吳東昌　李明　馬梅娟

摘要：大數(shù)據(jù)并不是一個實(shí)體，而是一個橫跨很多IT邊界的動態(tài)活動。隨著時代的不斷發(fā)展，大數(shù)據(jù)正成為當(dāng)前學(xué)術(shù)界研究的熱點(diǎn)。但是大數(shù)據(jù)面臨的各種風(fēng)險(xiǎn)，并通過研究數(shù)據(jù)安全標(biāo)準(zhǔn)來應(yīng)對這些風(fēng)險(xiǎn)，為建立大數(shù)據(jù)風(fēng)險(xiǎn)防范，提供了堅(jiān)實(shí)的理論基礎(chǔ)。

關(guān)鍵詞：大數(shù)據(jù)；數(shù)據(jù)安全；安全標(biāo)準(zhǔn)；信息安全

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）18-0021-02

1大數(shù)據(jù)安全風(fēng)險(xiǎn)分析

當(dāng)今世界，社會信息化和網(wǎng)絡(luò)化發(fā)展迅速，特別是“互聯(lián)網(wǎng)+”的廣泛應(yīng)用，大數(shù)據(jù)在金融、媒體、互聯(lián)網(wǎng)、交通等方面如雨后春筍般發(fā)展起來，大數(shù)據(jù)讓人們的生活變得更加便捷，但不可忽視的一個方面，就是數(shù)據(jù)安全隱私的問題。如何對大數(shù)據(jù)進(jìn)行安全標(biāo)準(zhǔn)的規(guī)范，在現(xiàn)實(shí)社會中，顯得尤為重要。

大數(shù)據(jù)是“數(shù)據(jù)化”趨勢下的必然產(chǎn)物，是指所涉及的數(shù)據(jù)量規(guī)模巨大，通過目前的主流軟件工具無法進(jìn)行管理、處理及運(yùn)算，形成對決策類單位有用的信息參考。它以海量的數(shù)據(jù)規(guī)模、快速的數(shù)據(jù)流轉(zhuǎn)、動態(tài)的數(shù)據(jù)體系、多樣的數(shù)據(jù)類型和巨大的數(shù)據(jù)價值為主要特征。研究機(jī)構(gòu)Gartner給出的定義為：大數(shù)據(jù)是需要新處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)。當(dāng)今社會來源生活的大數(shù)據(jù)隨處可見，以攝像頭拍攝為主要來源的大數(shù)據(jù)，攝像頭全年不間斷的收集社會各個角落的信息，收集的數(shù)據(jù)主要是保護(hù)社會的安定和發(fā)展；再例如，一分鐘內(nèi)，微信有千百萬次信息推送，智能手機(jī)下載應(yīng)用程序數(shù)以萬計(jì)；還有其他大量的政府類企業(yè)信息數(shù)據(jù)、個人通訊類數(shù)據(jù)、網(wǎng)頁搜索以及智能設(shè)備的使用都會產(chǎn)生大量數(shù)據(jù)。這些數(shù)據(jù)被相關(guān)的云端自動收集起來被用作分析測評資料，大數(shù)據(jù)的廣泛應(yīng)用與分析，不可避免造成數(shù)據(jù)安全隱患的產(chǎn)生，如棱鏡門事件的背后凸顯出大數(shù)據(jù)安全布控的重要性和緊迫性，大數(shù)據(jù)應(yīng)用在數(shù)據(jù)從生產(chǎn)、存儲、使用、傳輸、共享到銷毀的不同生命周期中，面臨的風(fēng)險(xiǎn)安全主要體現(xiàn)在以下幾個方面：

1）隱私泄漏風(fēng)險(xiǎn)。目前對保護(hù)個人或單位隱私的法律法規(guī)不健全，大量數(shù)據(jù)在應(yīng)用或使用過程中，只在意軟件功能，常常忽略被一些軟件、設(shè)備“獲取信息”。就像一些運(yùn)動健身、打車及網(wǎng)上理財(cái)軟件，在這時，我們每個個體都成立數(shù)據(jù)的產(chǎn)生者和貢獻(xiàn)者。此外，大數(shù)據(jù)環(huán)境下關(guān)聯(lián)數(shù)據(jù)的匯合，使攻擊者更容易通過數(shù)據(jù)的關(guān)聯(lián)，獲得更多隱私數(shù)據(jù)。

2）網(wǎng)絡(luò)傳播安全威脅。隨著互聯(lián)網(wǎng)+大數(shù)據(jù)時代的到來，數(shù)據(jù)已經(jīng)成為企業(yè)的核心資產(chǎn)，以數(shù)據(jù)資源為目標(biāo)的網(wǎng)絡(luò)攻擊已成為大數(shù)據(jù)時代的新的安全威脅，大數(shù)據(jù)的傳輸需要各種網(wǎng)絡(luò)協(xié)議，部分協(xié)議缺乏專業(yè)的數(shù)據(jù)保護(hù)機(jī)制，攻擊者常利用傳輸協(xié)議的漏洞進(jìn)行數(shù)據(jù)的竊取和攔截，可能造成大數(shù)據(jù)安全方面的管理失控、隱私泄密及傳播擴(kuò)散等問題。

3）大數(shù)據(jù)基礎(chǔ)設(shè)施安全威脅。基礎(chǔ)設(shè)施是確保大數(shù)據(jù)安全運(yùn)行的基礎(chǔ)，若攻擊者計(jì)劃阻礙大數(shù)據(jù)的正常運(yùn)行，攻擊者通過漏洞進(jìn)行攻擊，遠(yuǎn)程控制包括空調(diào)在內(nèi)的關(guān)鍵設(shè)備，并進(jìn)行破壞，就會影響整個系統(tǒng)運(yùn)行，造成數(shù)據(jù)泄漏、數(shù)據(jù)丟失、網(wǎng)絡(luò)病毒等安全威脅，如處理不及時，則可能損壞硬件設(shè)備。

大數(shù)據(jù)安全風(fēng)險(xiǎn)已成為阻礙我國經(jīng)濟(jì)快速發(fā)展的重要因素，通過對國內(nèi)外大數(shù)據(jù)現(xiàn)有安全防范標(biāo)準(zhǔn)進(jìn)行綜合分析，對大數(shù)據(jù)中的用戶數(shù)據(jù)和安全隱私進(jìn)行保護(hù)，解決大數(shù)據(jù)時代數(shù)據(jù)公開和安全、隱私保護(hù)之間的矛盾，為研制我國大數(shù)據(jù)安全防范機(jī)制提供重要的依據(jù)。

2大數(shù)據(jù)安全標(biāo)準(zhǔn)國內(nèi)外研究現(xiàn)狀

2.1大數(shù)據(jù)安全標(biāo)準(zhǔn)國外研究現(xiàn)狀

主要的國際標(biāo)準(zhǔn)化組織ISO/IEC JTCI SC32于2012年成立了下一代分析技術(shù)與大數(shù)據(jù)研究組，以元數(shù)據(jù)、大數(shù)據(jù)存儲和檢索、大數(shù)據(jù)所支持的復(fù)雜數(shù)據(jù)類型等作為主要的研究重點(diǎn)。ITU-T則重點(diǎn)研究基于大數(shù)據(jù)的云計(jì)算相關(guān)技術(shù)，在2013年發(fā)布了《大數(shù)據(jù)：今天巨大，明天平?！返膱?bào)告，分析了大數(shù)據(jù)面臨的挑戰(zhàn)和ITU-T開展的標(biāo)準(zhǔn)化工作，目前該組織已啟動“基于大數(shù)據(jù)的云計(jì)算需求和能力”新工作項(xiàng)目。

美國政府將大數(shù)據(jù)研究作為提升競爭力的關(guān)鍵因素之一，把大數(shù)據(jù)研究和生產(chǎn)計(jì)劃提高到國家戰(zhàn)略層面，美國政府在2012年投資2億美元啟動“大數(shù)據(jù)研究和發(fā)展計(jì)劃”。美國主要從事大數(shù)據(jù)研究的NIST數(shù)據(jù)組，在2013年召開了大數(shù)據(jù)公共工作組（NBD-PWG）成立會議，來自產(chǎn)業(yè)界、學(xué)術(shù)界和政府的公共環(huán)境為平臺，同年9月啟動了大數(shù)據(jù)定義、術(shù)語、安全體系和技術(shù)路線圖等方面的研究，于2015年，編寫了包括《大數(shù)據(jù)定義》、《大數(shù)據(jù)安全與隱私》、《大數(shù)據(jù)參考架構(gòu)》等7卷在內(nèi)的《大數(shù)據(jù)互操作性框架》，提出數(shù)據(jù)分析技術(shù)滿足的互操作性、可移植性、可擴(kuò)展性需求和安全有效的支撐大數(shù)據(jù)安全應(yīng)用的技術(shù)基礎(chǔ)設(shè)施。

PCI-DSS由PCI安全標(biāo)準(zhǔn)委員會的創(chuàng)始成員（visa、master-card、American Express、Discover Financial Services、JCB等）制定，力求在國際上采用一致的數(shù)據(jù)安全措施標(biāo)準(zhǔn)，嚴(yán)格控制數(shù)據(jù)在處理、存儲和傳輸過程中在線交易的安全。

2.2大數(shù)據(jù)安全標(biāo)準(zhǔn)國內(nèi)研究現(xiàn)狀

我國對大數(shù)據(jù)發(fā)展起步較晚，與發(fā)達(dá)國家對大數(shù)據(jù)安全標(biāo)準(zhǔn)的研究還有一段距離。

2014年12月，全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會成立大數(shù)據(jù)標(biāo)準(zhǔn)工作組，開展制定了大數(shù)據(jù)技術(shù)參考模型、數(shù)據(jù)質(zhì)量評價、數(shù)據(jù)交易、數(shù)據(jù)導(dǎo)入及數(shù)據(jù)語音等十幾項(xiàng)國家標(biāo)準(zhǔn)，為大數(shù)據(jù)安全標(biāo)準(zhǔn)的制定打好數(shù)據(jù)基礎(chǔ)。

2015年8月，國務(wù)院印發(fā)了《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，指出要大力發(fā)展大數(shù)據(jù)產(chǎn)業(yè)，推動數(shù)據(jù)的利用，同時要注意大數(shù)據(jù)使用的安全防范。

《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《安全法》）已于2016年11月通過全國人大審議通過，《安全法》明確規(guī)定了網(wǎng)絡(luò)安全實(shí)行等級保護(hù)制度，采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施，防止網(wǎng)絡(luò)數(shù)據(jù)的泄漏或篡改，關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營者收集的個人信息和數(shù)據(jù)應(yīng)在國內(nèi)存儲，需向境外提供，要經(jīng)過國家網(wǎng)信部門及國務(wù)院有關(guān)部門制定的辦法，進(jìn)行安全評估；明確規(guī)定了國家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估和應(yīng)急工作機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練，確保數(shù)據(jù)安全。endprint

2016年5月全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會成立大數(shù)據(jù)安全特別工作組，以研究制定大數(shù)據(jù)安全能力要求和管理指南、大數(shù)據(jù)交易安全等國家標(biāo)準(zhǔn)為主要工作任務(wù)。

2017年2月21日，質(zhì)檢總局電子商務(wù)產(chǎn)品執(zhí)法打假中心在內(nèi)蒙古揭牌，通過大數(shù)據(jù)收集分析工作助力執(zhí)法打假，實(shí)現(xiàn)“信息收集、風(fēng)險(xiǎn)預(yù)警、精準(zhǔn)打擊”，為廣大群眾、為社會、為質(zhì)監(jiān)事業(yè)信息化進(jìn)程提供更可靠的技術(shù)和更優(yōu)質(zhì)的服務(wù)。

3大數(shù)據(jù)安全標(biāo)準(zhǔn)的研究展望

3.1加快大數(shù)據(jù)安全標(biāo)準(zhǔn)研制

目前，數(shù)據(jù)安全標(biāo)準(zhǔn)體系作為我大數(shù)據(jù)標(biāo)準(zhǔn)體系的六個類別（基礎(chǔ)標(biāo)準(zhǔn)、數(shù)據(jù)處理標(biāo)準(zhǔn)、數(shù)據(jù)安全標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量標(biāo)準(zhǔn)、產(chǎn)品和平臺標(biāo)準(zhǔn)、應(yīng)用和服務(wù)標(biāo)準(zhǔn)）之一，是數(shù)據(jù)標(biāo)準(zhǔn)體系的支撐體系，貫穿于數(shù)據(jù)整個生命周期的各個階段，如果把網(wǎng)絡(luò)安全和系統(tǒng)安全不予考慮的話，大數(shù)據(jù)時代的安全標(biāo)準(zhǔn)主要包括通用要求和隱私保護(hù)兩大部分。通用要求主要包括GB/T 2009-2005《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》、GB/T20273-2006《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》、GB/T 22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T 22081《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》、GB/T 31496-2015《信息安全管理體系實(shí)施指南》、GB/T 31168-2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》等標(biāo)準(zhǔn)；隱私保護(hù)主要包括：GB/Z 28828-2012《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》及在研的《信息安全技術(shù)個人信息保護(hù)管理要求》和《信息安全技術(shù)移動智能終端個人信息保護(hù)技術(shù)要求》等。適應(yīng)大數(shù)據(jù)的快速發(fā)展，按照成熟、緊急先行的思路，依據(jù)大數(shù)據(jù)在標(biāo)準(zhǔn)安全方面的成果，圍繞大數(shù)據(jù)安全審查，在大數(shù)據(jù)安全特別工作組領(lǐng)導(dǎo)協(xié)調(diào)下，引導(dǎo)各方資源建立溝通合作機(jī)制，調(diào)動各方積極性，開展安全關(guān)鍵性標(biāo)準(zhǔn)的研制。

3.2統(tǒng)一規(guī)劃大數(shù)據(jù)安全標(biāo)準(zhǔn)

在大數(shù)據(jù)時代，數(shù)據(jù)日益成為核心資產(chǎn)，大數(shù)據(jù)安全不同于關(guān)系型數(shù)據(jù)安全，一些網(wǎng)絡(luò)安全產(chǎn)品在監(jiān)控、分析日志文件、發(fā)現(xiàn)數(shù)據(jù)和評估漏洞的方面不能有效調(diào)整，無法滿足大數(shù)據(jù)領(lǐng)域。建立出臺統(tǒng)一由政府主導(dǎo)、產(chǎn)研聯(lián)合的大數(shù)據(jù)安全標(biāo)準(zhǔn)，明確大數(shù)據(jù)安全標(biāo)準(zhǔn)化需求和市場發(fā)展導(dǎo)向，進(jìn)一步對現(xiàn)有的大數(shù)據(jù)推廣應(yīng)用、大數(shù)據(jù)及相關(guān)產(chǎn)業(yè)發(fā)展明確邊界細(xì)分。按照輕重緩急的方針原則，對大數(shù)據(jù)安全基礎(chǔ)標(biāo)準(zhǔn)、實(shí)施指南及評估建立標(biāo)準(zhǔn)體系框架，同步國際大數(shù)據(jù)安全標(biāo)準(zhǔn)工作，為開展大數(shù)據(jù)安全標(biāo)準(zhǔn)的研制提供支撐。

4結(jié)論

本文通過對大數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行研究，列舉了大數(shù)據(jù)安全標(biāo)準(zhǔn)在國內(nèi)外的研究現(xiàn)狀，通過對我國的大數(shù)據(jù)標(biāo)準(zhǔn)體系進(jìn)行分析，找到我國在大數(shù)據(jù)安全性研究方面的與國外的差距。通過展望下一步大數(shù)據(jù)發(fā)展規(guī)劃，通過大數(shù)據(jù)安全特別工作組建議建立溝通合作機(jī)制，加快安全關(guān)鍵性標(biāo)準(zhǔn)的研制進(jìn)程。endprint