大数据发展状况及安全问题简介

大数据的概念起源于2000年前后,伴随着互联网应用发展而诞生。当时,互联网网页爆发式增长,产生的数据量激增,为了提高用户检索信息效率,谷歌等公司开始建立索引库以提供搜索服务,成为大数据应用的起点。2012年之后,大数据技术方兴未艾,经过数年蓬勃发展,如今业界对大数据的认识已经基本趋于一致,尤其对于大数据的基本特性已达成共识。

 

当前,大数据已进入应用发展阶段,技术创新和商业模式创新推动各行业应用逐步成熟,应用创造的价值占市场规模的比重日益增大,成为新的经济增长动力。中国信息通信研究院发布的《中国大数据发展调查报告(2017)》(以下简称“报告”)数据显示, 2016年中国大数据核心产业的市场规模约为168亿元,较2015年增速达45%,伴随着国家政策激励以及大数据应用模式逐步成熟,未来几年中国大数据市场仍将保持快速增长,预计到2020年中国大数据市场规模将达到578亿元。

 

随着数据资产价值持续攀升、大数据产业规模不断壮大,大数据技术在改善社会生产生活的同时,其安全问题也逐渐显现出来。2017年1月,大数据基础软件陷入一场全球范围的大规模勒索攻击,Hadoop集群被黑客锁定为攻击对象。同时,据Shodan互联网设备搜索引擎的分析显示,因Hadoop服务器配置不当导致5120TB数据暴露在公网上,涉及近4500台HDFS服务器。同时,近年来全球数据安全事件层出不穷,如何在大数据时代处理好数据安全问题成为全球普遍关注的热点。

 

大数据分析平台安全与其承载数据的安全同生共息,在数据成为国家基础战略资源和社会基础生产要素的今天,大数据安全与国家安全的关系愈发紧密,在保障国家安全、经济运行、社会稳定等方面发挥愈加关键的作用,亟需采取有效的应对措施以抵御大数据安全风险。

大数据安全面临威胁与挑战分析

大数据技术的发展赋予了大数据安全区别于传统数据安全的特殊性。在大数据时代新形势下,数据安全、隐私安全乃至大数据平台安全等均面临新威胁与新风险,做好大数据安全保障工作面临严峻挑战。

 

大数据时代下数据安全保护需求外延扩展,数据保护面临全新挑战。首先,大数据时代,数据被众多联网设备、应用软件所采集,数据来源广泛,数据种类多样,如何保证所采集的数据真实可信以及对输入数据进行完整性校验,变得至关重要,若利用虚假数据进行分析处理,将影响结果的正确性,甚至造成重大决策失误。其次,海量多源数据在大数据平台汇聚,来自多个用户的数据可能存储在同一个数据池中,并分别被不同用户使用,要在看不见他人数据内容的前提下对数据进行加工利用,即实现数据“可用不可见”,必须强化数据隔离和访问控制,否则将引发数据泄露风险。再者,大数据技术促使数据生命周期由传统的单链条逐渐演变成为复杂多链条形态,增加了共享、交易等环节,且数据应用场景和参与角色愈加多样化,使得数据安全需求外延扩展。此外,利用大数据技术对海量数据进行挖掘分析所得结果可能包含涉及国家安全、经济运行、社会治理等敏感信息,需要对分析结果的共享和披露加强安全管理,一旦泄露,将威胁国家安全与社会稳定。

 

大数据技术应用使隐私保护和公民权益面临严重威胁。大数据场景下无所不在的数据收集技术、专业多样的数据处理技术,使用户很难确保自己的个人信息被合理收集、使用与清除,进而削弱了用户对其个人信息的自决权利。同时,大数据资源开放和共享的诉求与个人隐私保护存在天然矛盾,为追求最大化数据价值,滥用个人信息几乎是不可避免的,使个人隐私处于危险境地。此外,利用大数据技术进行深度关联分析、挖掘,可以从看似与个人信息不相关的数据中获得个人隐私,个人信息的概念就此泛化,保护难度直线上升。进一步,大数据技术可能引发自动化决策带来的“数字歧视”等社会公平性问题,例如针对特定个人施加标签以划分等级或进行价格歧视等差别化待遇,侵害公民合法权益。

 

大数据技术创新演进使传统网络安全技术面临严峻挑战。首先,大数据存储、计算和分析等关键技术的创新演进带动信息系统软硬件架构的全新变革,可能在软件、硬件、协议等多方面引入未知的漏洞隐患,而现有安全防护技术无法抵御未知漏洞带来的安全风险。其次,现有大数据平台大多基于Hadoop框架进行二次开发,缺乏有效的安全机制,其安全保障能力仍然比较薄弱。再者,传统网络环境下,网络安全边界相对清晰,而由于大数据技术采用底层复杂、开放的分布式存储和计算架构,使得大数据环境下安全边界变模糊,传统基于边界的安全防护技术不再适用。此外,大数据技术发展催生出新型高级的网络攻击手段,例如针对大数据平台的高级持续性威胁(APT)攻击和大规模分布式拒绝服务(DDoS)攻击时有发生,导致传统检测、防御技术无法有效抵御外界攻击。

大数据安全发展的对策建议

面对大数据时代严峻复杂的安全问题,亟需采取针对性的手段措施,构建大数据安全保障体系,为大数据产业健康发展保驾护航。

 

一是加强大数据安全立法,明确数据安全主体责任。推动出台电信和互联网行业数据安全保护指导意见,严格规范网络数据的收集、存储、使用和销毁等行为,落实数据生命周期各环节的安全主体责任。立足大数据技术和业务发展现状,进一步细化完善个人信息保护规定,并从严制定相关具体规定或条款,以有效应对当前大数据应用引发的个人信息安全风险。

 

二是抓住数据利用和共享合作等关键环节,加强数据安全监管执法。定期开展数据安全监督检查,督促企业加强数据安全风险评估,对发现的问题及时整改。对企业的个人信息开发利用、数据外包服务的使用、数据共享合作等行为加强安全监管,推行合同范本明确相关主体安全义务和责任。督促企业加强数据安全监测预警,提升突发事件应急处置能力。加大数据安全事件行政执法力度,依法依规对相关涉事企业违法行为进行严厉处罚。

 

三是强化技术手段建设,构建大数据安全保障技术体系。基于大数据时代形势特点,建立健全数据安全防护体系,加强数据防攻击、防泄露、防窃取等安全防护技术手段建设,强化数据安全监测、预警、控制和应急处置能力,构建大数据安全保障技术体系。鼓励企业、机构研究开发同态加密、多方安全计算等前沿数据安全保护技术,同时推动数据脱敏、数据审计、数据备份等技术手段在大数据环境下的增强应用,提升大数据环境下数据安全保护水平。

作者简介

王竹欣,毕业于北京航空航天大学电子信息工程学院,硕士,现就职于中国信息通信研究院安全研究所。主要研究方向为网络安全、数据安全。联系方式:wangzhuxin@caict.ac.cn

陈湉,毕业于北京邮电大学计算机学院,硕士,现任中国信息通信研究院安全研究所数据安全研究部副主任。主要研究方向为大数据安全、个人信息保护。联系方式:chentian@caict.ac.cn

声明:本文来自中国信息通信研究院CAICT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。