2018—2019年中国网络安全发展蓝皮书
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第六章 大数据安全

随着网络深刻融入经济社会生活,大数据安全风险伴随大数据运用而生,大数据不仅面临传统安全挑战,而且由于自身特点面临多重挑战,如大数据平台安全面临架构、软件的安全风险,传统安全防护措施不能满足大数据安全防护需求,大数据挖掘技术带来的安全风险等。加强大数据安全建设意义重大,不仅有助于保障国家重要数据安全、护航行业和企业数据安全,还有助于保护公民个人信息和隐私安全。我国高度重视大数据安全法律法规建设,加快制定大数据安全相关国家标准,产业界积极投身于大数据安全发展。然而,我国大数据还面临一些主要问题,如我国大数据安全标准有待进一步加强,大数据核心技术受制于人,大数据安全产业发展滞后等。

第一节 概述

一、相关概念

大数据安全包括多层面,大数据平台和技术安全、大数据本身安全、大数据服务安全、大数据行业应用安全等。其中,大数据平台和技术安全涵盖大数据基础平台安全、大数据基础平台安全运维、大数据安全相关技术;大数据本身安全涵盖重要数据安全、数据跨境安全、个人信息安全;大数据服务安全涵盖大数据服务安全能力、大数据交易服务安全;大数据行业应用安全涵盖政务大数据安全、健康医疗大数据安全及其他行业大数据安全。

国内对大数据的相关定义。《促进大数据发展行动纲要》(国发〔2015〕50号)提出,大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。《大数据产业发展规划(2016—2020年)》(工信部规〔2016〕412号)提出,大数据产业指以数据生产、采集、存储、加工、分析、服务为主的相关经济活动,包括数据资源建设、大数据软硬件产品的开发、销售和租赁活动,以及相关信息技术服务。

国际对大数据的相关定义。大数据是一个宽泛的概念,业界对大数据的定义见仁见智。2012年达沃斯世界经济论坛发表的《大数据,大影响》报告认为,数据成为一种新型的经济资产,大数据将像土地、石油和资本一样,成为经济运行中的稀缺战略资源。美国白宫的“大数据开发计划”中认为大数据开发是“从庞大而复杂的数字数据中发掘知识及现象背后本质的过程”。亚马逊公司认为大数据是“任何超过了一台计算机处理能力的数据量”。研究机构Gartner 认为大数据是“需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产”;维基百科将大数据定义为那些“无法在一定时间内使用常规数据库管理工具对其内容进行抓取、管理和处理的数据集”;Apache 公司认为大数据是指“为更新网络搜索索引需要同时进行批量处理或分析的大量数据集”。麦肯锡认为大数据是“大小超出了典型数据库软件工具获取、存储、管理和分析能力的数据集”;野村综合研究所认为广义的大数据“是一个综合性概念,它包括难以进行管理的数据,对这些数据进行存储、处理、分析的技术,以及能够通过分析这些数据获得实用意义和观点的人才和组织”。

二、大数据面临的网络安全挑战

(一)大数据自身面临的安全挑战

随着大数据技术的不断发展,个人数据、工业数据等快速汇聚成为常态,数据泄露、数据窃取呈现出高发态势,大数据自身面临的安全风险不断加大。数据泄露频发,个人大数据成为重灾区,一些黑客首先利用撞库等手段窃取个人数据,然后将个人数据放在暗网中兜售,黑色产业链已经逐渐形成。6月,AcFun弹幕视频网发公告称,平台有800万~1000万左右的用户数据被黑客窃取。随后,该网站用户数据被销售的信息在暗网中出现,共计泄露900万条用户数据;前程无忧网站195万用户的求职简历在暗网中被销售,原因是遭到撞库攻击;圆通超过10亿条快递数据在暗网上被兜售,据悉,相关数据为2014年下旬采集,包括快递寄(收)件人姓名、电话、地址等信息。8月,顺丰快递数据在网上被销售,涉及3亿条用户数据,售价2个比特币。12月,网传陌陌3000万数据在暗网被售卖,以50美元的价格出售。

(二)大数据平台安全面临架构、软件的安全风险

大数据清洗、存储、分析、挖掘相关的平台和软件近年来漏洞频出,引发安全风险。1月,Hadoop大数据平台的YARN被发现存在信息泄露漏洞,黑客能够利用该漏洞获取平台上的应用密码。2月,Cisco Spark账户服务的某些验证控件中存在安全漏洞,可使经身份验证的远程攻击者利用此漏洞查看受影响设备的信息。5月,我国研究人员发现,一些俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行网络攻击。11月,研究人员发现Apache Spark存在安全漏洞,攻击者可通过发送特制的请求,利用该漏洞在服务器上执行代码。

(三)大数据挖掘技术带来的安全挑战

一是传统安全防护难以满足大数据时代隐私保护需求。传统隐私安全保护技术以匿名化技术为主,如K匿名、L多样性等,但相关技术在大数据挖掘技术下可能失效,大数据挖掘和分析能够对匿名化数据进行重新识别,引发隐私安全担忧。例如,2018年8月,澳大利亚某政府部门将部分匿名化交通数据向社会开放,但由于安全风险未做到位,导致交通数据经分析和挖掘后能够重新识别,个人交通出行隐私因此被泄露,给政府部门敲响了开放数据风险的警钟。

二是大数据挖掘技术带来数据滥用风险,如大数据杀熟、价格歧视等。3月,携程等互联网公司被质疑利用用户的行为、喜好等数据,在同一产品上对不同用户区别定价,由此引来网友一片声讨;滴滴则被网友发现同一出发点和目的地,不同账户面对的估价不同的现象,因此怀疑滴滴在定价方面存在大数据杀熟和价格歧视,滴滴对此回应称估价是实时变化的,因此出现该现象。

三、加强大数据安全建设的重要性

(一)保障国家重要数据安全

国家的能源、金融、通信、交通等重要领域的关键信息基础设施都依赖信息网络,各领域国家重要数据的汇集,无疑形成一个国家最为宝贵的数据资源,在数据挖掘等分析工具下,这些重要数据能够分析出一个国家政治、经济、科技、文化等多方面的信息。因此,应提高大数据安全技术能力,加强大数据安全管理,加强大数据平台安全建设,提升国家网络安全态势感知预警能力,保障关键信息基础设施中流动的海量数据免受网络攻击,防止国家重要数据资源被非法窃取、非法利用,保障国家安全。

(二)护航行业和企业数据安全

各个行业和企业在利用大数据获得信息价值的同时,大数据安全风险也不断累积。一方面,加强企业提高大数据安全技术能力建设,加强大数据安全管理,防止大数据平台和各类应用服务系统被入侵,防止大数据在信息系统上传、下载、交换的过程中被攻击,保障数据安全,减少大数据安全影响行业和企业的品牌信誉、研发、销售、服务等。另一方面,能够支撑行业大数据在行业之间或组织之间的安全交换与共享,并能指导电子政务、电子商务、健康医疗等行业大数据安全建设和运营。

(三)保护公民个人信息和隐私安全

大数据的汇集加大了个人信息和隐私数据信息泄露的风险。电子邮件、微信、微博、购物网站、论坛等已进入人们生活,成为人们日常使用的平台。而这些平台中的数据涉及大量的个人信息和隐私数据,通过关联分析和数据挖掘,可分析出公民个人身份、账户、位置、轨迹等敏感或隐私信息,这些数据的非法采集和利用,侵犯公民的个人信息和隐私。提高大数据安全技术能力建设和加强大数据安全管理,注重个人数据收集、传输、存储、处理、共享,有利于保护公民个人信息和隐私安全。

第二节 发展现状

一、大数据安全法律政策加紧出台

大数据安全受到国家和部委的高度重视。中共中央政治局2017年12月8日下午就实施国家大数据战略进行第二次集体学习。中共中央总书记习近平在主持学习时强调,“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调,加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度,维护广大人民群众利益、社会稳定、国家安全。要加强国际数据治理政策储备和治理规则研究,提出中国方案。”《习近平:实施国家大数据战略加快建设数字中国》,http://www.xinhuanet.com/politics/leaders/2017-12/09/c_1122084706.htm。

大数据安全相关的法律政策加紧制定出台。一是出台地方层面大数据安全法律法规。2018年10月1日,《贵阳市大数据安全管理条例》正式实施,这是全国第一部大数据安全管理地方法规,对于保障大数据安全,促进贵阳大数据产业安全发展具有重要意义。该条例将促进贵阳市国家大数据及网络安全示范试点城市和大数据安全靶场等一系列工作顺利开展。二是出台行业层面大数据安全法律法规。医疗大数据安全方面,国家卫生健康委员会研究制定了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,在医疗大数据的保护、医疗大数据应用监管方面制定了一系列管理办法。

二、大数据安全相关国家标准加快制定

全国信息技术标准化技术委员会为推动和规范我国大数据产业的快速发展,培育大数据产业链,并与大数据安全标准化国际标准接轨。2014年12月,全国信息技术标准化技术委员会成立了大数据标准化工作组(BDWG),工作组主要负责制定和完善我国大数据领域标准体系,组织开展大数据相关技术和标准的研究,推动国际标准化活动,对口ISO/IEC JTC1 WG9大数据工作组。2016年4月,为了加快推动我国大数据安全标准化工作,全国信息安全标准化技术委员会成立大数据安全标准特别工作组,主要负责制定和完善我国大数据安全领域标准体系,组织开展大数据安全相关技术和标准研究。

截至2018年12月,我国在大数据安全标准建设方面情况如表6-1所示。

表6-1 大数据安全标准

续表

资料来源:赛迪智库网络安全研究所。

三、大数据安全技术不断发展

大数据框架层面,Hadoop开源系统中提供了身份认证、访问控制、安全审计和数据加密等功能,如基于Kerberos机制的身份认证、POSIX权限和访问控制、Hadoop开源系统各组件的日志和审计功能。同时,商业化的大数据平台安全组件也不断发展,此类组件适用于原生或二次开发的Hadoop平台,通过在原功能组件上部署安全插件对数据操作指令进行解析和拦截,进而实现身份认证、访问控制、权限管理等功能。

数据和隐私保护层面,数据发布匿名保护技术、社交网络匿名保护技术、数据水印技术和数据溯源技术等不断发展。但总体来看,现有技术仍难以满足数据保护的要求。主要体现在下列几个方面。在大数据信息庞大架构复杂的环境下,攻击者能够从多个渠道得到各类信息,数据信息发布匿名保护技术的实现有较大困难;社交网络中数据信息多为图结构,攻击者一般情况下会使用点和边的一些属性,经过相应的分析与信息整合从而确定用户的身份信息,社交网络匿名技术需要切实结合图结构的特点,才能对用户进行标识和属性的匿名保护;大数据环境下频繁发生数据的复制、传输和多源信息融合,对数据追溯技术的研发带来很大困难。另外,多方大数据需要进行融合才能凸显出大数据挖掘和分析的价值,为了保证多方数据在融合时不被泄露,近年来多方计算技术、同态加密技术、零知识证明技术等不断发展,但距离大规模商业化应用还有一定差距。

四、大数据安全产业加快发展步伐

产业界积极举办参与大数据安全峰会。大数据安全引起了政产学研等社会各界的关注,信息安全类企业积极参与大数据安全峰会。2018年5月25日,2018年中国大数据产业博览会大数据安全高峰论坛在贵阳召开,此次论坛探讨了大数据背景下的数据安全和社会治理能力现代化发展,以及推动大数据安全技术研发、数据资源保护、专业人才培养等方面研究的对策建议。2018年4月24日,国家超级计算机天津中心联合英国标准协会举办了大数据时代信息安全管理与隐私保护主题峰会,围绕互联网安全法规与政策发布、网络信息安全、云服务下的个人隐私与数据治理、信息安全防护能力与应急管理、IT运维服务管理的标准、企业信息安全管理实施方法等展开了研讨。2018年7月29日,2018首届公共大数据安全技术大会在成都举办,大会以“新时代,新技术,新应用”为主题,旨在引入并借鉴国内外大数据安全领域最前沿的理论与技术成果、洞悉全球公共大数据安全最新发展趋势、聚焦探讨公共大数据技术与应用热点话题,与国际公共大数据安全创新防护理念同步,从而推动我国大数据安全保障体系建设,提升国家重点行业大数据安全防护水平。

大数据安全产业自身加快发展步伐。大数据安全技术囊括了基础设施安全、应用安全、数据安全、身份与访问管理、云安全等多个方面。阿里巴巴、启明星辰、华为、腾讯等分别在云安全、物联网终端安全和身份访问控制实现技术突破,同时我国网络安全企业呈现出相互合作应对大数据环境下安全服务需求的趋势,2018年3月,华为主导发起“华为安全商业联盟”,通过联合安全解决方案深度整合联盟伙伴的安全服务,解决单一厂商较难为用户提供全面完整大数据安全解决方案的问题。2018年8月,腾讯联合启明星辰、卫士通、立思辰等在内的15家上市公司,成立上市企业协作共同体,旨在搭建中国互联网安全企业的协同平台。

产业界开展大数据安全攻防演练助推健康发展。2018年,大数据安全竞赛如火如荼地开展。2018年8月,由公安部和国家密码管理局指导的“网鼎杯”大赛顺利举行,大赛吸引了超过两万名选手参赛。2018年11月,由中央网信办指导的“湖湘杯”网络安全技能大赛顺利开展,该比赛是2018中国(长沙)智能制造大会的重要组成部分,目的是发现和培养高端网络安全人才。

第三节 面临的主要问题

一、大数据安全标准有待进一步加强

一是我国信息安全技术并不能满足大数据应用的安全需求,需要加强大数据安全核心技术标准研究。

二是为提高大数据产品和服务的安全可控水平,防范大数据应用中的各种数据安全和隐私安全风险,维护国家安全和公众利益,依据《网络安全法》和《网络安全产品和服务审查办法》,急需加快大数据安全审查支撑性标准研制。

三是数据共享缺乏安全标准、技术手段和管理能力,严重阻碍了数据共享进程,急需建立与数据共享相关的数据安全管理办法,加快数据交易安全相关标准的制定工作。

二、大数据核心技术受制于人

一方面,大数据硬件、软件、服务供应链的安全问题严重。大数据安全涉及从底层芯片、基础软件到应用分析软件及服务等全产业链的安全支撑。我国大数据底层的核心技术基础薄弱,处理芯片、存储设备、大数据软件等方面多受制于人。硬件方面,甲骨文公司、IBM占据中国服务器市场,搭载英特尔芯片的联想、惠普和戴尔占据我国电脑市场。软件方面,微软的Windows操作系统占据我国操作系统市场,与数据处理密切相关的基础软件更是由国外主导。服务方面,思科把持163骨干网所有的超级核心节点。

另一方面,我国缺乏大数据的系统开发核心技术。我国缺乏对大数据技术研发的整体设计框架,Hadoop分布式数据处理技术、nosql数据库及流式数据处理技术等分别被Cloudera、IBM及亚马逊等国外企业掌控,国内使用的数据挖掘、关联分析等大数据关键技术大多来源于他国。

三、大数据安全产业人才匮乏

我国大数据安全产业发展较为滞后,国内仅有瀚思等少数企业专门发展大数据安全。究其原因,我国大数据安全产业研发能力不足,大数据安全人才稀缺。大数据安全属于“跨界”的前沿领域,要求人才既懂“大数据”,又懂“安全”,要求人才的知识结构具有前沿性,要求有实作能力的综合性,在客观上决定了大数据安全人才是比较缺乏的。从高校人才培养来看,网络空间安全刚刚兴起,只是作为高校信息学科的一个方向,培养人数远远不够,网络空间安全一级学科的设立也是最近几年才开始,大数据安全企业所用的安全人才大都属于“半路出家”,在工作岗位上逐步成长成熟,缺乏完善的人才培养体系。