大數據安全形勢下電商的機遇與挑戰

□ 寧家駿

?

大數據安全形勢下電商的機遇與挑戰

□ 寧家駿

云計算、物聯網、社交網絡等新興服務促使人類社會的數據種類和規模正以前所未有的速度增長，大數據時代正式到來。大數據時代對電子商務及其企業的發展帶來了新挑戰和新的機遇，提出了構建大數據時代下的電子商務信息安全的新理念和新架構，指出新形勢下確保電商大數據安全對企業發展、增強綜合競爭力等具有極其重要的關鍵作用，它將會是未來電子商務發展的必然趨勢。同時就電商企業構建大數據時代下的電子商務信息安全保障體系，提出了設想和建議。

隨著互聯網的快速發展與變化，電子商務等承載了大量的個人及交易信息。電子商務中的數據不僅量大，而且結構復雜，其業務數據類型繁多，已經成為名副其實的大數據資源。這就意味著電商的數據必須在大容量數據分析和挖掘的基礎之上，才能獲得最真實的價值，因此大數據應用需求在電子商務中日趨重要，隨之而來大數據安全問題及其風險日益凸顯。同時，中國的電子商務企業已經認識到大數據蘊含著巨大的商業價值，但電商企業往往對大數據安全僅僅具有粗淺和初步的認識，遠未真正認識到其巨大的風險和潛在的巨大機遇。近日國家有關部門對此高度重視，國家發改委主任徐紹史同志與國家質檢總局局長支樹平同志在北京正式簽署戰略合作協議，共同貫徹落實國辦《關于運用大數據加強對市場主體服務和監管的若干意見》和《促進大數據發展行動綱要》等重要文件要求，聯合開展國家電子商務產品質量大數據分析應用工作，這一重要舉措再次表明國家高度重視運用大數

據加強對市場主體服務和監管，進一步提升我國電子商務產品質量監測管理水平以及宏觀經濟決策支持能力，同時也對大數據環境下的數據質量與安全提出了更高的要求。

本文首先通過對大數據時代下電子商務因數據安全引發的挑戰和機遇進行分析;其次，提出構建大數據時代下的電子商務網絡信息安全架構。大數據時代下的電子商務網絡信息安全架構的設計與構建不僅能促進企業經濟的發展，而且，它還可以加快實現電子商務企業信息化的建設。它是促進電子商務企業經濟發展的迫切需要；是使傳統企業經濟向信息化經濟過渡的有效途徑；是企業實現經濟全球化、信息化的有效手段。

大數據時代下的電子商務現狀

大數據是繼云計算、物聯網之后IT 產業又一次顛覆性的技術變革，對于企業將產生巨大的影響。如今，大數據分析已經成為行業研究的熱點，大數據正在以多種方式創造著巨大的價值。在大數據時代，未來數年數據量將會呈指數爆炸。未來大數據的發展趨勢主要會呈現出幾個特點：大數據會越來越多地進入垂直領域；越來越實時化；大數據產業會發展成生態鏈；開放性越來越強，大數據會越來越多地走向數據互換和數據交易。

眾所周知，當今電子商務的發展在經歷了基于用戶數和基于銷量的時代之后，已經進入了基于數據和大數據開發利用的新時代。當今電商迅速發展，數據已經如一股“洪流”注入了世界經濟，成為全球各個經濟領域的重要組成部分。企業可以分析和使用的數據在爆炸式增長，通過對大數據的收集、整合、分析，企業可以發現新的商機，創造新的價值，帶來大市場、大利潤和大發展。所以對于電子商務企業來說，大數據時代蘊藏著巨大的商機，數據服務已經成為電商發展的重要方向。當阿里巴巴、百度、騰訊等海量數據的擁有者在面對數據挖掘帶來的巨大財富時，數據服務已逐步成為我國電商的發展趨勢，出售數據和相關服務成為新的利益增長點。

以阿里巴巴為例，根據阿里巴巴旗下淘寶網的數據顯示，每天活躍數據量已經超過50TB。圍繞著買賣雙方的交易，大量搜索、瀏覽、評價等構成了淘寶網的數據產生來源。以淘寶平臺的數據開放為例，針對個人用戶，“淘寶指數”提供了對公眾的免費信息，公眾通過淘寶指數可以獲得行業和宏觀經濟的各項指標。另外，針對企業用戶，淘寶推出了數據魔方產品，可以獲取行業宏觀情況、品牌的市場狀況、消費者行為情況等，及時調整營銷手段，進而獲取更多流量，提高銷量。阿里整合旗下所有電商模式的基石——大數據平臺——初步成形，淘寶正轉型成為電商“生態圈”的基石。

另一方面，大數據在利用中為信息安全帶來發展契機。隨著移動互聯網、物聯網等新興IT 技術逐漸步入主流，大數據使得數據價值極大提高，無處不在的數據，對信息安全提出了更高要求。同時，大數據領域出現的許多新興技術與產品將為安全分析提供新的可能性；信息安全和云計算貫穿于大數據產業鏈的各個環節，云安全等關鍵技術將更安全地保護數據。大數據對信息安全的要求和促進將推動信息安全產業的大發展。

今天越來越多的電子商務公司通過對消費者的海量數據的收集、分析、整合，挖掘出商業價值，促進個性化和精確化營銷的開展。隨著電子商務的廣泛應用，選擇網上購物的消費者越來越多，使得電子商務網站的數據越來越多，這正是典型的大數據。全球迎來大數據時代，數據成為越來越有用的資源，電子商務企業在開發利用大數據的市場上存在著巨大的發展前景。

大數據安全已經成為新形勢下電商的巨大挑戰

大數據時代的到來將為其發展和競爭提供新的出路，包括具體產品和服務形式，通過個性化創新提升企業競爭力。善于利用大數據的電子商務企業將會獲得新的發展方向和動力。要收集大數據和發揮大數據的潛力，電子商務企業仍有很多障礙需要去克服。電子商務企業在大數據時代將會迎來重大的機遇和契機，同時也面臨著大數據安全和隱私保護等方面的挑戰。當前我國電子商務發展面臨的兩大突出問題是同質化競爭和大數據安全問題。

在大數據時代下，電子商務的競爭已經成為基于數據的競爭。數據就是電子商務企業的財富和金礦，誰擁有大數據，誰就有制勝的砝碼，誰就可能成為大贏家。然而網絡上的消費者并不會直接告訴企業其需求，電子商務企業必須去收集、分析、跟蹤、對比消費者在互聯網上留下的種種“足跡”、評論、圖片、視頻等。當今極速爆炸的信息量遠遠超越了大部分企業IT 架構和基礎設施的承載能力，其實時性要求也大大超越了現有的計算能力。

挖掘大數據的價值類似沙里淘金，由于大數據價值密度低的特性更加增添了數據收集工作的巨大性和繁重性。擁有大數據是利用大數據的前提條件，若不具備整合大數據收集和使用的能力，企業就很難在廣告和多個營銷渠道中提供真正個性化和精確的產品和服務推薦，而擁有大數據的企業則能在競爭中脫穎而出，不戰而勝。當今越來越多的電子商務企業已經認識到大數據的價值，高度重視數據的收集工作。各個企業紛紛重構其IT 架構，提高基礎設施的承載能力，租用足夠的空間，進一步加強信息化投資和建設，適應大數據時代的要求。

但是大多數企業在重視擁有大數據、重視對大數據的分析和挖掘能力、紛紛制定自己企業的“大數據發展戰略”的同時，往往忽略了大數據安全，未能認真研究和解決大數據安全帶來的困難和挑戰，從而難以有效地指導企業制訂精確的大數據安全行動綱領和落實有效的行動，這是十分危險的傾向。

大數據時代，網絡用戶在互聯網的評論、圖片、視頻、個人信息、興趣愛好、交易信息、訪問的網站等等均被企業記錄在案。企業掌握了大量消費者的行為數據，不僅可對大數據進行整合和分析，從而可以發現新的商機，創造新的價值。更加需要引發人們注意的是，這些數據經常包含消費者的真實信息，如在淘寶網上交易時的真實姓名、家庭住址以及銀行賬號等重要的真實信息，不僅引起了我們對個人隱私的擔憂，還關系到各個單位、行業、領域的重要信息，涉及到企業商業秘密、行業與領域的敏感數據，甚至包含著事關國家經濟社會發展的重要數據。一方面，大量的數據匯集，包括大量的企業運營數據、客戶信息、個人的隱私和各種行為的細節記錄，面臨的數據泄露風險將會增大。電商企業既要防止數據在云上丟掉，也要防止數據在端上被竊取和篡改。另一方面，一些敏感數據的所有權和使用權還沒有明確的界定，很多基于大數據的分析都未考慮到其中涉及到的個體的隱私問題。

正如美國著名的計算機專家迪博德所言，在信息時代，計算機內的每一個數據、每一個字節，都是構成一個隱私的血肉，更是一個企業、行業、領域直至國家經濟社會發展體征的重要信息。電商信息匯聚和數據整合，對隱私和信息安全的穿透力不僅僅是“1＋1＝2”的，很多時候，是大于2 的[1]。

大數據時代下的電子商務數據安全問題的由來

1）技術發展增加了安全風險

隨著計算機網絡技術、云計算和人工智能的發展，云存儲、云計算、云服務、虛擬化和移動互聯網以及數據挖掘應用系統等技術越來越廣泛，為大數據自動收集效率以及智能動態分析提供方便。但是，技術發展也增加了大數據的安全風險。一方面，大數據本身的安全防護存在漏洞。雖然云計算對大數據提供了便利，但對大數據的安全控制力度仍然不夠，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄露。而且大數據本身可以成為一個可持續攻擊的載體，被隱藏在大數據中的惡意軟件和病毒代碼很難發現，從而達到長久攻擊的目的。另一方面，攻擊的技術提高了。在用數據挖掘和數據分析等大數據技術獲取價值信息的同時，攻擊者也在利用這些大數據技術進行攻擊。

2）網絡化社會使大數據易成為攻擊目標

網絡化社會的形成，為大數據在各個行業領域實現資源共享和數據互通搭建平臺和通道。基于云計算的網絡化社會為大數據提供了一個開放的環境，分布在不同地區的資源可以快速整合，動態配置，實現數據集合的共建共享。而且，網絡訪問便捷化和數據流的形成，為實現資源的快速彈性推送和個性化服務提供基礎。正因為平臺的暴露，使得蘊含著海量數據和潛在價值的大數據更容易吸引黑客的攻擊。也就是說，在開放的網絡化社會，大數據的數據量大且相互關聯，對于攻擊者而言，相對低的成本可以獲得“滾雪球”的收益。近年來在互聯網上發生的用戶帳號的信息失竊等連鎖反應可以看出，大數據更容易吸引黑客，而且一旦遭受攻擊，失竊的數據量也是巨大的。

3）大數據自身的非結構化特征對大數據安全存儲與管理提出新要求

在大數據之前，我們通常將數據存儲分為關系型數據庫和文件服務器2種。而當前大數據洶涌而來，數據類型的千姿百態也使我們措手不及。對于將占數據總量80%以上的非結構化數據，雖然NoSQL數據存儲具有可擴展性和可用性等優點，利于趨勢分析，為大數據存儲提供了初步解決方案。但是NoSQL數據存儲仍存在以下問題：一是相對于嚴格訪問控制和隱私管理的SQL技術，目前NoSQL還無法沿用SQL的模式，而且適應NoSQL的存儲模式并不成熟；二是雖然NoSQL軟件從傳統數據存儲中取得經驗，但NoSQL仍然存在各種漏洞，畢竟它使用的是新代碼；三是由于NoSQL服務器軟件沒有內置足夠的安全，所以客戶端應用程序需要內建安全因素，這又反過來導致產生了諸如身份驗證、授權過程和輸入驗證等大量的安全問題。

當然，大數據也為數據安全的發展提供了新機遇。大數據正在為安全分析提供新的可能性，對海量數據的分析有助于更好地跟蹤網絡異常行為，對實時安全和應用數據結合在一起的數據進行預防性分析，可防止詐騙和黑客入侵。網絡攻擊行為總會留下蛛絲馬跡，這些痕跡都以數據的形式隱藏在大數據中，從大數據的存儲、應用和管理等方面層層把關，可以有針對性地應對數據安全威脅。

4）電子商務大數據安全的應對策略

目前電子商務對大數據大都朝著云存儲的模式進行了改造，因此首先要制定科學可靠的存儲安全策略。因為基于云計算架構的大數據，數據的存儲和操作都是以服務的形式提供。目前，大數據的安全存儲采用虛擬化海量存儲技術來存儲數據資源，涉及數據傳輸、隔離、恢復等問題。解決大數據的安全存儲，一是數據加密。在大數據安全服務的設計中，大數據可以按照數據安全存儲的需求，被存儲在數據集的任何存儲空間，通過SSL（安全套接層）加密，實現數據集的節點和應用程序之間移動保護大數據。在大數據的傳輸服務過程中，加密為數據流的上傳與下載提供有效的保護。應用隱私保護和外包數據計算，屏蔽網絡攻擊。目前，PGP和TrueCrypt等程序都提供了強大的加密功能。二是分離密鑰和加密數據。使用加密把數據使用與數據保管分離，把密鑰與要保護的數據隔離開。同時，定義產生、存儲、備份、恢復等密鑰管理生命周期。三是使用過濾器。通過過濾器的監控，一旦發現數據離開了用戶的網絡，就自動阻止數據的再次傳輸。四是數據備份。通過系統容災、敏感信息集中管控和數據管理等產品，實現端對端的數據保護，確保大數據損壞情況下有備無患和安全管控。五是對重要數據實施結構分散化存儲處理。物理上切割重要數據，以確保數據安全。

隨著大數據應用所需的技術和工具快速發展，必須動態調整大數據應用的安全策略，制定這一策略應立足于電子商務信息安全保障體系整體構架，科學設定，做好頂層設計，明確保障目標，并依據信息安全形勢態勢感知和漏洞發現，進行動態調整[2]。當前一般而言可以主要從以下幾方面著手：一是防止APT攻擊。借助大數據處理技術，針對APT安全攻擊隱蔽能力強 、長期潛伏、攻擊路徑和渠道不確定等特征，設計具備實時檢測能力與事后回溯能力的全流量審計方案，提醒隱藏有病毒的應用程序。二是用戶訪問控制。大數據的跨平臺傳輸應用在一定程度上會帶來內在風險，可以根據大數據的密級程度和用戶需求的不同，將大數據和用戶設定不同的權限等級，并嚴格控制訪問權限。而且，通過單點登錄的統一身份認證與權限控制技術，對用戶訪問進行嚴格的控制，有效地保證大數據應用安全。三是整合工具和流程。通過整合工具和流程，確保大數據應用安全處于大數據系統的頂端。在整合點平行于現有的連接的同時，減少直接通過連接企業或業務線的工具將結果輸出到數據倉庫，以防止通過處理結果泄露業務處理邏輯并導致處理結果中敏感數據的外泄。同時，通過設計一個標準化的數據格式簡化整合過程，同時也可以改善分析算法的持續驗證。四是數據實時分析引擎。數據實時分析引擎融合了云計算、機器學習、語義分析、統計學等多個領域，通過數據實時分析引擎，從大數據中第一時間挖掘出黑客攻擊、非法操作、潛在威脅等各類安全事件，第一時間發出警告響應。

許多專家都從實踐經驗認識到：數據安全三分靠技術，七分靠管理。通過技術來保護大數據的安全雖然重要，但管理也很關鍵[3]。大數據的管理安全策略主要有：一是規范建設。大數據建設是一項有序的、動態的、可持續發展的系統工程，一套規范的運行機制、建設標準和共享平臺建設至關重要。規范化建設可以促進大數據管理過程的正規有序，實現各級各類信息系統的網絡互連、數據集成、資源共享，在統一的安全規范框架下運行。二是建立以數據為中心的安全系統。基于云計算的大數據存儲在云共享環境中，為了大數據的所有者可以對大數據使用進行控制，可以通過建設一個基于異構數據為中心的安全方法，從系統管理上保證大數據的安全。三是融合創新。大數據是在云計算的基礎上提出的新概念，大數據時代應以智慧創新理念融合大數據與云計算 ，以智能管道與聚合平臺為基礎，提升數據流量規模 、層次及內涵，在大數據流中提升知識價值洞察力。積極創造大數據公司技術融合平臺，尋找數據洪流大潮中新的立足點，特別是在數據挖掘、人工智能 、機器學習等新技術的創新應用融合創新。

5）當前要特別關注電子商務產業鏈中數據安全風險管控

隨著電子商務的發展，越來越離不開物流的配套，其中所產生的流動數據越來越重要和流程越來越復雜，我國各類物流企業對數據安全、網絡安全的重視力度不夠，很多電子商務企業的相關物流企業對跨企業流動的數據安全意識淡薄，再加上第三方物流在我國的不成熟，缺乏物流信息安全保障，這些原因致使我國電商與相關物流企業的數據流動安全存在較大的風險。電子商務與物流企業數據安全保障的整合發展，將隨著企業效率的增加、物流業的發展壯大，更加重要和緊迫。可當今的電商物流存在一系列的問題，比如：商家不重視數據安全管理、安全標準不統一、物流信息管理難度大及缺乏專業的人才。面對上述問題，企業應該更加注重完善相關數據安全，必須加快制定統一的數據保護安全策略，提高數據安全保護的級別，加強對人才的培養，從而提高電商數據的安全保障水平，最終達到電商大數據安全保障的目的。

要在電商產業鏈、服務鏈中妥善處理隱私，針對隱私保護方面的問題，建議電子商務企業從以下3方面著手：1）電子商務企業應該恪守行業道德，不能將消費者的個人信息進行交易和泄露；2）企業應該從技術層面上采用先進的隱私保護技術，進一步加強用戶的隱私保護，解決由于過度開發或者深度營銷可能造成的用戶隱私侵犯等等問題；3）隨著大數據應用的發展，隱私保護的問題和概念在不斷地發展，因此國家應進一步完善與之相應的隱私保護的法律和法規，確實保護公民的隱私權。

結 語

大數據是信息化時代的“石油”。大數據轉化為信息和知識的速度與能力將成為這個時代的核心競爭力之一。現在，大數據及其安全的重要性已經上升到事關電子商務企業競爭性要素的高度。眾所周知，信息時代的競爭，不是勞動生產率的競爭，而是知識生產率的競爭。可以預見，基于知識的競爭，將集中表現為基于數據和數據安全的競爭。而這種數據競爭，將成為經濟發展的必然。電子商務也即將跨入一個數據興則企業興、數據強則企業強的競爭時代。大數據將成為電子商務的新武器，誰擁有大數據和對大數據的強大處理能力，誰就有制勝的砝碼，并將最終贏得市場。隨著大數據的不斷發展，大數據面臨的安全挑戰卻不容忽視，只有大數據技術和大數據安全“兩條腿”走路時，大數據才可以真正成為這個時代的驅動力量。所以可以預言，未來的電子商務將會成為大數據安全發展的一個重要平臺。

[1] 王樹西，李安渝. 大數據與云計算環境下的電子商務安全研究[C] // 中國信息經濟學會學術年會暨博士生論壇.北京:中國信息經濟年會秘書處, 2013:18-22

[2] 王偉.論當前電子商務安全最大的威脅:大數據信息系統[J].電子制作, 2013(17):26-29

[3] 汪秀.云計算環境下電子商務安全風險評估模型研究[J].安徽財經大學學報, 2015（1）: 38-42

寧家駿

現任國家信息中心專家委員會副主任、國家發改委電子政務工程建設指導專家組成員兼秘書長、中國信息化推進聯盟專家委員會副主任。曾先后主持完成了國家電子政務外網和宏觀經濟管理信息系統的設計與工程建設工作，是國家“十二五”電子商務規劃的主要執筆人和國家“十二五”政務信息化工程建設規劃的主要起草者。主要研究方向為信息安全、信息系統和數據庫等。ningjj@cei.gov.cn

Opportunities and Challenges of E-Commerce Data Security in Big Data Era

Ning Jiajun