新疆大數據產業發展的安全保障體系研究

楊 娟，趙 娜 YANG Juan,ZHAO Na

（1.新疆新投中智物流產業研究院股份有限公司，新疆 烏魯木齊 830001；2.西南交通大學 經濟管理學院，四川 成都610031）

1 大數據產業及信息安全發展狀況

2016年10月新疆維吾爾自治區人民政府辦公廳印發了《關于運用大數據加強對市場主體服務和監管實施方案》 （以下簡稱“《實施方案》”），《實施方案》中指出，如今新疆的大數據時代已經來臨，新疆也正在積極建設大數據產業，大數據正逐步體現其應用價值。最重要的是能為新疆大數據產業創造巨大社會和經濟價值。同樣隨著互聯網+的發展，大數據也快速的滲透到了各類互聯網產業當中，尤其是各種互聯網金融平臺，以及以信息數據為依托的各類生活軟件和業務當中。這種高強度的輻射范圍使得大數據安全保障存在的隱患可能造成的負面影響范圍也有所提高。電信部門對客戶信息的泄露事件似乎已經屢見不鮮，而12306作為國家的官方網站出現的用戶信息泄露的問題進一步警示人們應當在大數據時代背景下的加快建設信息安全保障體系。

在大數據發展較早的國家，早就經歷了安全隱患大量爆發的問題，對數據安全的重要性認識以及相應的數據安全保障措施和體系的建設上更加成熟和規范，本文就國際上大數據發展成熟地區和國家在法律規定、國家政策以及安全技術和數據安全水平方面展開論述。

（1）國內法以及國際法對數據安全的保護

美國2014年頒布了《國家網絡安全保護法案》，并積極推動出臺《網絡安全信息共享法案》，這些法律規范推出的目的在于敦促私企與政府分享網絡安全信息，這是由于在互聯網信息飛速發展的時代，人們生活中大量的活動都涉及到用戶信息的獲取，政府通過私企對市民的數據信息進行搜集，更加快速有效。歐盟通過新版《數據保護法》，強調本地存儲和禁止跨國分享，以避免跨國信息的分享導致國家或者商業秘密的流失，這一措施顯然是必要的，是符合國家利益的。俄羅斯2015年起實行新法規定，互聯網企業需將收集的俄羅斯公民信息存儲在俄羅斯國內。

（2）推行和實施與國家整體政策相配合的安全策略

各個國家都同樣重視大數據時代各類信息安全的保障問題，但是由于各個國家之間的政體以及具體國情的不同，在將數據安全作為國家戰略的重要組成部分的同時，既要重點突出數據安全與其他傳統安全保障不同之處，還要必須與國家政策的其他部分相輔相成，互相配合。日本2013年《創建最尖端IT戰略》中明確指出了開放公共數據和大數據保護的國家戰略；印度2014年國家電信安全政策指導意見草案對移動數據保護作出規定。法國“未來投資計劃”有力推動云計算數據安全保護政策落實；英國“Data。Gov。uk”項目實測開放政府數據保護政策的應用效果。

（3）大數據時代信息安全的保障需要從多重安全環節著手和深入

在大數據時代，人們逐漸認識到數據信息的快速流通不僅給人們帶來了無可比擬的質的飛躍，同時傳統的信息安全管理技術早已無法對大數據時代的數據信息進行有效、真實的采集，甚至在信息的管理上更加薄弱，數據信息的存儲更容易被攻擊和泄露，信息的發布甚至會被篡改，因此大數據時代信息安全的保障需要從多個關鍵環節進行，采集、存儲、挖掘和發布等關鍵環節，已具備傳輸安全和SSL/VPN技術、數字加密、數據恢復技術及基于生物特征等的身份認證和強制訪問控制技術、基于日志的安全審計和數字水印等溯源技術等保護數據安全的通用技術手段。此外，數據防泄漏 (DLP)技術、云平臺數據安全等數據安全防護專用技術的研發與應用正不斷提速。

（4）數據信息安全技術強化是重中之重，認證標準不斷更新

在大數據時代，地區與地區之間的界限逐漸趨于無形狀態，國家內部建立了國家統一的數據安全標準，同時為了適應數據傳播速度快、傳播范圍廣的特征，大部分國家與國家標準組織對數據安全信息進行了接軌，在信息數據安全上提出了相關的認證標準，并且根據數據技術的不斷提高，進行相應的更新。美國國家標準與技術研究院（NIST）發布了用戶身份識別指南；ISO/IEC制定了公共云計算服務的數據保護控制措施實用規則。美國TRUSTe隱私認證得到全球很多國家消費者認可和信賴；歐盟委員會開展數據跨境流動安全評估，成為評判數據能否轉移的重要依據。

2 新疆大數據產業信息安全面臨的主要挑戰

（1）傳統的數據存儲硬件設施存在缺陷，存在數據丟失隱患

數據信息雖然無形，但必須存儲在各類計算機終端以及專業的數據中心中，這些作為儲存作用的硬件設施是數據信息受到攻擊和信息泄露的重災區，因此對數據信息的存儲設備進行安全保障是重要的工作內容。新疆大數據產業的安全面臨各種挑戰，首先是數據存儲終端設備。近年來針對IDC的攻擊日趨增加，2014年12月阿里云稱遭遇全球最大規模DDoS攻擊，2015年初一家亞洲網絡運營商的數據中心遭遇334Gbps的垃圾數據流攻擊。同時，以侵犯數據安全的各類惡意應用、病毒等日益增多，對用戶隱私和財產安全構成極大隱患。

（2）來自網絡的數據信息安全威脅不斷變化，促使大數據時代安全技術創新

在網絡時代的今天，數據信息的傳播有賴于無形的橋梁——互聯網，數據信息日新月異，為了獲取各類數據信息的網絡威脅也隨之發展，甚至在技術革新的數據時代，各類數據網絡威脅的數據復雜性和隱蔽性更高，造成的危險影響更加惡劣。2014年作為數據技術企業的索尼公司遭遇ATP攻擊，大量員工信息及影視拷貝遭泄露。新型網絡威脅的層出不窮倒逼網絡數據保護技術創新突破。

（3）信息數據的價值性高，引發了一系列非法數據攻擊活動

信息數據便捷性使得盜取信息數據的成本更低，同時高價值的數據信息會使得大量的不法分子為了獲取非法利益，對用戶的信息數據進行盜竊甚至篡改，將用戶信息進行盜竊、篡改、販賣或者利用不正當的各種行為破壞用戶信息，以至于當前對數據信息的盜竊行為和活動規模日益擴大，低成本高利益的信息數據的誘惑，促生了信息黑客的產業鏈，雖然國家工信部針對這類問題進行了嚴厲的打擊，但是由于網絡信息時代的行為模式和渠道不同，具有很強大的復雜性和隱蔽性，使得信息數據盜竊和攻擊的行為難以得到徹底有效的控制，仍面臨嚴峻的考驗。

（4）數據跨地區流動成為監管難的重災區

數據信息的流動性是其適應和推動當前緊急快速發展的大數據時代的關鍵特征，同時也因此創造了大量的就業機會，推動了信息技術的進步，創造了更多的社會福利。但同時數據信息的擴張性也使得這些數據信息的來源者受到了主權、產權以及隱私權上的威脅，跨地區的數據流通和流失不僅僅能使商業秘密的盜竊造成經濟財產上的損失，甚至會成為國家信息泄露造成的重大的國際安全威脅，而這種數據跨地區流動仍然是監管難的重災區，缺少全面的監管和規范。

（5）數據資源需求強烈，開放共享與安全保護矛盾凸顯

數據資源的要求越來越多，大數據時代人們不能進行數據的利用和分享就會導致生活的不通暢。智能移動終端的不斷完善使得這種需求更加的強烈，城市化的進行和不斷發展也需要數據的共享，同時人們的財產安全甚至是生命安全都受到數據資源的影響，商業進程的不斷完善，定位信息系統的發展等都是在進行信息數據的共享，用戶的行為就是在共享數據，多方面對數據共享的要求，使得數據資源的保護面臨嚴峻的困難，國家數據資源的開放共享與安全保護已成為長期存在矛盾的難題。

總而言之，正如國務院2015年8月印發的《促進大數據發展行動綱要》中指出，我國在大數據發展和應用方面已具備一定基礎，擁有市場優勢和發展潛力，但也存在政府數據開放共享不足、缺乏頂層設計和統籌規劃、法律法規建設滯后、創新應用領域不廣、安全基礎薄弱等問題。具體到大數據安全問題而言，大數據和網絡密不可分，網絡上的任何攻擊動作都可能對其造成影響。

3 大數據安全保障體系框架

針對上述問題的描述，為保障大數據應用“可管、可控、可信”，我們從大數據保密性、完整性、可用性等角度出發，構建了較為完善的大數據應用安全保障體系，如圖1所示。新疆大數據安全保障體系共包含了三個大部分，分別是跟蹤測評、服務支撐以及主體部分，其中主體部分又考慮了策略、組織、運營、技術、應用、基礎設施六個方面。

圖1 大數據安全保障體系框架圖

從總體的策略上來說，要將國家和新疆地方制定的大數據安全政策貫徹到底，再在政策有效指導的基礎上，形成總體的策略，為大數據安全的其它方面的開展做好保障，制定更為完善的安全標準，做到新疆大數據安全的保障方面有組織、有計劃、求開放、講策略，從整體上和上層建筑上做好完善的規劃和設計。除此之外，就是要建立起行之有效的監管和防控體制，在大數據安全保障的相關機構和角色設立上需有科學的規劃，在聽取各方專業意見的基礎上，形成能夠有效指導的相關文件和意見，推動新疆地區大數據的安全、開放和共享，使新疆地區大數據產業在相關的管理制度、運營過程的安全性、技術的實時防護等方面可以滿足發展要求。此外，在發展新疆地區的大數據產業的同時，在行業發展的初期還要建立起行業標準，發布數據開放政策。

從組織的構建上來說，組織的安全是新疆地區大數據安全的重要保障，大數據安全的人才儲備、崗位的設計、人才的宣傳培訓、崗位建設、資金的保障、數據的分級管理、信息的治理等方面密切相關。首先要建立起新疆大數據產業人才儲備計劃，整合各關鍵部門、單位的大數據安全協同組織，并在充分協調的基礎上進行明確的分工，然后對人才進行進一步的宣傳和培訓，針對不同的人才進行不同的專業設計，不同的數據安全環節分配人才。通過相互配合，從人力角度抓重點、抓關鍵地解決整個網絡信息鏈條上的安全問題，在執行和監督上下力氣，確保新疆大數據安全要求標準合格，才能真正推動新疆大數據安全能力的提高和建設完善。

運營，主要從數據的生命周期進行分析，安全隱患可能存在于大數據生命過程中的各個環節中。大數據安全運行保障有兩種，一種是對生命周期安全的保障，另外一種是對安全運行能力的保障。大數據生命周期是一個過程，是將大數據的初始數據首先轉化為可用于行動的知識，然后進行知識應用，最后將知識自然遺忘或將知識主動遺忘的一種過程。大數據生命周期安全的保障是要保障大數據生命周期各環節的安全，這些環節包括數據的采集、傳輸、存儲、使用、共享與銷毀等。每個階段的安全措施如圖2所示。

圖2 數據生命周期安全運營

技術，其實是包括數據層、應用層、系統層這三個層面的安全。

數據層的安全主要是解決數據生命周期各個階段所面臨的各種安全問題，采用的關鍵安全防護技術包含了數據加密技術、安全數據融合技術、數據脫敏技術、數據溯源技術等。

應用層的安全則主要是負責大數據業務應用的安全問題，采用的關鍵安全防護技術包括身份訪問與控制、業務邏輯安全、服務管理安全、不良信息管控等。

系統層的安全防護是為了解決系統面臨的安全問題，采用的關鍵技術都有大數據安全態勢的感知、實時的安全檢測、安全事件的管理、系統邊界的防御、高級持續性威脅（APT）攻擊防御等關鍵技術。

應用，該部分主要是從數據提供者到數據應用者再到數據消費者的過程中可能出現的安全問題進行防范及解決，主要進行預防及處置的是從數據的提供者到應用者再到消費者的周期中可能出現的安全隱患。以處置大數據系統中數據提供者、數據消費者、大數據應用提供者、大數據框架提供者、系統協調者等主體之間接口面臨的安全問題為主要任務，采用的關鍵技術包括對數據提供者—大數據應用提供者之間的接口安全控制技術、大數據應用提供者—數據消費者之間的接口安全控制技術、大數據應用提供者—大數據框架提供者的接口安全控制技術、大數據框架提供者內部以及系統控制器的安全控制技術等。

基礎設施保障，是大數據安全使用的基礎保障，包含了大數據的物理環境、網絡、云基礎設施、計算設施、存儲設施的安全保障。

服務支撐，大數據安全管理過程保障是以大數據的安全保障對象為中心和基本點，貫穿大數據安全管理的整個過程，以PDCA循環方法為手段來保障大數據能夠安全、可持續的一種能力，這種能力對于整個大數據安全管理的周期都至關重要，對于大數據安全風險的管控是一種行之有效的方法。大數據安全保障的整個過程可大致劃分為總體規劃、設計構思、具體實施、識別風險與改進等階段。在規劃階段，主要的任務是分析和尋找大數據運營中潛在的風險或者安全隱患，對大數據安全進行整體性、方向性和條理性的規劃與布局，并在此階段提出大數據安全管理的整體目標以及具體維護的關鍵領域。在設計階段，主要制定為實現目標計劃、維護關鍵領域安全而采取的安全策略和措施，對大數據管理協調部門的分工進行統籌、對主要的參與者和計劃的實施者也應當予以確認。在實施階段，主要采取安全防護手段和技術維護手段，在此階段應當建立起包括安全保障能力、維持正常運行的能力、技術防護能力、服務支撐能力、針對網絡攻擊的預防和監測能力在內的全方位能力系統。在識別階段，主要就是在后期對于新疆大數據安全狀況的維護進行監督，并對于當前的大數據安全風險進行及時的識別。改進階段主要是針對整個大數據安保系統進行全面的提升，以增強大數據安全保障的整體能力。

4 大數據安全保障評價指標體系

建立全面的大數據安全保障評價指標體系，力求全面評價大數據安全戰略保障是否完備、管理手段是否高效、業務運營流程是否成熟可靠，通過該體系使得決策人員能夠尋找到正確的解決方法，不斷改進后臺的監管與保護措施，確保能夠長期、穩定地維護大數據的安全。與此同時，大數據安全評價指標體系是通過對大數據進行整體性與各級別綜合評價和分析得出的。

大數據安全保障評價指標體系共有3個層級。其中一級指標和二級指標構成的指標體系框架如圖3所示，一共包含3項一級指標13項二級指標，二級指標下可以根據新疆大數據產業發展的具體情況設計三級指標，三級指標相對靈活，用來細化評估內容，可以對它進行適當的擴展或者刪減。大數據安全保障評價指標體系的一級指標中的建設情況指標用于評價保障措施，運行能力指標用于評價保障能力，安全態勢指標用于評價保障效果。大數據安全保障評價指標體系的二級指標依據大數據安全保障對象和內容，對一級指標進行分析和分解后設計：建設情況指標下設6項二級指標，包含了保障體系中橫向的策略、組織、運營、技術、應用、基礎設施6個部分內容，運行能力指標下設5項二級指標，包含了大數據安全防護能力指標、大數據安全檢測能力指標、大數據安全應急響應能力指標、大數據安全災備恢復能力指標、大數據安全信息對抗能力指標；安全態勢指標下設3項二級指標，包含了大數據網絡及信息系統安全指標、大數據生命周期運營安全指標、個人信息保護指標三個部分。

圖3 大數據安全保障評價體系

5 建議

隨著新疆大數據時代的來臨，人們逐漸認識到數據安全的重要性，國家也出臺了相應的措施進行保護，《加強網絡信息保護的決定》、《電信和互聯網用戶個人信息保護規定》等法律法規體現了國家對該問題的高度重視，國家和行業以及企業和個人都對該問題提高了重視，這使得網絡數據安全保障體系的建設速度大大加快，取得較好的成果，保護個人的信息安全，同時推動網絡信息時代的進步，智能終端的建設以及人們生活水平的提高。但必須承認，當前我國在數據安全的保障上還缺乏有效的手段和實踐的辦法，很多單位在數據安全的防護上缺少針對性的法律文件的軟件支持，在各類網絡安全的硬件設施上，同樣具有系統上的缺陷。

一是加快數據安全保護立法進程。推進數據安全立法，明確數據保護的對象、范疇和違法責任等，出臺關于數據開放共享和跨境流動監管的法律法規。除此之外，加大現存相關法律的調整范圍，將互聯網、云計算時代下的數據保護納入法律范圍。

二是制定國家數據安全保護戰略。要從國家安全、國家戰略資源的高度去定位數據安全，加深數據戰略規劃。出臺通信、金融等重點行業的關鍵數據和用戶信息的跨境流動監管政策，推動立法以規范我國公民個人信息的境內存儲。積極參與國際規則的制定，提升我國在數據保護領域的話語權，營造一個良好的國際環境以開展我國的數據安全保護。

三是強化數據安全保護技術攻關。加快數據保護關鍵技術手段建設，加強身份管理、APT攻擊防御、DDoS攻擊溯源等核心技術的研發。加強數據安全監管支撐技術研究，提升對與敏感數據泄露、違法跨境數據流動等危害安全行為的監測與處理能力。

四是完善數據安全標準體系與評估體系。綜合謀劃數據安全的相關標準制定，對于通用和專用的數據安全標準的研發要積極主動。同時，對于數據安全的相關檢測與評估要進一步加強，做好數據跨境流動的安全評估工作。

6 結束語

當今這個大數據時代，是一個機遇和挑戰共存的時代。面對發展過程中的新形勢以及出現的新問題，我們要堅持安全和發展齊頭并進，筑起新疆大數據安全管理的堅實長城，守護好新疆大數據信息主權和用戶隱私，才能有效杜絕大而無序、大而無安的現象存在，真正實現大數據時代的長治久安。

[1]Grady N W,Underwood M,Roy A,et al.Big Data:Challenges,practices and technologies:NIST Big Data Public Working Group workshop at IEEE Big Data 2014[C]//IEEE International Conference on Big Data.IEEE,2015:11-15.

[2]Parise S.Big data:A revolution that will transform how we live,work,and think,by Viktor Mayer-Schonberger and Kenneth Cukier[Z].2016.

[3]Chen Y,Paxson V,Katz R H.What's New About Cloud Computing Security?[Z].2014.

[4]Chiang C W,Lin C C,Chang R I.A new scheme of key distribution using implicit security in Wireless Sensor Networks[C]//The,International Conference on Advanced Communication Technology.IEEE,2010:151-155.

[5]Japkowicz N,Stefanowski J.A Machine Learning Perspective on Big Data Analysis[C]//Big Data Analysis:New Algorithms for a New Society.Springer International Publishing,2016.

[6]Grover N. ”Big Data”-Architecture,Issues,Opportunities and Challenges[J].International Journal of Computer&Electronics Research,2014,3(1):15-17.

[7]邁爾·舍恩伯格，庫克耶，盛楊燕,等.大數據時代[J].當代勞模，2014,8(10):88.

[8]呂欣，韓曉露.健全大數據安全保障體系研究[J].信息安全研究，2015,1(3):211-216.

[9]呂欣，韓曉露.大數據安全和隱私保護技術架構研究[J].信息安全研究，2016,2(3):244-250.

[10]張濱.運營商大數據安全保障體系研究[J].電信工程技術與標準化，2016,29(12):1-7.

[11]廖曉斌.新疆大數據時代發展初探[J].中國管理信息化，2017,20(5):190-192.