集结各方力量 构筑牢固数据安全“防火墙”

　　大数据时代，数据的重要性及潜在的价值日益显现，与之相关的数据挖掘、分析、处理与可视化等技术，成为了各行业资本、效益、利润等追逐的焦点。但由此引发的数据和个人隐私泄露等数据安全问题，不仅严重影响了大数据产业的健康发展，甚至对国家安全构成了严重威胁，数据安全也因此成为了大数据时代信息安全领域为紧迫的核心问题之一。杭州安恒信息技术有限公司董事长兼总裁范渊认为，数据安全是信息安全体系的核心，互联网大数据领域的公民个人隐私安全保护，是大数据时代数据安全面临的新的威胁因素，传统的纵深防护体系难以保障大数据时代的数据安全，数据安全的实现需依靠技术的进步，法律法规的建立和完善，同时集结公民、企业、安全业界与政府的力量，构筑牢固的数据安全“防火墙”。
 

　　信息技术的进步与发展，加速了现代社会的信息化与数字化进程，无论是在数量上，还是类型上，数据都正在以的速度激增，随之而来的数据安全问题，成为了信息社会面临的严峻挑战。
 

　　“数据安全，包含数据本身的安全，以及数据从生成到销毁的全生命周期各阶段的安全。”范渊指出，数据安全在信息安全体系中处于核心地位，可以说，信息安全体系整体构建的终目的就是为了保障数据安全。因此，数据安全既是信息安全要保障的根本对象，同时也是构建信息安全体系的原点。
 

　　数据具有有用性、完整性、合规性、保密性等特征，有业内人士指出，完整性是数据安全的核心，范渊对此观点有着不同的看法。
 

　　“信息安全有‘CIA’三要素的说法，即保密性、完整性与可用性，简单地说就是保障数‘不被不该看到的人看到，不被不该修改的人修改，不被不该出现的因素影响其处理’。”
 

　　范渊认为，数据安全的这个三要素相互依存，保障这三要素的技术与管理手段也是交叉复用的，因而不能简单地认为某个单一要素即是数据安全的核心。在范渊看来，数据安全的核心是保障数据在其全生命周期的各个阶段都能做到高度可控与高度可审计，从技术保护与管理手段上尽可能隔绝各类威胁因素。
 

　　传统信息社会中，影响数据安全的因素包括数据内容自身是否加密、传输过程是否加密与不被窃听、处理过程是否有防泄漏机制、销毁过程是否存在防数据还原机制等，其中主要的核心概念是尽量控制数据的可见范围，即各个层面与维度的访问控制。
 

　　正是由于上述威胁因素的存在，现代社会的信息化进程中不可避免地出现了数据安全问题。因此，信息化建设已见成效的行业或领域，面临的数据安全形势较为严峻。
 

　　“数据价值越高的行业需依靠更为严密的数据安全保护措施，同时也面临着更大的数据遭窃取与泄露的可能性。”范渊认为，现代社会中，与国计民生、国家安全、社会稳定、经济利益联系密切的，以政府、军工、能源、金融、教育、通讯与运营商、互联网企业等为代表的行业或领域，所面临的数据安全形势更为严峻。
 

　　大数据技术，引发信息安全领域变革与创新
 

　　大数据、物联网、云计算等新一代信息技术，加速了现代社会的信息化进程，而大数据技术的出现，使得现代社会的信息安全面临新的威胁，同时也引发了信息安全领域的变革与创新。
 

　　一般认为，大数据具有4V的特点。，数据容量大(Volume)。社会各层面在产生海量数据，历史数据不断积累，新的数据来源与数据总量不断增加，数据总容量呈现爆炸式增长。第二，数据种类多(Variety)。便于存储与存入关系型数据库或面向对象数据库、以二维表结构来逻辑表达的结构化数据种类与数量仍在增加，而图像(图片、视频)、音频、地理位置信息等新型非结构化数据的传输、利用与存储需求在增长，VR等新兴技术的飞速发展使得真实世界数据化的进程加快，数据种类也将持续增长。第三，价值密度低(Value)。由于数据容量的增大，单位数据的有效价值(即价值密度)自然降低，因此在海量数据中进行数据挖掘，提高数据的价值密度成为体现大数据实际价值的重大挑战。第四，处理速度快(Velocity)。大数据时代下，每秒所采集和处理的数据都会在下一秒变成历史数据，其能产生的核心价值将随时间流逝而降低，以快的速度处理数据并产生价值，才能让大数据的存在具备意义。
 

　　范渊认为，大数据的上述特点对数据安全的定义与防护带来了根本性的变革：首先，传统数据全生命周期安全保障被扩展至了近乎无限的开放空间中，互联网的每个节点和用户都成为数据保障与泄露的攻防点，数据保障体系的涵盖范围扩大；其次，数据种类海量导致信息泄露渠道的多元化与高几率，多条低敏感度泄露数据的关联综合可能会组合成一条高敏感度数据，分布式的存储机制使数据泄露位置更加分散和随机，这导致控制与查找数据泄露来源的难度提高；后，高速的海量数据处理速度，也使原始数据被重复和多种维度利用的成本更加降低，原始数据被反复泄露、售卖的几率与次数更高，数据安全问题所造成的影响更加巨大。因此，大数据安全保障将迎来新的挑战。
 

　　相对于传统信息社会，互联网大数据中公民个人隐私安全保护将迎来极大的挑战，在范渊看来，这会成为大数据时代数据安全面临的新型威胁因素。
 

　　“大数据安全保障的核心问题，仍是数据能否可用以及运用的限度问题。对于大数据应用的开发与使用方，大数据应用中包含的隐私数据收集变得无处不在，对这些收集行为的告知义务是否履行难以得到有效监管；对公民个人而言，其个人隐私在互联网的提交呈现失控状态，这种情况下无论是公民个人还是这些隐私数据的使用者都难以控制这些数据的应用情境。”范渊认为，政府缺乏改进技术来保护公民隐私权的动力，在某些情况下，政府的大数据业务应用甚至会成为公民隐私泄露的主要来源之一。企业由于可直接从大数据中挖掘商业价值，面临侵权受罚的风险较低，因此企业具有侵犯公民隐私权的动力。有足够动力保护隐私权的仅有公民一方，但大数据发展本身是非对称的过程，公民受到技术条件与有限知识水平约束，并不具备足够的保护自身数据隐私的能力，公民隐私权保护能力与市场主体的侵犯动力相差悬殊，这种状况必须得到高度重视和改善。
 

　　大数据时代的到来，虽使得数据安全面临的威胁和挑战更为紧迫和严峻，但大数据预测分析技术也引发了数据安全防护工作的创新。
 

　　数据分析，能够追溯历史、描述现状、预测未来，大数据分析自然同样如此。借助大数据分析，对海量历史数据进行建模分析与追溯，同时在纵向时间线上对同一对象寻找其变化规律；横向在多种数据来源与多个分析维度上建立关联分析模式，进而为当前即时采集的海量数据提供分析方法与业务能力，并把这些当前数据分析结果用于自身分析方法的修正与增强，使之具备对未来发展规律的预测能力。
 

　　“利用大数据技术对安全数据进行分析，一方面可对安全现状进行宏观感知(即安全态势感知)，另一方面可对安全威胁来源进行情报收集与行为建模(即威胁情报分析)，同时对信息安全的被攻击方与攻击方的未来趋势进行建模预测，因而能够实现对被攻击方防御薄弱点的事前预警，也能从攻击方的角度对其攻击模式进行针对性的提前防御。”范渊指出，利用大数据的预测分析进行主动的事前防御，是对传统信息安全思路中“先检测再防御”模式的颠覆与创新，这将成为大数据时代安全技术和业务发展的必然趋势。
 

　　集结多方力量，筑牢大数据时代数据安全“防火墙”
 

　　除技术的发展与完善外，大数据发展的另一大问题就是数据安全面临考验，网络领域的数据安全形势尤为严峻。
 

　　“传统网络安全的防护思路，一种主流是在动态网络安全体系上沿用“安全策略—防护—检测—响应”(P2DR)模型，同时结合美国IATF框架以及我国信息安全等级保护体系为代表的安全域划分隔离与纵深防御体系，根据保护对象价值的不同，进行不同的边界访问控制、用户权限隔离与业务防御、审计等安全防护工作。”范渊认为，传统的网络安全思路在某些方面仍可用于保障大数据时代的数据安全，但在大数据时代，大数据应用所特有的开放性和分布性使安全域的划分与隔离形同虚设，安全边界也因云计算环境、云存储环境以及大数据业务环境的内部边界模糊而形同虚设，因此，传统的纵深防护体系难以实现。
 

　　大数据时代，数据安全面临的威胁因素更为复杂，数据安全工作面临的挑战和形势也更为严峻，传统防护思路难以保障大数据时代的数据安全，筑牢大数据时代数据安全“防火墙”，需要借助相关技术，建立和完善法律法规。
 

　　有业内人士认为，大数据时代保障数据安全，防止信息泄露，应借助云平台的防护技术，同时结合大数据技术来应对数据安全。在范渊看来，云计算技术的发展，为大数据时代的到来提供了必要的技术准备与基础，由于大数据业务的主流数据集中处理、存储环境常使用云平台，实现对云平台的安全防护将对大数据安全体系中的计算环境与存储环境安全起到有效的支撑；而安全云则可以充分利用云平台强大的计算能力和存储能力，对云内与云外各类用户提供强大的大数据安全保障能力，双方相辅相成。除了借助大数据和云安全技术，新型数据加密与身份认证技术、Web应用与数据库安全技术以及基础安全技术等，对于实现数据安全同样重要。
 

　　“目前无论在立法还是在司法实践中，我国个人数据保护仍处于摸索阶段，在实际执法与判例中都只能援引刑法等其他法条，这降低了公民、企业与政府拥抱互联网和大数据的信心，损害了政府与企业之间的合作信任关系，会导致我国在维护网络主权重要的‘数据主权’工作中面临无法可依的尴尬。规划完善而严密的个人数据保护法并且落到实处，对我国来说已刻不容缓。”范渊认为，我国应参考欧美经验，对拥有大量个人数据的企业做出法律约束，规定企业必须向监管部门申报用户数据保存内容、方式以及采取的保护措施；监管部门应周期性地进行审查和监督，一旦发生数据泄露事件，企业需承担法律责任并接受惩罚。鉴于网络领域的数据安全形势尤为严峻，范渊指出，应尽快出台《网络安全法》，并在其指引下尽快出台金融、电信、个人健康、消费互联网领域内的行业法律法规，明确数据的采集、保存、使用主体与各自职责。
 

　　除技术和法律因素外，范渊强调，大数据时代保障数据安全，应提升全民的数据安全保护意识，特别是个人数据隐私意识，广泛集结公民、企业、安全业界与政府的力量，共同形成立体完善的大数据安全保障体系。
 

　　小结
 

　　2016年8月中旬，我国成功发射“墨子号”量子科学试验卫星引发国内外高度关注，能够实现安全的量子通信正逐渐走进现实。
 

　　“毫无疑问，量子通信在很大程度上解决了数据在其全生命周期中‘传输’这个阶段的保密性与完整性问题。”谈及量子通信技术的意义时，范渊认为，量子通信的实现将会对未来社会的数据安全产生重要的积极影响，但也应认识到，在整个信息安全体系下的其他数据全生命周期阶段，仍需要从多个层面对数据的“CIA”三要素以及其可审计性进行安全保障，包括作为数据安全存在与处理基础前提的物理安全、硬件安全、操作系统安全、开发语言与环境安全、应用开发安全、数据库安全、网络通信协议安全、存储安全等。
 

　　大数据时代，保障数据安全的方式和途径不是单一的，数据安全的实现，需建立在一个完整的、系统的信息安全体系构架之上，充分复合运用检测、加密、加固、访问控制等多种手段以及云安全、大数据等技术，同时建立和完善信息安全领域的法律法规，在技术和法律的保障下，政府、企业、个人多方力量的作用下，共同筑牢大数据时代的数据安全屏障。