我国大数据安全现状、问题及对策建议

张博卿

（赛迪智库网络空间研究所，北京 100846）

1 引言

当前，大数据技术和应用的不断发展，使得对海量数据进行处理和分析成为可能，在数据驱动不断为人们生活带来便利的同时，数据汇聚和分析对国家和个人也带来了诸多安全隐患。本文分析我国大数据安全的现状、存在的不足，并据此提出相关政策建议。

2 我国大数据安全现状

一是大数据平台成为网络攻击的显著目标。

大数据时代，作为数据的载体，大型网站、数据中心、云计算中心等大数据平台集聚大量数据，涉及个人隐私、财务等敏感数据，更是业务健康、安全运转的关键，吸引着更多的以商业目的或国家利益为背景的黑客的注意，成为更具吸引力的目标。数据的大量聚集，使得黑客一次成功的攻击能够获得更多的数据，无形中降低了黑客的进攻成本，增加了“收益率”。例如，2015年4月，遍布全国19个省份的社保系统信息泄露事件曝光，包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息的5300余万条个人信息遭泄露。

二是大数据推高信息泄露的风险。

海量数据的不断聚集，将促进包括大量的企业运营数据、客户信息、个人的隐私和各种行为的细节记录不断积累，这些集中存储的数据无形中增加了数据泄露的风险。不法分子可借助大数据平台泄露的数据对其它平台进行“撞库”攻击。由于各企业对数据传输和存储的安全保障能力不一，一旦其中一个较为“脆弱”的数据平台发生数据泄漏，其它“坚固”的平台也将遭受鱼池之殃。

三是大数据加大网络安全防护的难度。

大数据分析技术使攻击者的攻击手段更加丰富。恶意攻击者可以通过收集上网痕迹等信息，获取潜在攻击对象的相关信息，并利用大数据分析技术，对其真实身份、性格、消费习惯、需求等个人信息进行还原，严重威胁个人的隐私和安全。利用数据挖掘、关联分析能够从普通数据中提取大量具有统计意义的信息，可能分析出企业的商业布局，甚至国家的经济走向，进而对企业或者国家发起更具有针对性和精确性的攻击。传统的防火墙、病毒查杀、入侵检测等安全防护软件不能满足当前需求，防护措施的更新升级速度也无法跟上数据量非线性增长的步伐。同时，大数据也可能成为高级病毒的载体，由于针对大数据等新技术产生的网络威胁的防御体系尚未建立，隐藏在大数据中的病毒和恶意软件难以发现。

四是大数据对保障基础设施安全和国家主权维护提出新挑战。

电信网络甚至工控系统等关键基础设施是大数据发展的基础，大数据安全同样依赖于基础设施的安全，随着经济全球化和供应链全球化的影响，关键基础设施的安全变得日益复杂，一国的基础设施可能同时服务于多个国家，信息经济的高度全球相互依赖性，挑战着原有的国家主权观念。随着数据价值的不断提高，数据资源成为国家核心战略资产和社会财富，一个国家拥有数据的规模、活性及解释运用的能力，将成为综合国力的重要组成部分，对大数据的占有和控制权成为维护国家主权和核心利益的基础。

3 我国大数据安全保障工作存在的不足

一是法律规范缺失，数据管理缺乏依据。

缺乏企业和应用程序关于搜集、存储、分析、应用数据的相关法规，电信、金融、物流等行业个人信息泄露、违规使用情况严重，移动应用多在不必要的情况下采集用户的手机通话记录、短信、地理位置等信息，危及个人财产、生命安全。

二是产业根基不牢，数据主权面临挑战。

大数据安全需要从底层芯片、基础软件到应用分析软件及服务等信息产业全产业链的支撑，我国信息技术起步较晚，大数据相关产业自主能力较差，数据采集、传输、存储、处理等方面技术与国外存在较大差距，在处理芯片、存储设备、大数据软件等方面均存在受制于人的问题，具体表现在我国核心技术产品依赖国外，重要关键基础设施和重要信息系统中大量使用国外基础软件以及核心关键设备。

据统计，我国芯片、元器件、网络设备、通用协议和标准，90%依赖进口；防火墙、加密机等10类信息安全产品，65%来自进口；操作系统、数据库、服务器、存储设备自主率仅为2.75%、4.94%、13.8%、16.2%。

三是技术实力较弱，难以应对大数据安全威胁。

首先，我国尚未掌握大数据处理核心技术。Hadoop分布式数据处理技术、NOSQL数据库及流式数据处理技术等分别被国外的Cloud era、IBM以及亚马逊等企业所掌握，国内的数据挖掘、关联分析等大数据关键技术多来自国外，缺乏对大数据技术研发的整体设计框架，与数据安全相关的产品和服务还存在缺口，难以应对大数据应用带来的伴生性安全威胁和传统安全威胁交织的复杂局面。

其次，缺乏针对大数据平台网络攻击的有效应对。2014年，“心脏出血”漏洞以其超强破坏力在网络安全业界引发了广泛担忧。据“从应对‘心脏出血’漏洞看各国攻防能力”的研究成果显示，我国在漏洞修复和危机应急反应能力方面，全球排名仅居102位，与我国的网络大国地位极不相称。

最后，我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。

四是大数据安全经费投入分散，经费使用效率不高。

各部门对于大数据安全的经费投入分散，大数据安全研究、工程项目、工作管理等经费的归口管理部门不同，彼此间的经费投入缺乏协调，难以形成合力。同时，大数据安全经费投入不足，现有的经费主要用于网络舆情监控等内容审查方面，对大数据安全技术研究、大数据安全产品研发等的支持力度不够，不能满足我国大数据安全发展的需要，影响信息安全产业化进程。

五是大数据安全专业人才供血不足。

我国大数据安全人才培养机制尚不健全，尚未形成高校、企业的联合培养机制，培训体系不健全，能够培养大数据安全相关人才的院校或者培训单位非常少，大多技术人员缺乏深入研究能力。据Gartner统计，近年来全球新增超过500万个与大数据相关的工作岗位，并催生大数据分析师、首席数据官等大数据相关职业。大数据安全发展对需要对数学、统计学、数据分析、机器学习、自然语言处理、网络安全等多方面知识综合掌握，但我国可承担分析和挖掘的复合型人才、高端数据科学家以及管理人才存在很大缺口。

4 加强大数据安全保障的对策建议

一是尽快制定相关法律法规，明确各方责权。

首先，应明确国家对本国数据资源进行保护、开发和利用的权利，明确对跨境传输数据进行管理和监控的权利。其次，明确企业、应用程序的权利和义务，包括软件采用最小特权原则，敏感数据不得出境，保护个人隐私，严格控制基于数据挖掘、关联分析等大数据技术产生的数据等。最后，切实加强对个人信息的保护，借鉴欧盟提出的“被遗忘权”等经验，为个人隐私维权提供依据。

二是强化制度建设，加强重点领域和行业关键数据的安全监管。

一方面，加快建立大数据安全开放的监管制度。制定大数据采集、传输、存储、使用和跨境流动的规则，明确安全保护技术措施。从技术研发、内部管理、用户使用等环节出发，探索建立商业秘密、专利等企业敏感数据的安全保护规则和实践。制定政府数据开放政策，探索大数据交换交易政策和规则。

另一方面，强化对重点行业和领域数据和网络安全的监管。在大型数据中心、重点行业和领域信息系统深入落实等级保护制度，开展信息安全风险评估，并部署基于主动防御理念的技术防护手段和措施。针对大数据平台及服务商的可靠性及安全性，开展信息技术产品和服务审查，引导企业加强信息技术产品供应链管理，有效降低使用国外产品和服务而可能导致的数据泄露风险。

三是加强大数据相关产品、服务管理，建立自主可控信息技术生态体系。

针对关键领域和部门出台强制性的标准和规定，加大对微软、谷歌、腾讯、阿里等掌握大量数据的国内外企业的监管力度，明确相关数据的使用权限和要求，防范有意、无意的数据泄露。同时，借鉴美国等发达国家在网络安全审查方面的经验，在我国即将推行的网络安全审查制度中，建立大数据技术、产品及服务的安全检测与审查制度。进一步的，明确国产化替代时间表和路线图，加大政策扶持力度，鼓励和扶助国内电子产品厂商优先采用国产硬件，要求新建的重要网络和信息系统采用国产产品，推动关键信息技术和产品的国产化替代，建立自主可控信息技术产业生态体系。

四是加速发展大数据相关技术，建立网络安全纵深防御体系。

一方面，加大对大数据安全保障关键技术研发的资金投入，推动基于大数据的安全技术研发，研究基于大数据的网络攻击追踪方法。

另一方面，针对国家敏感、重要大数据防护目标，构建具有反制能力的网络安全积极防御体系，发展平战结合、军民结合、攻防兼备的网络空间力量，建设国家网络空间战略预警和积极防御平台，精确预警、准确溯源、有效反制，提升对国家级、有组织网络攻击威胁的发现能力。

5 结束语

本文通过分析了我国大数据安全的现状，从法律规范、技术实力和人才培养等方面给出了我国大数据安全方面存在的问题，最后提出了相应的对策建议，分别是尽快制定相关法律法规，明确各方责权；强化制度建设，加强重点领域和行业关键数据的安全监管；加强大数据相关产品、服务管理，建立自主可控信息技术生态体系；加速发展大数据相关技术，建立网络安全纵深防御体系。