我国大数据发展与信息安全态势

来源:中国信息安全测评中心   作者:陈锦   时间:2017-06-23

   为全面推进我国大数据发展和应用,加快建设数据强国,国务院制定和发布《促进大数据发展行动纲要》,标志着大数据战略正式上升为国家战略。我国在大数据社会认知、政策环境、产业发展、安全保障等方面取得一定进展,为大数据的可持续发展创造了良好条件。但同时也存在认知误区、数据主权安全、大数据产业生态安全、数据安全、核心技术难自主和人才短缺等安全问题和挑战。因此,在推动大数据发展应用的同时,应采取有效措施积极应对大数据发展过程中面临的安全问题和风险,实现我国大数据持续健康发展。

一、我国大数据发展现状

1. 大数据政策法规制定情况

   我国在多个层面制定大数据政策、法规,从政策层面促进大数据发展。在国家层面制定《十三五规划》等,加强顶层设计,进一步强化政策引导;在重点行业领域方面,各部委如国土资源部、国家发改委等重视大数据发展应用,陆续出台与大数据相关的政策文件;在地方政府层面,目前已有20多个省、自治区、直辖市发布了大数据相关发展规划、促进条例和行动计划,主动谋求大数据发展。

2. 大数据产业生态发展情况

   我国大数据产业生态进一步细分、聚集区域逐渐形成、综合试验区纷纷涌现。产业生态中的企业可划分为数据使用、数据管理和数据收集三类共12种商业模式,各自履行数据获取、存储、分析挖掘、结果展示与应用等业务功能,在垂直化和行业化应用方面进一步细化。大数据产业逐步集中,出现京津冀区域、长三角地区、珠三角地区和中西部四个集聚发展区,各具发展特色,聚集区域逐渐形成。大数据应用逐步落地,建立八大大数据综合试验区,各地大数据招商风起云涌,中西部地区尤为积极。

3.重点行业大数据应用情况

   为贯彻落实大数据发展行动纲要中的要求,充分发挥大数据的价值,我国电力、通信、教育和农业等重点行业、领域结合自身业务特点纷纷投入大数据研究与应用工作。电力行业强化大数据应用顶层设计,积极开展大数据在配网故障抢修、新型客户服务、负荷预测、信息安全等36个典型应用场景的试点应用;通信行业整合行业上下游组织,利用大数据技术开展精细化营销、互联网金融和安全分析等工作,通过大数据促进业务发展;教育行业规划大数据发展行动路线,在建设国家教育管理公共服务平台等核心平台系统过程中注重安全和发展两手抓;农业领域制定大数据发展实施意见,形成覆盖全面、业务协同、上下互通、众筹共享的农业大数据发展格局。

4.大数据关键技术发展情况

   我国大数据采集、基础平台和分析等关键技术逐渐成熟。数据采集方式多样,涌现出基于Hadoop的Chukwa、Cloudera的Flume、Facebook的Scribe等采集工具,采集技术进一步成熟;大数据平台技术逐渐成熟,我国产业界基于Hadoop等开源软件,研发出能够满足我国实际需求的大数据平台;大数据分析技术崭露头角,以深度学习为代表的新兴技术在产业界和学术界取得了进一步发展。

5. 大数据安全标准编制情况

   我国循序渐进推进大数据安全标准编制工作和提升国际影响力。成立大数据安全特别工作组,负责和组织大数据安全标准的研制工作,制定大数据安全标准体系和路线图,发布《大数据安全标准化白皮书》,循序渐进的启动大数据安全标准规划和编制工作;在美国孟菲斯召开的在“数据管理与交换”分技术委员会2016年全会上,我国代表团独立提出的大数据技术提案完胜美国、德国,获得全会决议通过,提升了我国在国际标准领域的影响力和话语权。

6.大数据安全保障体系建设情况

   我国大数据安全保障工作进一步夯实。在信安标委2017年第一次工作组会议上发布《大数据安全标准化白皮书》,提出大数据安全保障框架,对大数据安全与隐私进行全方位的保障;企业用户在已有的安全保障工作基础上利用大数据安全分析技术建立完善的大数据安全保障体系;安全厂商纷纷加大在大数据安全保障产品方面的研发投入,采用大数据技术研发大数据安全分析平台和态势感知平台等,利用大数据解决信息安全问题。

二、我国大数据发展过程中仍存在的安全问题与风险

1.对大数据的认知存在一知半解,落地实践仍需研究探讨

   我国虽然把大数据上升为国家战略,创造有利条件促进大数据发展。但是大数据在发展过程中仍然存在正确认知问题。认知观念还存在误区,认为大数据就是海量数据,忽视数据间的关联关系及过程演化。认为大数据就是数字化信息,忽视大数据是数字化信息被产生、消费的过程的记录。认为大数据就是建数据中心,忽视大数据分析、共享和交易等核心应用;数据开放共享存在误解,由于历史和现实等原因,我国现行的行政体系、特别是行政分割现象使“部门墙”、“信息孤岛”等广泛存在,导致数据无法共享;安全影响评估不到位,大数据是一把“双刃剑”,在给社会经济发展带来红利的同时,也存在一定的安全隐患。如攻击者利用大数据技术对不同来源的泄露数据进行处理和分析,挖掘有价值的信息,基于大数据技术的机器学习等系统自身存在的缺陷易被攻击等。

2.国家间数据主权博弈日趋激烈,我国数据主权面临挑战

  “棱镜门”事件后,世界主要国家纷纷采取措施应对日益严峻的数据主权问题。我国在数据主权方面虽然采取了一些措施,但仍然面临以下挑战:国家间的数据主权博弈争夺日趋激烈,为了争夺数据信息网络的主导权,各国之间的数据主权博弈日益加剧,世界发达国家相继推出“数据治国”战略并制定相关发展规划,争取赢得先机;数据跨境流动对我国数据主权形成冲击,数据跨境流动时,信息制造者、数据接收者等主体均对自己有利的数据信息主张行使主权,这势必形成主权的交互重叠、甚至冲突。同时,国际上并未制定统一跨境数据流动规则,这就导致数据主权纠纷频发;数据霸权加剧数据强国对我国数据主权的侵犯,数据强国借助国际互联网、大众传媒等公司的力量推行数据垄断和数据霸权,严重侵犯我国数据主权。

3.大数据产业生态逐步细分拓展,应用安全风险日趋凸显

  大数据产业生态圈以数据价值为核心,在数据共享、交换、交易等应用中,安全风险沿着信息价值链和IT价值链传递,有时危害被放大到数倍。产业生态中各角色存在的安全风险如下:

数据提供商存在的安全风险,目前部分数据提供商违规搜集用户cookies、用户在网站的行为等数据,过度采集涉及国家基础设施、政府机构、个人隐私数据。如果在数据使用过程中不能有效控制,可能造成敏感数据泄露;

大数据应用商存在的安全风险,黑客通过网络攻击向数据采集端注入脏数据而使数据存在被污染风险;

通过数据融合、关联分析等挖掘隐藏在数据背后的信息而使用户隐私泄漏;

技术平台商存在的安全风险,目前国内大数据平台商基本上是基于Hadoop框架进行二次开发,由于Hadoop安全机制不完善,大部分平台存在身份认证、权限控制、安全审计等安全机制不健全问题。数据消费商存在的安全风险,数据消费商通过交易或交换得到的数据商品,一般存储在本地网络中。一旦安全防护不当,被恶意人员窃取流通到地下数据黑市,将严重扰乱数据交易市场秩序,影响大数据产业生态正常运转;

大数据监管机构存在的安全风险,在开展监督检查或安全审查等工作时,如果没有采取可靠的保护策略和措施,将导致严重的数据泄露事故。同时,在生产环境临时部署测试工具,或者长期部署持续监控工具,可能造成大数据平台性能降低甚至瘫痪,影响系统可用性。

4.大数据环境中数据资源难管控,数据安全成为关注焦点

   由于大数据存在的新特点,导致数据资源管控难,数据安全成为关注焦点。

数据外延界定不明确,在大数据时代,数据根本意义没有变化,而外延得到了扩大,即大数据时代的数据价值化。当这些数据收集后会被用于不同的目的,数据被重新再次使用。如果无视数据外延的无限生长,导致用户全部网络行为、大量的用户隐私就会被无节制的交易和泄漏;

法律条文禁止不全面,随着人们日常生活逐渐网络化,医疗、理财、社交等领域的在线骗局也层出不穷,骗子升级了,监管手段不能原地踏步,得随时更新监管理念和技术,修改完善相关制度规定;

个人隐私泄露的风险加大,通过对用户上网浏览记录、社交网络用户信息等数据进行整合、关联分析和深度挖掘,能够得到更多有价值的个人敏感信息,从而被用于精准营销甚至电信诈骗等。不但个人隐私无处遁形,而且个人的行为也尽在掌控中;

大数据的存储安全风险,现有的非关系型数据库处理技术不成熟,数据存储和安全防控措施无法满足大数据的安全需求,这就导致数据的安全性无法得到有效保障,可能造成数据存储混乱、数据篡改或失窃等;

数据泄漏安全风险,在大数据时代,数据的收集与保护成为竞争的着力点。从隐私的角度来看,大数据时代把网络大众带入到了一种开放透明的“裸奔”时代。

5.大数据核心技术产品难以自主,安全防护理念亟待更新

   我国大数据核心技术相较于西方发达国家存在着明显的劣势,这种技术层面的“非对称性”,在很大程度上影响着我国的大数据安全。具体表现如下:核心技术产品难以自主,我国大数据涉及的核心存储、计算等技术主要依靠开源Hadoop、NoSQL等框架,或者基于开源产品进行二次开发封装为新产品,以开源产品为基础,核心还是绕不开国外产品,关键技术不能安全可控;安全防护理念亟待更新,大数据环境下的安全防护应借鉴业界先进的安全防护理念,结合产业实际情况,从防护、检测、响应、预测、感知等方面构建动态、协同、联动、能够抵抗外部攻击和内部威胁的立体防护体系。

6.大数据技术专业人才严重不足,难以满足业务发展需求

   大数据需要复合型人才,即能够对数学、统计学、数据分析、机器学习和自然语言处理等多方面知识综合掌握的人才,但目前国内能够培养大数据人才的院校或者培训单位非常少。大数据在我国快速发展的同时,大数据相关人才缺口越来越大。据权威专家估算,我国未来五年大数据人才缺口将高达130万左右,大数据平台运维与开发、数据分析、数据安全等专业人才供求矛盾十分突出,具备扎实理论基础,又有业务实践经验的大数据人才严重不足。

三、我国大数据安全发展对策与建议

1.进一步理解认识大数据与大数据安全

   必须正确理解大数据的内涵和外延,必须要从国家安全战略角度来认识大数据安全问题,必须要认清国内外大数据安全的新变化、新特点、新趋势,统筹安全与发展的关系,积极谋划大数据应用、关键技术研发等关键布局,确保我国大数据持续健康发展。

2.积极采取措施维护我国数据主权安全

   首先,健全大数据政策法规。在《关于促进大数据发展的行动纲要》的基础上,进一步建立和完善相应的制度和法律规范;其次,提高核心数据控制能力。我国应健全大数据综合安全保障体系和提高数据独立性,以此实现对核心数据的控制;最后,要实现数据自由流通与数据跨境管控之间的合理平衡。

3.多举措保障我国大数据产业生态安全

   在政策层面,制定覆盖大数据产业生态可执行的规章制度和实施细则,指导大数据产业生态安全保障工作的开展;在标准层面,健全大数据安全标准体系;在产业层面,强化创新发展能力,推动数据开放与共享、打造数据、技术、应用与安全协同发展的自主产业生态体系。

4.确保我国大数据时代的个人数据安全

   目前国内保护个人数据的法律、行业规则与商业界的道德规范没有跟上大数据技术发展的步伐,人们无法避免隐私泄漏。因此,行业部门应考虑先行出台管理办法,试点应用后上升为标准,推动大数据健康快速发展。同时,要求那些保存和管理个人数据的企业承担更大的责任,这应该成为一种新的隐私保护模式。

5.重点发展安全可控的大数据关键技术

   为了实现“自主创新、持续发展”的目标,我国应尽快建立一套完善的制度法规保护国内大数据安全发展,通过科研和专项经费等重点支持、鼓励大数据关键核心技术研发。政府行业的用户优先采用本国研发和设计的产品,为大数据关键技术的研发提供舒适的环境。

6.建立健全符合国情的大数据人才体系

   针对大数据专业人才严重不足等问题,我国应创新人才培养模式,建立健全多层次、多类型的大数据人才培养体系,建设网络信息安全领域人才储备库;鼓励企业与高等院校、职业院校合作,建设信息安全企业孵化器,加强专业人才实践培养,积极培育大数据技术和应用创新型人才。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919