張博卿

（賽迪智庫(kù)網(wǎng)絡(luò)空間研究所，北京 100846）

1 引言

當(dāng)前，大數(shù)據(jù)技術(shù)和應(yīng)用的不斷發(fā)展，使得對(duì)海量數(shù)據(jù)進(jìn)行處理和分析成為可能，在數(shù)據(jù)驅(qū)動(dòng)不斷為人們生活帶來(lái)便利的同時(shí)，數(shù)據(jù)匯聚和分析對(duì)國(guó)家和個(gè)人也帶來(lái)了諸多安全隱患。本文分析我國(guó)大數(shù)據(jù)安全的現(xiàn)狀、存在的不足，并據(jù)此提出相關(guān)政策建議。

2 我國(guó)大數(shù)據(jù)安全現(xiàn)狀

一是大數(shù)據(jù)平臺(tái)成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)。

大數(shù)據(jù)時(shí)代，作為數(shù)據(jù)的載體，大型網(wǎng)站、數(shù)據(jù)中心、云計(jì)算中心等大數(shù)據(jù)平臺(tái)集聚大量數(shù)據(jù)，涉及個(gè)人隱私、財(cái)務(wù)等敏感數(shù)據(jù)，更是業(yè)務(wù)健康、安全運(yùn)轉(zhuǎn)的關(guān)鍵，吸引著更多的以商業(yè)目的或國(guó)家利益為背景的黑客的注意，成為更具吸引力的目標(biāo)。數(shù)據(jù)的大量聚集，使得黑客一次成功的攻擊能夠獲得更多的數(shù)據(jù)，無(wú)形中降低了黑客的進(jìn)攻成本，增加了“收益率”。例如，2015年4月，遍布全國(guó)19個(gè)省份的社保系統(tǒng)信息泄露事件曝光，包括個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息的5300余萬(wàn)條個(gè)人信息遭泄露。

二是大數(shù)據(jù)推高信息泄露的風(fēng)險(xiǎn)。

海量數(shù)據(jù)的不斷聚集，將促進(jìn)包括大量的企業(yè)運(yùn)營(yíng)數(shù)據(jù)、客戶(hù)信息、個(gè)人的隱私和各種行為的細(xì)節(jié)記錄不斷積累，這些集中存儲(chǔ)的數(shù)據(jù)無(wú)形中增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。不法分子可借助大數(shù)據(jù)平臺(tái)泄露的數(shù)據(jù)對(duì)其它平臺(tái)進(jìn)行“撞庫(kù)”攻擊。由于各企業(yè)對(duì)數(shù)據(jù)傳輸和存儲(chǔ)的安全保障能力不一，一旦其中一個(gè)較為“脆弱”的數(shù)據(jù)平臺(tái)發(fā)生數(shù)據(jù)泄漏，其它“堅(jiān)固”的平臺(tái)也將遭受魚(yú)池之殃。

三是大數(shù)據(jù)加大網(wǎng)絡(luò)安全防護(hù)的難度。

大數(shù)據(jù)分析技術(shù)使攻擊者的攻擊手段更加豐富。惡意攻擊者可以通過(guò)收集上網(wǎng)痕跡等信息，獲取潛在攻擊對(duì)象的相關(guān)信息，并利用大數(shù)據(jù)分析技術(shù)，對(duì)其真實(shí)身份、性格、消費(fèi)習(xí)慣、需求等個(gè)人信息進(jìn)行還原，嚴(yán)重威脅個(gè)人的隱私和安全。利用數(shù)據(jù)挖掘、關(guān)聯(lián)分析能夠從普通數(shù)據(jù)中提取大量具有統(tǒng)計(jì)意義的信息，可能分析出企業(yè)的商業(yè)布局，甚至國(guó)家的經(jīng)濟(jì)走向，進(jìn)而對(duì)企業(yè)或者國(guó)家發(fā)起更具有針對(duì)性和精確性的攻擊。傳統(tǒng)的防火墻、病毒查殺、入侵檢測(cè)等安全防護(hù)軟件不能滿(mǎn)足當(dāng)前需求，防護(hù)措施的更新升級(jí)速度也無(wú)法跟上數(shù)據(jù)量非線(xiàn)性增長(zhǎng)的步伐。同時(shí)，大數(shù)據(jù)也可能成為高級(jí)病毒的載體，由于針對(duì)大數(shù)據(jù)等新技術(shù)產(chǎn)生的網(wǎng)絡(luò)威脅的防御體系尚未建立，隱藏在大數(shù)據(jù)中的病毒和惡意軟件難以發(fā)現(xiàn)。

四是大數(shù)據(jù)對(duì)保障基礎(chǔ)設(shè)施安全和國(guó)家主權(quán)維護(hù)提出新挑戰(zhàn)。

電信網(wǎng)絡(luò)甚至工控系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施是大數(shù)據(jù)發(fā)展的基礎(chǔ)，大數(shù)據(jù)安全同樣依賴(lài)于基礎(chǔ)設(shè)施的安全，隨著經(jīng)濟(jì)全球化和供應(yīng)鏈全球化的影響，關(guān)鍵基礎(chǔ)設(shè)施的安全變得日益復(fù)雜，一國(guó)的基礎(chǔ)設(shè)施可能同時(shí)服務(wù)于多個(gè)國(guó)家，信息經(jīng)濟(jì)的高度全球相互依賴(lài)性，挑戰(zhàn)著原有的國(guó)家主權(quán)觀(guān)念。隨著數(shù)據(jù)價(jià)值的不斷提高，數(shù)據(jù)資源成為國(guó)家核心戰(zhàn)略資產(chǎn)和社會(huì)財(cái)富，一個(gè)國(guó)家擁有數(shù)據(jù)的規(guī)模、活性及解釋運(yùn)用的能力，將成為綜合國(guó)力的重要組成部分，對(duì)大數(shù)據(jù)的占有和控制權(quán)成為維護(hù)國(guó)家主權(quán)和核心利益的基礎(chǔ)。

3 我國(guó)大數(shù)據(jù)安全保障工作存在的不足

一是法律規(guī)范缺失，數(shù)據(jù)管理缺乏依據(jù)。

缺乏企業(yè)和應(yīng)用程序關(guān)于搜集、存儲(chǔ)、分析、應(yīng)用數(shù)據(jù)的相關(guān)法規(guī)，電信、金融、物流等行業(yè)個(gè)人信息泄露、違規(guī)使用情況嚴(yán)重，移動(dòng)應(yīng)用多在不必要的情況下采集用戶(hù)的手機(jī)通話(huà)記錄、短信、地理位置等信息，危及個(gè)人財(cái)產(chǎn)、生命安全。

二是產(chǎn)業(yè)根基不牢，數(shù)據(jù)主權(quán)面臨挑戰(zhàn)。

大數(shù)據(jù)安全需要從底層芯片、基礎(chǔ)軟件到應(yīng)用分析軟件及服務(wù)等信息產(chǎn)業(yè)全產(chǎn)業(yè)鏈的支撐，我國(guó)信息技術(shù)起步較晚，大數(shù)據(jù)相關(guān)產(chǎn)業(yè)自主能力較差，數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理等方面技術(shù)與國(guó)外存在較大差距，在處理芯片、存儲(chǔ)設(shè)備、大數(shù)據(jù)軟件等方面均存在受制于人的問(wèn)題，具體表現(xiàn)在我國(guó)核心技術(shù)產(chǎn)品依賴(lài)國(guó)外，重要關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)中大量使用國(guó)外基礎(chǔ)軟件以及核心關(guān)鍵設(shè)備。

據(jù)統(tǒng)計(jì)，我國(guó)芯片、元器件、網(wǎng)絡(luò)設(shè)備、通用協(xié)議和標(biāo)準(zhǔn)，90%依賴(lài)進(jìn)口；防火墻、加密機(jī)等10類(lèi)信息安全產(chǎn)品，65%來(lái)自進(jìn)口；操作系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)器、存儲(chǔ)設(shè)備自主率僅為2.75%、4.94%、13.8%、16.2%。

三是技術(shù)實(shí)力較弱，難以應(yīng)對(duì)大數(shù)據(jù)安全威脅。

首先，我國(guó)尚未掌握大數(shù)據(jù)處理核心技術(shù)。Hadoop分布式數(shù)據(jù)處理技術(shù)、NOSQL數(shù)據(jù)庫(kù)及流式數(shù)據(jù)處理技術(shù)等分別被國(guó)外的Cloud era、IBM以及亞馬遜等企業(yè)所掌握，國(guó)內(nèi)的數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)關(guān)鍵技術(shù)多來(lái)自國(guó)外，缺乏對(duì)大數(shù)據(jù)技術(shù)研發(fā)的整體設(shè)計(jì)框架，與數(shù)據(jù)安全相關(guān)的產(chǎn)品和服務(wù)還存在缺口，難以應(yīng)對(duì)大數(shù)據(jù)應(yīng)用帶來(lái)的伴生性安全威脅和傳統(tǒng)安全威脅交織的復(fù)雜局面。

其次，缺乏針對(duì)大數(shù)據(jù)平臺(tái)網(wǎng)絡(luò)攻擊的有效應(yīng)對(duì)。2014年，“心臟出血”漏洞以其超強(qiáng)破壞力在網(wǎng)絡(luò)安全業(yè)界引發(fā)了廣泛擔(dān)憂(yōu)。據(jù)“從應(yīng)對(duì)‘心臟出血’漏洞看各國(guó)攻防能力”的研究成果顯示，我國(guó)在漏洞修復(fù)和危機(jī)應(yīng)急反應(yīng)能力方面，全球排名僅居102位，與我國(guó)的網(wǎng)絡(luò)大國(guó)地位極不相稱(chēng)。

最后，我國(guó)的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。據(jù)英國(guó)《簡(jiǎn)氏戰(zhàn)略報(bào)告》和其它網(wǎng)絡(luò)組織對(duì)各國(guó)信息防護(hù)能力的評(píng)估，我國(guó)被列入防護(hù)能力最低的國(guó)家之一，不僅大大低于美國(guó)、俄羅斯和以色列等信息安全強(qiáng)國(guó)，而且排在印度、韓國(guó)之后。

四是大數(shù)據(jù)安全經(jīng)費(fèi)投入分散，經(jīng)費(fèi)使用效率不高。

各部門(mén)對(duì)于大數(shù)據(jù)安全的經(jīng)費(fèi)投入分散，大數(shù)據(jù)安全研究、工程項(xiàng)目、工作管理等經(jīng)費(fèi)的歸口管理部門(mén)不同，彼此間的經(jīng)費(fèi)投入缺乏協(xié)調(diào)，難以形成合力。同時(shí)，大數(shù)據(jù)安全經(jīng)費(fèi)投入不足，現(xiàn)有的經(jīng)費(fèi)主要用于網(wǎng)絡(luò)輿情監(jiān)控等內(nèi)容審查方面，對(duì)大數(shù)據(jù)安全技術(shù)研究、大數(shù)據(jù)安全產(chǎn)品研發(fā)等的支持力度不夠，不能滿(mǎn)足我國(guó)大數(shù)據(jù)安全發(fā)展的需要，影響信息安全產(chǎn)業(yè)化進(jìn)程。

五是大數(shù)據(jù)安全專(zhuān)業(yè)人才供血不足。

我國(guó)大數(shù)據(jù)安全人才培養(yǎng)機(jī)制尚不健全，尚未形成高校、企業(yè)的聯(lián)合培養(yǎng)機(jī)制，培訓(xùn)體系不健全，能夠培養(yǎng)大數(shù)據(jù)安全相關(guān)人才的院?；蛘吲嘤?xùn)單位非常少，大多技術(shù)人員缺乏深入研究能力。據(jù)Gartner統(tǒng)計(jì)，近年來(lái)全球新增超過(guò)500萬(wàn)個(gè)與大數(shù)據(jù)相關(guān)的工作崗位，并催生大數(shù)據(jù)分析師、首席數(shù)據(jù)官等大數(shù)據(jù)相關(guān)職業(yè)。大數(shù)據(jù)安全發(fā)展對(duì)需要對(duì)數(shù)學(xué)、統(tǒng)計(jì)學(xué)、數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、自然語(yǔ)言處理、網(wǎng)絡(luò)安全等多方面知識(shí)綜合掌握，但我國(guó)可承擔(dān)分析和挖掘的復(fù)合型人才、高端數(shù)據(jù)科學(xué)家以及管理人才存在很大缺口。

4 加強(qiáng)大數(shù)據(jù)安全保障的對(duì)策建議

一是盡快制定相關(guān)法律法規(guī)，明確各方責(zé)權(quán)。

首先，應(yīng)明確國(guó)家對(duì)本國(guó)數(shù)據(jù)資源進(jìn)行保護(hù)、開(kāi)發(fā)和利用的權(quán)利，明確對(duì)跨境傳輸數(shù)據(jù)進(jìn)行管理和監(jiān)控的權(quán)利。其次，明確企業(yè)、應(yīng)用程序的權(quán)利和義務(wù)，包括軟件采用最小特權(quán)原則，敏感數(shù)據(jù)不得出境，保護(hù)個(gè)人隱私，嚴(yán)格控制基于數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)技術(shù)產(chǎn)生的數(shù)據(jù)等。最后，切實(shí)加強(qiáng)對(duì)個(gè)人信息的保護(hù)，借鑒歐盟提出的“被遺忘權(quán)”等經(jīng)驗(yàn)，為個(gè)人隱私維權(quán)提供依據(jù)。

二是強(qiáng)化制度建設(shè)，加強(qiáng)重點(diǎn)領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管。

一方面，加快建立大數(shù)據(jù)安全開(kāi)放的監(jiān)管制度。制定大數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用和跨境流動(dòng)的規(guī)則，明確安全保護(hù)技術(shù)措施。從技術(shù)研發(fā)、內(nèi)部管理、用戶(hù)使用等環(huán)節(jié)出發(fā)，探索建立商業(yè)秘密、專(zhuān)利等企業(yè)敏感數(shù)據(jù)的安全保護(hù)規(guī)則和實(shí)踐。制定政府?dāng)?shù)據(jù)開(kāi)放政策，探索大數(shù)據(jù)交換交易政策和規(guī)則。

另一方面，強(qiáng)化對(duì)重點(diǎn)行業(yè)和領(lǐng)域數(shù)據(jù)和網(wǎng)絡(luò)安全的監(jiān)管。在大型數(shù)據(jù)中心、重點(diǎn)行業(yè)和領(lǐng)域信息系統(tǒng)深入落實(shí)等級(jí)保護(hù)制度，開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估，并部署基于主動(dòng)防御理念的技術(shù)防護(hù)手段和措施。針對(duì)大數(shù)據(jù)平臺(tái)及服務(wù)商的可靠性及安全性，開(kāi)展信息技術(shù)產(chǎn)品和服務(wù)審查，引導(dǎo)企業(yè)加強(qiáng)信息技術(shù)產(chǎn)品供應(yīng)鏈管理，有效降低使用國(guó)外產(chǎn)品和服務(wù)而可能導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

三是加強(qiáng)大數(shù)據(jù)相關(guān)產(chǎn)品、服務(wù)管理，建立自主可控信息技術(shù)生態(tài)體系。

針對(duì)關(guān)鍵領(lǐng)域和部門(mén)出臺(tái)強(qiáng)制性的標(biāo)準(zhǔn)和規(guī)定，加大對(duì)微軟、谷歌、騰訊、阿里等掌握大量數(shù)據(jù)的國(guó)內(nèi)外企業(yè)的監(jiān)管力度，明確相關(guān)數(shù)據(jù)的使用權(quán)限和要求，防范有意、無(wú)意的數(shù)據(jù)泄露。同時(shí)，借鑒美國(guó)等發(fā)達(dá)國(guó)家在網(wǎng)絡(luò)安全審查方面的經(jīng)驗(yàn)，在我國(guó)即將推行的網(wǎng)絡(luò)安全審查制度中，建立大數(shù)據(jù)技術(shù)、產(chǎn)品及服務(wù)的安全檢測(cè)與審查制度。進(jìn)一步的，明確國(guó)產(chǎn)化替代時(shí)間表和路線(xiàn)圖，加大政策扶持力度，鼓勵(lì)和扶助國(guó)內(nèi)電子產(chǎn)品廠(chǎng)商優(yōu)先采用國(guó)產(chǎn)硬件，要求新建的重要網(wǎng)絡(luò)和信息系統(tǒng)采用國(guó)產(chǎn)產(chǎn)品，推動(dòng)關(guān)鍵信息技術(shù)和產(chǎn)品的國(guó)產(chǎn)化替代，建立自主可控信息技術(shù)產(chǎn)業(yè)生態(tài)體系。

四是加速發(fā)展大數(shù)據(jù)相關(guān)技術(shù)，建立網(wǎng)絡(luò)安全縱深防御體系。

一方面，加大對(duì)大數(shù)據(jù)安全保障關(guān)鍵技術(shù)研發(fā)的資金投入，推動(dòng)基于大數(shù)據(jù)的安全技術(shù)研發(fā)，研究基于大數(shù)據(jù)的網(wǎng)絡(luò)攻擊追蹤方法。

另一方面，針對(duì)國(guó)家敏感、重要大數(shù)據(jù)防護(hù)目標(biāo)，構(gòu)建具有反制能力的網(wǎng)絡(luò)安全積極防御體系，發(fā)展平戰(zhàn)結(jié)合、軍民結(jié)合、攻防兼?zhèn)涞木W(wǎng)絡(luò)空間力量，建設(shè)國(guó)家網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警和積極防御平臺(tái)，精確預(yù)警、準(zhǔn)確溯源、有效反制，提升對(duì)國(guó)家級(jí)、有組織網(wǎng)絡(luò)攻擊威脅的發(fā)現(xiàn)能力。

5 結(jié)束語(yǔ)

本文通過(guò)分析了我國(guó)大數(shù)據(jù)安全的現(xiàn)狀，從法律規(guī)范、技術(shù)實(shí)力和人才培養(yǎng)等方面給出了我國(guó)大數(shù)據(jù)安全方面存在的問(wèn)題，最后提出了相應(yīng)的對(duì)策建議，分別是盡快制定相關(guān)法律法規(guī)，明確各方責(zé)權(quán)；強(qiáng)化制度建設(shè)，加強(qiáng)重點(diǎn)領(lǐng)域和行業(yè)關(guān)鍵數(shù)據(jù)的安全監(jiān)管；加強(qiáng)大數(shù)據(jù)相關(guān)產(chǎn)品、服務(wù)管理，建立自主可控信息技術(shù)生態(tài)體系；加速發(fā)展大數(shù)據(jù)相關(guān)技術(shù)，建立網(wǎng)絡(luò)安全縱深防御體系。