大數據安全的挑戰及應對

周園 王濤 曾海燕

滁州學院 計算機與信息工程學院 安徽 滁州 239000

引言

數字經濟是這樣的一種新的經濟形態，它是以數據資源為核心要素，以現代信息網絡為主要載體，以信息通信技術的綜合應用和各種要素的數字化轉型為重要驅動力，促進社會的團結、公平和高效[1]。數字經濟的迅猛發展、廣度擴散和前所未有的深刻影響正在推動生產方式、生活方式和治理方式發生深刻變化。目前，數字經濟已成為重構全球經濟要素資源、重塑全球經濟結構、變革全球競爭格局的關鍵性的力量。

數字經濟其核心是數據。數據量的增加，促使大數據相關技術應運而生。隨著大數據技術應用的蓬勃發展（中國大數據產業規模的增長如圖1所示），對數據安全的威脅在同步快速上升。隨著近些年“互聯網+”行動的實踐，大數據會加快從Internet領域滲透到其他的不同的領域。數據本身的安全威脅也會隨之深入各行各業。用戶信息泄露、黑客攻擊頻發等數據安全事件再次為我們敲響了數據資源安全嚴峻挑戰的警鐘。

圖1 中國大數據產業規模

在這樣的形勢下，挑戰與機遇共同存在。面對新的數據安全的挑戰，我們要做的是讓數據安全與經濟社會發展并重，建構我國數據安全管理的鋼鐵長城，保衛我國的數據主權和人民的數據隱私。

1 大數據技術的相關內涵

通過對大數據相關文獻的調查，我們獲知大數據目前有著比較公認的定義。Hu等人認為大數據指的不僅是數據量大，還包括多樣性及速度等其他特征[2]。美國國家標準與技術研究院（NIST）對大數據進行相關定義如下：大數據指的是數據的數量、數據采集的速度和數據的表示，限制了使用傳統關系數據庫方法進行有效分析的能力。因而需要使用具有良好可伸縮性的新方法來有效地處理大數據[3]。

綜合以上定義，目前認為大數據具有5個特征，即5V：價值密度相對低（Value）、處理速度要求快（Velocity）、數據類型各種各樣（Variety）、數據量非常大（Volume），以及新提出的特征，即準確性要求較高（Veracity）。這些特征是評判大數據性能的指標，很多針對大數據技術及其分析的研究[4-6]也利用到了5V特征來對大數據的質量進行評判。

2 目前數據安全面臨的形勢

工信部最近發布了《工作指引》，指出數據的安全風險信息指的是通過檢測、評估、收集、授權監控等方式，獲取的數據的安全風險，包括但不限于數據泄露、數據篡改、數據濫用、非法傳輸、非法訪問、異常流量等數據安全風險[7]。基于此，可以大體歸納一下目前大數據安全面臨的形勢。

首先，由于數據基礎設施經常受到攻擊，數據泄漏、丟失、篡改等安全風險增加。數據中心和移動智能終端承載著大量重要的業務數據和用戶個人信息，其安全狀況日益突出。然而，近年來，針對IDC的攻擊不斷增加。2014年12月，阿里云表示遭遇了全球最大的DDoS攻擊。2014年，被安全企業監控的惡意程序感染的安卓用戶達到3.19億，平均每天感染的惡意程序數量達到87.5萬。圖2為網絡犯罪的幾種基本類型。

圖2 網絡犯罪的基本類型

然后，隨著數據需求的日趨強烈，導致數據的開放性、共享性與數據安全形成矛盾。隨著智慧城市的建設和發展以及城市化和城市化融合的深化，經濟和以人為本的數據開放共享需求日益強烈。例如，交通、旅游和其他機構需要人口分布和流動數據來優化服務。商業客戶需要用戶行為特征數據，為產品定制和精準營銷提供決策支持，但這都會導致嚴重的數據安全問題。當前，數據資源開放共享缺乏全面有效的管理和安全保障，國家數據資源的開放共享和安全保護成為長期存在的矛盾。

同時，旺盛的數據需求，導致地下數據交易活動猖獗，需要長期、大力治理。在利益鏈條的驅動下，非法收集、盜竊、販運和使用用戶信息的行為日益猖獗。中國用于用戶信息轉售的地下產業鏈總規模估測已超過100億。為防控黑客地下產業鏈，工信部開展了專項行動，取得了一定成效。

最后，數據安全還面臨許多新的挑戰，如技術手段的多樣化、所涉及的鏈接增加以及更大的隱蔽性。數據跨境流動也使得國家的數據監管機制面臨深層次挑戰。互聯網及移動數據，在全球各個地方的無障礙流動已成為經濟增長、創造就業和社會福利的重要推動力。與此同時，這種數據跨境流動也日益成為對數據主權、知識產權和公民數據隱私的重要威脅。因此，數據治理還有很長的路要走。

3 國際社會面對數據安全嚴峻形勢的應對策略

全球各個國家對數據安全重要性認識已經得到加深。世界主要國家在法律法規、戰略、政策、技術手段、標準評估等方面開展了數據安全保障實踐，各國將數據安全作為國家戰略的重要組成部分，并分別解釋了各自的數據安全政策。

3.1 注重信息共享和跨境流動，完善數據保護法律體系

由于跨境數據流動可能導致國家關鍵數據資源流失，各國高度重視數據跨境流動監管的國際問題。美國頒布了《國家網絡安全保護法》，積極推動頒布《網絡安全信息共享法》，并敦促私營企業與政府共享網絡安全信息。歐盟通過《一般數據保護條例》（GDPR）建立了嚴格的個人數據保護法律框架，采取了將主權內化于私權的方式間接保護個人數據安全，并在此框架下力圖推進數據的跨境流動，達成二者之間的平衡。俄羅斯將數據本地化作為基本原則，要求數據回流，通過不斷地修正和頒布法令加強對數據流動的管控。不過，當前時間仍然缺乏公認的標準規則和國際規范來指導數據跨境流動的監管。

3.2 從數據安全的關鍵步驟發掘新的數據安全技術

全球各國的數據安全技術涵蓋數據收集、存儲、挖掘和發布等關鍵環節。它們具有保護數據安全的通用技術手段，如傳輸安全、SSL/VPN技術、數字加密和數據恢復技術，并得到廣泛應用。盡管如此，更多的國家仍在努力開發新的數據安全技術。例如，基于生物特征的身份認證和強制性訪問控制技術，以及基于日志、數字水印和其他可追蹤技術的安全審計。此外，數據防泄漏（DLP）技術、云平臺數據安全等特殊數據安全防護技術的開發和應用也在加快。

3.3 開展數據安全的評估和認證實踐，完善數據安全標準體系

各國與國際標準組織發布了與數據安全相關的標準和指南。國家標準與技術研究所（NIST）發布了用戶識別指南。ISO/IEC制定了公共云計算服務數據保護控制措施的實用規則。

與此同時，數據安全評估和相關認證體系也日趨成熟。歐盟委員會對跨境數據流的安全評估已成為判斷數據能否傳輸的重要依據。美國信托隱私認證已得到全球許多國家消費者的認可和信任。國際安全港認證、合同模板和公司約束規則等實踐促進了數據安全保護措施的改進。

4 我國對數據安全保障的相關工作

我國向來重視數據安全。國家各部委先后頒行《全國人民代表大會常務委員會關于加強網絡信息保護的決定》[8]、《電信和互聯網用戶個人信息保護規定》[9]等規定和《中華人民共和國數據安全法》[10]等法律法規（表1為數據違法處罰規定（節選））。各部委頒行了與個人網絡信息保護相關的相關數據保護法規，和相關的國家及行業標準，在國家和行業層面開展了以數據安全為關鍵點的專項安全檢查。

表1 數據違法處罰規定（節選）

然而，總體而言，我國的數據安全立法仍然匱乏，數據保護技術仍然不足，數據安全保障能力有待進一步提高。因此，應從當前數據安全挑戰的方面涉入。通過采取各種新的措施，構建更為全面的數據安全保障體系，努力提升數據安全保障能力。

那么面對如此嚴峻的數據安全形式，我們應該怎樣應對呢？

完善我國數據安全標準和評價體系。大力推進數據安全新技術創新。協調制定數據安全相關標準。積極開展數據安全通用標準和專用標準的研發工作。加強數據安全測試評估，推動跨境數據流安全評估發展。

制定我們的數據安全保護戰略，穩步前進。從國家安全和國家戰略資源的角度思考。定位數據安全，加強數據戰略規劃。制定銀行、電信等重點產業關鍵數據和用戶信息跨境流動監管政策，推進公民個人信息境內存儲監管立法。積極參與國際規則制定，提高中國在數據保護領域的話語權，從而為中國數據安全保護創造良好的國際環境。

根據國家戰略，繼續推進數據安全保護立法進程。加快數據安全立法，明確數據保護的對象、范圍和責任，制定開放數據共享、跨境交通監管等法律法規。同時，將法律調整范圍擴大到物聯網、云計算等新技術應用場景的數據保護。

5 結束語

正是因為無窮無盡的新數據威脅，數據保護技術必須創新。新數據威脅的技術復雜性和隱蔽性越來越高，危害范圍不斷擴大。同時，在政策法律層面，應該健全數據保護法律體系保障信息安全，并且構建多層次的數據跨境流動監管秩序，加強國際合作，應對日趨嚴峻的數據安全形式。