吴东昌　李明　马梅娟

摘要：大数据并不是一个实体，而是一个横跨很多IT边界的动态活动。随着时代的不断发展，大数据正成为当前学术界研究的热点。但是大数据面临的各种风险，并通过研究数据安全标准来应对这些风险，为建立大数据风险防范，提供了坚实的理论基础。

关键词：大数据；数据安全；安全标准；信息安全

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2017）18-0021-02

1大数据安全风险分析

当今世界，社会信息化和网络化发展迅速，特别是“互联网+”的广泛应用，大数据在金融、媒体、互联网、交通等方面如雨后春笋般发展起来，大数据让人们的生活变得更加便捷，但不可忽视的一个方面，就是数据安全隐私的问题。如何对大数据进行安全标准的规范，在现实社会中，显得尤为重要。

大数据是“数据化”趋势下的必然产物，是指所涉及的数据量规模巨大，通过目前的主流软件工具无法进行管理、处理及运算，形成对决策类单位有用的信息参考。它以海量的数据规模、快速的数据流转、动态的数据体系、多样的数据类型和巨大的数据价值为主要特征。研究机构Gartner给出的定义为：大数据是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。当今社会来源生活的大数据随处可见，以摄像头拍摄为主要来源的大数据，摄像头全年不间断的收集社会各个角落的信息，收集的数据主要是保护社会的安定和发展；再例如，一分钟内，微信有千百万次信息推送，智能手机下载应用程序数以万计；还有其他大量的政府类企业信息数据、个人通讯类数据、网页搜索以及智能设备的使用都会产生大量数据。这些数据被相关的云端自动收集起来被用作分析测评资料，大数据的广泛应用与分析，不可避免造成数据安全隐患的产生，如棱镜门事件的背后凸显出大数据安全布控的重要性和紧迫性，大数据应用在数据从生产、存储、使用、传输、共享到销毁的不同生命周期中，面临的风险安全主要体现在以下几个方面：

1）隐私泄漏风险。目前对保护个人或单位隐私的法律法规不健全，大量数据在应用或使用过程中，只在意软件功能，常常忽略被一些软件、设备“获取信息”。就像一些运动健身、打车及网上理财软件，在这时，我们每个个体都成立数据的产生者和贡献者。此外，大数据环境下关联数据的汇合，使攻击者更容易通过数据的关联，获得更多隐私数据。

2）网络传播安全威胁。随着互联网+大数据时代的到来，数据已经成为企业的核心资产，以数据资源为目标的网络攻击已成为大数据时代的新的安全威胁，大数据的传输需要各种网络协议，部分协议缺乏专业的数据保护机制，攻击者常利用传输协议的漏洞进行数据的窃取和拦截，可能造成大数据安全方面的管理失控、隐私泄密及传播扩散等问题。

3）大数据基础设施安全威胁。基础设施是确保大数据安全运行的基础，若攻击者计划阻碍大数据的正常运行，攻击者通过漏洞进行攻击，远程控制包括空调在内的关键设备，并进行破坏，就会影响整个系统运行，造成数据泄漏、数据丢失、网络病毒等安全威胁，如处理不及时，则可能损坏硬件设备。

大数据安全风险已成为阻碍我国经济快速发展的重要因素，通过对国内外大数据现有安全防范标准进行综合分析，对大数据中的用户数据和安全隐私进行保护，解决大数据时代数据公开和安全、隐私保护之间的矛盾，为研制我国大数据安全防范机制提供重要的依据。

2大数据安全标准国内外研究现状

2.1大数据安全标准国外研究现状

主要的国际标准化组织ISO/IEC JTCI SC32于2012年成立了下一代分析技术与大数据研究组，以元数据、大数据存储和检索、大数据所支持的复杂数据类型等作为主要的研究重点。ITU-T则重点研究基于大数据的云计算相关技术，在2013年发布了《大数据：今天巨大，明天平常》的报告，分析了大数据面临的挑战和ITU-T开展的标准化工作，目前该组织已启动“基于大数据的云计算需求和能力”新工作项目。

美国政府将大数据研究作为提升竞争力的关键因素之一，把大数据研究和生产计划提高到国家战略层面，美国政府在2012年投资2亿美元启动“大数据研究和发展计划”。美国主要从事大数据研究的NIST数据组，在2013年召开了大数据公共工作组（NBD-PWG）成立会议，来自产业界、学术界和政府的公共环境为平台，同年9月启动了大数据定义、术语、安全体系和技术路线图等方面的研究，于2015年，编写了包括《大数据定义》、《大数据安全与隐私》、《大数据参考架构》等7卷在内的《大數据互操作性框架》，提出数据分析技术满足的互操作性、可移植性、可扩展性需求和安全有效的支撑大数据安全应用的技术基础设施。

PCI-DSS由PCI安全标准委员会的创始成员（visa、master-card、American Express、Discover Financial Services、JCB等）制定，力求在国际上采用一致的数据安全措施标准，严格控制数据在处理、存储和传输过程中在线交易的安全。

2.2大数据安全标准国内研究现状

我国对大数据发展起步较晚，与发达国家对大数据安全标准的研究还有一段距离。

2014年12月，全国信息技术标准化技术委员会成立大数据标准工作组，开展制定了大数据技术参考模型、数据质量评价、数据交易、数据导入及数据语音等十几项国家标准，为大数据安全标准的制定打好数据基础。

2015年8月，国务院印发了《促进大数据发展行动纲要》，指出要大力发展大数据产业，推动数据的利用，同时要注意大数据使用的安全防范。

《中华人民共和国网络安全法》（以下简称《安全法》）已于2016年11月通过全国人大审议通过，《安全法》明确规定了网络安全实行等级保护制度，采取数据分类、重要数据备份和加密等措施，防止网络数据的泄漏或篡改，关键基础设施的运营者收集的个人信息和数据应在国内存储，需向境外提供，要经过国家网信部门及国务院有关部门制定的办法，进行安全评估；明确规定了国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练，确保数据安全。endprint

2016年5月全国信息安全标准化技术委员会成立大数据安全特别工作组，以研究制定大数据安全能力要求和管理指南、大数据交易安全等国家标准为主要工作任务。

2017年2月21日，质检总局电子商务产品执法打假中心在内蒙古揭牌，通过大数据收集分析工作助力执法打假，实现“信息收集、风险预警、精准打击”，为广大群众、为社会、为质监事业信息化进程提供更可靠的技术和更优质的服务。

3大数据安全标准的研究展望

3.1加快大数据安全标准研制

目前，数据安全标准体系作为我大数据标准体系的六个类别（基础标准、数据处理标准、数据安全标准、数据质量标准、产品和平台标准、应用和服务标准）之一，是数据标准体系的支撑体系，贯穿于数据整个生命周期的各个阶段，如果把网络安全和系统安全不予考虑的话，大数据时代的安全标准主要包括通用要求和隐私保护两大部分。通用要求主要包括GB/T 2009-2005《信息安全技术数据库管理系统安全评估准则》、GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》、GB/T 22080-2008《信息技术安全技术信息安全管理体系要求》、GB/T 22081《信息技术安全技术信息安全管理实用规则》、GB/T 31496-2015《信息安全管理体系实施指南》、GB/T 31168-2014《信息安全技术云计算服务安全能力要求》等标准；隐私保护主要包括：GB/Z 28828-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》及在研的《信息安全技术个人信息保护管理要求》和《信息安全技术移动智能终端个人信息保护技术要求》等。适应大数据的快速发展，按照成熟、紧急先行的思路，依据大数据在标准安全方面的成果，围绕大数据安全审查，在大数据安全特别工作组领导协调下，引导各方资源建立沟通合作机制，调动各方积极性，开展安全关键性标准的研制。

3.2统一规划大数据安全标准

在大数据时代，数据日益成为核心资产，大数据安全不同于关系型数据安全，一些网络安全产品在监控、分析日志文件、发现数据和評估漏洞的方面不能有效调整，无法满足大数据领域。建立出台统一由政府主导、产研联合的大数据安全标准，明确大数据安全标准化需求和市场发展导向，进一步对现有的大数据推广应用、大数据及相关产业发展明确边界细分。按照轻重缓急的方针原则，对大数据安全基础标准、实施指南及评估建立标准体系框架，同步国际大数据安全标准工作，为开展大数据安全标准的研制提供支撑。

4结论

本文通过对大数据安全风险进行研究，列举了大数据安全标准在国内外的研究现状，通过对我国的大数据标准体系进行分析，找到我国在大数据安全性研究方面的与国外的差距。通过展望下一步大数据发展规划，通过大数据安全特别工作组建议建立沟通合作机制，加快安全关键性标准的研制进程。endprint