◆李 怡 楊 帆 安克萬

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

大數(shù)據(jù)交易中的數(shù)據(jù)安全與隱私保護(hù)

◆李 怡 楊 帆 安克萬

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

大數(shù)據(jù)交易服務(wù)產(chǎn)業(yè)可支撐政府?dāng)?shù)據(jù)開放共享，促進(jìn)社會(huì)事業(yè)數(shù)據(jù)融合和資源整合，然而還面臨諸多安全挑戰(zhàn)。本文分析了國內(nèi)我國大數(shù)據(jù)交易的發(fā)展現(xiàn)狀，闡述了面臨的主要安全威脅，提出了保護(hù)大數(shù)據(jù)交易中的數(shù)據(jù)安全與隱私可采取的措施以確保交易安全，可促進(jìn)大數(shù)據(jù)交易產(chǎn)業(yè)健康發(fā)展。

大數(shù)據(jù)交易；大數(shù)據(jù)交易安全威脅；數(shù)據(jù)安全；隱私保護(hù)

0 引言

大數(shù)據(jù)時(shí)代，數(shù)據(jù)已經(jīng)成為國家基礎(chǔ)性戰(zhàn)略資源[1]，并日益對全球生產(chǎn)、流通、分配、消費(fèi)活動(dòng)以及國家治理能力產(chǎn)生重要影響[2]。大數(shù)據(jù)交易不僅可滿足交易雙方的數(shù)據(jù)需求，還可有力地支撐數(shù)據(jù)開放共享、促進(jìn)數(shù)據(jù)融合和資源整合，以及為政府整體數(shù)據(jù)分析能力的提升以及復(fù)雜社會(huì)問題的處理提供新手段。然而大數(shù)據(jù)交易建立在數(shù)字流的產(chǎn)生、交換、管理和應(yīng)用的基礎(chǔ)之上，隨著交易量的增加，風(fēng)險(xiǎn)敞口也隨之增加，面臨的安全問題也愈發(fā)突出，一旦交易的數(shù)據(jù)遭到非法竊取、泄露、篡改，將會(huì)對企業(yè)、個(gè)人客戶造成嚴(yán)重的安全威脅。本文梳理了國內(nèi)外大數(shù)據(jù)交易現(xiàn)狀，闡述了當(dāng)前大數(shù)據(jù)交易中的安全挑戰(zhàn)，提出了保護(hù)數(shù)據(jù)交易中數(shù)據(jù)和隱私的措施。所提出的保護(hù)保障措施不僅有助于提高大數(shù)據(jù)交易機(jī)構(gòu)的安全服務(wù)能力，還可為國家相關(guān)主管部門監(jiān)管大數(shù)據(jù)交易提供重要參考，從而促進(jìn)大數(shù)據(jù)交易服務(wù)產(chǎn)業(yè)健康可持續(xù)發(fā)展。

1 大數(shù)據(jù)交易現(xiàn)狀

2009年3月，美國政府推出上線了data.gov網(wǎng)站，向公眾開放其公共數(shù)據(jù)；隨后，英國、澳大利亞等政府也進(jìn)行了大數(shù)據(jù)開放[3]；我國政府也高度重視大數(shù)據(jù)交換平臺的建設(shè)，2015年8月國務(wù)院在《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》中明確提出“至2018年，中央政府層面實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一共享交換平臺的全覆蓋”，目前，國內(nèi)已建立14個(gè)省級信用信息共享交換平臺、正在建設(shè)15個(gè)省級信用信息共享交換平臺[4]。

國內(nèi)外多家大數(shù)據(jù)交易交易公司紛紛成立，國外規(guī)模較大的有美國的開放位置數(shù)據(jù)庫服務(wù)商 Factual公司、提供實(shí)時(shí)的數(shù)據(jù)交易市場的BDEX公司、InfoChimps數(shù)據(jù)提供公司和微軟的Azure數(shù)據(jù)交易公司，以交易中介服務(wù)培育為主要業(yè)務(wù)的日本富士通大數(shù)據(jù)交易公司以及加拿大提供金融和經(jīng)濟(jì)數(shù)據(jù)的 Quandl數(shù)據(jù)交易公司。我國于2015年成立了首家全國性的大數(shù)據(jù)交易市場——貴陽大數(shù)據(jù)交易所，2016年建立了注資2億元人民幣的上海數(shù)據(jù)交易中心有限公司和華中地區(qū)首家大數(shù)據(jù)交易機(jī)構(gòu)的武漢東湖大數(shù)據(jù)交易中心以及華東江蘇大數(shù)據(jù)交易平臺等共20多家大數(shù)據(jù)交易機(jī)構(gòu)[4]。

根據(jù)大數(shù)據(jù)交易模式的不同，我們將大數(shù)據(jù)交易模式分為三類：在線數(shù)據(jù)交易、離線數(shù)據(jù)交易和托管數(shù)據(jù)交易。其中，在線數(shù)據(jù)交易以數(shù)據(jù)調(diào)用接口的形式，由賣方向買方提供數(shù)據(jù)拷貝進(jìn)行數(shù)據(jù)交易；離線數(shù)據(jù)交易中賣方將數(shù)據(jù)拷貝到交易平臺，由交易平臺轉(zhuǎn)移給買方而交易；托管數(shù)據(jù)交易中賣方將數(shù)據(jù)拷貝至交易平臺，買方在交易平臺提供的環(huán)境內(nèi)使用數(shù)據(jù)，而原始數(shù)據(jù)不發(fā)生轉(zhuǎn)移的[3]。

2 大數(shù)據(jù)交易面臨的安全威脅

針對大數(shù)據(jù)交易中存在安全威脅的不同，可將其主要分為用戶隱私安全威脅、數(shù)據(jù)泄露和不同交易模式下的安全威脅等安全威脅[4]。

（1）用戶隱私安全威脅

大數(shù)據(jù)交易面臨著互聯(lián)網(wǎng)帶來的各種安全威脅，如DDoS攻擊、垃圾數(shù)據(jù)流等攻擊，對用戶隱私構(gòu)成了安全威脅。未脫敏數(shù)據(jù)的共享開放將會(huì)導(dǎo)致個(gè)人信息的泄露，即使數(shù)據(jù)在開放共享之前進(jìn)行了脫敏，但是大量非敏感數(shù)據(jù)聚合后也可能產(chǎn)生敏感數(shù)據(jù)，個(gè)人數(shù)據(jù)依然存在丟失、泄露、損毀等風(fēng)險(xiǎn)。此外，數(shù)據(jù)持有人的不當(dāng)操作也會(huì)導(dǎo)致個(gè)人隱私未經(jīng)授權(quán)的訪問、修改和泄露等安全風(fēng)險(xiǎn)。

（2）數(shù)據(jù)泄露安全威脅

由于目前缺乏數(shù)據(jù)交易行業(yè)相關(guān)的規(guī)范性文件，企業(yè)隱私性數(shù)據(jù)的安全難以得到保障。數(shù)據(jù)開放共享平臺存在用戶非授權(quán)訪問數(shù)據(jù)、用戶破壞或竊取數(shù)據(jù)，以及系統(tǒng)漏洞、網(wǎng)絡(luò)病毒和木馬程序等網(wǎng)絡(luò)攻擊導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)，而管理和操作人員的惡意操作、誤操作也會(huì)導(dǎo)致數(shù)據(jù)破壞、泄露的風(fēng)險(xiǎn)。

（3）不同交易模式下的安全威脅

在線數(shù)據(jù)交易中，服務(wù)平臺本身不存儲數(shù)據(jù)（僅對數(shù)據(jù)進(jìn)行必要的實(shí)時(shí)脫敏、清洗、審核和安全測試），而是作為交易渠道為各類用戶提供數(shù)據(jù)服務(wù)，實(shí)現(xiàn)交易流程管理，數(shù)據(jù)存在不合法、不合規(guī)的安全風(fēng)險(xiǎn)，由于接口不安全、訪問控制設(shè)置不合理、數(shù)據(jù)拷貝未加密也會(huì)導(dǎo)致交易過程存在數(shù)據(jù)泄露、非法訪問、傳輸?shù)劝踩L(fēng)險(xiǎn)；離線數(shù)據(jù)交易中數(shù)據(jù)主要存在非法竊取、泄露、篡改等安全風(fēng)險(xiǎn)；托管數(shù)據(jù)交易由于需要經(jīng)相關(guān)數(shù)據(jù)負(fù)責(zé)人的批準(zhǔn)，辦理復(fù)制登記手續(xù)和復(fù)制，因此主要存在用戶進(jìn)行非授權(quán)操作的風(fēng)險(xiǎn)。

3 大數(shù)據(jù)交易中的數(shù)據(jù)安全和隱私保護(hù)

為了保護(hù)大數(shù)據(jù)交易中的數(shù)據(jù)安全和隱私，可采取下列措施：

（1）完善法律法規(guī)標(biāo)準(zhǔn)、設(shè)立監(jiān)管機(jī)構(gòu)

我國應(yīng)制定規(guī)范大數(shù)據(jù)安全交易、隱私保護(hù)相關(guān)的法律法規(guī)，做到有法可依，同時(shí)，加快制定大數(shù)據(jù)安全交易方面的標(biāo)準(zhǔn)或者操作指南等規(guī)范，做到有法必依；還應(yīng)設(shè)立大數(shù)據(jù)交易安全監(jiān)管機(jī)構(gòu)，加大對隱私保護(hù)和數(shù)據(jù)安全方面的行政監(jiān)管力度，增強(qiáng)打擊盜竊、泄露數(shù)據(jù)和侵害隱私的處置力度。

（2）管理與人員安全

大數(shù)據(jù)交易機(jī)構(gòu)也應(yīng)制定大數(shù)據(jù)交易服務(wù)的安全管理策略，明確數(shù)據(jù)交易安全的總目標(biāo)、范圍、原則和安全框架等，建立交易參與方管理制度、數(shù)據(jù)安全管理制度、個(gè)人信息安全保護(hù)制度、數(shù)據(jù)交易過程安全管理制度等相關(guān)安全管理制度，全面提升大數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的安全管理水平。同時(shí)，還應(yīng)明確數(shù)據(jù)交易參與人員執(zhí)行管理操作或業(yè)務(wù)操作的規(guī)程和從業(yè)人員的安全管理職責(zé)，定期進(jìn)行業(yè)務(wù)及安全意識培訓(xùn)，并與重要崗位人員簽署保密協(xié)議，做到安全操作，減少因人為因素造成的安全危害。

（3）數(shù)據(jù)交易平臺安全

為了提高數(shù)據(jù)交易服務(wù)平臺的安全防護(hù)能力，可將傳統(tǒng)的信息安全手段與大數(shù)據(jù)安全技術(shù)相結(jié)合，從網(wǎng)絡(luò)安全、系統(tǒng)安全、主機(jī)安全和應(yīng)用安全等多方面對數(shù)據(jù)交易平臺進(jìn)行安全防護(hù)，并及時(shí)更新各種安全軟件。同時(shí)，利用數(shù)據(jù)挖掘技術(shù)[5]，分析網(wǎng)絡(luò)攻擊、識別異常行為，構(gòu)建全面的網(wǎng)絡(luò)安全預(yù)警體系，為發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅與回溯進(jìn)行有效防御，構(gòu)建安全的交易環(huán)境。此外，數(shù)據(jù)交易服務(wù)平臺還應(yīng)支持對數(shù)據(jù)交易進(jìn)行安全控制和安全審計(jì)，做到過程與人員均可控、可追溯。

（4）交易數(shù)據(jù)安全與隱私保護(hù)

對于面臨的數(shù)據(jù)與隱私威脅，數(shù)據(jù)交易服務(wù)平臺首先應(yīng)對數(shù)據(jù)交易的雙方建立相應(yīng)的用戶身份標(biāo)識，以便對用戶進(jìn)行唯一識別，并為各用戶配置必要的身份鑒別機(jī)制，在用戶執(zhí)行交易和管理等操作之前進(jìn)行身份鑒別，以便確定其身份是否真實(shí)有效，可防止身份假冒。

數(shù)據(jù)供需雙方在進(jìn)行數(shù)據(jù)交易時(shí)，還應(yīng)采取數(shù)據(jù)和個(gè)人信息安全保護(hù)技術(shù)，如可采取數(shù)據(jù)加密技術(shù)在大數(shù)據(jù)存儲、傳輸環(huán)節(jié)對數(shù)據(jù)進(jìn)行加密處理，從技術(shù)層面減少信息泄露的概率，即使數(shù)據(jù)泄露，數(shù)據(jù)盜取者也很難從中獲取關(guān)鍵信息；避免個(gè)人信息意外損失和破壞，切實(shí)保護(hù)個(gè)人權(quán)益，如采用大數(shù)據(jù)發(fā)布匿名保護(hù)技術(shù)保護(hù)隱私[6]。此外，在交易中還應(yīng)及時(shí)記錄數(shù)據(jù)交易，生成數(shù)據(jù)交易日志，支持對數(shù)據(jù)交易日志進(jìn)行查詢和備份。

4 結(jié)束語

本文分析了大數(shù)據(jù)交易面臨的安全威脅，提出了從政策法規(guī)、管理制度、人員、大數(shù)據(jù)交易平臺和技術(shù)等方面加強(qiáng)安全建設(shè)的措施，以有效保護(hù)大數(shù)據(jù)交易中的數(shù)據(jù)安全和隱私，促進(jìn)大數(shù)據(jù)交易服務(wù)行業(yè)的健康可持續(xù)發(fā)展。

[1]Viktor Mayer-Schonberger, Kenneth Cukier. Big Data: A Revolution that will Transform How We Live, Work and Think[D]. Boston: Houghton Miffl in Harcourt，2013.

[2]李國杰，程學(xué)旗.大數(shù)據(jù)研究:未來科技及經(jīng)濟(jì)社會(huì)發(fā)展的重大戰(zhàn)略領(lǐng)域[J].中國科學(xué)院院刊，2012.

[3]馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)，2014.

[4]唐斯斯，劉葉婷.我國大數(shù)據(jù)交易的發(fā)展現(xiàn)狀、面臨困難及政策建議[J].信息化研究，2016.

[5]楊曦,GUL Jabeen,羅平.云時(shí)代下的大數(shù)據(jù)安全技術(shù)[J].中興通信技術(shù)，2015.

[6]施洪華.大數(shù)據(jù)時(shí)代安全隱私保護(hù)技術(shù)探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.