今日頭條
官方微信
官方抖音
資訊頻道隨著大數(shù)據(jù)時代的到來,大數(shù)據(jù)技術(shù)為經(jīng)濟社會發(fā)展帶來創(chuàng)新活力的同時,也使傳統(tǒng)網(wǎng)絡(luò)安全防護面臨嚴重威脅與全新挑戰(zhàn)。本文介紹了大數(shù)據(jù)技術(shù)及產(chǎn)業(yè)發(fā)展的有關(guān)背景,從數(shù)據(jù)安全、個人信息保護及大數(shù)據(jù)平臺自身安全三個方面梳理大數(shù)據(jù)技術(shù)應(yīng)用面臨的安全挑戰(zhàn),提出我國強化大數(shù)據(jù)安全保障的對策建議。
大數(shù)據(jù)發(fā)展狀況及安全問題簡介
大數(shù)據(jù)的概念起源于2000年前后,伴隨著互聯(lián)網(wǎng)應(yīng)用發(fā)展而誕生。當時,互聯(lián)網(wǎng)網(wǎng)頁爆發(fā)式增長,產(chǎn)生的數(shù)據(jù)量激增,為了提高用戶檢索信息效率,谷歌等公司開始建立索引庫以提供搜索服務(wù),成為大數(shù)據(jù)應(yīng)用的起點。2012年之后,大數(shù)據(jù)技術(shù)方興未艾,經(jīng)過數(shù)年蓬勃發(fā)展,如今業(yè)界對大數(shù)據(jù)的認識已經(jīng)基本趨于一致,尤其對于大數(shù)據(jù)的基本特性已達成共識。
當前,大數(shù)據(jù)已進入應(yīng)用發(fā)展階段,技術(shù)創(chuàng)新和商業(yè)模式創(chuàng)新推動各行業(yè)應(yīng)用逐步成熟,應(yīng)用創(chuàng)造的價值占市場規(guī)模的比重日益增大,成為新的經(jīng)濟增長動力。中國信息通信研究院發(fā)布的《中國大數(shù)據(jù)發(fā)展調(diào)查報告(2017)》(以下簡稱“報告”)數(shù)據(jù)顯示, 2016年中國大數(shù)據(jù)核心產(chǎn)業(yè)的市場規(guī)模約為168億元,較2015年增速達45%,伴隨著國家政策激勵以及大數(shù)據(jù)應(yīng)用模式逐步成熟,未來幾年中國大數(shù)據(jù)市場仍將保持快速增長,預(yù)計到2020年中國大數(shù)據(jù)市場規(guī)模將達到578億元。
隨著數(shù)據(jù)資產(chǎn)價值持續(xù)攀升、大數(shù)據(jù)產(chǎn)業(yè)規(guī)模不斷壯大,大數(shù)據(jù)技術(shù)在改善社會生產(chǎn)生活的同時,其安全問題也逐漸顯現(xiàn)出來。2017年1月,大數(shù)據(jù)基礎(chǔ)軟件陷入一場全球范圍的大規(guī)模勒索攻擊,Hadoop集群被黑客鎖定為攻擊對象。同時,據(jù)Shodan互聯(lián)網(wǎng)設(shè)備搜索引擎的分析顯示,因Hadoop服務(wù)器配置不當導(dǎo)致5120TB數(shù)據(jù)暴露在公網(wǎng)上,涉及近4500臺HDFS服務(wù)器。同時,近年來全球數(shù)據(jù)安全事件層出不窮,如何在大數(shù)據(jù)時代處理好數(shù)據(jù)安全問題成為全球普遍關(guān)注的熱點。
大數(shù)據(jù)分析平臺安全與其承載數(shù)據(jù)的安全同生共息,在數(shù)據(jù)成為國家基礎(chǔ)戰(zhàn)略資源和社會基礎(chǔ)生產(chǎn)要素的今天,大數(shù)據(jù)安全與國家安全的關(guān)系愈發(fā)緊密,在保障國家安全、經(jīng)濟運行、社會穩(wěn)定等方面發(fā)揮愈加關(guān)鍵的作用,亟需采取有效的應(yīng)對措施以抵御大數(shù)據(jù)安全風(fēng)險。
大數(shù)據(jù)安全面臨威脅與挑戰(zhàn)分析
大數(shù)據(jù)技術(shù)的發(fā)展賦予了大數(shù)據(jù)安全區(qū)別于傳統(tǒng)數(shù)據(jù)安全的特殊性。在大數(shù)據(jù)時代新形勢下,數(shù)據(jù)安全、隱私安全乃至大數(shù)據(jù)平臺安全等均面臨新威脅與新風(fēng)險,做好大數(shù)據(jù)安全保障工作面臨嚴峻挑戰(zhàn)。
大數(shù)據(jù)時代下數(shù)據(jù)安全保護需求外延擴展,數(shù)據(jù)保護面臨全新挑戰(zhàn)。首先,大數(shù)據(jù)時代,數(shù)據(jù)被眾多聯(lián)網(wǎng)設(shè)備、應(yīng)用軟件所采集,數(shù)據(jù)來源廣泛,數(shù)據(jù)種類多樣,如何保證所采集的數(shù)據(jù)真實可信以及對輸入數(shù)據(jù)進行完整性校驗,變得至關(guān)重要,若利用虛假數(shù)據(jù)進行分析處理,將影響結(jié)果的正確性,甚至造成重大決策失誤。其次,海量多源數(shù)據(jù)在大數(shù)據(jù)平臺匯聚,來自多個用戶的數(shù)據(jù)可能存儲在同一個數(shù)據(jù)池中,并分別被不同用戶使用,要在看不見他人數(shù)據(jù)內(nèi)容的前提下對數(shù)據(jù)進行加工利用,即實現(xiàn)數(shù)據(jù)“可用不可見”,必須強化數(shù)據(jù)隔離和訪問控制,否則將引發(fā)數(shù)據(jù)泄露風(fēng)險。再者,大數(shù)據(jù)技術(shù)促使數(shù)據(jù)生命周期由傳統(tǒng)的單鏈條逐漸演變成為復(fù)雜多鏈條形態(tài),增加了共享、交易等環(huán)節(jié),且數(shù)據(jù)應(yīng)用場景和參與角色愈加多樣化,使得數(shù)據(jù)安全需求外延擴展。此外,利用大數(shù)據(jù)技術(shù)對海量數(shù)據(jù)進行挖掘分析所得結(jié)果可能包含涉及國家安全、經(jīng)濟運行、社會治理等敏感信息,需要對分析結(jié)果的共享和披露加強安全管理,一旦泄露,將威脅國家安全與社會穩(wěn)定。
大數(shù)據(jù)技術(shù)應(yīng)用使隱私保護和公民權(quán)益面臨嚴重威脅。大數(shù)據(jù)場景下無所不在的數(shù)據(jù)收集技術(shù)、專業(yè)多樣的數(shù)據(jù)處理技術(shù),使用戶很難確保自己的個人信息被合理收集、使用與清除,進而削弱了用戶對其個人信息的自決權(quán)利。同時,大數(shù)據(jù)資源開放和共享的訴求與個人隱私保護存在天然矛盾,為追求最大化數(shù)據(jù)價值,濫用個人信息幾乎是不可避免的,使個人隱私處于危險境地。此外,利用大數(shù)據(jù)技術(shù)進行深度關(guān)聯(lián)分析、挖掘,可以從看似與個人信息不相關(guān)的數(shù)據(jù)中獲得個人隱私,個人信息的概念就此泛化,保護難度直線上升。進一步,大數(shù)據(jù)技術(shù)可能引發(fā)自動化決策帶來的“數(shù)字歧視”等社會公平性問題,例如針對特定個人施加標簽以劃分等級或進行價格歧視等差別化待遇,侵害公民合法權(quán)益。
大數(shù)據(jù)技術(shù)創(chuàng)新演進使傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)面臨嚴峻挑戰(zhàn)。首先,大數(shù)據(jù)存儲、計算和分析等關(guān)鍵技術(shù)的創(chuàng)新演進帶動信息系統(tǒng)軟硬件架構(gòu)的全新變革,可能在軟件、硬件、協(xié)議等多方面引入未知的漏洞隱患,而現(xiàn)有安全防護技術(shù)無法抵御未知漏洞帶來的安全風(fēng)險。其次,現(xiàn)有大數(shù)據(jù)平臺大多基于Hadoop框架進行二次開發(fā),缺乏有效的安全機制,其安全保障能力仍然比較薄弱。再者,傳統(tǒng)網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)安全邊界相對清晰,而由于大數(shù)據(jù)技術(shù)采用底層復(fù)雜、開放的分布式存儲和計算架構(gòu),使得大數(shù)據(jù)環(huán)境下安全邊界變模糊,傳統(tǒng)基于邊界的安全防護技術(shù)不再適用。此外,大數(shù)據(jù)技術(shù)發(fā)展催生出新型高級的網(wǎng)絡(luò)攻擊手段,例如針對大數(shù)據(jù)平臺的高級持續(xù)性威脅(APT)攻擊和大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊時有發(fā)生,導(dǎo)致傳統(tǒng)檢測、防御技術(shù)無法有效抵御外界攻擊。
大數(shù)據(jù)安全發(fā)展的對策建議
面對大數(shù)據(jù)時代嚴峻復(fù)雜的安全問題,亟需采取針對性的手段措施,構(gòu)建大數(shù)據(jù)安全保障體系,為大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展保駕護航。
一是加強大數(shù)據(jù)安全立法,明確數(shù)據(jù)安全主體責任。推動出臺電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全保護指導(dǎo)意見,嚴格規(guī)范網(wǎng)絡(luò)數(shù)據(jù)的收集、存儲、使用和銷毀等行為,落實數(shù)據(jù)生命周期各環(huán)節(jié)的安全主體責任。立足大數(shù)據(jù)技術(shù)和業(yè)務(wù)發(fā)展現(xiàn)狀,進一步細化完善個人信息保護規(guī)定,并從嚴制定相關(guān)具體規(guī)定或條款,以有效應(yīng)對當前大數(shù)據(jù)應(yīng)用引發(fā)的個人信息安全風(fēng)險。
二是抓住數(shù)據(jù)利用和共享合作等關(guān)鍵環(huán)節(jié),加強數(shù)據(jù)安全監(jiān)管執(zhí)法。定期開展數(shù)據(jù)安全監(jiān)督檢查,督促企業(yè)加強數(shù)據(jù)安全風(fēng)險評估,對發(fā)現(xiàn)的問題及時整改。對企業(yè)的個人信息開發(fā)利用、數(shù)據(jù)外包服務(wù)的使用、數(shù)據(jù)共享合作等行為加強安全監(jiān)管,推行合同范本明確相關(guān)主體安全義務(wù)和責任。督促企業(yè)加強數(shù)據(jù)安全監(jiān)測預(yù)警,提升突發(fā)事件應(yīng)急處置能力。加大數(shù)據(jù)安全事件行政執(zhí)法力度,依法依規(guī)對相關(guān)涉事企業(yè)違法行為進行嚴厲處罰。
三是強化技術(shù)手段建設(shè),構(gòu)建大數(shù)據(jù)安全保障技術(shù)體系。基于大數(shù)據(jù)時代形勢特點,建立健全數(shù)據(jù)安全防護體系,加強數(shù)據(jù)防攻擊、防泄露、防竊取等安全防護技術(shù)手段建設(shè),強化數(shù)據(jù)安全監(jiān)測、預(yù)警、控制和應(yīng)急處置能力,構(gòu)建大數(shù)據(jù)安全保障技術(shù)體系。鼓勵企業(yè)、機構(gòu)研究開發(fā)同態(tài)加密、多方安全計算等前沿數(shù)據(jù)安全保護技術(shù),同時推動數(shù)據(jù)脫敏、數(shù)據(jù)審計、數(shù)據(jù)備份等技術(shù)手段在大數(shù)據(jù)環(huán)境下的增強應(yīng)用,提升大數(shù)據(jù)環(huán)境下數(shù)據(jù)安全保護水平。
作者簡介
王竹欣,畢業(yè)于北京航空航天大學(xué)電子信息工程學(xué)院,碩士,現(xiàn)就職于中國信息通信研究院安全研究所。主要研究方向為網(wǎng)絡(luò)安全、數(shù)據(jù)安全。
陳湉,畢業(yè)于北京郵電大學(xué)計算機學(xué)院,碩士,現(xiàn)任中國信息通信研究院安全研究所數(shù)據(jù)安全研究部副主任。主要研究方向為大數(shù)據(jù)安全、個人信息保護。
本文轉(zhuǎn)自:微信號:中國信息通信研究院CAICT
北京市公安局海淀分局備案號:11010802023656號