大數據需要“強安全”

曲冰

數據時代面臨的最大挑戰是安全，大數據帶來安全風險的泛化。云中已經找不到邊界，網絡世界的安全威脅也將更深地影響到現實世界。

大數據時代已經到來，但現實中尚存“強數據、弱安全”等發展短板。本文從大數據的價值及安全風險、大數據安全理念及發展態勢等方面進行了分析探討，提出了大數據安全理念和安全法則。

大數據的價值

數據驅動生產，“萬物互聯”已可感知，其能量尚未完全爆發。很多人可能還認為“萬物互聯”只是一個比較遙遠的夢想，其實它早已變為現實。2015年全球連接到互聯網上的設備達49億臺，而到2020年將超過260億臺。

巨量的鏈接和巨量的數據，帶來真正的供給側革命。大數據分析已經越來越注重人工智能，去幫助分析海量數據，得出預測的見解。通過各自的渠道匯總起來所形成的大數據推動著社會進步和組織改革。獲得廣泛興趣的物聯網產品和服務是人們可以觸摸和感受到的，但大數據的價值又是不確定的，因為其價值目前還難以估量。

大數據安全風險

大數據時代面臨的最大挑戰是安全，大數據帶來安全風險的泛化。云中已經找不到邊界，網絡世界的安全威脅也將更深地影響到現實世界。如果所有汽車、水壩、電廠等都連上網，那么一旦出問題，其危害和損失不亞于一次核彈攻擊。

360創始人周鴻祎提出網絡安全的“奇點論”，即當大數據時代來臨，用戶信息能不能保證足夠的安全，這將是一個奇點，決定大數據革命這個拐點何去何從。

當下，傳統的病毒、攻擊等安全問題依然存在，但網絡安全風險已出現如下新特征：

一是高級網絡攻擊次數呈指數級發展，并已經“看不見”。2015年全球共發現4.3億個新型惡意軟件，創歷史新高；零日漏洞增長了125%；加密勒索軟件攻擊增長了35%。高級持續性威脅越來越難看見，APT組織會使用更復雜的攻擊工具，針對用戶進行量身定制的個性化攻擊。

二是面向移動和物聯網等新興領域的網絡威脅增多，網絡攻擊跨平臺、交叉式傳播。2016年，勒索軟件的攻擊范圍已從個人電腦蔓延至智能手機、Linux和Mac OS系統。而且，勒索軟件的惡意行為開始出現交叉式傳播。

三是針對安全行業的攻擊從被動隱匿到主動出擊。2015年曝光針對卡巴斯基攻擊的duqu2.0 APT組織，就是黑客對安全行業從被動隱匿過渡到主動出擊的例子。這是前所未有的趨勢。

大數據安全理念

習近平總書記在4·19網絡安全和信息化工作座談會上指出，要樹立正確的網絡安全觀。網絡安全是整體的而不是割裂的，是動態的而不是靜態的，是開放的而不是封閉的，是相對的而不是絕對的。以360為代表的互聯網安全公司，積極響應習近平總書記講話，努力推動“開放、平等、協同、共享”的大安全理念的落實。

1.充分尊重個人信息權，充分保護用戶信息安全。大數據時代應遵循“信息安全三原則”。即：用戶信息的所有權屬于用戶；對用戶數據的使用必須經過用戶的授權和認可；無論是政府還是公司，應該做到安全存儲、安全傳輸，給用戶的數據提供最安全的保障。

2.以創新推動安全行業的協同合作、開放共享。面對復雜嚴峻的網絡安全形勢，安全業界需要開放、連接和協同。只有開放才能將不同的安全技術連接到一起，借助連接構建起協同的安全防御體系、形成合力，而通過協同又反過來進一步促進開放。

大數據安全法則

“數據驅動安全”“安全即服務”法則將安全帶入IOT時代。

萬物聯網時代的安全將基于智能硬件、移動支付、身份識別等，單純傳統的安全防護方法無法解決互聯網多元化帶來的安全問題，未來需要的是“生態安全”“浸入式安全”。安全化為無形，成為互聯網生態的“基礎設施”。大數據安全發展有兩大法則，即：“數據驅動安全”“安全即服務”。

大數據驅動成為解決網絡安全的辦法。“數據驅動安全”是符合“互聯網+”思維的安全技術體系，它包括云端的大數據中心、大數據引擎和大數據分析系統；可以實時感知各種威脅和攻擊，匯集到云端，形成網絡安全的智慧大腦，通過關聯分析快速地找到安全公司需要的數據，并通過可視化技術，讓人們用肉眼能“看見”安全威脅。然后，使用深度機器學習技術來提高數據挖掘的效果，再加上網絡攻防工程師的介入，使得重要的安全問題定位更準確，成為未來解決安全問題的辦法。

“安全即服務”將成為安全新導向。云平臺本身的安全性存在較大隱患。在這種態勢下，安全將由傳統的提供產品或提供服務，轉變成一種新的形式：安全即服務。安全即服務是以云服務的形式為云端的用戶提供各種安全解決方案，包括云防護、威脅態勢感知和未來的基于SDN的安全服務。

頻繁的APT攻擊和數據泄露事件，讓安全成為社會聚焦的中心，安全意識這面警鐘敲得比任何時候都響。但我們有必要將它敲得更響一些，讓“大數據需要‘強安全”成為各行各業的自覺；也期待在政府和企業的共同努力下，為我們萬物互聯時代的真正到來保駕護航。