▌ 大數(shù)據(jù)安全的嚴峻形勢

互聯(lián)網(wǎng)大數(shù)據(jù)覆蓋行業(yè)范圍廣泛、數(shù)據(jù)結(jié)構(gòu)多樣、關(guān)聯(lián)關(guān)系復雜,而且涉及大量個人隱私數(shù)據(jù)、互聯(lián)網(wǎng)敏感數(shù)據(jù)等重要數(shù)據(jù),因此在開展互聯(lián)網(wǎng)大數(shù)據(jù)應(yīng)用的同時,數(shù)據(jù)和平臺安全尤為重要。大數(shù)據(jù)領(lǐng)域利用分布式存儲、大規(guī)模并行計算、內(nèi)存計算、海量數(shù)據(jù)挖掘等先進技術(shù)，提升數(shù)據(jù)采集、存儲、分析等各個數(shù)據(jù)處理環(huán)節(jié)的效率和能力。

▌大數(shù)據(jù)面臨的安全風險和挑戰(zhàn)

1 ▏數(shù)據(jù)平臺安全

大數(shù)據(jù)平臺是互聯(lián)網(wǎng)使用數(shù)據(jù)資源的基礎(chǔ)平臺,平臺安全是保障互聯(lián)網(wǎng)安全可靠利用數(shù)據(jù)資源的基矗大數(shù)據(jù)平臺除了面臨傳統(tǒng)的惡意代碼、攻擊軟件套件、物理損壞與丟失等安全威脅外,由于自身架構(gòu)要根據(jù)互聯(lián)網(wǎng)業(yè)務(wù)需求和安全要求變化不斷改進,因而產(chǎn)生傳統(tǒng)的身份認證、數(shù)據(jù)加密手段適用性問題。

2 ▏數(shù)據(jù)服務(wù)安全

構(gòu)建基于互聯(lián)網(wǎng)的一體化公共服務(wù)平臺,面向公眾提供基于大數(shù)據(jù)的互聯(lián)網(wǎng)服務(wù),是落實互聯(lián)網(wǎng)推進互聯(lián)網(wǎng)治理體系和治理能力現(xiàn)代化、建設(shè)服務(wù)型互聯(lián)網(wǎng)要求的重要任務(wù)。基于互聯(lián)網(wǎng)建設(shè)的互聯(lián)網(wǎng)在線服務(wù)窗口,是互聯(lián)網(wǎng)大數(shù)據(jù)為公眾服務(wù)的重要組成部分,便捷的互聯(lián)網(wǎng)應(yīng)用環(huán)境下,在提質(zhì)增優(yōu)公共服務(wù)的同時也為便民服務(wù)帶來嚴峻的安全挑戰(zhàn),需要應(yīng)對基于Web 的攻擊、Web應(yīng)用程序攻擊/注入攻擊、拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚、用戶身份盜竊等威脅,抵御信息泄露、網(wǎng)絡(luò)癱瘓、服務(wù)中斷等安全風險。

3 ▏數(shù)據(jù)周期安全

在開展互聯(lián)網(wǎng)業(yè)務(wù)和對大數(shù)據(jù)進行開發(fā)利用的同時,數(shù)據(jù)自身安全非常重要,涉及數(shù)據(jù)生命周期各階段相關(guān)的數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等活動。互聯(lián)網(wǎng)部門數(shù)據(jù)公開、行業(yè)間以及行業(yè)內(nèi)部數(shù)據(jù)平臺化共享時的數(shù)據(jù)安全,是迫切需要解決的問題, 是大數(shù)據(jù)資源實現(xiàn)開放共享、相關(guān)"數(shù)據(jù)掘金"應(yīng)用得以發(fā)展的關(guān)鍵。

4 ▏數(shù)據(jù)確權(quán)安全

互聯(lián)網(wǎng)數(shù)據(jù)的所有權(quán)、使用權(quán)、管理權(quán)涉及多個部門,特別是互聯(lián)網(wǎng)授權(quán)社會資本方搭建的公共服務(wù)系統(tǒng)所產(chǎn)生的數(shù)據(jù),涉及個人隱私、互聯(lián)網(wǎng)經(jīng)濟命脈,在進行大數(shù)據(jù)分析中,必須做到權(quán)責分明,厘清數(shù)據(jù)權(quán)屬關(guān)系,防止數(shù)據(jù)流通過程中的非法使用,保障數(shù)據(jù)安全流通。但是,目前數(shù)據(jù)權(quán)屬仍缺乏法律支撐,數(shù)據(jù)使用尤其跨境流動所產(chǎn)生的安全風險日益凸顯。

▌大數(shù)據(jù)安全的頂層設(shè)計

由于優(yōu)先考慮的是為大量數(shù)據(jù)提供速度，所以安全性通常放最后考慮;因為沒有對數(shù)據(jù)進行特定的分類存儲和傳輸。從而導致不同技術(shù)的整合引入了新的安全挑戰(zhàn)，產(chǎn)生了安全隱患。在大數(shù)據(jù)系統(tǒng)支持關(guān)鍵基礎(chǔ)設(shè)施的情況下，安全必須考慮在內(nèi)。

由于大數(shù)據(jù)系統(tǒng)是復雜且異構(gòu)的，所以安全保障必須是整體性的，以確保服務(wù)的可用性和連續(xù)性。

1 ▏數(shù)據(jù)周期安全頂層設(shè)計

伴隨著大數(shù)據(jù)技術(shù)和應(yīng)用的快速發(fā)展，在大數(shù)據(jù)生命周期的各個階段、各個環(huán)節(jié)，越來越多的安全隱患逐漸暴露出來。比如，大數(shù)據(jù)傳輸環(huán)節(jié)，除了存在泄漏、篡改等風險外，還可能被數(shù)據(jù)流攻擊者利用，數(shù)據(jù)在傳播中可能出現(xiàn)逐步失真等。又如，大數(shù)據(jù)處理環(huán)節(jié)，除數(shù)據(jù)非授權(quán)使用和被破壞的風險外，由于大數(shù)據(jù)的異構(gòu)、多源、關(guān)聯(lián)等特點，即使多個數(shù)據(jù)集各自脫敏處理，數(shù)據(jù)集仍然存在因關(guān)聯(lián)分析而造成個人信息泄漏的風險。

2 ▏基礎(chǔ)設(shè)施安全頂層設(shè)計

作為大數(shù)據(jù)匯集的主要載體和基礎(chǔ)設(shè)施，大數(shù)據(jù)為大數(shù)據(jù)提供了存儲場所、訪問通道、虛擬化的數(shù)據(jù)處理空間。因此，云平臺中存儲數(shù)據(jù)的安全問題也成為阻礙大數(shù)據(jù)發(fā)展的主要因素。在大數(shù)據(jù)安全方面， “數(shù)據(jù)泄露”高居榜首。美國國家標準技術(shù)研究院指出安全是公共大數(shù)據(jù)面臨的最大障礙，潛在風險包括：一是大數(shù)據(jù)環(huán)境復雜，產(chǎn)生了比較大的受攻擊面;二是多租戶共享計算資源，增加了網(wǎng)絡(luò)和計算基礎(chǔ)設(shè)施的風險，一個用戶的數(shù)據(jù)和應(yīng)用可能在無意中暴露給其他用戶;三是公共大數(shù)據(jù)通過互聯(lián)網(wǎng)交付，用戶的應(yīng)用和數(shù)據(jù)面臨來自網(wǎng)絡(luò)和暴露接口的威脅;四是用戶失去了對系統(tǒng)和數(shù)據(jù)在物理和邏輯上的控制。

3 ▏數(shù)據(jù)確權(quán)管理頂層設(shè)計

在大數(shù)據(jù)時代，人們面臨的威脅不僅限于個人隱私泄露，還在于基于大數(shù)據(jù)對人的狀態(tài)和行為的預(yù)測。因此，在大數(shù)據(jù)環(huán)境下，如何管理好數(shù)據(jù)確權(quán)，在保證數(shù)據(jù)使用效益的同時保護個人隱私，是大數(shù)據(jù)時代面臨的巨大挑戰(zhàn)之一。目前，各社交網(wǎng)站均不同程度地開放其用戶所產(chǎn)生的實時數(shù)據(jù)，被一些數(shù)據(jù)提供商收集，還出現(xiàn)了一些監(jiān)測數(shù)據(jù)的市場分析機構(gòu)。通過人們在社交網(wǎng)站中寫入的信息、智能手機顯示的位置信息等多種數(shù)據(jù)組合，已經(jīng)可以以非常高的精度鎖定個人，挖掘出個人信息體系，用戶隱私安全問題堪憂。據(jù)統(tǒng)計，通過分析用戶4個曾經(jīng)到過的位置點，就可以識別出95%的用戶。“

4 ▏數(shù)據(jù)聚合安全頂層設(shè)計

業(yè)務(wù)大數(shù)據(jù)應(yīng)用涉及對相關(guān)的數(shù)據(jù)分析,雖然可以通過隱私保護政策、用戶授權(quán)協(xié)議的形式獲取相關(guān)數(shù)據(jù)的使用合法授權(quán),而且在對業(yè)務(wù)分析的過程中也會采用匿名化處理的方式,保證業(yè)務(wù)信息安全。但是,在對大數(shù)據(jù)加工計算的過程中,如何保障不會因為大數(shù)據(jù)的聚合分析而實現(xiàn)“去匿名化”,依然是亟待解決的難題。

長期的數(shù)據(jù)監(jiān)護勢必對大數(shù)據(jù)平臺的數(shù)據(jù)聚合服務(wù)（Data Collection Service）提出更高的要求：攻擊者可以在長時間范圍內(nèi)對大數(shù)據(jù)系統(tǒng)進行試探性APT攻擊或者滲透測試，攻擊規(guī)模可以非常小，從而使得普通的防火墻檢測設(shè)備無法察覺該類攻擊。

數(shù)據(jù)聚合服務(wù)（Data Collection Service）在數(shù)據(jù)擁有者上傳自己的數(shù)據(jù)時，需要對該數(shù)據(jù)實施版權(quán)保護，包括使用數(shù)字簽名，數(shù)據(jù)水印等技術(shù)，保證源數(shù)據(jù)方信息不可篡改（即來源真實性）。同時在“持續(xù)性補充和更新”過程中時刻保持數(shù)據(jù)機密性完整性不被破壞。

▌大數(shù)據(jù)安全挑戰(zhàn)行業(yè)實例

電商行業(yè)作為基于互聯(lián)網(wǎng)技術(shù)衍生的新型業(yè)務(wù),積累了大量商家數(shù)據(jù)、買家數(shù)據(jù)、商品數(shù)據(jù),以及在買賣交易過程中產(chǎn)生的訂單數(shù)據(jù)、交易數(shù)據(jù)和用戶行為數(shù)據(jù)等。借助大數(shù)據(jù)技術(shù)發(fā)展契機,電商行業(yè)也開始了大數(shù)據(jù)時代的轉(zhuǎn)型。電商行業(yè)基于長期積累的海量數(shù)據(jù),開始在不同業(yè)務(wù)方向利用大數(shù)據(jù)技術(shù)分析、挖掘數(shù)據(jù)價值。

電商行業(yè)大數(shù)據(jù)在促進業(yè)務(wù)發(fā)展的同時,相應(yīng)的安全挑戰(zhàn)也隨之浮現(xiàn),主要表現(xiàn)在:

1 ▏重點挑戰(zhàn)一、數(shù)據(jù)權(quán)屬不清

電商業(yè)務(wù)的開展主要包括電商平臺、商家和消費者三方,電商業(yè)務(wù)產(chǎn)生的數(shù)據(jù)如何劃分其所有權(quán)、控制權(quán)和使用權(quán),是在電商業(yè)務(wù)中合理使用數(shù)據(jù)的前提。當前電商業(yè)務(wù)的大數(shù)據(jù)應(yīng)用中,通常利用電商平臺對數(shù)據(jù)進行分析,也存在商家或商家授權(quán)獨立軟件提供商使用商家數(shù)據(jù)進行分析的情況,在權(quán)利歸屬不明確的情況下,責任的歸屬也難以界定,相關(guān)數(shù)據(jù)安全難以保障。

2 ▏重點挑戰(zhàn)二、數(shù)據(jù)版權(quán)保護

電商生態(tài)圈內(nèi)的數(shù)據(jù)流動和共享較為普遍,目前主要通過法律協(xié)議方式約束對數(shù)據(jù)的使用。但由于缺乏有效的數(shù)據(jù)版權(quán)保護技術(shù)手段及措施, 難以甄別是否存在超出范圍的數(shù)據(jù)擴散或使用問題。

3 ▏重點挑戰(zhàn)三、數(shù)據(jù)跨境安全

目前互聯(lián)網(wǎng)大力支持跨境電商業(yè)務(wù),而跨境電商業(yè)務(wù)必然涉及數(shù)據(jù)的跨境問題。不同互聯(lián)網(wǎng)和地區(qū)的數(shù)據(jù)保護法規(guī)對數(shù)據(jù)跨境流動的要求存在差異性,比如俄羅斯明確提出俄羅斯公民的數(shù)據(jù)應(yīng)在俄羅斯境內(nèi)更新后方可傳到海外進行處理;歐盟則擴大了數(shù)據(jù)保護法律適用的管轄范圍。這些法規(guī)將給跨境電商企業(yè)帶來高昂的合規(guī)成本,制約了跨境電子商務(wù)的發(fā)展。如何處理數(shù)據(jù)跨境安全合規(guī)與跨境電商戰(zhàn)略發(fā)展的矛盾,是亟待解決的難題。

▌未來全方位數(shù)據(jù)安全治理

大數(shù)據(jù)是信息化發(fā)展的新階段，推動了信息化發(fā)展模式的變革創(chuàng)新，開啟了數(shù)字中國建設(shè)的新時代。抓住大數(shù)據(jù)發(fā)展和數(shù)字中國建設(shè)的雙重歷史機遇，發(fā)揮我國制度優(yōu)勢和市場優(yōu)勢，面向國家重大需求，面向國民經(jīng)濟發(fā)展主戰(zhàn)場，全面實施促進大數(shù)據(jù)發(fā)展行動，大力推進網(wǎng)絡(luò)信息產(chǎn)業(yè)跨越創(chuàng)新，推動大數(shù)據(jù)和實體經(jīng)濟深度融合，加強大數(shù)據(jù)在社會治理、民生保障和國家安全等各領(lǐng)域深度應(yīng)用，加快數(shù)據(jù)資源紅利釋放，才能推動技術(shù)產(chǎn)業(yè)、經(jīng)濟發(fā)展、人民生活、國家競爭力的全面趕超，續(xù)寫中華民族偉大復興的發(fā)展新篇章。直面大數(shù)據(jù)的安全問題，由于太寶貴的價值，大數(shù)據(jù)將永遠不會消失。

在大數(shù)據(jù)應(yīng)用中，我們采集數(shù)據(jù)，與數(shù)據(jù)交互，而保護客戶的隱私，是大數(shù)據(jù)使用者的責任。如果你的業(yè)務(wù)依賴于數(shù)據(jù)，那么保護數(shù)據(jù)安全就是企業(yè)的必須之事，以免因隱私權(quán)導致外界出現(xiàn)對企業(yè)和組織的信譽影響與質(zhì)疑。總結(jié)表明，為保障大數(shù)據(jù)發(fā)展戰(zhàn)略的順利實施，應(yīng)大力加強數(shù)據(jù)安全治理包括管理、管控、防護與評估四個大數(shù)據(jù)安全維度。

1 ▏加強數(shù)據(jù)安全管理

明確數(shù)據(jù)安全治理目標，解決“云、管、端”三類數(shù)據(jù)鏈的違規(guī)監(jiān)控和泄漏防護問題，對涉及敏感內(nèi)容的數(shù)據(jù)存儲、傳輸、使用過程進行全方位監(jiān)控、審計、實時防護，防止敏感數(shù)據(jù)泄露、丟失，確保數(shù)據(jù)的價值實現(xiàn)、運營合規(guī)和風險可控。建立數(shù)據(jù)安全治理的保障機制，包括確立數(shù)據(jù)安全治理的戰(zhàn)略;健全數(shù)據(jù)安全治理的組織機制，明確數(shù)據(jù)安全管理的角色和責任;建立滿足業(yè)務(wù)戰(zhàn)略的數(shù)據(jù)架構(gòu)和架構(gòu)管理策略;識別政策、法律、法規(guī)要求，跟蹤相關(guān)標準規(guī)范的進展并采取措施予以積極落實。根據(jù)確定的數(shù)據(jù)安全角色和責任，分解落實各項數(shù)據(jù)安全治理任務(wù)，有序開展各項治理工作。建立對數(shù)據(jù)安全治理的監(jiān)督評估機制，提升數(shù)據(jù)安全治理的有效性。

2 ▏加強敏感數(shù)據(jù)管控

采取相關(guān)技術(shù)措施，加強對敏感數(shù)據(jù)的管控。既要開展數(shù)據(jù)分級分類工作，對敏感數(shù)據(jù)進行識別定義，為采用技術(shù)手段實現(xiàn)對敏感數(shù)據(jù)的安全管控提供基礎(chǔ);又要建設(shè)數(shù)據(jù)安全管控系統(tǒng)，在數(shù)據(jù)分級分類基礎(chǔ)上，對傳統(tǒng)環(huán)境和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)進行深度內(nèi)容識別，并通過展示界面實時、動態(tài)展示敏感信息分布態(tài)勢、傳輸態(tài)勢、使用態(tài)勢及整體安全風險態(tài)勢;還要對涉及敏感內(nèi)容的數(shù)據(jù)存儲、傳輸、使用過程實現(xiàn)全方位監(jiān)控、審計、實時防護。

3 ▏加強平臺安全防護

大數(shù)據(jù)承載平臺應(yīng)遵循國家網(wǎng)絡(luò)安全等級保護制度的要求，根據(jù)確定的安全等級采取相應(yīng)的安全保障策略。從物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)和管理等多個層面，構(gòu)建層次化的縱深安全防御體系，有效保障各業(yè)務(wù)應(yīng)用系統(tǒng)、大數(shù)據(jù)軟件平臺及承載其運行的大數(shù)據(jù)平臺的系統(tǒng)安全。既要加強大數(shù)據(jù)資源、環(huán)境、系統(tǒng)整體防護，建設(shè)多重防護、多級互聯(lián)體系結(jié)構(gòu)，確保大數(shù)據(jù)處理環(huán)境可信;又要加強處理流程控制，防止內(nèi)部攻擊，提高計算節(jié)點自我免疫能力;還要加強全局層面安全機制，制定數(shù)據(jù)控制策略，梳理數(shù)據(jù)處理流程，建立安全的數(shù)據(jù)處理模式;更要加強技術(shù)平臺支持下的安全管理。

4 ▏加強數(shù)據(jù)安全評估

通過深入貫徹等級保護、風險評估等相關(guān)制度，對數(shù)據(jù)安全治理實施的符合性和質(zhì)量進行監(jiān)督評估，形成數(shù)據(jù)安全治理的閉環(huán)管理。要開展對大數(shù)據(jù)承載平臺的定期安全評估;加強對大數(shù)據(jù)相關(guān)信息系統(tǒng)的安全評估;跟蹤大數(shù)據(jù)相關(guān)評估標準的進展，適時開展對大數(shù)據(jù)安全的數(shù)據(jù)可信性和隱私保護程度等指標的評估。通過體系化的大數(shù)據(jù)安全評估，促使大數(shù)據(jù)系統(tǒng)在數(shù)據(jù)安全方面達到運營合規(guī)、風險可控的目標。

想了解更多IT資訊，請訪問中培偉業(yè)官網(wǎng)：中培偉業(yè)