張博卿 王超

摘? ?要：文章首先從大數(shù)據(jù)自身、大數(shù)據(jù)平臺架構(gòu)和軟件、大數(shù)據(jù)技術(shù)應用等方面分析了當前我國大數(shù)據(jù)面臨的網(wǎng)絡安全挑戰(zhàn)，其次分析了我國大數(shù)據(jù)相關(guān)法律法規(guī)、標準、技術(shù)、產(chǎn)業(yè)的發(fā)展現(xiàn)狀，最后研究了我國大數(shù)據(jù)安全面臨的問題，并從大數(shù)據(jù)安全標準、核心技術(shù)、人才培養(yǎng)三個方面提出對策建議。

關(guān)鍵詞：大數(shù)據(jù)安全;個人信息保護

1 引言

隨著網(wǎng)絡深刻地融入經(jīng)濟社會生活，大數(shù)據(jù)安全風險伴隨大數(shù)據(jù)應用而生。大數(shù)據(jù)不僅面臨傳統(tǒng)安全挑戰(zhàn)，而且由于自身特點還面臨著多重挑戰(zhàn)，如大數(shù)據(jù)平臺安全面臨架構(gòu)、軟件的安全風險，傳統(tǒng)安全防護措施不能滿足大數(shù)據(jù)安全防護需求，大數(shù)據(jù)挖掘技術(shù)帶來的安全風險等。目前，我國高度重視大數(shù)據(jù)安全法律政策建設，加快制定大數(shù)據(jù)安全相關(guān)國家標準，產(chǎn)業(yè)界積極投身于大數(shù)據(jù)安全發(fā)展。然而，我國大數(shù)據(jù)發(fā)展還面臨一些主要問題，例如大數(shù)據(jù)安全標準有待進一步提高，大數(shù)據(jù)核心技術(shù)受制于人，大數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展滯后等。

2 我國大數(shù)據(jù)面臨的網(wǎng)絡安全挑戰(zhàn)

2.1大數(shù)據(jù)自身面臨的安全挑戰(zhàn)

隨著大數(shù)據(jù)技術(shù)的不斷發(fā)展，個人數(shù)據(jù)、工業(yè)數(shù)據(jù)等快速匯聚成常態(tài)，堆高數(shù)據(jù)泄露、數(shù)據(jù)竊取呈現(xiàn)出高發(fā)態(tài)勢，大數(shù)據(jù)自身面臨的安全風險不斷加大。目前，數(shù)據(jù)泄露事件頻發(fā)，個人大數(shù)據(jù)成為重災區(qū)，一些黑客首先利用撞庫等手段竊取個人數(shù)據(jù)，然后將個人數(shù)據(jù)放在暗網(wǎng)中兜售，個人數(shù)據(jù)竊取的黑色產(chǎn)業(yè)鏈已經(jīng)逐漸形成。2018年6月，AcFun彈幕視頻網(wǎng)發(fā)公告稱，平臺有800-1000萬左右的用戶數(shù)據(jù)被黑客竊取。隨后，該網(wǎng)站用戶數(shù)據(jù)被銷售的信息在暗網(wǎng)中出現(xiàn)，共計泄露900萬條用戶數(shù)據(jù)。前程無憂網(wǎng)站195萬用戶的求職簡歷在暗網(wǎng)中被銷售，原因是遭到撞庫攻擊。圓通超過10億條快遞數(shù)據(jù)在暗網(wǎng)上被兜售，據(jù)悉相關(guān)數(shù)據(jù)為2014年下旬采集，包括快遞寄（收）件人姓名、電話、地址等信息。2018年8月，順豐快遞數(shù)據(jù)在暗網(wǎng)上被銷售，涉及3億條用戶數(shù)據(jù)，售價2個比特幣。2018年12月，網(wǎng)傳陌陌3000萬數(shù)據(jù)在暗網(wǎng)被售賣，以50美元的價格出售。

2.2 大數(shù)據(jù)平臺安全面臨架構(gòu)和軟件的安全風險

近年來，大數(shù)據(jù)清洗、存儲、分析、挖掘相關(guān)的平臺和軟件漏洞頻出，引發(fā)安全風險。2018年1月，Hadoop大數(shù)據(jù)平臺的Yarn被發(fā)現(xiàn)存在信息泄露漏洞，黑客能夠利用該漏洞獲取平臺上的應用密碼。2018年2月，Cisco Spark有帳戶服務的某些驗證控件中存在安全漏洞，可使經(jīng)身份驗證的遠程攻擊者利用此漏洞查看受影響設備的信息。2018年5月，我國研究人員發(fā)現(xiàn)，一些俄羅斯黑客利用Hadoop Yarn資源管理系統(tǒng)的未授權(quán)訪問漏洞進行了網(wǎng)絡攻擊。2018年11月，研究人員發(fā)現(xiàn)Apache Spark中存在安全漏洞，攻擊者可通過發(fā)送特制的請求利用該漏洞在服務器上執(zhí)行代碼。

2.3 大數(shù)據(jù)挖掘技術(shù)帶來的安全挑戰(zhàn)

（1）傳統(tǒng)安全防護難以滿足大數(shù)據(jù)時代隱私保護的需求。傳統(tǒng)的隱私安全保護技術(shù)以匿名化技術(shù)為主，如K匿名、L多樣性等，但相關(guān)技術(shù)在大數(shù)據(jù)挖掘技術(shù)下可能失效，大數(shù)據(jù)挖掘和分析能夠?qū)δ涿瘮?shù)據(jù)進行重新識別，引發(fā)隱私安全擔憂。例如，2019年，澳大利亞某政府部門將部分匿名化交通數(shù)據(jù)向社會開放，但由于安全風險未做到位，導致交通數(shù)據(jù)經(jīng)分析和挖掘后能夠重新識別，個人交通出行隱私因此被泄露，給政府部門敲響了開放數(shù)據(jù)風險的警鐘。

（2）大數(shù)據(jù)挖掘技術(shù)帶來數(shù)據(jù)濫用的風險，如大數(shù)據(jù)殺熟、價格歧視等。2019年3月，攜程等互聯(lián)網(wǎng)公司都被質(zhì)疑利用用戶的行為、喜好等數(shù)據(jù)，在同一產(chǎn)品上對不同用戶區(qū)別定價，由此引來網(wǎng)友一片聲討。滴滴則被網(wǎng)友發(fā)現(xiàn)同一出發(fā)點和目的地，不同賬戶面對的估價不同，因此懷疑滴滴在定價方面存在大數(shù)據(jù)殺熟和價格歧視的現(xiàn)象，滴滴對此現(xiàn)象回應稱估價是實時變化的。

3 我國大數(shù)據(jù)安全發(fā)展現(xiàn)狀

3.1大數(shù)據(jù)安全法律政策加緊出臺

大數(shù)據(jù)安全受到國家和部委的高度重視。中共中央政治局在2017年12月8日下午就實施國家大數(shù)據(jù)戰(zhàn)略進行第二次集體學習。中共中央總書記習近平在主持學習時強調(diào)，“要切實保障國家數(shù)據(jù)安全。要加強關(guān)鍵信息基礎設施安全保護，強化國家關(guān)鍵數(shù)據(jù)資源保護能力，增強數(shù)據(jù)安全預警和溯源能力。要加強政策、監(jiān)管、法律的統(tǒng)籌協(xié)調(diào)，加快法規(guī)制度建設。要制定數(shù)據(jù)資源確權(quán)、開放、流通、交易相關(guān)制度，完善數(shù)據(jù)產(chǎn)權(quán)保護制度。要加大對技術(shù)專利、數(shù)字版權(quán)、數(shù)字內(nèi)容產(chǎn)品及個人隱私等的保護力度，維護廣大人民群眾利益、社會穩(wěn)定、國家安全。要加強國際數(shù)據(jù)治理政策儲備和治理規(guī)則研究，提出中國方案?！?/p>

大數(shù)據(jù)安全相關(guān)的法律政策加緊制定出臺。一是出臺地方層面大數(shù)據(jù)安全法律法規(guī)。2018年10月1日，《貴陽市大數(shù)據(jù)安全管理條例》正式實施，這是全國第一部大數(shù)據(jù)安全管理地方法規(guī)，對于保障大數(shù)據(jù)安全，促進貴陽大數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展具有重要意義。該條例將促進貴陽市國家大數(shù)據(jù)及網(wǎng)絡安全示范試點城市和大數(shù)據(jù)安全靶場等一系列工作順利開展。二是出臺行業(yè)層面大數(shù)據(jù)安全法律法規(guī)。醫(yī)療大數(shù)據(jù)安全方面，國家衛(wèi)生健康委員會研究制定了《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法（試行）》，在醫(yī)療大數(shù)據(jù)的保護、應用監(jiān)管方面制定了一系列管理辦法。

3.2 大數(shù)據(jù)安全相關(guān)國家標準加快制定

全國信息技術(shù)標準化技術(shù)委員會為推動和規(guī)范我國大數(shù)據(jù)產(chǎn)業(yè)的快速發(fā)展，培育大數(shù)據(jù)產(chǎn)業(yè)鏈，并與大數(shù)據(jù)安全標準化國際標準接軌。2014年12月，全國信息技術(shù)標準化技術(shù)委員會成立了大數(shù)據(jù)標準化工作組（BDWG），工作組主要負責制定和完善我國大數(shù)據(jù)領域標準體系，組織開展大數(shù)據(jù)相關(guān)技術(shù)和標準的研究，推動國際標準化活動，對口ISO/IEC JTC1 WG9大數(shù)據(jù)工作組。2016年4月，為了加快推動我國大數(shù)據(jù)安全標準化工作，全國信息安全標準化技術(shù)委員會成立大數(shù)據(jù)安全標準特別工作組，主要負責制定和完善我國大數(shù)據(jù)安全領域標準體系，組織開展大數(shù)據(jù)安全相關(guān)技術(shù)和標準研究。

我國在大數(shù)據(jù)安全標準建設方面情況如表1所示。

3.3 大數(shù)據(jù)安全技術(shù)不斷發(fā)展

大數(shù)據(jù)框架層面，Hadoop開源系統(tǒng)中提供了身份認證、訪問控制、安全審計和數(shù)據(jù)加密等功能，如基于Kerberos機制的身份認證、Posix權(quán)限和訪問控制、Hadoop開源系統(tǒng)各組件的日志和審計功能。同時，商業(yè)化的大數(shù)據(jù)平臺安全組件也在不斷發(fā)展，此類組件適用于原生或二次開發(fā)的Hadoop平臺，通過在原功能組件上部署安全插件對數(shù)據(jù)操作指令進行解析和攔截，進而實現(xiàn)身份認證、訪問控制、權(quán)限管理等功能。

數(shù)據(jù)和隱私保護層面，數(shù)據(jù)發(fā)布匿名保護技術(shù)、社交網(wǎng)絡匿名保護技術(shù)、數(shù)據(jù)水印技術(shù)和數(shù)據(jù)溯源技術(shù)等不斷發(fā)展。但總體來看，當前技術(shù)仍難以滿足數(shù)據(jù)保護的要求。在大數(shù)據(jù)信息龐大架構(gòu)復雜的環(huán)境下，攻擊者能夠從多個渠道得到各類信息，數(shù)據(jù)信息發(fā)布匿名保護技術(shù)實現(xiàn)有較大困難。社交網(wǎng)絡中數(shù)據(jù)信息多為圖結(jié)構(gòu)，攻擊者一般情況下會使用點和邊的一些屬性，經(jīng)過相應的分析與信息整合從而確定出用戶的身份信息，社交網(wǎng)絡匿名技術(shù)需要切實結(jié)合圖結(jié)構(gòu)的特點，才能對用戶進行標識和屬性的匿名保護。大數(shù)據(jù)環(huán)境下頻繁發(fā)生數(shù)據(jù)的復制、傳輸和多源信息融合，對數(shù)據(jù)追溯技術(shù)的研發(fā)帶來很大困難。

另外，多方大數(shù)據(jù)需要進行融合才能凸顯出大數(shù)據(jù)挖掘和分析的價值，為了保證多方數(shù)據(jù)在融合時不被泄露，近年來多方計算技術(shù)、同態(tài)加密技術(shù)、零知識證明技術(shù)等不斷發(fā)展，但距離大規(guī)模商業(yè)化應用還有一定差距。

3.4 大數(shù)據(jù)安全產(chǎn)業(yè)加快發(fā)展步伐

產(chǎn)業(yè)界積極舉辦參與大數(shù)據(jù)安全峰會。大數(shù)據(jù)安全引起了政產(chǎn)學研等社會各界的關(guān)注，信息安全類企業(yè)積極參與大數(shù)據(jù)安全峰會。2018年5月25日，中國大數(shù)據(jù)產(chǎn)業(yè)博覽會大數(shù)據(jù)安全高峰論壇在貴陽召開，此次論壇探討了大數(shù)據(jù)背景下的數(shù)據(jù)安全和社會治理能力現(xiàn)代化發(fā)展，以及推動大數(shù)據(jù)安全技術(shù)研發(fā)、數(shù)據(jù)資源保護、專業(yè)人才培養(yǎng)等方面研究的對策建議。2018年4月24日，國家超級計算機天津中心聯(lián)合英國標準協(xié)會舉辦了大數(shù)據(jù)時代信息安全管理與隱私保護主題峰會，圍繞著互聯(lián)網(wǎng)安全法規(guī)與政策發(fā)布、網(wǎng)絡信息安全、云服務下的個人隱私與數(shù)據(jù)治理、信息安全防護能力與應急管理、IT運維服務管理的標準、企業(yè)信息安全管理實施方法等方面展開了研討。2018年7月29日，2018首屆公共大數(shù)據(jù)安全技術(shù)大會在成都舉辦，大會以“新時代、新技術(shù)、新應用”為主題，旨在引入并借鑒國內(nèi)外大數(shù)據(jù)安全領域最前沿的理論與技術(shù)成果，洞悉全球公共大數(shù)據(jù)安全最新發(fā)展趨勢，聚焦探討公共大數(shù)據(jù)技術(shù)與應用熱點話題，與國際公共大數(shù)據(jù)安全創(chuàng)新防護理念同步，從而推動我國大數(shù)據(jù)安全保障體系建設，提升國家重點行業(yè)大數(shù)據(jù)安全防護水平。

大數(shù)據(jù)安全產(chǎn)業(yè)自身加快發(fā)展步伐。大數(shù)據(jù)安全技術(shù)囊括了基礎設施安全、應用安全、數(shù)據(jù)安全、身份與訪問管理、云安全等多個方面。阿里巴巴、啟明星辰、華為、騰訊等分別在云安全、物聯(lián)網(wǎng)終端安全和身份訪問控制方面實現(xiàn)技術(shù)突破，同時我國網(wǎng)絡安全企業(yè)呈現(xiàn)出相互合作應對大數(shù)據(jù)環(huán)境下安全服務需求的趨勢。2018年3月，華為主導發(fā)起“華為安全商業(yè)聯(lián)盟”，通過聯(lián)合安全解決方案深度整合聯(lián)盟伙伴的安全服務，解決單一廠商較難為用戶提供全面完整大數(shù)據(jù)安全解決方案的問題。2018年8月，騰訊聯(lián)合啟明星辰、衛(wèi)士通、立思辰等在內(nèi)的15家上市公司，成立上市企業(yè)協(xié)作共同體，旨在搭建中國互聯(lián)網(wǎng)安全企業(yè)的協(xié)同平臺。

產(chǎn)業(yè)界開展大數(shù)據(jù)安全攻防演練助推健康發(fā)展。2018年大數(shù)據(jù)安全競賽如火如荼的開展。2018年8月，由公安部和國家密碼管理局指導的“網(wǎng)鼎杯”順利舉行，大賽吸引了超過兩萬名選手參賽。2018年11月，由中央網(wǎng)信辦指導的“湖湘杯”網(wǎng)絡安全技能大賽順利開展，該比賽是2018中國（長沙）智能制造大會的重要組成部分，目的是發(fā)現(xiàn)和培養(yǎng)高端網(wǎng)絡安全人才。

4 我國大數(shù)據(jù)安全面臨的主要問題和對策建議

4.1 進一步完善大數(shù)據(jù)安全標準

當前，我國信息安全技術(shù)并不能滿足大數(shù)據(jù)隱私保護、安全審查、交易和共享安全的要求。建議從兩個方面完善大數(shù)據(jù)安全相關(guān)標準。一是為提高大數(shù)據(jù)產(chǎn)品和服務的安全可控水平，防范大數(shù)據(jù)應用中的各種數(shù)據(jù)安全和隱私安全風險，維護國家安全和公眾利益，依據(jù)《網(wǎng)絡安全法》和《網(wǎng)絡安全產(chǎn)品和服務審查辦法》，亟需加快大數(shù)據(jù)安全審查支撐性標準研制。二是數(shù)據(jù)共享缺乏安全標準、技術(shù)手段和管理能力，嚴重阻礙了數(shù)據(jù)共享進程，亟需建立與數(shù)據(jù)共享相關(guān)的數(shù)據(jù)安全管理辦法，加快數(shù)據(jù)交易安全相關(guān)標準的制定工作。

4.2 強化大數(shù)據(jù)核心技術(shù)

我國大數(shù)據(jù)核心技術(shù)存在受制于人的問題。一方面，大數(shù)據(jù)硬件、軟件、服務供應鏈的安全問題嚴重。大數(shù)據(jù)安全涉及底層芯片、基礎軟件到應用分析軟件及服務等全產(chǎn)業(yè)鏈的安全支撐。目前，我國大數(shù)據(jù)底層的核心技術(shù)基礎薄弱，處理芯片、存儲設備、大數(shù)據(jù)軟件等方面多受制于人。硬件方面，甲骨文公司、IBM占據(jù)中國服務器市場，搭載英特爾芯片的聯(lián)想、惠普和戴爾占據(jù)我國電腦市場。軟件方面，微軟的Windows操作系統(tǒng)占據(jù)我國操作系統(tǒng)市場，與數(shù)據(jù)處理密切相關(guān)的基礎軟件更是由國外主導。服務方面，思科把持163骨干網(wǎng)所有的超級核心節(jié)點。另一方面，我國缺乏大數(shù)據(jù)的系統(tǒng)開發(fā)核心技術(shù)，缺乏對大數(shù)據(jù)技術(shù)研發(fā)的整體設計框架，Hadoop分布式數(shù)據(jù)處理技術(shù)、nosql數(shù)據(jù)庫及流式數(shù)據(jù)處理技術(shù)等分別被Cloudera、IBM以及亞馬遜等國外企業(yè)掌控，國內(nèi)使用的數(shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)關(guān)鍵技術(shù)大多來源他國。建議加大政策扶持力度，鼓勵和扶助國內(nèi)電子產(chǎn)品廠商優(yōu)先采用國產(chǎn)硬件，鼓勵新建的重要網(wǎng)絡和信息系統(tǒng)采用國產(chǎn)產(chǎn)品，建立自主可控信息技術(shù)產(chǎn)業(yè)生態(tài)體系。

4.3 推進大數(shù)據(jù)安全人才培養(yǎng)

我國大數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展較為滯后，國內(nèi)僅有少數(shù)企業(yè)專門發(fā)展大數(shù)據(jù)安全。究其原因，我國大數(shù)據(jù)安全產(chǎn)業(yè)研發(fā)能力不足，大數(shù)據(jù)安全人才稀缺。大數(shù)據(jù)安全屬于“跨界”的前沿領域，要求人才既懂“大數(shù)據(jù)”，又懂“安全”，要求人才的知識結(jié)構(gòu)具有前沿性，又要求實作能力的綜合性，在客觀上決定了大數(shù)據(jù)安全人才是比較缺乏的。在高校人才培養(yǎng)來看，網(wǎng)絡空間安全剛剛興起，只是作為高校信息學科的一個方向，培養(yǎng)人數(shù)遠遠不夠，網(wǎng)絡空間安全一級學科的設立也是最近幾年的事情，大數(shù)據(jù)安全企業(yè)所用安全人才大都屬于“半路出家”，在工作崗位上逐步成長成熟，缺乏完善的人才培養(yǎng)體系。建議完善人才培養(yǎng)機制與部門間合作機制的有效聯(lián)動，增加大數(shù)據(jù)安全人才流動到政府相關(guān)部門的渠道;建立行業(yè)培訓標準促進大數(shù)據(jù)安全人才的認證和人才培養(yǎng)的專業(yè)性;開展大數(shù)據(jù)安全大賽等方式選拔優(yōu)秀大數(shù)據(jù)安全人才，同時促進大數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展。

5 結(jié)束語

加強大數(shù)據(jù)安全建設意義重大，不僅有助于保障國家重要數(shù)據(jù)安全、護航行業(yè)和企業(yè)數(shù)據(jù)安全，還有助于保護公民個人信息和隱私安全。本文分析了我國大數(shù)據(jù)面臨的網(wǎng)絡安全挑戰(zhàn)及現(xiàn)狀，發(fā)現(xiàn)我國大數(shù)據(jù)安全標準尚需完善，大數(shù)據(jù)核心技術(shù)受制于人，大數(shù)據(jù)安全人才匱乏，建議完善大數(shù)據(jù)安全審查、數(shù)據(jù)共享安全、交易安全等方面的標準，通過扶持政策強化大數(shù)據(jù)核心技術(shù)，并給予一定的行業(yè)培訓標準、人才流動和選拔手段推進大數(shù)據(jù)安全人才培養(yǎng)。

參考文獻

[1] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學報， 2014，37（01）：246-258.

[2] 陳左寧，王廣益，胡蘇太，韋海亮.大數(shù)據(jù)安全與自主可控[J].科學通報，2015，60（Z1）：427-432.

[3] 方濱興，賈焰，李愛平，江榮.大數(shù)據(jù)隱私保護技術(shù)綜述[J].大數(shù)據(jù)，2016，2（01）：1-18.

[4] 趙陽.大數(shù)據(jù)時代對國家安全的挑戰(zhàn)及對策研究[D].山東師范大學，2015.

[5] 張博卿.我國大數(shù)據(jù)安全現(xiàn)狀、問題及對策建議[J].網(wǎng)絡空間安全，2018，9（08）：45-47+80.

[6] 馬卓元，楊向東.大數(shù)據(jù)基礎平臺安全要求研究與分析[J].網(wǎng)絡空間安全，2018，9（05）：13-15.