大數據時代我國網絡信息安全控制體系構建

陳薇伶 黃 敏

（1.對外經濟貿易大學國際商學院，北京 100029；2.防災科技學院經濟管理系，河北三河 101601）

網絡技術的持續發展使得網絡在人類生產、生活等一系列社會活動中的作用持續提升，在網絡環境下進行數據交換已成為人類日常生活的重要組成，信息已然成為關鍵的生產資源，網絡則成為信息傳播的關鍵載體。網絡信息和人類生活緊密聯系，故而網絡信息安全直接關系著人類社會的運轉。對個人來說，網絡信息的泄露勢必會侵犯個人隱私進而影響生活；對企業來說，網絡信息的安全性決定著企業的正常運轉；對國家來說，網絡信息安全已成為國家安全的關鍵組分。故而，網絡信息安全問題已逐漸成為各方關注的主要社會問題之一，維護網絡信息安全也已成為信息監管部門的核心工作。

當前既有的網絡信息安全控制體系包含了諸多安全保障策略，能夠在一定程度上應對各類安全問題。但在大數據時代海量信息的沖擊下，不管就保障而言，還是就操作而言，現有體系都還有待完善[1]。因此，針對大數據時代下網絡信息安全的新特點，還需構建一套能夠應對全新安全風險的控制體系，從而確保大數據功能的充分發揮。

一、網絡信息安全的定義與特點

隨著人類社會步入大數據時代，網絡信息安全再次成為各界關注的熱點。為對網絡信息安全進行深入研究，從而發現信息安全存在的問題及其成因，還需對其定義和特點獲得更加具體且直觀的認知。

（一）網絡信息安全的定義

信息安全一詞的誕生年代并不久遠，各國目前還未對其定義達成共識。在21世紀初的聯合國大會第五十六屆會議上，聯合國倡議各國對信息安全形成統一認知，減少信息安全問題應對過程中的阻礙，深化國際信息安全合作[2]。盡管對信息安全的定義還未形成共識，但是各方對其的認知卻一直處于動態變化之中，目前研究人員針對網絡信息安全達成統一的地方主要是其五大特征，即完整性、保密性、可用性、可控性和不可否認性。我國相關研究人員則認為網絡信息可以劃分為四個部分，即環境、系統、程序以及數據安全[3]。網絡信息安全是一項綜合學科，涉及的專業門類甚廣，主要包括計算機技術、網絡技術、密碼技術、通訊技術等。從廣義來看，與網絡信息五大特征相關的所有理論與技術都可以納入網絡信息安全范疇；從狹義來看，網絡信息安全表示互聯網中的信息安全，這又涉及軟硬件以及系統的安全。

（二）網絡信息安全的特點

不同于以往常常談及的政治或軍事安全，網絡信息安全具備獨有的特點，可以歸納為如下幾點：

其一，脆弱性。網絡系統的脆弱性主要來自于其自身的開放性，開放即意味著可能隨之而來的危險，系統越是開放，網絡信息便越不安全。網絡系統的脆弱性在其設計、運作和維持等多個過程中都有所體現。在設計過程中，設計人員雖然會將網絡信息安全可能遭受的威脅納入技術攻關范疇，然而設計人員難以在防控設計過程中臻于完美，即便在設計過程中將各種防御措施都融入網絡系統，在后期運作過程中，其安全性也會受到操作水平、維護水平等諸多因素的影響；在運作與維持過程中，網絡信息安全受到的威脅最為明顯，這種威脅主要來自于各類未知軟件存在的風險[4]。故而，設計過程中存在的不足與運作過程中存在的威脅都對網絡信息安全造成了影響，使得網絡系統在任一過程中的任意時間都面臨著黑客攻擊的威脅，同時極有可能導致網絡系統癱瘓、信息傳輸泄密等事故的發生。

其二，突發性。網絡信息安全問題的爆發往往是突發的，這主要來自于計算機病毒的蔓延式傳播。計算機病毒在目前得到較為廣泛認可的定義是，人類創造的在計算機系統內具有復制、傳播等功能的代碼，具有強大的破壞能力與超快的傳播速度。該病毒的爆發往往是難以預計的，因此可以迅速侵蝕系統或軟件中的數據，進而對計算機造成破壞，部分病毒的目標則是盜取計算機的數據。計算機病毒的爆發具有突發性的另一個原因便是其能夠長時間潛伏在計算機中，由于該病毒是人類設計的，因此其在進入計算機系統后可以長期潛伏，并在潛伏一定時間后植入系統信任的程序，而潛伏時間越長，則其能夠竊取到的信息數量便越多。在潛伏期間，病毒并不會干擾系統的運作，而其一旦爆發后，對于計算機造成的影響將是難以估計的。

其三，全球性。網絡信息傳播范圍之廣、速度之快，是人類在信息傳播領域達到的頂峰，網絡的聯動則促進著全球一體化進程。然而網絡的開放性也為網絡攻擊創造了便利，導致網絡信息安全事故故不存在國家限制，任何國家都有可能出現網絡信息安全問題。例如，2015年10月，英國電信運營商Talktalk旗下約有120萬用戶信息泄露，包括電子郵件、名字和電話號碼，以及數萬銀行賬戶信息[5]；2016年1月，美國最大的有線電視公司時代華納表示旗下約有32萬用戶的郵件和密碼信息已被黑客竊取；2017年5月，新型“蠕蟲”式勒索病毒WannaCry爆發，席卷全球。這場全球最大的網絡攻擊已經造成至少150個國家和20萬臺機器受到感染。受害者包括中國、英國、俄羅斯、德國和西班牙等國的醫院、大學、制造商和政府機構。由此可見，深化國際網絡信息安全合作，將逐漸成為抵御網絡信息安全問題的必然趨勢。

二、網絡信息安全控制理論

網絡信息安全控制并非新鮮話題，計算機研究學者早已對其展開了多年的研究，其理論研究核心主要集中在機制與評價兩個方面。

（一）網絡信息安全控制機制

根據管理學的相關知識，控制是管理的關鍵職能之一，主要由控制者、對象、手段與工具組成，這三者是網絡信息安全控制機制構建中的重要元素[6]。其一，網絡信息安全控制者，一般是數據庫或服務器的管理人員；其二，網絡信息安全控制對象，一般包括人力、資產、時間等核心資源，也包括數據庫等信息系統；其三，網絡信息安全控制手段與工具，一般包含管理機構、機制、方法，這些都是控制行為有效施展的基本保障[7]。大數據時代下，計算機和互聯網能夠有效提升控制效能，因此控制行為的實施還需緊緊依托此二者。要構建網絡信息安全控制機制，就必須分析信息安全存在的主要問題，明確控制對象，向管理人員分派任務，對工作人員和物質資源進行合理分配，成立專門的控制機構，制定具有較強操作性的控制制度。

（二）網絡信息安全控制評價

要實現對網絡信息安全控制的有效評價，就必須緊握能夠對其造成影響的關鍵因素，故而應當遵循科學性原則，這是確保評價準確性的必然要求[8]。大數據時代下，網絡信息安全呈現出綜合性特點，故而在對網絡信息安全控制進行評價時應當重視全面性，同時需要展現出評價的針對性，并重視信息收集與量化的便捷性，盡可能對評價過程進行簡化。

截至目前，國內外相關學者已對網絡信息安全控制評價展開了諸多層面的研究，其中大部分學者認為應當在實踐過程中完善評價指標體系[9]。綜合這部分學者的觀點，可以得出以下結論：在構建評價體系時，應當盡可能選取在大多數情況下都存在的評價指標，避免選取在偶然情況下出現的指標；應當重視評價指標的穩定性、普適性以及實用性。為確保上述觀點得到落實，在選擇評價指標時，既應重視指標的代表性，也應當重視指標的全面性，盡管最終選擇的指標數量有限，但是在選擇時應當盡可能地擴大選擇范圍，以確保評價體系的可行性[10]。此外，在選取指標時，還需確認該指標是否便于分析。網絡信息的安全性主要取決于技術與管理，這兩組評價對象顯然較為復雜，許多指標難以量化。然而，網絡信息的安全性必須依托能夠量化的指標來評價，因此，還需盡可能量化指標，從而對網絡信息的安全性進行科學而真實的評價。

三、大數據時代下網絡信息安全存在問題及成因分析

網絡信息安全問題無疑是21世紀人類發展面臨的關鍵問題。雖然網絡早已是信息傳播的重要渠道，且信息技術發展迅猛，但網絡信息安全的控制卻未能引起廣大群眾的重視，以致信息安全漏洞屢屢被不法分子所利用，這為國家、政治、經濟安全帶來了嚴重威脅。

（一）大數據時代下網絡信息安全存在的問題

首先，網絡信息安全事故數量逐年增長。盡管當前網絡信息安全控制在我國已上升至國家戰略高度，信息技術也處在持續優化的過程中，然而我國網絡信息安全控制技術仍舊亟待完善，核心技術還需依賴歐美等發達國家，這也為我國持續增長的網絡安全事故數量埋下了隱患，其中企事業單位與個人用戶往往是重災區[11]。根據2018年2月國家互聯網應急中心發布的《2017釣魚網站報告》，國家互聯網應急中心所處置的釣魚網站IP地址絕大多數依然位于境外,占比達88.2%（2016年占比為77.6%），同比增長10.6%，針對境內目標的釣魚網站IP地址持續向境外轉移；根據2018年1月騰訊發布的《2017年度互聯網安全報告》，2017年上半年物聯網攻擊增加了280%。9月，物聯網安全研究公司Armis在藍牙協議中發現了8個0day漏洞，預計影響全球超過53億設備；10月，Wi-Fi設備WAP2安全協議又爆出安全漏洞，幾乎所有手機系統受到影響；僅中國“網絡黑產從業人員”就已超過150萬，“市場規模”也已高達千億級別；2017年上半年全球泄露或被盜的數據達19億條，這一數字已經超過了2016年全年被盜數據總量，其中，僅雅虎一家就達到了30億條。

其次，網絡信息安全基礎薄弱。我國信息產業發展時間不長，許多關鍵技術還處在摸索之中，因此在諸多方面受制于發達國家。就硬件而言，我國各大企業、事業單位以及個人用戶所需的CPU大部分均非國產。雖然在超算領域，我國已領先世界，然而所需的諸多核心零件依然采購自美國。就軟件而言，我國大多數民用計算機所使用的操作系統均來自微軟，這既導致我國在網絡信息安全控制上缺乏自主性，也導致我國相關管理水平難以提升[12]。此外，我國企業使用的管理軟件九成以上均非國產，這不僅使得國外軟件企業賺取了高額收益，也使得我國信息安全管理受制于人。

最后，網絡信息安全面臨全新挑戰。信息技術的快速發展已然使得網絡信息安全面臨著諸多全新問題，具體包括以下幾點：其一，計算機病毒正日益強大。計算機技術的發展也助推著病毒的進化，“蠕蟲”式病毒兼具速度與破壞力，木馬病毒則可以實現對寄主計算機的控制，盡管市面上一系列殺毒軟件可以應對絕大多數普通病毒，但對于新型病毒而言仍然形同虛設[13]。其二，黑客攻擊日益頻繁。伴隨計算機與網絡普及范圍的擴大，黑客數量同樣逐年增長，因此黑客攻擊次數日益增多，且攻擊對象的難度也日益提升，過去黑客大多以民用電腦為主要攻擊目標，當前政府、銀行等安全等級較高的單位受到越來越多的黑客攻擊，成為其挑戰高難度的平臺[14]。

（二）大數據時代下網絡信息安全問題的形成原因

首先，技術設備層面上尚存一些缺陷和漏洞。盡管網絡信息技術發展日趨成熟，但依然存在許多漏洞，使得不法分子有機可乘。其一，通信線路及設備存在缺陷。這類缺陷主要包含了電磁泄露、設備監聽、終端接入等。信息設備運作時會寄生電磁信號，從而造成電磁泄露，不法分子則可以借助電磁泄漏，尋獲無線傳輸信號，經過破解后竊取信息[15]；監聽在當前網絡高度發達的時代已不是新鮮事物，且已發展得較為成熟，高端黑客能夠輕易侵入通信設備，對其實施竊聽，從而獲取傳輸信息；黑客還能夠借助終端接入的方式，將終端連接至路由器，通過路由器實現終端和前置機的信息傳輸。其二，軟件存在漏洞。在網絡空間中，軟件漏洞的價值使得其完全被賦予了商品的性質。在當前的科技時代下，人類生活的一切事物都在脫離現實，逐漸以數據的形態被記錄在軟件中，此時軟件漏洞的危害性不言而喻。黑客能夠借助軟件漏洞侵入用戶計算機，然后借助網絡傳播其制作的病毒，對更多計算機發起攻擊，獲取重要的私密信息，例如金融賬戶信息。

其次，人員層面上存在操作不當、專業技能不高等問題。網絡信息安全問題之所以能夠產生，人員因素起到了絕大部分助推作用。針對信息系統操作人員而言，可能保密意識還較為薄弱，對重要信息未做加密處理，密碼設置的強度較低或是對文件的共享未設置權限；針對技術人員而言，可能專業技能有待提升，責任心不強，導致對保密設備造成了損壞；針對專業人員而言，問題出現的原因可能是其借職務之便，為達到非法目的而進入系統竊取信息；針對黑客而言，問題出現的原因可能是黑客借助系統端口，通過監聽、截取、破譯等方式獲取系統信息[16]。因此，人員因素是影響網絡信息安全的主要因素。

最后，管理層面上存在機制不夠完善、監管缺位等問題。網絡信息管理是提升網絡信息安全性的重要手段，能夠在一定程度上保障計算機系統中信息的安全。管理上一旦出現問題，網絡信息的安全便難以保證了。管理層面的原因主要體現在以下幾個方面：其一，管理機制不夠完善，導致管理人員未能重視網絡信息安全；其二，監督機制不夠健全，以致技術人員玩忽職守，忽視操作章程；其三，培訓機制過于落后，未能重視管理人員的安全教育，對技術人員的技能培訓不夠到位。

四、大數據時代下網絡信息安全控制體系構建路徑

在大數據時代下，信息已然成為各個國家、各個企業競相爭奪的戰略資源。不論從國家安全角度來看，還是從社會發展角度來看，大數據的開放性都將帶來諸多不確定的風險，深刻影響著國家與社會的和諧與穩定。唯有構建完善網絡信息安全控制體系，大數據時代下的網絡信息安全才可能得到保障。

（一）用戶、提供商、管理者三方各盡其能，認真防范

首先，應當關注網絡用戶的信息活動。大數據背景下，網絡與用戶生活的聯系緊密，但用戶對自身信息的保護意識趨于弱化。分析歷年的互聯網安全報告可以發現，相當一部分網絡信息泄露事故的發生都是源于用戶保護意識薄弱，用戶在這種情況下極易使自身網絡信息受到盜用。由此可見，關注網絡用戶的信息活動，是保障網絡信息安全的必然選擇。網絡用戶的信息安全是網絡信息安全工作的核心，確保用戶信息的安全，能夠使用戶加深對網絡的信任，從而確保用戶敢于使用網絡；網絡用戶是網絡信息安全管理的對象，應當對其在網絡中的活動作出科學引導，對其失當行為進行規制與規范。

其次，應當關注信息服務提供商的責任。服務提供商在網絡信息安全事故中應當承擔一定責任，如若其未能承擔數據保護責任，則可根據其失責程度對其處以相應懲罰，例如通報批評、罰款、撤銷經營許可等；網絡信息受損的個人用戶則可以通過法院向服務供應商索取民事賠償；此外，立法部門還需考慮將服務供應商的失責行為納入刑法范疇，使責任主體承擔相應的刑事責任。

最后，提升網絡安全管理者的職業素養。信息安全雖不是新興專業，但是大數據時代對其提出了更多技術要求，因而對此專業的人才考核更為嚴格。為應對當下我國信息安全人才供不應求的現狀，應加快相關專業人才的培養。國家與相關企業還需不斷加大信息技術教育投入，提升專業人才的職業素養與創新能力，以期借助優質的信息人才隊伍優化網絡基礎設施。

（二）設施、評價、法規三位一體

首先，關注網絡設施構建與維護。相關企業與國家信息安全中心應當借助各類技術手段保障網絡信息系統與數據庫的安全，發揮安全機制的作用，構建科學、有效的網絡信息安全體系。相關企業與部門應當加快硬件設施的建設，對內容網絡進行科學管理；構建容災備份系統與分散式數據庫，確保數據中心在黑客與重大自然災害的沖擊下已然能夠平穩運作。

其次，挑選科學的安全評價指標。評價指標的明確有利于網絡信息安全工作標準的建立，從而便于相關企業與部門以統一標準規范網絡信息安全工作。

最后，頒布網絡信息安全法規。雖然我國之前已經頒布了一系列涉及信息安全的法律法規，然而從內容上來看，這部分法律法規都還存在一些漏洞，例如，對網絡信息安全違法行為的描述不夠清晰，責任劃分存在模棱兩可之處，顯然無法適應大數據時代的安全形勢。因此，還需針對網絡信息安全制定專門性法律。

（三）依托現有技術，鼓勵自主創新

首先，充分依托現有的安全技術。依托目前已開發完成的大數據安全技術，能夠有效保障網絡信息的安全，避免網絡信息泄露、丟失、惡意篡改等問題的發生。因此，還需為大數據安全技術制定更加明確的標準與規范，設計相應的產品與服務，建立相應的大數據安全模型。為此，需要在大數據錄入過程中對數據種類進行分類，依托數據挖掘手段，使得分類、分析、評估等程序能夠自動運行；在通信的各個節點進行加密處理，確保網絡攻擊能夠被最大限度地抵御；在錄入過程中還應注意對數據進行標記，以便加快處理價值密度較低的大數據；根據標記數據的類型與敏感度，對數據進行有序的分類存儲，確保大數據系統的穩定性與安全性；實時監控CPU、內存、硬盤等硬件的運行狀況，以便構建科學的細粒度分析機制，從而避免硬件問題帶來的信息安全威脅。

其次，鼓勵網絡信息安全技術的自主創新。大數據的開放性使得網絡信息的泄露風險大大提升，持續改進安全技術則是應對不斷提升的風險的重要手段。云計算、物聯網的迅速崛起，無疑為大數據的處理與應用帶來了更大的安全威脅。然而我國目前在大數據相關技術領域進展過于緩慢，核心技術受制于人，這都源于自主創新的缺失。因此，國家與相關企業應當通過制定激勵政策、擴大資金投入，激發網絡信息工作者的創新熱情，不斷推進我國網絡信息安全技術的發展。