我國大數據安全現狀、問題及對策建議

張博卿

（賽迪智庫網絡空間研究所，北京 100846）

1 引言

當前，大數據技術和應用的不斷發展，使得對海量數據進行處理和分析成為可能，在數據驅動不斷為人們生活帶來便利的同時，數據匯聚和分析對國家和個人也帶來了諸多安全隱患。本文分析我國大數據安全的現狀、存在的不足，并據此提出相關政策建議。

2 我國大數據安全現狀

一是大數據平臺成為網絡攻擊的顯著目標。

大數據時代，作為數據的載體，大型網站、數據中心、云計算中心等大數據平臺集聚大量數據，涉及個人隱私、財務等敏感數據，更是業務健康、安全運轉的關鍵，吸引著更多的以商業目的或國家利益為背景的黑客的注意，成為更具吸引力的目標。數據的大量聚集，使得黑客一次成功的攻擊能夠獲得更多的數據，無形中降低了黑客的進攻成本，增加了“收益率”。例如，2015年4月，遍布全國19個省份的社保系統信息泄露事件曝光，包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息的5300余萬條個人信息遭泄露。

二是大數據推高信息泄露的風險。

海量數據的不斷聚集，將促進包括大量的企業運營數據、客戶信息、個人的隱私和各種行為的細節記錄不斷積累，這些集中存儲的數據無形中增加了數據泄露的風險。不法分子可借助大數據平臺泄露的數據對其它平臺進行“撞庫”攻擊。由于各企業對數據傳輸和存儲的安全保障能力不一，一旦其中一個較為“脆弱”的數據平臺發生數據泄漏，其它“堅固”的平臺也將遭受魚池之殃。

三是大數據加大網絡安全防護的難度。

大數據分析技術使攻擊者的攻擊手段更加豐富。惡意攻擊者可以通過收集上網痕跡等信息，獲取潛在攻擊對象的相關信息，并利用大數據分析技術，對其真實身份、性格、消費習慣、需求等個人信息進行還原，嚴重威脅個人的隱私和安全。利用數據挖掘、關聯分析能夠從普通數據中提取大量具有統計意義的信息，可能分析出企業的商業布局，甚至國家的經濟走向，進而對企業或者國家發起更具有針對性和精確性的攻擊。傳統的防火墻、病毒查殺、入侵檢測等安全防護軟件不能滿足當前需求，防護措施的更新升級速度也無法跟上數據量非線性增長的步伐。同時，大數據也可能成為高級病毒的載體，由于針對大數據等新技術產生的網絡威脅的防御體系尚未建立，隱藏在大數據中的病毒和惡意軟件難以發現。

四是大數據對保障基礎設施安全和國家主權維護提出新挑戰。

電信網絡甚至工控系統等關鍵基礎設施是大數據發展的基礎，大數據安全同樣依賴于基礎設施的安全，隨著經濟全球化和供應鏈全球化的影響，關鍵基礎設施的安全變得日益復雜，一國的基礎設施可能同時服務于多個國家，信息經濟的高度全球相互依賴性，挑戰著原有的國家主權觀念。隨著數據價值的不斷提高，數據資源成為國家核心戰略資產和社會財富，一個國家擁有數據的規模、活性及解釋運用的能力，將成為綜合國力的重要組成部分，對大數據的占有和控制權成為維護國家主權和核心利益的基礎。

3 我國大數據安全保障工作存在的不足

一是法律規范缺失，數據管理缺乏依據。

缺乏企業和應用程序關于搜集、存儲、分析、應用數據的相關法規，電信、金融、物流等行業個人信息泄露、違規使用情況嚴重，移動應用多在不必要的情況下采集用戶的手機通話記錄、短信、地理位置等信息，危及個人財產、生命安全。

二是產業根基不牢，數據主權面臨挑戰。

大數據安全需要從底層芯片、基礎軟件到應用分析軟件及服務等信息產業全產業鏈的支撐，我國信息技術起步較晚，大數據相關產業自主能力較差，數據采集、傳輸、存儲、處理等方面技術與國外存在較大差距，在處理芯片、存儲設備、大數據軟件等方面均存在受制于人的問題，具體表現在我國核心技術產品依賴國外，重要關鍵基礎設施和重要信息系統中大量使用國外基礎軟件以及核心關鍵設備。

據統計，我國芯片、元器件、網絡設備、通用協議和標準，90%依賴進口；防火墻、加密機等10類信息安全產品，65%來自進口；操作系統、數據庫、服務器、存儲設備自主率僅為2.75%、4.94%、13.8%、16.2%。

三是技術實力較弱，難以應對大數據安全威脅。

首先，我國尚未掌握大數據處理核心技術。Hadoop分布式數據處理技術、NOSQL數據庫及流式數據處理技術等分別被國外的Cloud era、IBM以及亞馬遜等企業所掌握，國內的數據挖掘、關聯分析等大數據關鍵技術多來自國外，缺乏對大數據技術研發的整體設計框架，與數據安全相關的產品和服務還存在缺口，難以應對大數據應用帶來的伴生性安全威脅和傳統安全威脅交織的復雜局面。

其次，缺乏針對大數據平臺網絡攻擊的有效應對。2014年，“心臟出血”漏洞以其超強破壞力在網絡安全業界引發了廣泛擔憂。據“從應對‘心臟出血’漏洞看各國攻防能力”的研究成果顯示，我國在漏洞修復和危機應急反應能力方面，全球排名僅居102位，與我國的網絡大國地位極不相稱。

最后，我國的網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。據英國《簡氏戰略報告》和其它網絡組織對各國信息防護能力的評估，我國被列入防護能力最低的國家之一，不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。

四是大數據安全經費投入分散，經費使用效率不高。

各部門對于大數據安全的經費投入分散，大數據安全研究、工程項目、工作管理等經費的歸口管理部門不同，彼此間的經費投入缺乏協調，難以形成合力。同時，大數據安全經費投入不足，現有的經費主要用于網絡輿情監控等內容審查方面，對大數據安全技術研究、大數據安全產品研發等的支持力度不夠，不能滿足我國大數據安全發展的需要，影響信息安全產業化進程。

五是大數據安全專業人才供血不足。

我國大數據安全人才培養機制尚不健全，尚未形成高校、企業的聯合培養機制，培訓體系不健全，能夠培養大數據安全相關人才的院校或者培訓單位非常少，大多技術人員缺乏深入研究能力。據Gartner統計，近年來全球新增超過500萬個與大數據相關的工作崗位，并催生大數據分析師、首席數據官等大數據相關職業。大數據安全發展對需要對數學、統計學、數據分析、機器學習、自然語言處理、網絡安全等多方面知識綜合掌握，但我國可承擔分析和挖掘的復合型人才、高端數據科學家以及管理人才存在很大缺口。

4 加強大數據安全保障的對策建議

一是盡快制定相關法律法規，明確各方責權。

首先，應明確國家對本國數據資源進行保護、開發和利用的權利，明確對跨境傳輸數據進行管理和監控的權利。其次，明確企業、應用程序的權利和義務，包括軟件采用最小特權原則，敏感數據不得出境，保護個人隱私，嚴格控制基于數據挖掘、關聯分析等大數據技術產生的數據等。最后，切實加強對個人信息的保護，借鑒歐盟提出的“被遺忘權”等經驗，為個人隱私維權提供依據。

二是強化制度建設，加強重點領域和行業關鍵數據的安全監管。

一方面，加快建立大數據安全開放的監管制度。制定大數據采集、傳輸、存儲、使用和跨境流動的規則，明確安全保護技術措施。從技術研發、內部管理、用戶使用等環節出發，探索建立商業秘密、專利等企業敏感數據的安全保護規則和實踐。制定政府數據開放政策，探索大數據交換交易政策和規則。

另一方面，強化對重點行業和領域數據和網絡安全的監管。在大型數據中心、重點行業和領域信息系統深入落實等級保護制度，開展信息安全風險評估，并部署基于主動防御理念的技術防護手段和措施。針對大數據平臺及服務商的可靠性及安全性，開展信息技術產品和服務審查，引導企業加強信息技術產品供應鏈管理，有效降低使用國外產品和服務而可能導致的數據泄露風險。

三是加強大數據相關產品、服務管理，建立自主可控信息技術生態體系。

針對關鍵領域和部門出臺強制性的標準和規定，加大對微軟、谷歌、騰訊、阿里等掌握大量數據的國內外企業的監管力度，明確相關數據的使用權限和要求，防范有意、無意的數據泄露。同時，借鑒美國等發達國家在網絡安全審查方面的經驗，在我國即將推行的網絡安全審查制度中，建立大數據技術、產品及服務的安全檢測與審查制度。進一步的，明確國產化替代時間表和路線圖，加大政策扶持力度，鼓勵和扶助國內電子產品廠商優先采用國產硬件，要求新建的重要網絡和信息系統采用國產產品，推動關鍵信息技術和產品的國產化替代，建立自主可控信息技術產業生態體系。

四是加速發展大數據相關技術，建立網絡安全縱深防御體系。

一方面，加大對大數據安全保障關鍵技術研發的資金投入，推動基于大數據的安全技術研發，研究基于大數據的網絡攻擊追蹤方法。

另一方面，針對國家敏感、重要大數據防護目標，構建具有反制能力的網絡安全積極防御體系，發展平戰結合、軍民結合、攻防兼備的網絡空間力量，建設國家網絡空間戰略預警和積極防御平臺，精確預警、準確溯源、有效反制，提升對國家級、有組織網絡攻擊威脅的發現能力。

5 結束語

本文通過分析了我國大數據安全的現狀，從法律規范、技術實力和人才培養等方面給出了我國大數據安全方面存在的問題，最后提出了相應的對策建議，分別是盡快制定相關法律法規，明確各方責權；強化制度建設，加強重點領域和行業關鍵數據的安全監管；加強大數據相關產品、服務管理，建立自主可控信息技術生態體系；加速發展大數據相關技術，建立網絡安全縱深防御體系。