我国大数据安全问题及对策建议研究
2019-03-18张博卿王超
张博卿 王超
摘 要:文章首先从大数据自身、大数据平台架构和软件、大数据技术应用等方面分析了当前我国大数据面临的网络安全挑战,其次分析了我国大数据相关法律法规、标准、技术、产业的发展现状,最后研究了我国大数据安全面临的问题,并从大数据安全标准、核心技术、人才培养三个方面提出对策建议。
关键词:大数据安全;个人信息保护
1 引言
随着网络深刻地融入经济社会生活,大数据安全风险伴随大数据应用而生。大数据不仅面临传统安全挑战,而且由于自身特点还面临着多重挑战,如大数据平台安全面临架构、软件的安全风险,传统安全防护措施不能满足大数据安全防护需求,大数据挖掘技术带来的安全风险等。目前,我国高度重视大数据安全法律政策建设,加快制定大数据安全相关国家标准,产业界积极投身于大数据安全发展。然而,我国大数据发展还面临一些主要问题,例如大数据安全标准有待进一步提高,大数据核心技术受制于人,大数据安全产业发展滞后等。
2 我国大数据面临的网络安全挑战
2.1大数据自身面临的安全挑战
随着大数据技术的不断发展,个人数据、工业数据等快速汇聚成常态,堆高数据泄露、数据窃取呈现出高发态势,大数据自身面临的安全风险不断加大。目前,数据泄露事件频发,个人大数据成为重灾区,一些黑客首先利用撞库等手段窃取个人数据,然后将个人数据放在暗网中兜售,个人数据窃取的黑色产业链已经逐渐形成。2018年6月,AcFun弹幕视频网发公告称,平台有800-1000万左右的用户数据被黑客窃取。随后,该网站用户数据被销售的信息在暗网中出现,共计泄露900万条用户数据。前程无忧网站195万用户的求职简历在暗网中被销售,原因是遭到撞库攻击。圆通超过10亿条快递数据在暗网上被兜售,据悉相关数据为2014年下旬采集,包括快递寄(收)件人姓名、电话、地址等信息。2018年8月,顺丰快递数据在暗网上被销售,涉及3亿条用户数据,售价2个比特币。2018年12月,网传陌陌3000万数据在暗网被售卖,以50美元的价格出售。
2.2 大数据平台安全面临架构和软件的安全风险
近年来,大数据清洗、存储、分析、挖掘相关的平台和软件漏洞频出,引发安全风险。2018年1月,Hadoop大数据平台的Yarn被发现存在信息泄露漏洞,黑客能够利用该漏洞获取平台上的应用密码。2018年2月,Cisco Spark有帐户服务的某些验证控件中存在安全漏洞,可使经身份验证的远程攻击者利用此漏洞查看受影响设备的信息。2018年5月,我国研究人员发现,一些俄罗斯黑客利用Hadoop Yarn资源管理系统的未授权访问漏洞进行了网络攻击。2018年11月,研究人员发现Apache Spark中存在安全漏洞,攻击者可通过发送特制的请求利用该漏洞在服务器上执行代码。
2.3 大数据挖掘技术带来的安全挑战
(1)传统安全防护难以满足大数据时代隐私保护的需求。传统的隐私安全保护技术以匿名化技术为主,如K匿名、L多样性等,但相关技术在大数据挖掘技术下可能失效,大数据挖掘和分析能够对匿名化数据进行重新识别,引发隐私安全担忧。例如,2019年,澳大利亚某政府部门将部分匿名化交通数据向社会开放,但由于安全风险未做到位,导致交通数据经分析和挖掘后能够重新识别,个人交通出行隐私因此被泄露,给政府部门敲响了开放数据风险的警钟。
(2)大数据挖掘技术带来数据滥用的风险,如大数据杀熟、价格歧视等。2019年3月,携程等互联网公司都被质疑利用用户的行为、喜好等数据,在同一产品上对不同用户区别定价,由此引来网友一片声讨。滴滴则被网友发现同一出发点和目的地,不同账户面对的估价不同,因此怀疑滴滴在定价方面存在大数据杀熟和价格歧视的现象,滴滴对此现象回应称估价是实时变化的。
3 我国大数据安全发展现状
3.1大数据安全法律政策加紧出台
大数据安全受到国家和部委的高度重视。中共中央政治局在2017年12月8日下午就实施国家大数据战略进行第二次集体学习。中共中央总书记习近平在主持学习时强调,“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调,加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度,维护广大人民群众利益、社会稳定、国家安全。要加强国际数据治理政策储备和治理规则研究,提出中国方案。”
大数据安全相关的法律政策加紧制定出台。一是出台地方层面大数据安全法律法规。2018年10月1日,《贵阳市大数据安全管理条例》正式实施,这是全国第一部大数据安全管理地方法规,对于保障大数据安全,促进贵阳大数据产业安全发展具有重要意义。该条例将促进贵阳市国家大数据及网络安全示范试点城市和大数据安全靶场等一系列工作顺利开展。二是出台行业层面大数据安全法律法规。医疗大数据安全方面,国家卫生健康委员会研究制定了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,在医疗大数据的保护、应用监管方面制定了一系列管理办法。
3.2 大数据安全相关国家标准加快制定
全国信息技术标准化技术委员会为推动和规范我国大数据产业的快速发展,培育大数据产业链,并与大数据安全标准化国际标准接轨。2014年12月,全国信息技术标准化技术委员会成立了大数据标准化工作组(BDWG),工作組主要负责制定和完善我国大数据领域标准体系,组织开展大数据相关技术和标准的研究,推动国际标准化活动,对口ISO/IEC JTC1 WG9大数据工作组。2016年4月,为了加快推动我国大数据安全标准化工作,全国信息安全标准化技术委员会成立大数据安全标准特别工作组,主要负责制定和完善我国大数据安全领域标准体系,组织开展大数据安全相关技术和标准研究。
我国在大数据安全标准建设方面情况如表1所示。
3.3 大数据安全技术不断发展
大數据框架层面,Hadoop开源系统中提供了身份认证、访问控制、安全审计和数据加密等功能,如基于Kerberos机制的身份认证、Posix权限和访问控制、Hadoop开源系统各组件的日志和审计功能。同时,商业化的大数据平台安全组件也在不断发展,此类组件适用于原生或二次开发的Hadoop平台,通过在原功能组件上部署安全插件对数据操作指令进行解析和拦截,进而实现身份认证、访问控制、权限管理等功能。
数据和隐私保护层面,数据发布匿名保护技术、社交网络匿名保护技术、数据水印技术和数据溯源技术等不断发展。但总体来看,当前技术仍难以满足数据保护的要求。在大数据信息庞大架构复杂的环境下,攻击者能够从多个渠道得到各类信息,数据信息发布匿名保护技术实现有较大困难。社交网络中数据信息多为图结构,攻击者一般情况下会使用点和边的一些属性,经过相应的分析与信息整合从而确定出用户的身份信息,社交网络匿名技术需要切实结合图结构的特点,才能对用户进行标识和属性的匿名保护。大数据环境下频繁发生数据的复制、传输和多源信息融合,对数据追溯技术的研发带来很大困难。
另外,多方大数据需要进行融合才能凸显出大数据挖掘和分析的价值,为了保证多方数据在融合时不被泄露,近年来多方计算技术、同态加密技术、零知识证明技术等不断发展,但距离大规模商业化应用还有一定差距。
3.4 大数据安全产业加快发展步伐
产业界积极举办参与大数据安全峰会。大数据安全引起了政产学研等社会各界的关注,信息安全类企业积极参与大数据安全峰会。2018年5月25日,中国大数据产业博览会大数据安全高峰论坛在贵阳召开,此次论坛探讨了大数据背景下的数据安全和社会治理能力现代化发展,以及推动大数据安全技术研发、数据资源保护、专业人才培养等方面研究的对策建议。2018年4月24日,国家超级计算机天津中心联合英国标准协会举办了大数据时代信息安全管理与隐私保护主题峰会,围绕着互联网安全法规与政策发布、网络信息安全、云服务下的个人隐私与数据治理、信息安全防护能力与应急管理、IT运维服务管理的标准、企业信息安全管理实施方法等方面展开了研讨。2018年7月29日,2018首届公共大数据安全技术大会在成都举办,大会以“新时代、新技术、新应用”为主题,旨在引入并借鉴国内外大数据安全领域最前沿的理论与技术成果,洞悉全球公共大数据安全最新发展趋势,聚焦探讨公共大数据技术与应用热点话题,与国际公共大数据安全创新防护理念同步,从而推动我国大数据安全保障体系建设,提升国家重点行业大数据安全防护水平。
大数据安全产业自身加快发展步伐。大数据安全技术囊括了基础设施安全、应用安全、数据安全、身份与访问管理、云安全等多个方面。阿里巴巴、启明星辰、华为、腾讯等分别在云安全、物联网终端安全和身份访问控制方面实现技术突破,同时我国网络安全企业呈现出相互合作应对大数据环境下安全服务需求的趋势。2018年3月,华为主导发起“华为安全商业联盟”,通过联合安全解决方案深度整合联盟伙伴的安全服务,解决单一厂商较难为用户提供全面完整大数据安全解决方案的问题。2018年8月,腾讯联合启明星辰、卫士通、立思辰等在内的15家上市公司,成立上市企业协作共同体,旨在搭建中国互联网安全企业的协同平台。
产业界开展大数据安全攻防演练助推健康发展。2018年大数据安全竞赛如火如荼的开展。2018年8月,由公安部和国家密码管理局指导的“网鼎杯”顺利举行,大赛吸引了超过两万名选手参赛。2018年11月,由中央网信办指导的“湖湘杯”网络安全技能大赛顺利开展,该比赛是2018中国(长沙)智能制造大会的重要组成部分,目的是发现和培养高端网络安全人才。
4 我国大数据安全面临的主要问题和对策建议
4.1 进一步完善大数据安全标准
当前,我国信息安全技术并不能满足大数据隐私保护、安全审查、交易和共享安全的要求。建议从两个方面完善大数据安全相关标准。一是为提高大数据产品和服务的安全可控水平,防范大数据应用中的各种数据安全和隐私安全风险,维护国家安全和公众利益,依据《网络安全法》和《网络安全产品和服务审查办法》,亟需加快大数据安全审查支撑性标准研制。二是数据共享缺乏安全标准、技术手段和管理能力,严重阻碍了数据共享进程,亟需建立与数据共享相关的数据安全管理办法,加快数据交易安全相关标准的制定工作。
4.2 强化大数据核心技术
我国大数据核心技术存在受制于人的问题。一方面,大数据硬件、软件、服务供应链的安全问题严重。大数据安全涉及底层芯片、基础软件到应用分析软件及服务等全产业链的安全支撑。目前,我国大数据底层的核心技术基础薄弱,处理芯片、存储设备、大数据软件等方面多受制于人。硬件方面,甲骨文公司、IBM占据中国服务器市场,搭载英特尔芯片的联想、惠普和戴尔占据我国电脑市场。软件方面,微软的Windows操作系统占据我国操作系统市场,与数据处理密切相关的基础软件更是由国外主导。服务方面,思科把持163骨干网所有的超级核心节点。另一方面,我国缺乏大数据的系统开发核心技术,缺乏对大数据技术研发的整体设计框架,Hadoop分布式数据处理技术、nosql数据库及流式数据处理技术等分别被Cloudera、IBM以及亚马逊等国外企业掌控,国内使用的数据挖掘、关联分析等大数据关键技术大多来源他国。建议加大政策扶持力度,鼓励和扶助国内电子产品厂商优先采用国产硬件,鼓励新建的重要网络和信息系统采用国产产品,建立自主可控信息技术产业生态体系。
4.3 推进大数据安全人才培养
我国大数据安全产业发展较为滞后,国内仅有少数企业专门发展大数据安全。究其原因,我国大数据安全产业研发能力不足,大数据安全人才稀缺。大数据安全属于“跨界”的前沿领域,要求人才既懂“大数据”,又懂“安全”,要求人才的知识结构具有前沿性,又要求实作能力的综合性,在客观上决定了大数据安全人才是比较缺乏的。在高校人才培养来看,网络空间安全刚刚兴起,只是作为高校信息学科的一个方向,培养人数远远不够,网络空间安全一级学科的设立也是最近几年的事情,大数据安全企业所用安全人才大都属于“半路出家”,在工作岗位上逐步成长成熟,缺乏完善的人才培养体系。建议完善人才培养机制与部门间合作机制的有效联动,增加大数据安全人才流动到政府相关部门的渠道;建立行业培训标准促进大数据安全人才的认证和人才培养的专业性;开展大数据安全大赛等方式选拔优秀大数据安全人才,同时促进大数据安全产业发展。
5 结束语
加强大数据安全建设意义重大,不仅有助于保障国家重要数据安全、护航行业和企业数据安全,还有助于保护公民个人信息和隐私安全。本文分析了我国大数据面临的网络安全挑战及现状,发现我国大数据安全标准尚需完善,大数据核心技术受制于人,大数据安全人才匮乏,建议完善大数据安全审查、数据共享安全、交易安全等方面的标准,通过扶持政策强化大数据核心技术,并给予一定的行业培训标准、人才流动和选拔手段推进大数据安全人才培养。
参考文献
[1] 冯登国,张敏,李昊.大数据安全与隐私保护[J].计算机学报, 2014,37(01):246-258.
[2] 陈左宁,王广益,胡苏太,韦海亮.大数据安全与自主可控[J].科学通报,2015,60(Z1):427-432.
[3] 方滨兴,贾焰,李爱平,江荣.大数据隐私保护技术综述[J].大数据,2016,2(01):1-18.
[4] 赵阳.大数据时代对国家安全的挑战及对策研究[D].山东师范大学,2015.
[5] 张博卿.我国大数据安全现状、问题及对策建议[J].网络空间安全,2018,9(08):45-47+80.
[6] 马卓元,杨向东.大数据基础平台安全要求研究与分析[J].网络空间安全,2018,9(05):13-15.