风险隐患多，如何保卫大数据安全

本篇文章2579字，读完约6分钟

在数字化生存的时代，那些获得数据的人赢得了世界，那些赢得安全的人赢得了未来。

大数据的潜在风险是什么？需要什么技术来“锁定”大数据？如何保护大数据的安全？在最近举行的中国国际大数据产业博览会上，大数据领域的许多权威专家和企业家畅谈数字安全和风险防控。

将近50%的数据可能会泄露

大数据中有许多隐患

任何新技术都是一把双刃剑。大数据既带来变革的机会，也带来更多风险。

2016年9月，雅虎因自身的安全漏洞被网络黑客利用，5亿雅虎用户的信息被泄露。在中国，几所高考院校的考生网站遭到攻击，导致大量考生信息泄露，引发欺诈、盗窃等各种刑事犯罪。

不久前蹂躏世界的勒索软件通过互联网端口输入病毒程序，加密重要文件并勒索它们。攻击的目标直接针对用户的数据，而这种攻击方法实际上是一种原本旨在保护数据安全的密码技术，提醒人们保护大数据安全的紧迫性。

中国科学院院长白春礼表示，目前近50%的数据可能会暴露，大数据安全给人们带来了新的挑战。

奇虎360公司副总裁石小红认为，大数据面临诸多威胁，包括系统漏洞和后门、外部攻击和秘密窃取、数据资产泄露、内部未经授权访问、非法交易等。同时，大数据收集、传输、存储和应用的整个生命周期都存在风险。

中国电子集团公司网络安全首席专家、大数据国家工程实验室副主任董桂山表示，收集涉及到如何确保收集渠道的可靠性和信息的真实性；传输，涉及如何确保数据不被窃取、劫持和篡改；要存储和共享不同来源的数据，必须解决安全共享和交换的问题，进一步解决数据所有权、操作权、使用权和应用监管的问题，以及异构数据集中存储的分级保密和可用性保证问题；应用方面，我们需要考虑如何根据不同的应用需求制定不同的敏感数据脱敏策略，为大数据应用提供统一的安全服务接口和安全可视化手段。

“作为信息社会的重要资源，大数据可能会遭到破坏和窃取，危险无处不在。”董贵山说道。

从可信计算到安全服务

核心技术不能被他人控制

中国工程院院士倪光南认为，要保证大数据的安全，不仅要突破单一的网络信息技术，还要在信息技术系统和机器生态系统的竞争中取胜。他说，中国已经是一个网络大国，但还不是一个强大的网络国家。中国信息化所需的信息基础设施、软件、硬件和服务都来自外国公司，其形成的基础设施或信息系统就像海滩上的建筑，受到攻击时其防御能力非常脆弱。

“因此，只有建立一个安全可控的信息技术系统，才能实现核心技术不受制于人，命运掌握在我们自己手中。”倪光南说。

中国工程院院士沈昌祥提出，具有主动免疫的可信计算可以解决大数据安全问题。他说人体有许多缺陷，它能健康生活的原因是因为免疫系统。大数据需要一个具有密码保护、可信边界、可信保护和管理中心的可信计算环境。只有构建这样一个安全管理系统，我们才能利用漏洞应对各种攻击，使攻击者在进入时很难进入并得到他们所不能理解的安全保护效果。

“身份验证、加密、授权和资源访问控制等传统安全措施也可以在大数据安全中发挥作用，但大数据时代需要更适合大数据应用的安全服务。”董桂山认为，加密技术是数据安全的核心关注点，包括空网络之间的身份管理和信任、围绕数据保护的大规模加密服务，以及大数据应用的用户密钥管理服务和安全监管。这是安全服务的范围。简而言之，它是网络系统、数据处理平台系统、应用系统以及数据的整个生命周期中的内生安全基因。

保护大数据安全需要全面的政策

最近，大数据协同安全技术国家工程实验室在贵州省贵阳市正式成立。实验室将致力于大数据安全核心技术的研究和产业示范，推进安全大数据共享服务和基础设施服务，建立大数据安全技术标准和产业规范，推动大数据安全产业发展。

许多专家表示，要很好地捍卫大数据安全，我们不仅需要技术，还需要全面的政策。

“从发达国家的经验来看，信息安全和信息化建设是同步发展的。在国外，数据安全投资约占信息建设总投资的9%-15%，这在中国目前还不具备。”李思辰信息安全技术集团副董事长周建议进一步加大对大数据安全的投资和支持。

“首先，我们必须进行最高层次的立法和战略规划。”中国信息安全评估中心专家委员会副主任黄殿忠表示，数据网络应纳入网络数据，明确治理和管理权的划分，落实相关法律法规，加快数据资源权和个人信息保护的立法工作。明确大数据使用中所有参与者的权利和责任。

同时，建立符合国家需求的大数据资源分级管理方法，进一步完善数据安全管理体系，实现大数据资源收集、传输、存储和利用的规范化管理黄殿忠建议研究引入大数据安全审查方法，加强重点行业和重点领域的审查评估，全面推进大数据预警检测和行业监管。

“未来，我们将进一步利用国家信息库、安全云平台等软硬件的大规模应用，实现软硬件批量自治。”黄殿忠建议，要积极构建独立可控的大数据产业链和技术研发，让自主软硬件产品有条件、有渠道进入采购市场，确保国家核心利益相关信息的高科技支撑，确保大数据又好又快发展。

延伸阅读

大数据城市网络安全指数发布

本报告的目的是评估全国各城市的网络安全建设水平。由大数据协同安全技术国家工程实验室组成的联合研究小组的研究成果，即大数据城市网络安全指数，近日发布。

为了相对全面地反映一个城市的网络安全状况，该指标从个人、企业和政府三个维度对一个城市的网络安全状况进行分析，最后将这三个维度的指标组合成一个城市的综合安全指数。研究团队对中国300多个县级以上城市的网络安全状况进行了全面的调查和分析，最终确定通过监控基于360云安全大数据的实际攻击行为来分析中国各城市的网络安全状况。

根据公布的指数，石家庄是中国网络安全综合指数最高的城市，其次是杭州、天津、广州和成都。从中心城市综合网络安全指数的区域分布来看，东部总体好于西部。

就政府或政府网站的网络安全而言，中心城市之间存在很大差异。全国政府网络安全指数最高的城市是天津，其次是宁波、广州、上海和北京。

就重要企业或企业网站的网络安全而言，中心城市之间的企业网络安全指数也大相径庭。中国企业网络安全指数最高的城市是重庆，其次是北京、天津、成都和杭州。

就个人网络安全而言，中国个人网络安全指数最高的城市是南昌，其次是石家庄、银川、拉萨和长春。北京、上海、深圳等城市的个人网络安全指数排名较低。生活在这些城市的互联网用户更容易受到安全威胁，如网络钓鱼网站、骚扰电话和在线欺诈。