大數據交易中的數據安全與隱私保護

◆李 怡 楊 帆 安克萬

（陜西省網絡與信息安全測評中心 陜西 710065）

大數據交易中的數據安全與隱私保護

◆李 怡 楊 帆 安克萬

（陜西省網絡與信息安全測評中心 陜西 710065）

大數據交易服務產業可支撐政府數據開放共享，促進社會事業數據融合和資源整合，然而還面臨諸多安全挑戰。本文分析了國內我國大數據交易的發展現狀，闡述了面臨的主要安全威脅，提出了保護大數據交易中的數據安全與隱私可采取的措施以確保交易安全，可促進大數據交易產業健康發展。

大數據交易；大數據交易安全威脅；數據安全；隱私保護

0 引言

大數據時代，數據已經成為國家基礎性戰略資源[1]，并日益對全球生產、流通、分配、消費活動以及國家治理能力產生重要影響[2]。大數據交易不僅可滿足交易雙方的數據需求，還可有力地支撐數據開放共享、促進數據融合和資源整合，以及為政府整體數據分析能力的提升以及復雜社會問題的處理提供新手段。然而大數據交易建立在數字流的產生、交換、管理和應用的基礎之上，隨著交易量的增加，風險敞口也隨之增加，面臨的安全問題也愈發突出，一旦交易的數據遭到非法竊取、泄露、篡改，將會對企業、個人客戶造成嚴重的安全威脅。本文梳理了國內外大數據交易現狀，闡述了當前大數據交易中的安全挑戰，提出了保護數據交易中數據和隱私的措施。所提出的保護保障措施不僅有助于提高大數據交易機構的安全服務能力，還可為國家相關主管部門監管大數據交易提供重要參考，從而促進大數據交易服務產業健康可持續發展。

1 大數據交易現狀

2009年3月，美國政府推出上線了data.gov網站，向公眾開放其公共數據；隨后，英國、澳大利亞等政府也進行了大數據開放[3]；我國政府也高度重視大數據交換平臺的建設，2015年8月國務院在《促進大數據發展行動綱要》中明確提出“至2018年，中央政府層面實現數據統一共享交換平臺的全覆蓋”，目前，國內已建立14個省級信用信息共享交換平臺、正在建設15個省級信用信息共享交換平臺[4]。

國內外多家大數據交易交易公司紛紛成立，國外規模較大的有美國的開放位置數據庫服務商 Factual公司、提供實時的數據交易市場的BDEX公司、InfoChimps數據提供公司和微軟的Azure數據交易公司，以交易中介服務培育為主要業務的日本富士通大數據交易公司以及加拿大提供金融和經濟數據的 Quandl數據交易公司。我國于2015年成立了首家全國性的大數據交易市場——貴陽大數據交易所，2016年建立了注資2億元人民幣的上海數據交易中心有限公司和華中地區首家大數據交易機構的武漢東湖大數據交易中心以及華東江蘇大數據交易平臺等共20多家大數據交易機構[4]。

根據大數據交易模式的不同，我們將大數據交易模式分為三類：在線數據交易、離線數據交易和托管數據交易。其中，在線數據交易以數據調用接口的形式，由賣方向買方提供數據拷貝進行數據交易；離線數據交易中賣方將數據拷貝到交易平臺，由交易平臺轉移給買方而交易；托管數據交易中賣方將數據拷貝至交易平臺，買方在交易平臺提供的環境內使用數據，而原始數據不發生轉移的[3]。

2 大數據交易面臨的安全威脅

針對大數據交易中存在安全威脅的不同，可將其主要分為用戶隱私安全威脅、數據泄露和不同交易模式下的安全威脅等安全威脅[4]。

（1）用戶隱私安全威脅

大數據交易面臨著互聯網帶來的各種安全威脅，如DDoS攻擊、垃圾數據流等攻擊，對用戶隱私構成了安全威脅。未脫敏數據的共享開放將會導致個人信息的泄露，即使數據在開放共享之前進行了脫敏，但是大量非敏感數據聚合后也可能產生敏感數據，個人數據依然存在丟失、泄露、損毀等風險。此外，數據持有人的不當操作也會導致個人隱私未經授權的訪問、修改和泄露等安全風險。

（2）數據泄露安全威脅

由于目前缺乏數據交易行業相關的規范性文件，企業隱私性數據的安全難以得到保障。數據開放共享平臺存在用戶非授權訪問數據、用戶破壞或竊取數據，以及系統漏洞、網絡病毒和木馬程序等網絡攻擊導致的數據泄露風險，而管理和操作人員的惡意操作、誤操作也會導致數據破壞、泄露的風險。

（3）不同交易模式下的安全威脅

在線數據交易中，服務平臺本身不存儲數據（僅對數據進行必要的實時脫敏、清洗、審核和安全測試），而是作為交易渠道為各類用戶提供數據服務，實現交易流程管理，數據存在不合法、不合規的安全風險，由于接口不安全、訪問控制設置不合理、數據拷貝未加密也會導致交易過程存在數據泄露、非法訪問、傳輸等安全風險；離線數據交易中數據主要存在非法竊取、泄露、篡改等安全風險；托管數據交易由于需要經相關數據負責人的批準，辦理復制登記手續和復制，因此主要存在用戶進行非授權操作的風險。

3 大數據交易中的數據安全和隱私保護

為了保護大數據交易中的數據安全和隱私，可采取下列措施：

（1）完善法律法規標準、設立監管機構

我國應制定規范大數據安全交易、隱私保護相關的法律法規，做到有法可依，同時，加快制定大數據安全交易方面的標準或者操作指南等規范，做到有法必依；還應設立大數據交易安全監管機構，加大對隱私保護和數據安全方面的行政監管力度，增強打擊盜竊、泄露數據和侵害隱私的處置力度。

（2）管理與人員安全

大數據交易機構也應制定大數據交易服務的安全管理策略，明確數據交易安全的總目標、范圍、原則和安全框架等，建立交易參與方管理制度、數據安全管理制度、個人信息安全保護制度、數據交易過程安全管理制度等相關安全管理制度，全面提升大數據交易服務機構的安全管理水平。同時，還應明確數據交易參與人員執行管理操作或業務操作的規程和從業人員的安全管理職責，定期進行業務及安全意識培訓，并與重要崗位人員簽署保密協議，做到安全操作，減少因人為因素造成的安全危害。

（3）數據交易平臺安全

為了提高數據交易服務平臺的安全防護能力，可將傳統的信息安全手段與大數據安全技術相結合，從網絡安全、系統安全、主機安全和應用安全等多方面對數據交易平臺進行安全防護，并及時更新各種安全軟件。同時，利用數據挖掘技術[5]，分析網絡攻擊、識別異常行為，構建全面的網絡安全預警體系，為發現網絡安全威脅與回溯進行有效防御，構建安全的交易環境。此外，數據交易服務平臺還應支持對數據交易進行安全控制和安全審計，做到過程與人員均可控、可追溯。

（4）交易數據安全與隱私保護

對于面臨的數據與隱私威脅，數據交易服務平臺首先應對數據交易的雙方建立相應的用戶身份標識，以便對用戶進行唯一識別，并為各用戶配置必要的身份鑒別機制，在用戶執行交易和管理等操作之前進行身份鑒別，以便確定其身份是否真實有效，可防止身份假冒。

數據供需雙方在進行數據交易時，還應采取數據和個人信息安全保護技術，如可采取數據加密技術在大數據存儲、傳輸環節對數據進行加密處理，從技術層面減少信息泄露的概率，即使數據泄露，數據盜取者也很難從中獲取關鍵信息；避免個人信息意外損失和破壞，切實保護個人權益，如采用大數據發布匿名保護技術保護隱私[6]。此外，在交易中還應及時記錄數據交易，生成數據交易日志，支持對數據交易日志進行查詢和備份。

4 結束語

本文分析了大數據交易面臨的安全威脅，提出了從政策法規、管理制度、人員、大數據交易平臺和技術等方面加強安全建設的措施，以有效保護大數據交易中的數據安全和隱私，促進大數據交易服務行業的健康可持續發展。

[1]Viktor Mayer-Schonberger, Kenneth Cukier. Big Data: A Revolution that will Transform How We Live, Work and Think[D]. Boston: Houghton Miffl in Harcourt，2013.

[2]李國杰，程學旗.大數據研究:未來科技及經濟社會發展的重大戰略領域[J].中國科學院院刊，2012.

[3]馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014.

[4]唐斯斯，劉葉婷.我國大數據交易的發展現狀、面臨困難及政策建議[J].信息化研究，2016.

[5]楊曦,GUL Jabeen,羅平.云時代下的大數據安全技術[J].中興通信技術，2015.

[6]施洪華.大數據時代安全隱私保護技術探究[J].網絡安全技術與應用，2016.