白皮书认为,大数据已经对经济运行机制、社会生活方式和国家治理能力产生深刻影响,需要从“大安全”的视角认识和解决大数据安全问题。无论是商业策略、社会治理还是国家战略的制定,都越来越重视大数据的决策支撑能力。但业界同时也要看到,大数据是一把双刃剑,大数据分析预测的结果对社会安全体系所产生的影响力和破坏力可能是无法预料与提前防范的。
大数据安全是涉及技术、法律、监管、社会治理等领域的综合性问题,其影响范围涵盖国家安全、产业安全和个人合法权益。同时,大数据在数量规模、处理方式、应用理念等方面的革新,不仅会导致大数据平台自身安全需求发生变化,还将带动数据安全防护理念随之改变,同时引发对高水平隐私保护技术的需求和期待。
白皮书认为,大数据安全威胁渗透在数据生产、采集、处理和共享等方面,大数据产业链的各个环节,风险成因复杂交织;既有外部攻击,也有内部泄露;既有技术漏洞,也有管理缺陷;既有新技术新模式触发的新风险,也有传统安全问题的持续触发。对于未来大数据安全技术发展,白皮书给出了具体建议:
第一,站在总体安全观的高度,应构建大数据安全综合防御体系
安全是发展的前提,必须全面提高大数据安全技术保障能力,进而构建贯穿大数据应用云管端的综合立体防御体系,以满足国家大数据战略和市场应用的需求。一是建立覆盖数据收集、传输、存储、处理、共享、销毁全生命周期的安全防护体系,综合利用数据源验证、大规模传输加密、非关系型数据库加密存储、隐私保护、数据交易安全、数据防泄露、追踪溯源、数据销毁等技术,与系统现有网络信息安全技术设施相结合,建立纵深的防御体系;二是提升大数据平台本身的安全防御能力,引入用户和组件的身份认证、细粒度的访问控制、数据操作安全审计、数据脱敏等隐私保护机制,从机制上防止数据的未授权访问和泄露,同时增加大数据平台组件配置和运行过程中隐含的安全问题的关注,加强对平台紧急安全事件的响应能力;三是实现从被动防御到主动检测的转变,借助大数据分析、人工智能等技术,实现自动化威胁识别、风险阻断和攻击溯源,从源头上提升大数据安全防御水平,提升对未知威胁的防御能力和防御效率。
第二,从攻防两方面入手,强化大数据平台安全保护
平台安全是大数据系统安全的基石,基于前面的分析可以看出,针对大数据平台的网络攻击手段正在发生变化,企业面临愈加严峻的安全威胁和挑战,传统的安全监测手段难以应对上述的攻击变化,未来大数据平台安全技术的研究不仅要解决运行安全问题,还要进行理念创新,针对不断演进的网络攻击形态,设计大数据平台安全保护体系。在安全防护技术方面,目前无论是开源还是商业化大数据平台,都处在高速发展阶段,在平台安全机制方面的不足之处依然存在,同时,新技术新应用的发展也为平台安全带来未知的安全隐患,需要产业各方在大数据平台安全方面加大投入,从攻防两方面入手,密切关注大数据攻击和防御两方面的技术发展趋势,建立适应大数据平台环境的安全防护和系统安全管理机制,构筑更加安全可靠的大数据平台。
以关键环节和关键技术为突破点,完善在数据安全技术体系大数据环境下,数据在流动中发挥价值,其应用生态环境日益复杂,数据生命周期各环节都面临新的安全保障需求,数据的采集和溯源成为突出的安全风险点,跨组织数据合作的广泛开展触发了多源汇聚计算的机密性保障需求。目前,敏感数据识别、数据防泄露、数据库安全防护等技术发展相对成熟,多源计算中的机密性保护、非结构化数据库安全防护、数据安全预警以及数据发生泄露事件的应急响应和追踪溯源等方面还比较薄弱。业界应积极推动产学研用结合,加快密文计算等关键技术在运算效率提升方面的研究和应用推广。企业应加强数据采集、运算、溯源等关键环节的保障能力建设,强化数据安全监测、预警、控制和应急处置能力,以数据安全关键环节和关键技术的研究为突破点,完善大数据安全技术体系,促进整个大数据产业的健康发展。
第三,加强隐私保护核心技术产业化投入,兼顾数据利用和隐私保护双重需求
在大数据应用场景下,数据利用和隐私保护是天然矛盾的两端,同态加密、多方安全计算、匿名化等技术可以实现这两者良好的平衡,是解决大数据应用过程中隐私保护问题的理想技术,隐私保护核心技术方面的进展必然会极大地推动大数据应用的发展。目前,隐私保护技术的核心问题是效率,存在计算开销大、存储开销大、缺乏评价标准等问题,均处于理论研究阶段,尚未在工程实践中广泛应用,难以应对多数据源攻击、基于统计的攻击等隐私安全威胁。在大数据场景下,个人隐私保护已成为一个备受关注的议题,未来日益增长的隐私保护需求将带动专业化隐私保护技术的研发和产业应用。需要鼓励企业、科研机构研究同态加密、多方安全计算等前沿隐私保护算法,同时推动数据脱敏、数据审计等技术手段在大数据环境下的增强应用,提升大数据环境下隐私保护技术水平。
第四,重视大数据安全评测技术的研发,构建第三方安全检测评估体系
当前,国家就大数据安全进行了一系列重大决策部署,《“十三五”国家信息化规划》提出实施大数据安全保障工程。可以预见,未来大数据安全政府监管将进一步加强,数据安全相关立法进程将进一步加快,大数据安全监管措施和技术手段将进一步完善,大数据安全监管惩戒力度将进一步加强。同时,构建大数据安全评估体系将成为保障大数据安全的有效举措,通过制定大数据安全技术标准和测评标准,建立大数据平台及大数据服务安全评估体系,推进第三方评估机构和人员资质认证等配套管理制度建设,可以从平台防护、数据保护、隐私保护等方面切实促进大数据安全保障能力的全面提升。