1、聚焦大数据安全 为大数据发展战略保驾护航 刘明辉 中国信息通信研究院安全研究所 习近平总书记在十九大报告中指出, 要“加快建设制造强国, 加快发展先进制造业, 推动互联网、大数据、人工智能和实体经济深度融合, 在中高端消费、创新引领、绿色低碳、共享经济、现代供应链、人力资本服务等领域培育新增长点、形成新动能”。顺利实施国家大数据发展战略, 充分享受数字经济红利, 需要强有力的网络安全保障。大数据蓬勃发展, 安全问题接踵而来中国信通院发布的中国大数据发展调查报告 (2017) (以下简称“报告”) 数据显示, 2016 年中国大数据核心产业的市场规模约为 168 亿元, 较 2015 年增速达
2、45%, 伴随着国家政策激励以及大数据应用模式逐步成熟, 未来几年中国大数据市场仍将保持快速增长, 预计到 2020 年中国大数据市场规模将达到578 亿元。随着数据资产价值持续攀升、大数据产业规模不断壮大, 大数据技术在改善社会生产生活的同时, 其安全问题也逐渐显现出来。2017 年 1 月, 大数据基础软件陷入一场全球范围的大规模勒索攻击, Hadoop 集群被黑客锁定为攻击对象。同时, 据 Shodan 互联网设备搜索引擎的分析显示, 因 Hadoop 服务器配置不当, 导致 5 120 TB 数据暴露在公网上, 涉及近 4 500 台 HDFS 服务器。同时, 近年来全球数据安全事件层
3、出不穷, 如何在大数据时代处理好数据安全问题成为全球普遍关注的热点。大数据安全面临新挑战大数据技术的发展赋予了大数据安全区别于传统数据安全的特殊性。在大数据时代的新形势下, 数据安全、隐私安全乃至大数据平台安全等均面临新威胁与新风险, 做好大数据安全保障工作面临严峻挑战。数据安全保护需求外延扩展, 数据保护面临全新挑战首先, 大数据时代, 数据来源广泛, 数据种类多样, 保证数据真实可信以及完整可靠变得至关重要, 若利用虚假数据进行分析处理, 将影响结果的正确性, 甚至造成重大决策失误。其次, 海量多源数据在大数据平台汇聚, 来自多个用户的数据可能存储在同一个数据池中, 并分别被不同用户使用,
4、 要在看不见他人数据内容的前提下对数据进行加工利用, 即实现数据“可用不可见”, 必须强化数据隔离和访问控制, 同时引入多方安全计算等新的数据保密技术。再者, 大数据技术促使数据生命周期由传统的单链条逐渐演变成为复杂多链条形态, 增加了共享、交易等环节, 且数据应用场景和参与角色愈加多样化, 使得数据安全需求外延扩展。此外, 利用大数据技术对海量数据进行挖掘分析所得结果可能包含涉及国家安全、经济运行、社会治理等敏感信息, 需要对分析结果的共享和披露加强安全管理, 一旦泄露, 将威胁国家安全与社会稳定。大数据技术应用使隐私保护和公民权益面临威胁大数据场景下无所不在的数据收集技术、专业多样的数据处
5、理技术, 使用户很难确保自己的个人信息被合理收集、使用与清除, 进而削弱了用户对其个人信息的自决权利。同时, 大数据资源开放和共享的诉求与个人隐私保护存在天然矛盾, 为追求最大化数据价值, 滥用个人信息几乎是不可避免的, 使个人隐私处于危险境地。此外, 利用大数据技术进行深度关联分析、挖掘, 可以从看似与个人信息不相关的数据中获得个人隐私, 个人信息的概念就此泛化, 保护难度直线上升。进一步, 大数据技术可能引发自动化决策带来的“数字歧视”等社会公平性问题, 例如针对特定个人施加标签以划分等级或进行价格歧视等差别化待遇, 侵害公民合法权益。大数据技术创新演进使传统网络安全技术面临严峻挑战首先,
6、 大数据存储、计算和分析等关键技术的创新演进带动信息系统软硬件架构的全新变革, 可能在软件、硬件、协议等多方面引入未知的漏洞隐患, 而现有安全防护技术无法抵御未知漏洞带来的安全风险。其次, 现有大数据平台大多基于 Hadoop 框架进行二次开发, 缺乏有效的安全机制, 其安全保障能力仍然比较薄弱。再者, 由于大数据技术采用底层复杂、开放的分布式存储和计算架构, 使得大数据环境下安全边界变模糊, 传统基于边界的安全防护技术不再适用。此外, 大数据技术发展催生出新型高级的网络攻击手段, 例如针对大数据平台的高级持续性威胁 (APT) 攻击和大规模分布式拒绝服务 (DDo S) 攻击时有发生, 导致
7、传统检测、防御技术无法有效抵御外界攻击。构建大数据安全保障体系面对大数据时代严峻复杂的安全问题, 亟需采取针对性的手段措施, 构建大数据安全保障体系, 为大数据产业健康发展、国家大数据发展战略实施保驾护航。加强大数据安全立法, 明确数据安全主体责任推动出台电信和互联网行业数据安全保护指导意见, 严格规范网络数据的收集、存储、使用和销毁等行为, 落实数据生命周期各环节的安全主体责任。立足大数据技术和业务发展现状, 进一步细化完善个人信息保护规定, 并从严制定相关具体规定或条款, 以有效应对当前大数据应用引发的个人信息安全风险。抓住数据利用、交易和共享合作等关键环节, 加强数据安全监管执法对企业的
8、个人信息开发利用、数据外包服务的使用、数据共享合作等行为加强安全监管, 推行合同范本明确相关主体安全义务和责任, 督促企业建立数据安全应急响应机制, 提升突发事件应急处置能力。引导数据交易市场规范化, 建立健全相关法律和制度, 严厉打击数据交易灰黑产业链。加大数据安全事件行政执法力度, 依法依规对相关涉事企业违法行为进行严厉处罚。强化技术手段建设, 构建大数据安全保障技术体系基于大数据时代形势特点, 建立健全数据安全防护体系, 加强数据防攻击、防泄露、防窃取等安全防护技术手段建设, 强化数据安全监测、预警、控制和应急处置能力, 构建大数据安全保障技术体系。鼓励企业、机构研究开发同态加密、多方安全计算等前沿数据安全保护技术, 同时推动数据脱敏、数据审计、数据备份等技术手段在大数据环境下的增强应用, 提升大数据环境下数据安全保护水平。
