大数据的安全风险及防范措施

【 摘 要 】 国家的大数据发展战略建立在数据安全的基础之上，如果无法确保数据安全，数据释放和价值激活，则无从谈起。

【 关键词 】 大数据；安全

Big Data Security Risks and Preventive Measures

Wang Ai-jun

（The Information Center of Shenhua Group Shendong Electric Power Co. Ltd. Beijing 100033）

【 Abstract 】 The country's big data development strategy based on data security， if you can not ensure data security， data release and value activation， then there is no way to talk about.

【 Keywords 】 big data；security

1 引言

目前，中国经济已经随着互联网、移动互联网和物联网的发展，谁也无法否认，我们已经切实地迎来了一个海量数据的时代。鉴于大数据产业在经济、国家安全、社会、科研等方面的巨大价值和对经济发展的适应性，各级政府和社会各界也纷纷制定相关政策推动大数据深入发展，并于2015年将大数据发展纳入了国家战略。

2 大数据的基本特征

大数据在企业和事业单位应用越来越广泛，也越来越被人所熟知，数据的价值也越来越多的被人所认识。它已经成为了一种新的经济资产，被看作是新世纪的矿产与石油，为整个社会带来了全新的创业方向、商业模式和投资机会。

大数据时代，组织和企业会更多的依靠数据分析而非经验和直觉来制定决策。充分挖掘和使用数据的价值将为组织和企业带来强大的竞争力。我们的周围也不乏有希望通过挖掘数据价值，提升组织或和企业竞争力的客户。像所有的科学技术一样，大数据也是一把双刃剑，能否合理利用成了其剑锋所向的分界点。

数据安全存在着多个层次，如规章制定、信息收集、信息传输、信息传输等环节安全。对于业务数据的安全，三分制定，七分技术，其他安全也是至关重要。

业界通常以四个“V”来概括大数据的基本特征：Volume（数据体量巨大）、Variety（数据类型繁多）、Value（价值密度低）、Velocity（处理速度快）。而恰恰是这四个特点，也决定了其安全风险。

数据安全比传统信息安全更加复杂，体现在三个方面。

（1）业务数据越来越大，包括越来越多企业数据、个人资料、客户的隐私，数据的集中存储环节存在很大数据泄露隐患。

（2）敏感数据的应用界限不明确，大数据的分析大多未考虑到个体隐私问题。

（3）大数据对数据安全依赖提升，传统的像APT、DDos等安全工具，在数据防丢失、防泄漏上存在一定的技术难度。

大数据技术，主要是针对事物之间或者人和事物之间进行关系分析，如果大数据技术只是单纯的辅助决策的作用，那并不可怕，但事实上，大数据分析技术逐渐变成了一项重要的业务决策流程，越来越多的决策结果受到大数据分析结果所影响，对于决策者来说，最艰难的事情就是让我们逻辑思考来做决定，还是有智能分析的数据做决定，现在来看，智能分析的结果往往是正确的，并且让我们对其产生依赖，试想一下，如果大数据分析手机的基础信息数据出现问题，或者分析的逻辑是不正确的，那么将会引导我们走向错误，所以，面对海量的数据，存储、管理和分析，传统的对错分析和奇偶校验可能不能满足需求。

3 大数据就是大风险

大数据之“大”实际上指的是它的种类丰富、存储量大，因此管理起来是一个具有挑战性的工作。然而，无论企业在数据的存储、应用以及环境角度来看，“管理风险”不可避免地成为了“大数据就是大风险”的潜在推力。而数据安全是使用单位的重中之重，数据安全技术直接影响国家安全。总结起来，主要体现在五个方面。

3.1 云数据

目前来看，企业对诸如云服务等新技术的应用还是面临很多的困难，因为在实际应用中可能会遇到一些无法预料的问题。另外，黑客们对于放在云端的大数据更容易获取对于他们有用的信息，因此企业对云计算的安全性要求就会更高。

3.2 网络安全

随着互联网、移动互联网和物联网的发展，IT资源产生的在线数据正在被利用，但是数据量越来越大，已有的分析利用效率越来越低，数据的维护和利用压力正在变大。所以企业对于大数据应用中，对网络的恢复、防范依赖性就越来越高。

3.3 隐私

个人隐私作为一直备受关注的社会问题，随着各式各样的数据量越来越大，通过多种关联技术的分析成熟，个人隐私问题也将愈加凸显。

3.4 消费化

随着移动办公的兴起和广泛使用，在数据收集、存储、访问、传输都必不可少的有移动设备的介入。大数据时代的兴起带动了移动设备数量的骤增，为了方便，越来越的员工使用自己的移动设备进行办公。使用方便的同时，也给企业带来了安全隐患，移动设备很容易成为黑客入侵到内网的跳板，所以，移动设备的安全性关系着企业的安全。

3.5 互相联系的供应链

企业是供应链中的一部分，而这个供应链具有复杂性、全球性、还相互关联。信息将供应链紧密地联系在一起，从数据到商业机密再到知识产权，而信息的泄露会给企业带来经济和名誉上的重大损失，因此信息安全也越来越被重视。

不难看出，围绕大数据的五个主要问题多是其安全问题。的确，信息安全是关乎企业生存命脉的一根红线，在任何时期都是不可碰触的。面对大数据的双刃剑，保护好这些敏感数据的安全及其大数据分析生成的各种战略方案、机密文档、市场报告等成果，是促使大数据助力企业发展的关键环节。

各类技术都在考虑它们的安全性，并力求从中寻求一个契合点，云计算还有大数据，也都在寻求安全和各类技术有效融合。当大数据考虑安全性的时候，一个全新的安全生态系统伴随着大数据生态系统的成熟逐渐在我们眼前清晰地展开，资本运作和创新的动力不断地驱动着安全向前迈进。

4 数据信息的“安保”直接影响数据开发

不可否认，信息化程度越高，信息安全受到拷问的程度就越大。困扰全球各国的数据安全问题，同样也在考验中国。不能实现数据信息的“安保”，数据的开发就是一场灾难，世界主要经济体对此无一不有清醒认识。

“中国的大数据和云计算产业应既是开放的，也是安全的。”我国领导人曾于2016年9月20日在纽约与美国经济、金融、智库、媒体等各界人士座谈时特别强调了这一点。可以想见，正因为80%的数据掌握在政府手中，保障数据安全才更具有了保卫“国土安全”一般的深层意味。

电子政务数据作为政府部门内部流转数据，对社会经济发展的价值是最权威和全面的，也是受到广泛认可的，电子政务数据的开放及大数据平台的形成是大势所趋，然而，电子政务数据涉及大量个人隐私和涉密信息，那么如何在开放的情况，同时很好的保护好个人和国家的安全，是所有的政府部门和数据维护部门首要考虑的问题，也是各级政府及公共服务机构推行政务大数据开放需要迫切加强建设的核心能力之一。

基于此，在数据开放过程中，出现了两种极端现象。

一方面一些政府部门和公共机构出于数据安全的顾虑，仍然对于政府数据开放共享持有观望的态度，使得政府事业单位机的正常业务应用面临着风险。

另一方面黑客技术发展，个人信息安全得不到保障，甚至威胁国家安全，拉响了数据安全开放的警钟。

其实，数据安全可以从三个方面加强管理。

首先是内容安全，规定数据的使用者，同时要对非法使用者制定惩罚措施。

其次是技术安全，技术安全从信息化的角度是可以保证的，数据要清洗、脱敏、建模、分析以及可视化之后方可进入市场。

第三是保证交易安全，确保数据来源合法真实可信，交易买方不滥用数据。

只有实现数据安全开放，才能够更深层挖掘数据潜力、数据价值。

当然，数据安全升级需要紧密结合我国最前端的网络安全技术。比如，我国著名网络安全专家曾指出，“没有数据安全，就没有大数据产业发展。”敏感数据的保密性、完整性、可用性等问题，都将构建大数据风险评估机制、应急响应机制、灾难恢复机制，为数据安全铸建防御工事。

5 探索大数据安全三路径

尽管造成大数据安全风险的因素方方面面，但确保数据安全仍有迹可循，可以从几方面探索。

5.1 数据亟待确权

目前，国家层面的数据交易法律法规和行业标准尚未推出，在政府层面尚未有专门的监管职能部门对其进行监管。这也让大数据归属问题无从谈起。现在，以贵阳大数据交易所为引领的交易中心在各地政府的支持下纷纷建立，但商业数据交易涉及数据确权、资产评估、资产定价、数据安全等问题。资产确权涉及数据归谁所有、数据上有哪些权利、交换交易的是数据何种权利；资产评估和资产定价涉及资产的价值评估；数据安全涉及如何采用技术手段对数据脱敏、采取哪些措施保障数据安全等。

如果这些问题没有明确的界定，或者法律层面没有定性，将引起数据隐私的灾难。而一旦解决数据确权立法，大数据产值将有可能呈爆发式增长。

国家可基于地方数据交易实践及标准规范，并借鉴国外先进经验，逐步探索建立国家层面数据交易的法律法规和行业标准，明确数据权属问题，推动我国大数据交易实现标准化、规范化交易。

5.2 数据专业化处理要加强

当前黑市中热卖的个人姓名、身份证、银行卡、手机号等底层数据，极大地侵犯个人隐私。数字化、智能化时代，大数据产业急需通过“清洗”技术对数据进行甄别、筛选和应用，剔除无效信息，加强隐私保护。在青岛召开的2016全球大数据应用研究论坛上，多位业内专家建议我国加快大数据清洗基地建设。数据清洗在汇聚多个维度、多个来源、多种结构的数据之后，就可以对数据进行抽取、转换和集成加载。

在这个过程中，除了更正、修复系统中的一些错误数据之外，更多的是对数据进行归并整理，并储存到新的存储介质中。据统计，数据清洗在大数据开发过程占用的时间比例高达60%以上。大数据必须经过清洗脱敏、分析、建模、可视化之后，才能进入正规的交易市场流通交易。

数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。

5.3 建立安全防护系统

安全防护系统应该是一个多维度的安全防护网，既能够立足信息安全等级保护，全过程增强信息安全保障能力，还能够构建大数据纵深防御体系，要做到整体防御、分区隔离，积极防护、内外兼防，自身防御、主动免疫，纵深防御、技管并重。系统有可信免疫、主动防护的功能，确保大数据可信、可控、可管。要采用可信免疫的计算模式，搭建安全可信的系统框架。构建可信计算环境，确保处理结果真实可信。 首先，对数据进行分级分类管理，其次，建立数据访问控制机制，实行主体按角色策略规则访问不同等级数据，确保全程处理可控。推行最小权限管理，尤其是高等级系统实行三权分离管理体制，确保数据资源可管。

6 结束语

大数据产业正在蓬勃发展之势，《大数据产业“十三五”发展规划》意味着围绕这个行业的规范正在建立。尤其是现在制定规划过程中，将大数据产业与其他行业紧密结合的方式将会有助于数据在安全的前提下进一步开放。没有数据安全，数据释放和价值激活，将无从谈起。

作者简介：

王爱军（1982-），男，汉族，陕西神木人，毕业于西安工业大学，理学学士学位，工程师，高级企业信息管理师，注册信息安全专业人员；主要研究方向和关注领域：电力企业信息化管理、网络管理、系统运维、信息安全管理。