大數(shù)據(jù)的安全風(fēng)險及防范措施

【 摘 要 】 國家的大數(shù)據(jù)發(fā)展戰(zhàn)略建立在數(shù)據(jù)安全的基礎(chǔ)之上，如果無法確保數(shù)據(jù)安全，數(shù)據(jù)釋放和價值激活，則無從談起。

【 關(guān)鍵詞 】 大數(shù)據(jù)；安全

Big Data Security Risks and Preventive Measures

Wang Ai-jun

（The Information Center of Shenhua Group Shendong Electric Power Co. Ltd. Beijing 100033）

【 Abstract 】 The country's big data development strategy based on data security， if you can not ensure data security， data release and value activation， then there is no way to talk about.

【 Keywords 】 big data；security

1 引言

目前，中國經(jīng)濟(jì)已經(jīng)隨著互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展，誰也無法否認(rèn)，我們已經(jīng)切實地迎來了一個海量數(shù)據(jù)的時代。鑒于大數(shù)據(jù)產(chǎn)業(yè)在經(jīng)濟(jì)、國家安全、社會、科研等方面的巨大價值和對經(jīng)濟(jì)發(fā)展的適應(yīng)性，各級政府和社會各界也紛紛制定相關(guān)政策推動大數(shù)據(jù)深入發(fā)展，并于2015年將大數(shù)據(jù)發(fā)展納入了國家戰(zhàn)略。

2 大數(shù)據(jù)的基本特征

大數(shù)據(jù)在企業(yè)和事業(yè)單位應(yīng)用越來越廣泛，也越來越被人所熟知，數(shù)據(jù)的價值也越來越多的被人所認(rèn)識。它已經(jīng)成為了一種新的經(jīng)濟(jì)資產(chǎn)，被看作是新世紀(jì)的礦產(chǎn)與石油，為整個社會帶來了全新的創(chuàng)業(yè)方向、商業(yè)模式和投資機(jī)會。

大數(shù)據(jù)時代，組織和企業(yè)會更多的依靠數(shù)據(jù)分析而非經(jīng)驗和直覺來制定決策。充分挖掘和使用數(shù)據(jù)的價值將為組織和企業(yè)帶來強(qiáng)大的競爭力。我們的周圍也不乏有希望通過挖掘數(shù)據(jù)價值，提升組織或和企業(yè)競爭力的客戶。像所有的科學(xué)技術(shù)一樣，大數(shù)據(jù)也是一把雙刃劍，能否合理利用成了其劍鋒所向的分界點。

數(shù)據(jù)安全存在著多個層次，如規(guī)章制定、信息收集、信息傳輸、信息傳輸?shù)拳h(huán)節(jié)安全。對于業(yè)務(wù)數(shù)據(jù)的安全，三分制定，七分技術(shù)，其他安全也是至關(guān)重要。

業(yè)界通常以四個“V”來概括大數(shù)據(jù)的基本特征：Volume（數(shù)據(jù)體量巨大）、Variety（數(shù)據(jù)類型繁多）、Value（價值密度低）、Velocity（處理速度快）。而恰恰是這四個特點，也決定了其安全風(fēng)險。

數(shù)據(jù)安全比傳統(tǒng)信息安全更加復(fù)雜，體現(xiàn)在三個方面。

（1）業(yè)務(wù)數(shù)據(jù)越來越大，包括越來越多企業(yè)數(shù)據(jù)、個人資料、客戶的隱私，數(shù)據(jù)的集中存儲環(huán)節(jié)存在很大數(shù)據(jù)泄露隱患。

（2）敏感數(shù)據(jù)的應(yīng)用界限不明確，大數(shù)據(jù)的分析大多未考慮到個體隱私問題。

（3）大數(shù)據(jù)對數(shù)據(jù)安全依賴提升，傳統(tǒng)的像APT、DDos等安全工具，在數(shù)據(jù)防丟失、防泄漏上存在一定的技術(shù)難度。

大數(shù)據(jù)技術(shù)，主要是針對事物之間或者人和事物之間進(jìn)行關(guān)系分析，如果大數(shù)據(jù)技術(shù)只是單純的輔助決策的作用，那并不可怕，但事實上，大數(shù)據(jù)分析技術(shù)逐漸變成了一項重要的業(yè)務(wù)決策流程，越來越多的決策結(jié)果受到大數(shù)據(jù)分析結(jié)果所影響，對于決策者來說，最艱難的事情就是讓我們邏輯思考來做決定，還是有智能分析的數(shù)據(jù)做決定，現(xiàn)在來看，智能分析的結(jié)果往往是正確的，并且讓我們對其產(chǎn)生依賴，試想一下，如果大數(shù)據(jù)分析手機(jī)的基礎(chǔ)信息數(shù)據(jù)出現(xiàn)問題，或者分析的邏輯是不正確的，那么將會引導(dǎo)我們走向錯誤，所以，面對海量的數(shù)據(jù)，存儲、管理和分析，傳統(tǒng)的對錯分析和奇偶校驗可能不能滿足需求。

3 大數(shù)據(jù)就是大風(fēng)險

大數(shù)據(jù)之“大”實際上指的是它的種類豐富、存儲量大，因此管理起來是一個具有挑戰(zhàn)性的工作。然而，無論企業(yè)在數(shù)據(jù)的存儲、應(yīng)用以及環(huán)境角度來看，“管理風(fēng)險”不可避免地成為了“大數(shù)據(jù)就是大風(fēng)險”的潛在推力。而數(shù)據(jù)安全是使用單位的重中之重，數(shù)據(jù)安全技術(shù)直接影響國家安全。總結(jié)起來，主要體現(xiàn)在五個方面。

3.1 云數(shù)據(jù)

目前來看，企業(yè)對諸如云服務(wù)等新技術(shù)的應(yīng)用還是面臨很多的困難，因為在實際應(yīng)用中可能會遇到一些無法預(yù)料的問題。另外，黑客們對于放在云端的大數(shù)據(jù)更容易獲取對于他們有用的信息，因此企業(yè)對云計算的安全性要求就會更高。

3.2 網(wǎng)絡(luò)安全

隨著互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展，IT資源產(chǎn)生的在線數(shù)據(jù)正在被利用，但是數(shù)據(jù)量越來越大，已有的分析利用效率越來越低，數(shù)據(jù)的維護(hù)和利用壓力正在變大。所以企業(yè)對于大數(shù)據(jù)應(yīng)用中，對網(wǎng)絡(luò)的恢復(fù)、防范依賴性就越來越高。

3.3 隱私

個人隱私作為一直備受關(guān)注的社會問題，隨著各式各樣的數(shù)據(jù)量越來越大，通過多種關(guān)聯(lián)技術(shù)的分析成熟，個人隱私問題也將愈加凸顯。

3.4 消費化

隨著移動辦公的興起和廣泛使用，在數(shù)據(jù)收集、存儲、訪問、傳輸都必不可少的有移動設(shè)備的介入。大數(shù)據(jù)時代的興起帶動了移動設(shè)備數(shù)量的驟增，為了方便，越來越的員工使用自己的移動設(shè)備進(jìn)行辦公。使用方便的同時，也給企業(yè)帶來了安全隱患，移動設(shè)備很容易成為黑客入侵到內(nèi)網(wǎng)的跳板，所以，移動設(shè)備的安全性關(guān)系著企業(yè)的安全。

3.5 互相聯(lián)系的供應(yīng)鏈

企業(yè)是供應(yīng)鏈中的一部分，而這個供應(yīng)鏈具有復(fù)雜性、全球性、還相互關(guān)聯(lián)。信息將供應(yīng)鏈緊密地聯(lián)系在一起，從數(shù)據(jù)到商業(yè)機(jī)密再到知識產(chǎn)權(quán)，而信息的泄露會給企業(yè)帶來經(jīng)濟(jì)和名譽上的重大損失，因此信息安全也越來越被重視。

不難看出，圍繞大數(shù)據(jù)的五個主要問題多是其安全問題。的確，信息安全是關(guān)乎企業(yè)生存命脈的一根紅線，在任何時期都是不可碰觸的。面對大數(shù)據(jù)的雙刃劍，保護(hù)好這些敏感數(shù)據(jù)的安全及其大數(shù)據(jù)分析生成的各種戰(zhàn)略方案、機(jī)密文檔、市場報告等成果，是促使大數(shù)據(jù)助力企業(yè)發(fā)展的關(guān)鍵環(huán)節(jié)。

各類技術(shù)都在考慮它們的安全性，并力求從中尋求一個契合點，云計算還有大數(shù)據(jù)，也都在尋求安全和各類技術(shù)有效融合。當(dāng)大數(shù)據(jù)考慮安全性的時候，一個全新的安全生態(tài)系統(tǒng)伴隨著大數(shù)據(jù)生態(tài)系統(tǒng)的成熟逐漸在我們眼前清晰地展開，資本運作和創(chuàng)新的動力不斷地驅(qū)動著安全向前邁進(jìn)。

4 數(shù)據(jù)信息的“安?！敝苯佑绊憯?shù)據(jù)開發(fā)

不可否認(rèn)，信息化程度越高，信息安全受到拷問的程度就越大。困擾全球各國的數(shù)據(jù)安全問題，同樣也在考驗中國。不能實現(xiàn)數(shù)據(jù)信息的“安保”，數(shù)據(jù)的開發(fā)就是一場災(zāi)難，世界主要經(jīng)濟(jì)體對此無一不有清醒認(rèn)識。

“中國的大數(shù)據(jù)和云計算產(chǎn)業(yè)應(yīng)既是開放的，也是安全的?！蔽覈I(lǐng)導(dǎo)人曾于2016年9月20日在紐約與美國經(jīng)濟(jì)、金融、智庫、媒體等各界人士座談時特別強(qiáng)調(diào)了這一點?？梢韵胍?，正因為80%的數(shù)據(jù)掌握在政府手中，保障數(shù)據(jù)安全才更具有了保衛(wèi)“國土安全”一般的深層意味。

電子政務(wù)數(shù)據(jù)作為政府部門內(nèi)部流轉(zhuǎn)數(shù)據(jù)，對社會經(jīng)濟(jì)發(fā)展的價值是最權(quán)威和全面的，也是受到廣泛認(rèn)可的，電子政務(wù)數(shù)據(jù)的開放及大數(shù)據(jù)平臺的形成是大勢所趨，然而，電子政務(wù)數(shù)據(jù)涉及大量個人隱私和涉密信息，那么如何在開放的情況，同時很好的保護(hù)好個人和國家的安全，是所有的政府部門和數(shù)據(jù)維護(hù)部門首要考慮的問題，也是各級政府及公共服務(wù)機(jī)構(gòu)推行政務(wù)大數(shù)據(jù)開放需要迫切加強(qiáng)建設(shè)的核心能力之一。

基于此，在數(shù)據(jù)開放過程中，出現(xiàn)了兩種極端現(xiàn)象。

一方面一些政府部門和公共機(jī)構(gòu)出于數(shù)據(jù)安全的顧慮，仍然對于政府?dāng)?shù)據(jù)開放共享持有觀望的態(tài)度，使得政府事業(yè)單位機(jī)的正常業(yè)務(wù)應(yīng)用面臨著風(fēng)險。

另一方面黑客技術(shù)發(fā)展，個人信息安全得不到保障，甚至威脅國家安全，拉響了數(shù)據(jù)安全開放的警鐘。

其實，數(shù)據(jù)安全可以從三個方面加強(qiáng)管理。

首先是內(nèi)容安全，規(guī)定數(shù)據(jù)的使用者，同時要對非法使用者制定懲罰措施。

其次是技術(shù)安全，技術(shù)安全從信息化的角度是可以保證的，數(shù)據(jù)要清洗、脫敏、建模、分析以及可視化之后方可進(jìn)入市場。

第三是保證交易安全，確保數(shù)據(jù)來源合法真實可信，交易買方不濫用數(shù)據(jù)。

只有實現(xiàn)數(shù)據(jù)安全開放，才能夠更深層挖掘數(shù)據(jù)潛力、數(shù)據(jù)價值。

當(dāng)然，數(shù)據(jù)安全升級需要緊密結(jié)合我國最前端的網(wǎng)絡(luò)安全技術(shù)。比如，我國著名網(wǎng)絡(luò)安全專家曾指出，“沒有數(shù)據(jù)安全，就沒有大數(shù)據(jù)產(chǎn)業(yè)發(fā)展?！泵舾袛?shù)據(jù)的保密性、完整性、可用性等問題，都將構(gòu)建大數(shù)據(jù)風(fēng)險評估機(jī)制、應(yīng)急響應(yīng)機(jī)制、災(zāi)難恢復(fù)機(jī)制，為數(shù)據(jù)安全鑄建防御工事。

5 探索大數(shù)據(jù)安全三路徑

盡管造成大數(shù)據(jù)安全風(fēng)險的因素方方面面，但確保數(shù)據(jù)安全仍有跡可循，可以從幾方面探索。

5.1 數(shù)據(jù)亟待確權(quán)

目前，國家層面的數(shù)據(jù)交易法律法規(guī)和行業(yè)標(biāo)準(zhǔn)尚未推出，在政府層面尚未有專門的監(jiān)管職能部門對其進(jìn)行監(jiān)管。這也讓大數(shù)據(jù)歸屬問題無從談起?，F(xiàn)在，以貴陽大數(shù)據(jù)交易所為引領(lǐng)的交易中心在各地政府的支持下紛紛建立，但商業(yè)數(shù)據(jù)交易涉及數(shù)據(jù)確權(quán)、資產(chǎn)評估、資產(chǎn)定價、數(shù)據(jù)安全等問題。資產(chǎn)確權(quán)涉及數(shù)據(jù)歸誰所有、數(shù)據(jù)上有哪些權(quán)利、交換交易的是數(shù)據(jù)何種權(quán)利；資產(chǎn)評估和資產(chǎn)定價涉及資產(chǎn)的價值評估；數(shù)據(jù)安全涉及如何采用技術(shù)手段對數(shù)據(jù)脫敏、采取哪些措施保障數(shù)據(jù)安全等。

如果這些問題沒有明確的界定，或者法律層面沒有定性，將引起數(shù)據(jù)隱私的災(zāi)難。而一旦解決數(shù)據(jù)確權(quán)立法，大數(shù)據(jù)產(chǎn)值將有可能呈爆發(fā)式增長。

國家可基于地方數(shù)據(jù)交易實踐及標(biāo)準(zhǔn)規(guī)范，并借鑒國外先進(jìn)經(jīng)驗，逐步探索建立國家層面數(shù)據(jù)交易的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，明確數(shù)據(jù)權(quán)屬問題，推動我國大數(shù)據(jù)交易實現(xiàn)標(biāo)準(zhǔn)化、規(guī)范化交易。

5.2 數(shù)據(jù)專業(yè)化處理要加強(qiáng)

當(dāng)前黑市中熱賣的個人姓名、身份證、銀行卡、手機(jī)號等底層數(shù)據(jù)，極大地侵犯個人隱私。數(shù)字化、智能化時代，大數(shù)據(jù)產(chǎn)業(yè)急需通過“清洗”技術(shù)對數(shù)據(jù)進(jìn)行甄別、篩選和應(yīng)用，剔除無效信息，加強(qiáng)隱私保護(hù)。在青島召開的2016全球大數(shù)據(jù)應(yīng)用研究論壇上，多位業(yè)內(nèi)專家建議我國加快大數(shù)據(jù)清洗基地建設(shè)。數(shù)據(jù)清洗在匯聚多個維度、多個來源、多種結(jié)構(gòu)的數(shù)據(jù)之后，就可以對數(shù)據(jù)進(jìn)行抽取、轉(zhuǎn)換和集成加載。

在這個過程中，除了更正、修復(fù)系統(tǒng)中的一些錯誤數(shù)據(jù)之外，更多的是對數(shù)據(jù)進(jìn)行歸并整理，并儲存到新的存儲介質(zhì)中。據(jù)統(tǒng)計，數(shù)據(jù)清洗在大數(shù)據(jù)開發(fā)過程占用的時間比例高達(dá)60%以上。大數(shù)據(jù)必須經(jīng)過清洗脫敏、分析、建模、可視化之后，才能進(jìn)入正規(guī)的交易市場流通交易。

數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對真實數(shù)據(jù)進(jìn)行改造并提供測試使用，如身份證號、手機(jī)號、卡號、客戶號等個人信息都需要進(jìn)行數(shù)據(jù)脫敏。

5.3 建立安全防護(hù)系統(tǒng)

安全防護(hù)系統(tǒng)應(yīng)該是一個多維度的安全防護(hù)網(wǎng)，既能夠立足信息安全等級保護(hù)，全過程增強(qiáng)信息安全保障能力，還能夠構(gòu)建大數(shù)據(jù)縱深防御體系，要做到整體防御、分區(qū)隔離，積極防護(hù)、內(nèi)外兼防，自身防御、主動免疫，縱深防御、技管并重。系統(tǒng)有可信免疫、主動防護(hù)的功能，確保大數(shù)據(jù)可信、可控、可管。要采用可信免疫的計算模式，搭建安全可信的系統(tǒng)框架。構(gòu)建可信計算環(huán)境，確保處理結(jié)果真實可信。 首先，對數(shù)據(jù)進(jìn)行分級分類管理，其次，建立數(shù)據(jù)訪問控制機(jī)制，實行主體按角色策略規(guī)則訪問不同等級數(shù)據(jù)，確保全程處理可控。推行最小權(quán)限管理，尤其是高等級系統(tǒng)實行三權(quán)分離管理體制，確保數(shù)據(jù)資源可管。

6 結(jié)束語

大數(shù)據(jù)產(chǎn)業(yè)正在蓬勃發(fā)展之勢，《大數(shù)據(jù)產(chǎn)業(yè)“十三五”發(fā)展規(guī)劃》意味著圍繞這個行業(yè)的規(guī)范正在建立。尤其是現(xiàn)在制定規(guī)劃過程中，將大數(shù)據(jù)產(chǎn)業(yè)與其他行業(yè)緊密結(jié)合的方式將會有助于數(shù)據(jù)在安全的前提下進(jìn)一步開放。沒有數(shù)據(jù)安全，數(shù)據(jù)釋放和價值激活，將無從談起。

作者簡介：

王愛軍（1982-），男，漢族，陜西神木人，畢業(yè)于西安工業(yè)大學(xué)，理學(xué)學(xué)士學(xué)位，工程師，高級企業(yè)信息管理師，注冊信息安全專業(yè)人員；主要研究方向和關(guān)注領(lǐng)域：電力企業(yè)信息化管理、網(wǎng)絡(luò)管理、系統(tǒng)運維、信息安全管理。