu)建上來說，組織的安全是新疆地區(qū)大數(shù)據(jù)安全的重要保障，大數(shù)據(jù)安全的人才儲(chǔ)備、崗位的設(shè)計(jì)、人才的宣傳培訓(xùn)、崗位建設(shè)、資金的保障、數(shù)據(jù)的分級(jí)管理、信息的治理等方面密切相關(guān)。首先要建立起新疆大數(shù)據(jù)產(chǎn)業(yè)人才儲(chǔ)備計(jì)劃，整合各關(guān)鍵部門、單位的大數(shù)據(jù)安全協(xié)同組織，并在充分協(xié)調(diào)的基礎(chǔ)上進(jìn)行明確的分工，然后對(duì)人才進(jìn)行進(jìn)一步的宣傳和培訓(xùn)，針對(duì)不同的人才進(jìn)行不同的專業(yè)設(shè)計(jì)，不同的數(shù)據(jù)安全環(huán)節(jié)分配人才。通過相互配合，從人力角度抓重點(diǎn)、抓關(guān)鍵地解決整個(gè)網(wǎng)絡(luò)信息鏈條上的安全問題，在執(zhí)行和監(jiān)督上下力氣，確保新疆大數(shù)據(jù)安全要求標(biāo)準(zhǔn)合格，才能真正推動(dòng)新疆大數(shù)據(jù)安全能力的提高和建設(shè)完善。

運(yùn)營(yíng)，主要從數(shù)據(jù)的生命周期進(jìn)行分析，安全隱患可能存在于大數(shù)據(jù)生命過程中的各個(gè)環(huán)節(jié)中。大數(shù)據(jù)安全運(yùn)行保障有兩種，一種是對(duì)生命周期安全的保障，另外一種是對(duì)安全運(yùn)行能力的保障。大數(shù)據(jù)生命周期是一個(gè)過程，是將大數(shù)據(jù)的初始數(shù)據(jù)首先轉(zhuǎn)化為可用于行動(dòng)的知識(shí)，然后進(jìn)行知識(shí)應(yīng)用，最后將知識(shí)自然遺忘或?qū)⒅R(shí)主動(dòng)遺忘的一種過程。大數(shù)據(jù)生命周期安全的保障是要保障大數(shù)據(jù)生命周期各環(huán)節(jié)的安全，這些環(huán)節(jié)包括數(shù)據(jù)的采集、傳輸、存儲(chǔ)、使用、共享與銷毀等。每個(gè)階段的安全措施如圖2所示。

圖2 數(shù)據(jù)生命周期安全運(yùn)營(yíng)

技術(shù)，其實(shí)是包括數(shù)據(jù)層、應(yīng)用層、系統(tǒng)層這三個(gè)層面的安全。

數(shù)據(jù)層的安全主要是解決數(shù)據(jù)生命周期各個(gè)階段所面臨的各種安全問題，采用的關(guān)鍵安全防護(hù)技術(shù)包含了數(shù)據(jù)加密技術(shù)、安全數(shù)據(jù)融合技術(shù)、數(shù)據(jù)脫敏技術(shù)、數(shù)據(jù)溯源技術(shù)等。

應(yīng)用層的安全則主要是負(fù)責(zé)大數(shù)據(jù)業(yè)務(wù)應(yīng)用的安全問題，采用的關(guān)鍵安全防護(hù)技術(shù)包括身份訪問與控制、業(yè)務(wù)邏輯安全、服務(wù)管理安全、不良信息管控等。

系統(tǒng)層的安全防護(hù)是為了解決系統(tǒng)面臨的安全問題，采用的關(guān)鍵技術(shù)都有大數(shù)據(jù)安全態(tài)勢(shì)的感知、實(shí)時(shí)的安全檢測(cè)、安全事件的管理、系統(tǒng)邊界的防御、高級(jí)持續(xù)性威脅（APT）攻擊防御等關(guān)鍵技術(shù)。

應(yīng)用，該部分主要是從數(shù)據(jù)提供者到數(shù)據(jù)應(yīng)用者再到數(shù)據(jù)消費(fèi)者的過程中可能出現(xiàn)的安全問題進(jìn)行防范及解決，主要進(jìn)行預(yù)防及處置的是從數(shù)據(jù)的提供者到應(yīng)用者再到消費(fèi)者的周期中可能出現(xiàn)的安全隱患。以處置大數(shù)據(jù)系統(tǒng)中數(shù)據(jù)提供者、數(shù)據(jù)消費(fèi)者、大數(shù)據(jù)應(yīng)用提供者、大數(shù)據(jù)框架提供者、系統(tǒng)協(xié)調(diào)者等主體之間接口面臨的安全問題為主要任務(wù)，采用的關(guān)鍵技術(shù)包括對(duì)數(shù)據(jù)提供者—大數(shù)據(jù)應(yīng)用提供者之間的接口安全控制技術(shù)、大數(shù)據(jù)應(yīng)用提供者—數(shù)據(jù)消費(fèi)者之間的接口安全控制技術(shù)、大數(shù)據(jù)應(yīng)用提供者—大數(shù)據(jù)框架提供者的接口安全控制技術(shù)、大數(shù)據(jù)框架提供者內(nèi)部以及系統(tǒng)控制器的安全控制技術(shù)等。

基礎(chǔ)設(shè)施保障，是大數(shù)據(jù)安全使用的基礎(chǔ)保障，包含了大數(shù)據(jù)的物理環(huán)境、網(wǎng)絡(luò)、云基礎(chǔ)設(shè)施、計(jì)算設(shè)施、存儲(chǔ)設(shè)施的安全保障。

服務(wù)支撐，大數(shù)據(jù)安全管理過程保障是以大數(shù)據(jù)的安全保障對(duì)象為中心和基本點(diǎn)，貫穿大數(shù)據(jù)安全管理的整個(gè)過程，以PDCA循環(huán)方法為手段來保障大數(shù)據(jù)能夠安全、可持續(xù)的一種能力，這種能力對(duì)于整個(gè)大數(shù)據(jù)安全管理的周期都至關(guān)重要，對(duì)于大數(shù)據(jù)安全風(fēng)險(xiǎn)的管控是一種行之有效的方法。大數(shù)據(jù)安全保障的整個(gè)過程可大致劃分為總體規(guī)劃、設(shè)計(jì)構(gòu)思、具體實(shí)施、識(shí)別風(fēng)險(xiǎn)與改進(jìn)等階段。在規(guī)劃階段，主要的任務(wù)是分析和尋找大數(shù)據(jù)運(yùn)營(yíng)中潛在的風(fēng)險(xiǎn)或者安全隱患，對(duì)大數(shù)據(jù)安全進(jìn)行整體性、方向性和條理性的規(guī)劃與布局，并在此階段提出大數(shù)據(jù)安全管理的整體目標(biāo)以及具體維護(hù)的關(guān)鍵領(lǐng)域。在設(shè)計(jì)階段，主要制定為實(shí)現(xiàn)目標(biāo)計(jì)劃、維護(hù)關(guān)鍵領(lǐng)域安全而采取的安全策略和措施，對(duì)大數(shù)據(jù)管理協(xié)調(diào)部門的分工進(jìn)行統(tǒng)籌、對(duì)主要的參與者和計(jì)劃的實(shí)施者也應(yīng)當(dāng)予以確認(rèn)。在實(shí)施階段，主要采取安全防護(hù)手段和技術(shù)維護(hù)手段，在此階段應(yīng)當(dāng)建立起包括安全保障能力、維持正常運(yùn)行的能力、技術(shù)防護(hù)能力、服務(wù)支撐能力、針對(duì)網(wǎng)絡(luò)攻擊的預(yù)防和監(jiān)測(cè)能力在內(nèi)的全方位能力系統(tǒng)。在識(shí)別階段，主要就是在后期對(duì)于新疆大數(shù)據(jù)安全狀況的維護(hù)進(jìn)行監(jiān)督，并對(duì)于當(dāng)前的大數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行及時(shí)的識(shí)別。改進(jìn)階段主要是針對(duì)整個(gè)大數(shù)據(jù)安保系統(tǒng)進(jìn)行全面的提升，以增強(qiáng)大數(shù)據(jù)安全保障的整體能力。

4 大數(shù)據(jù)安全保障評(píng)價(jià)指標(biāo)體系

建立全面的大數(shù)據(jù)安全保障評(píng)價(jià)指標(biāo)體系，力求全面評(píng)價(jià)大數(shù)據(jù)安全戰(zhàn)略保障是否完備、管理手段是否高效、業(yè)務(wù)運(yùn)營(yíng)流程是否成熟可靠，通過該體系使得決策人員能夠?qū)ふ业秸_的解決方法，不斷改進(jìn)后臺(tái)的監(jiān)管與保護(hù)措施，確保能夠長(zhǎng)期、穩(wěn)定地維護(hù)大數(shù)據(jù)的安全。與此同時(shí)，大數(shù)據(jù)安全評(píng)價(jià)指標(biāo)體系是通過對(duì)大數(shù)據(jù)進(jìn)行整體性與各級(jí)別綜合評(píng)價(jià)和分析得出的。

大數(shù)據(jù)安全保障評(píng)價(jià)指標(biāo)體系共有3個(gè)層級(jí)。其中一級(jí)指標(biāo)和二級(jí)指標(biāo)構(gòu)成的指標(biāo)體系框架如圖3所示，一共包含3項(xiàng)一級(jí)指標(biāo)13項(xiàng)二級(jí)指標(biāo)，二級(jí)指標(biāo)下可以根據(jù)新疆大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的具體情況設(shè)計(jì)三級(jí)指標(biāo)，三級(jí)指標(biāo)相對(duì)靈活，用來細(xì)化評(píng)估內(nèi)容，可以對(duì)它進(jìn)行適當(dāng)?shù)臄U(kuò)展或者刪減。大數(shù)據(jù)安全保障評(píng)價(jià)指標(biāo)體系的一級(jí)指標(biāo)中的建設(shè)情況指標(biāo)用于評(píng)價(jià)保障措施，運(yùn)行能力指標(biāo)用于評(píng)價(jià)保障能力，安全態(tài)勢(shì)指標(biāo)用于評(píng)價(jià)保障效果。大數(shù)據(jù)安全保障評(píng)價(jià)指標(biāo)體系的二級(jí)指標(biāo)依據(jù)大數(shù)據(jù)安全保障對(duì)象和內(nèi)容，對(duì)一級(jí)指標(biāo)進(jìn)行分析和分解后設(shè)計(jì)：建設(shè)情況指標(biāo)下設(shè)6項(xiàng)二級(jí)指標(biāo)，包含了保障體系中橫向的策略、組織、運(yùn)營(yíng)、技術(shù)、應(yīng)用、基礎(chǔ)設(shè)施6個(gè)部分內(nèi)容，運(yùn)行能力指標(biāo)下設(shè)5項(xiàng)二級(jí)指標(biāo)，包含了大數(shù)據(jù)安全防護(hù)能力指標(biāo)、大數(shù)據(jù)安全檢測(cè)能力指標(biāo)、大數(shù)據(jù)安全應(yīng)急響應(yīng)能力指標(biāo)、大數(shù)據(jù)安全災(zāi)備恢復(fù)能力指標(biāo)、大數(shù)據(jù)安全信息對(duì)抗能力指標(biāo)；安全態(tài)勢(shì)指標(biāo)下設(shè)3項(xiàng)二級(jí)指標(biāo)，包含了大數(shù)據(jù)網(wǎng)絡(luò)及信息系統(tǒng)安全指標(biāo)、大數(shù)據(jù)生命周期運(yùn)營(yíng)安全指標(biāo)、個(gè)人信息保護(hù)指標(biāo)三個(gè)部分。

圖3 大數(shù)據(jù)安全保障評(píng)價(jià)體系

5 建議

隨著新疆大數(shù)據(jù)時(shí)代的來臨，人們逐漸認(rèn)識(shí)到數(shù)據(jù)安全的重要性，國(guó)家也出臺(tái)了相應(yīng)的措施進(jìn)行保護(hù)，《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)體現(xiàn)了國(guó)家對(duì)該問題的高度重視，國(guó)家和行業(yè)以及企業(yè)和個(gè)人都對(duì)該問題提高了重視，這使得網(wǎng)絡(luò)數(shù)據(jù)安全保障體系的建設(shè)速度大大加快，取得較好的成果，保護(hù)個(gè)人的信息安全，同時(shí)推動(dòng)網(wǎng)絡(luò)信息時(shí)代的進(jìn)步，智能終端的建設(shè)以及人們生活水平的提高。但必須承認(rèn)，當(dāng)前我國(guó)在數(shù)據(jù)安全的保障上還缺乏有效的手段和實(shí)踐的辦法，很多單位在數(shù)據(jù)安全的防護(hù)上缺少針對(duì)性的法律文件的軟件支持，在各類網(wǎng)絡(luò)安全的硬件設(shè)施上，同樣具有系統(tǒng)上的缺陷。

一是加快數(shù)據(jù)安全保護(hù)立法進(jìn)程。推進(jìn)數(shù)據(jù)安全立法，明確數(shù)據(jù)保護(hù)的對(duì)象、范疇和違法責(zé)任等，出臺(tái)關(guān)于數(shù)據(jù)開放共享和跨境流動(dòng)監(jiān)管的法律法規(guī)。除此之外，加大現(xiàn)存相關(guān)法律的調(diào)整范圍，將互聯(lián)網(wǎng)、云計(jì)算時(shí)代下的數(shù)據(jù)保護(hù)納入法律范圍。

二是制定國(guó)家數(shù)據(jù)安全保護(hù)戰(zhàn)略。要從國(guó)家安全、國(guó)家戰(zhàn)略資源的高度去定位數(shù)據(jù)安全，加深數(shù)據(jù)戰(zhàn)略規(guī)劃。出臺(tái)通信、金融等重點(diǎn)行業(yè)的關(guān)鍵數(shù)據(jù)和用戶信息的跨境流動(dòng)監(jiān)管政策，推動(dòng)立法以規(guī)范我國(guó)公民個(gè)人信息的境內(nèi)存儲(chǔ)。積極參與國(guó)際規(guī)則的制定，提升我國(guó)在數(shù)據(jù)保護(hù)領(lǐng)域的話語(yǔ)權(quán)，營(yíng)造一個(gè)良好的國(guó)際環(huán)境以開展我國(guó)的數(shù)據(jù)安全保護(hù)。

三是強(qiáng)化數(shù)據(jù)安全保護(hù)技術(shù)攻關(guān)。加快數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)手段建設(shè)，加強(qiáng)身份管理、APT攻擊防御、DDoS攻擊溯源等核心技術(shù)的研發(fā)。加強(qiáng)數(shù)據(jù)安全監(jiān)管支撐技術(shù)研究，提升對(duì)與敏感數(shù)據(jù)泄露、違法跨境數(shù)據(jù)流動(dòng)等危害安全行為的監(jiān)測(cè)與處理能力。

四是完善數(shù)據(jù)安全標(biāo)準(zhǔn)體系與評(píng)估體系。綜合謀劃數(shù)據(jù)安全的相關(guān)標(biāo)準(zhǔn)制定，對(duì)于通用和專用的數(shù)據(jù)安全標(biāo)準(zhǔn)的研發(fā)要積極主動(dòng)。同時(shí)，對(duì)于數(shù)據(jù)安全的相關(guān)檢測(cè)與評(píng)估要進(jìn)一步加強(qiáng)，做好數(shù)據(jù)跨境流動(dòng)的安全評(píng)估工作。

6 結(jié)束語(yǔ)

當(dāng)今這個(gè)大數(shù)據(jù)時(shí)代，是一個(gè)機(jī)遇和挑戰(zhàn)共存的時(shí)代。面對(duì)發(fā)展過程中的新形勢(shì)以及出現(xiàn)的新問題，我們要堅(jiān)持安全和發(fā)展齊頭并進(jìn)，筑起新疆大數(shù)據(jù)安全管理的堅(jiān)實(shí)長(zhǎng)城，守護(hù)好新疆大數(shù)據(jù)信息主權(quán)和用戶隱私，才能有效杜絕大而無序、大而無安的現(xiàn)象存在，真正實(shí)現(xiàn)大數(shù)據(jù)時(shí)代的長(zhǎng)治久安。

[1]Grady N W,Underwood M,Roy A,et al.Big Data:Challenges,practices and technologies:NIST Big Data Public Working Group workshop at IEEE Big Data 2014[C]//IEEE International Conference on Big Data.IEEE,2015:11-15.

[2]Parise S.Big data:A revolution that will transform how we live,work,and think,by Viktor Mayer-Schonberger and Kenneth Cukier[Z].2016.

[3]Chen Y,Paxson V,Katz R H.What's New About Cloud Computing Security?[Z].2014.

[4]Chiang C W,Lin C C,Chang R I.A new scheme of key distribution using implicit security in Wireless Sensor Networks[C]//The,International Conference on Advanced Communication Technology.IEEE,2010:151-155.

[5]Japkowicz N,Stefanowski J.A Machine Learning Perspective on Big Data Analysis[C]//Big Data Analysis:New Algorithms for a New Society.Springer International Publishing,2016.

[6]Grover N. ”Big Data”-Architecture,Issues,Opportunities and Challenges[J].International Journal of Computer&Electronics Research,2014,3(1):15-17.

[7]邁爾·舍恩伯格，庫(kù)克耶，盛楊燕,等.大數(shù)據(jù)時(shí)代[J].當(dāng)代勞模，2014,8(10):88.

[8]呂欣，韓曉露.健全大數(shù)據(jù)安全保障體系研究[J].信息安全研究，2015,1(3):211-216.

[9]呂欣，韓曉露.大數(shù)據(jù)安全和隱私保護(hù)技術(shù)架構(gòu)研究[J].信息安全研究，2016,2(3):244-250.

[10]張濱.運(yùn)營(yíng)商大數(shù)據(jù)安全保障體系研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2016,29(12):1-7.

[11]廖曉斌.新疆大數(shù)據(jù)時(shí)代發(fā)展初探[J].中國(guó)管理信息化，2017,20(5):190-192.