国外大数据安全发展的主要经验及启示

2015-08-07国家信息技术安全研究中心周季礼解放军防化学院李德斌

信息安全与通信保密 2015年6期

国家信息技术安全研究中心周季礼；解放军防化学院李德斌

国外大数据安全发展的主要经验及启示

国家信息技术安全研究中心周季礼；解放军防化学院李德斌

随着信息网络技术的飞速发展，全球进入大数据时代。大数据已经与农业时代的人口土地、工业时代的钢铁石油一样，成为一个国家的重要战略资源。与此同时，大数据的安全问题也日益突显，成为大数据应用发展的一大瓶颈。针对严峻的大数据安全形势，英国、法国、德国、美国、日本、澳大利亚和欧盟等世界主要国家和地区探索形成了一系列大数据安全发展举措和经验，具有一定的借鉴意义。

国外大数据发展现状

20世纪90年代初，美国数据仓库之父比尔·恩门首次提出“BIG DATA”一词。2005年，美国IBM公司出版了《无所不包的数据》一书，指出无所不包的数据就是“大数据”。2010年1月，美国颁布“我的大数据”的倡议，推进公民便捷的使用个人数据。2011年1月，美国总统科技顾问委员会向总统提交的报告指出，大数据技术蕴含着重要的战略价值，建议成立“大数据高级指导小组”。2011年6月，美国麦肯锡全球研究院发布了题为《大数据：下一个创新、竞争和生产力的前沿》的研究报告，使“大数据（BIG DATA）”一词正式在IT领域“热”起来。该报告提出“大数据时代已经到来”，并指出大数据是当今的新“石油”。2012年1月，欧盟颁布“通用数据保护条例”，为发展大数据提供了法律保障。

2012年3月29日，美国政府颁布《大数据研究和发展计划》战略，正式把“大数据”一词推到舆论高潮，受到了世界各国的广泛关注。2012年4月，英国、美国、德国、芬兰和澳大利亚等国家联合推出了“世界大数据周”活动，旨在制定战略性的大数据措施。2012年5月，英国成立世界上首个非营利性的开放式数据研究所，开展大数据应用研究。2012年6月，发布《开放数据白皮书》，以促进英国公共服务数据的开放性。2012年7月，日本推出了“新信息通信技术战略研究计划”，重点关注“大数据”的应用。2012年7月10日，联合国发布了《大数据促发展：挑战与机遇》报告，要求世界各国政府利用大数据更好地服务和保护人民。

2013年，爱尔兰在推出的《就业行动计划》中提出，投资1亿欧元建设大数据研发中心，以促进大数据产业发展；韩国开放300种国家数据，提出要为用户打造一个完整的数据传输环境。2013年1月，为了提高科研与教育中的数字信息支撑能力，德国启动了第二期数字信息计划，提出科研数据开放共享，实现数字出版物的永久保存等措施。2013年2月，法国发布《数字化路线图》，列出5项将会大力支持的战略性高新技术，其中一项就是大数据。5月9日，奥巴马总统签署第13642号总统行政令，对联邦大数据管理工作提出了新的准则，提出在保护好隐私安全性与机密性的同时，将数据公开化以及可读写化纳入政府的义务范围，激发大数据创新活力。2013年6月，日本公布新IT战略――“创建最尖端IT国家宣言”，全面阐述了2013～2020年期间以发展开放公共数据和大数据为核心的日本新IT国家战略。8月15日，澳大利亚发布了《公共服务大数据战略》。战略以六条“大数据原则”为支撑，旨在推动公共行业利用大数据分析进行服务改革，制定更好的公共政策，保护公民隐私，使澳大利亚在该领域跻身全球领先水平。

2014年1月，新加坡资讯通信发展管理局(IDA)聘请了首任首席数据科学家，专门推进政府数据的开放和价值开发。1月17日，奥巴马总统责成总统行政办公室进行为期90天的调查，就大数据技术正在或将要对经济、社会与政府行为的范围内发生的影响做出全面评价。5月1日，美国总统行政办公室向奥巴马提交了一份名为《大数据：把握机遇，维护价值》的报告，阐述了大数据带来的机遇与挑战。报告认为，大数据技术为美国经济、人民的健康和教育、能源利用率、以及包括信息安全在内的国家安全等提供了难得的机遇。同时，报告也揭露了大数据为美国社会、信息安全带来的问题。2014年5月，日本政府出台了大数据应用个人数据使用报告，希望这一报告的出台，有助于企业使用大数据进行创新和开发。2014年7月，韩国政府宣布了一项新的战略——“未来增长引擎执行计划”，列出了13个韩国未来增长引擎的领域，其中就包括大数据，旨在扩大国内大数据市场规模和扩展国际市场占有率，到2020年，使大数据的国内和国际市场规模均超过10亿美元。10月14日，欧盟表示，将在五年内斥资25亿欧元投资大数据行业。

2014年10月，IDC和EMC的联合调查报告指出，2016年全球大数据产业的销售额将达到150亿欧元以上，到2020年全球数据总量将达到40ZB。Gartner公司的调查结果表明，全球64%的企业已经开始向大数据项目注资，或者打算在2015年6月之前将计划付诸实践。Gartner预测，大数据将在2011年到2016年间累计创造2320亿美元的产值。根据Wikibon最近发布的大数据市场报告，预计2015-2017年全球大数据的市场规模分别可达到383亿美元、452亿美元和500亿美元，自2011年开始年复合增长率为 27%。

国外大数据安全形势

大数据是继云计算、物联网之后又一新的技术革命，给传统的数据保存和安全防护带来了技术上的难题，面临着三个方面的安全风险：

1.大数据自身存在安全隐患

一是大数据加大信息泄漏风险。大数据囊括了大量的个人隐私，以及各种政府机构、公司行为的细节记录，数据集中存储增加了泄露风险。二是大数据的应用是人工智能、商业智能、数学算法、自然语言理解、信息技术等多个跨学科领域技术的集成应用，面临较高的技术和管理风险。三是大数据成为网络攻击的显著目标。大数据是更容易被“关注”的大目标，会吸引更多的潜在攻击者，使得黑客成功攻击一次就能获得更多数据，无形中降低了黑客的进攻成本，增加了“性价比”。四是大数据威胁传统的存储和安防措施。数据集中存储会出现将数据乱放的情况，使数据的管理不合标准，影响到安全控制措施的良好运行，也加大了事后追溯的难度，这都将给数据安全带来威胁。五是大数据技术会被黑客利用。黑客可以利用大数据挖掘和分析技术进行更加精准的网络攻击，搜集企业或个人的电话、家庭住址、企业信息防护措施等信息，提取网络攻击所需的情报。此外，大数据的价值密度低，黑客可以将攻击隐藏在大数据中，给安全预警分析带来了很大困难。

2.大数据安全事件频繁发生

2011年4月，全球最大的互联网娱乐社区之一，日本的索尼PlayStation Network遭受黑客攻击，导致770万用户数据外泄，引发了新媒体传输的信用危机。2012年6月6日，商务社交网站LinkedIn的650万用户密码遭泄露，被发布在俄罗斯一家黑客网站上；芬兰信息安全公司CERT-FI警告称，尽管黑客并未公布相关的用户信息，但攻击者很可能已获得了用户的数据信息。2012年7月13日，雅虎旗下子网站Yahoo Voice的45万多个用户名和密码被盗。2012年12月，一个名为GhostShell的黑客组织泄露了来自NASA、FBI、国际刑警组织、美联储、国防部等美国多个重要政府机构和公司的160万个账户信息。2013年，全球共发生2164起数据泄露事件，超过8.22亿条记录被曝光。2013年6月，IBM公司发布的《数据泄露年度成本研究报告》显示，2013年平均每起数据泄露事件的成本较2012年上升15%，达350万美元(约合2190万元人民币)。全球范围内，受害方在每起数据泄露事件中遭受的平均损失为145美元，比2012年增加9%。2013年9月17日，欧盟官员在第四届欧洲数据保护年会上表示，92%的欧洲人认为智能手机的应用未经允许就在收集个人数据，89%的欧洲智能手机个人数据被非法收集。2014年1月8日，澳大利亚政府网站60万份个人信息遭泄露。1月21日，德国约1600万网络用户的邮箱信息被盗。2月3日，法国80万客户的信息资料被窃。3月6日，韩国电信1200万用户信息遭泄露。5月31日美国《消费者报告》称，2013年1/7的美国人曾被告知个人数据遭到泄露，1120万美国人曾遭遇了电子邮件钓鱼欺诈，29%美国网民的家用计算机感染了恶意软件。8月5日，美国霍尔德网络安全公司称，俄罗斯黑客从美国大企业和世界各地其他企业盗取了12亿组互联网用户信息。2015年1月26日, 俄罗斯约会网站Topface有2000万访客的用户名和电子邮件地址被盗等。

3.大数据受到信息强国监控威胁

美国做为全球最大的信息强国，与英国、加拿大、澳大利亚、新西兰等国组成“五眼”情报联盟，利用其信息技术优势肆无忌惮的对全球互联网数据和他国个人数据进行搜集、存储、挖掘，从中刺探他国的各类情报，严重威胁主权国家的数据安全，引发全球信息安全危机。2013年11月，斯诺登事件曝光后，苹果公司报告称，苹果公司对美国政府提出的88%的涉及具体设备的数据请求提供了支持。2015年2月24日，美国网络空间司令部司令兼国家安全局局长称，要设立“一种合法框架”，迫使信息技术企业在有关加密产品中留“前门”，以便政府能对特定目标数据进行收集和监控。

国外大数据安全发展的主要经验

针对严峻的大数据安全形势，国外主要国家采取了颁布大数据安全发展战略、制定大数据安全法规、成立大数据管理机构、加强大数据安全监管、研发大数据安全技术、培养大数据安全人才等一系列举措，为大数据安全发展提供强力支撑。

1.颁布大数据发展战略

为确保大数据安全，世界主要国家纷纷出台战略与政策，加强顶层设计，统筹规划大数据建设发展。美国是全球最早发布大数据发展战略的国家。2012年3月29日，美国政府颁布《大数据研究和发展计划》，将大数据从商业行为上升到国家意志和国家战略。提出了三大战略目标：(1)开发大数据技术来收集、存储、保护、管理、分析、共享海量数据；(2)利用大数据技术加速科学与工程发展步伐，加强国家安全，实现教、学转型；(3)增加开发与使用“大数据”技术所需的人员数量。2014年5月1日，美国发布《大数据：把握机遇，维护价值》报告，提出发展大数据的具体举措和安全保障。英国于2012年6月，发布《开放数据白皮书》，推进公共服务数据的开放。于2013年10月31日发布《把握数据带来的机遇：英国数据能力战略》，旨在促进英国在数据挖掘和价值萃取中的世界领先地位，制定了提升数据分析技术、加强国家基础设施建设、推动研究与产业合作、确保数据被安全存取和共享等举措。法国于2013年2月，发布《数字化路线图》，将大数据列为5项大力发展的战略性高新技术。7月，发布《法国政府大数据五项支持计划》，制定了引进数据科学家、设立大数据发展资金、启动大数据项目、构建大数据应用环境等举措。日本于2013年6月，颁布《创建最尖端IT国家宣言》战略，提出开放公共数据和发展大数据的战略目标。澳大利亚于2013年8月15日，发布《公共服务大数据战略》，提出发展大数据的六条原则和战略目标。德国于2014年8月20日，通过了《2014—2017年数字议程》，提出在变革中推动“网络普及”“网络安全”“数字经济发展”三个重要进程，希望以此打造具有国际竞争力的“数字强国”。

2.制定大数据安全法规

为保护个人和国家数据安全，世界主要国家纷纷出台各层次、各领域、各行业的数据安全保护法规，以加强大数据应用过程中对个人隐私与数据安全的保障。

英国在《开放数据白皮书》中专门针对个人隐私保护进行规范。一是公共数据开放机构中设立隐私保护专家，确保数据开放过程中及时掌握和普及最新的隐私保护措施，同时还要求各个部门配备隐私专家。二是强制要求所有政府部门在处理涉及到个人数据时都要执行个人隐私影响评估工作制度，制定《个人隐私影响评估手册》。三是要求将开放数据划分为大数据和个人数据，规定大数据是政府日常业务过程中收集到的数据，可以对所有人开放，而个人数据仅仅对某条数据所涉及到的个人自己开放。

德国于2002年通过《联邦数据保护法》，并于2009年进行修订。《联邦数据保护法》规定，信息所有人有权获知自己哪些个人信息被记录、被谁获取、用于何种目的，私营组织在记录信息前必须将这一情况告知信息所有人，如果某人因非法或不当获取、处理、使用个人信息而对信息所有人造成伤害，此人应承担责任。在《2014至2017年数字议程》中，德国进一步提出最晚将于2015年出台《信息保护基本条例》，加强大数据时代的信息安全。2015年2月25日，德国要求设置强硬的欧盟数据保护法规，以压制谷歌和脸书(Facebook)等美国科技巨头在欧洲的支配地位。

澳大利亚于2012年7月发布了《信息安全管理指导方针：整合性信息的管理》，为大数据整合中所涉及到的安全风险提供了最佳管理实践指导。11月24日，对1988年的《隐私法》进行重大修订，将信息隐私原则和国民隐私原则统一修改为澳大利亚隐私原则，并于2014年3月正式生效，规范了私人信息数据从采集、存储、安全、使用、发布到销毁的全生命周期管理。此外，澳大利亚的大数据发展战略明确规定，大数据受到《档案法》（1983）、《信息自由法案（1983）》、《证据法（1995）》、《电子交易法（1999）》、《财政管理责任法（1997）》、《情报服务法（2001）》、《刑法（1914）》、《政府安全保护政策框架》、《政府信息安全手册》、《公共服务专员指南》等法规保护。

美国于2012年2月23日，发布《网络环境下消费者数据的隐私保护-在全球数字经济背景下保护隐私和促进创新的政策框架》，正式提出《消费者隐私权利法案》，规范大数据时代隐私保护措施。并在《白皮书》中呼吁国会尽快通过《消费者隐私权利法案》，以确定隐私保护的法治框架。

欧盟于2013年10月21日通过新版数据保护法，用于取代《欧盟数据保护法》，规定在欧盟运营的企业一旦被发现不当利用所掌握的包括客户、供应商或自己员工在内的个人信息数据，将面临最严厉的处罚，违反该法规的公司将面临最多相当于其全球营业额5%的罚款。2015年2月25日，欧盟委员会表示，将在2015年年底之前，建立一个统一的数字市场法规，来加强欧盟地区的数据安全和版权保护。

印度于2012年批准国家数据共享和开放政策，促进政府拥有的数据和信息得到共享及使用，还拟定一个非共享数据清单，保护国家安全、隐私、机密、商业秘密和知识产权等数据的安全。新加坡于2012年公布《个人数据保护法》（PDPA），旨在防范对国内数据以及源于境外的个人资料的滥用行为。日本于2015年4月23日审议《个人信息保护法》和《个人号码法》修正案，以推动并规范“大数据”的利用。韩国于2013年对个人信息领域的限制做出适当修订，制定了以促进大数据产业发展，并兼顾对个人信息保护的数据共享标准等。

3.设立大数据发展机构

为确保大数据安全发展，世界主要国家纷纷组建新的大数据职能管理机构，统筹协调发展。英国在大数据发展战略中，指定统计局和经济社会研究委员会负责政府的数据能力提升；信息化基础设施领导理事会负责大数据基础设施建设，各行业协会负责本行业数据能力建设，信息经济委员会负责制定大数据具体战略实施路径。2012年7月，在英国商业创新技能部成立数据战略委员会，推动数据的开放，拓宽有效数据的来源，12月，在数据战略委员会下成立开放数据协会，加快开放数据的进程。澳大利亚设立了跨部门大数据工作组负责大数据发展战略的落地，成立数据分析卓越中心负责配合执行，同时配备专门的支撑机构从技术、研究等角度确保对大数据工作组支撑。此外，政府信息管理办公室负责就大数据技术投资管理、工程实施、ICT政策执行提供建议，指导政府应用大数据技术为公众提供更好服务。印度于2014年3月决定成立数据保护局（DPA），“调查任何数据安全漏洞并发出适当的命令，以保障任何已然或可能受漏洞影响的当事人的安全利益。”并提议创建多个数据控制机构，在处理个人数据问题时负责执行自律措施并维护其保密性，每个数据控制机构将指定一名隐私官负责保证数据的安全性。美国负责大数据技术研发的是美国国家科学技术委员会（NSTC）和白宫科技政策办公室（OSTP），2011年成立“大数据高级指导小组”，负责协调、促进政府和社会在“大数据”关键领域的投资，指导和监督包括信息安全项目在内的大数据技术研发和评估工作。欧盟个人数据保护的主要机构包括：欧洲法院，是包括数据保护法在内的欧盟法律的最终裁决者；欧盟数据保护专员（EDPS），监督欧盟机构遵守数据保护法，同时对于欧盟层面数据保护政策的制定有着重大影响；个人数据保护工作组又称“第29条工作组”；“第31条委员会”，由欧盟成员国政府的代表组成；其他机构，如欧洲网络与信息安全局（ENISA）等。

4.加强数据安全监管

针对大数据安全的严峻形势，世界主要国家和地区加大了对个人数据、公众数据和国家关键性数据的监管力度。俄罗斯于2014年7月颁布法规，禁止公民数据存储于国外服务器，规定所有收集俄罗斯公民信息的互联网公司，都必须将这些数据存储在俄罗斯国内的服务器上。9月下旬，俄罗斯媒体监察机构向谷歌、Facebook、Twitter三家科技公司发出通知函，要求三家公司遵守新的法律条文，以“信息传媒机构”进行重新注册，并将注册的网站和在线服务所属服务器设在俄罗斯国内。2015年4月，美国谷歌公司按要求将部分服务器移至俄罗斯境内的数据中心。巴西于2013年9月出台规定，强制要求所有在巴西境内运作的企业，必须将有关巴西人的数据存储在巴西国内；并要求在巴西提供社交网络、电子邮箱及搜索引擎等服务的外国互联网公司，都必须在巴西本土建立数据中心。11月，巴西法庭要求谷歌公司就其街景地图在拍摄过程中非法收集私人局域网络数据做出解释，否则将面临每日四万五千美元，最高上限为四十五万美元的罚款。德国法院于2014年2月做出裁决，认定Facebook触犯了德国的数据保护法，必须做出改正，否则将面临制裁。10月1日，德国汉堡数据保护机构宣布，已要求谷歌公司在通过其各项服务创建数据库时，事先要获得用户许可。2015年4月，德国要求谷歌限制对用户数据的使用。法国数据保护机构国家信息与自由委员会，于2012年2月代表欧洲信息保护机构对谷歌的数据隐私政策展开调查，以确保法国公民的数据安全。2013年9月28日，法国信息与自由委员会宣布，由于谷歌违反了数据隐私保护规定，将对谷歌处以超过40万美元的罚款。日本于2012年3月要求谷歌对新隐私政策给一个明确的解释，并且配合应对任何用户的反馈要求。韩国警方于2011年5月3日检查了谷歌办公室，防止其非法收集数据、滥用公民数据。2014年1月31日，谷歌因收集用户数据，被韩国通信委员会罚款2.1亿韩元，并要求删除所有未经允许收集而来的个人信息，并在其网站上发布进展情况。欧盟对侵犯数据的行为处罚措施十分严格，包括对公司工作场所和数据处理设施的稽查和调查、数额巨大的罚款，以及对于特大违法行为的刑事责任处罚等。此外，还会对侵犯数据的公司予以曝光，以增大惩戒力度。近年来，欧盟认为美国谷歌公司、苹果公司等企业通过提供服务非法获取、侵犯公民个人数据，曾多次表态要加强对有关企业的监管。

5.研发数据安全技术

技术是确保大数据安全的基础，世界主要国家积极研发大数据安全关键技术。英国于2013年1月计划投资1.89亿英镑发展大数据技术，2014年又拿出7300万英镑投入大数据技术的开发，在55个政府数据分析项目中展开大数据技术的应用。日本于2012年12月研发出硬盘存储故障预警技术，以有效保护数据中心的数据安全。2014年7月，日本引进了美国网络防御系统，并在此基础上研究开发数据安全和保护技术。美国在大数据战略中启动了多项有关大数据技术项目，推动基础研究和关键安全技术研发。目前，美国正在研发的大数据安全技术及利用大数据技术提升信息安全的项目主要有：“P级大数据分析计划”，旨在解决从“P”级大数据集中提取信息、发现关键特征，有效提高网络威胁分析能力；“突发事件预测计划”，专门研究如何从脸书（facebook）、推特（twitter）等社交媒体大数据中，分析预测恐怖袭击或突发疾病等重大事件；“多尺度异常检测”(ADAMS)技术，旨在解决大数据的异常检测，确保数据信息安全；“雅典卫城行动”计划，旨在创建一个大数据云计算环境，以存储、分析和共享每天收集到的有关网络攻击和网络性能的大量信息，以对付变化多端的网络敌人等。此外，美国情报机构前雇员斯诺登披露的美国“棱镜”、“X－关键得分”、“无界线人”等绝密监听计划，也表明美国大数据分析技术和安全技术处于全球之首。2015年2月5日，美国政府称，为了保护关键基础设施网络安全，正在全力开发大数据安全技术，提升网络态势感知和网络威胁预警能力。

6.培养大数据安全人才

人才是确保大数据安全的关键因素，世界主要国家已将人才培养纳入推进大数据安全发展的重要议程。英国政府在《英国数据能力战略》中对人才的培养做出了专项部署，包括在初级、中等教育中加强数据和计算机课程；全面评估大学开设的数据分析学科；通过奖学金、项目资助的形式支持高校培养满足当前和未来数据分析需求的人才；强化“数据科学”学科，推进数据分析行业发展；以高等学府为依托构建大数据研究中心；促进带动牛津大学、伦敦大学等著名高校开设以大数据为核心业务的专业等。澳大利亚在《公共服务大数据战略》中强调政府机构与大专院校合作培养分析技术专家，同时计划将各类大数据分析技术纳入现行教育课程中，强化人才储备。法国在《政府大数据五项支持计划》中，提出引进数据科学家教育项目。新加坡政府与企业以及本地高等院校开展合作，开设数据分析硕士课程和本科课程，成立全球领先的数据分析中心，帮助在校学生以及在职人员提升数据分析领域的最新职业技能，为大数据分析和安全工作打好基础。美国在《大数据研究和发展计划》战略中，提出要扩大大数据技术开发和应用所需人才的供给，鼓励研究型大学开设交叉学科研究生课程，培养下一代数据科学家和工程师；将200万美元的奖学金分配给一个研究培训小组，来支持对本科生使用复杂数据图形和可视化技术的培训；国防部开展了一系列开放式的大数据技术有奖竞赛等，加快培养一支大数据技术人才队伍。

启示与思考

随着数据的与日俱增及其背后所蕴藏的巨大价值，大数据正在成为信息时代发展的新潮流。斯诺登披露的美国内部文件表明，自2009年以来，美国情报机构一直入侵中国大陆和香港特别行政区的数百个重要计算机系统，大肆搜集、窃取敏感数据，严重侵犯了我国的数据主权。同时，大数据是一个的新的技术，对其安全隐患和风险的认识还不足。为此，必须高度重视大数据安全问题，采取一切行之有效的措施，确保我国数据主权安全。

1.加快出台大数据安全发展战略

完善的战略政策是国外安全发展大数据的重要保障。当前，我国的大数据发展还处于起步阶段，大数据分析处理技术不高，数据安全面临比较大的挑战，在国家层面还没有专门针对大数据出台相关政策。为此，要将大数据安全发展上升为国家战略，加强顶层设计和政策支持，明确发展的指导思想、发展目标、发展重点和实施路线图等，稳步推进。

2.加快研发大数据安全关键技术

一是研究基于大数据的网络攻击追踪溯源技术，确保国家网络空间安全。二是研发大数据中心安全防护技术，确保基于云服务的数据中心安全。三是针对大数据分散存储、分头管理、共享应用等特点，着力研发大数据管理系统技术、海量数据挖掘与预测分析技术、海量数据融合与集成技术、海量数据可视化分析等关键技术，加快构建自主可控信息系统，力求在高速组网、集群计算机编程、扩展云计算能力、广泛应用部署、数据安全和隐私保护等方面取得突破，全面提高大数据安全技术水平。