金融企业的大数据访问控制、算法、管理和应用等安全问题,医疗行业的数据存储、灾备和数据恢复等数据安全应用问题等。[3]112-122政府大数据安全指的是如何帮助国家构建更安全的网络环境以保护数据共享的安全问题,具体包括由于数据共享产生的存储安全、安全管理、安全共享访问以及防范高级可持续性攻击(APT)等大数据安全问题。[4]63-67社会安全问题是指在大数据时代将给社会生产生活的正常运行带来的安全隐患,如黑客入侵智能交通、智能电网等数据库将可能造成的城市交通瘫痪、区域电力供应瘫痪等的安全影响和破坏等。国家安全问题是指涉及国家政治、经济和文化等方面的大数据在收集、存储、处理和应用过程中可能存在或产生的安全隐患,美国“棱镜门”事件就是大数据国家安全问题的具体表现。
其次,从大数据处理与应用的过程看,也就是从大数据的生命周期来看,在大数据的整个生命周期中,都存在着大数据处理与应用的安全问题,具体包括数据收集阶段的安全问题、数据存储阶段的安全问题、数据传输阶段的安全问题、数据使用阶段的安全问题等。数据收集阶段的大数据安全问题是指数据源有可能被攻击,从而造成收集到的数据失真或隐私信息泄露的安全风险,以及由于智能终端技术等的发展导致的大数据被自动收集可能造成的用户隐私数据被采集、流转至非信任区域等数据安全问题。数据存储阶段的安全问题是指大数据多源异构的非结构化特征对大数据存储安全提出的挑战以及大数据所依托的云存储自身面临的安全威胁等大数据安全问题[5]335-349,如由于数据来源的多源性导致大数据公司机密信息保护的安全策略难于统一[6]57-63,云存储服务器通过伪造用户要求检测的数据以及相关证明来欺骗用户[7],等等。数据传输阶段的安全问题是指大数据在跨平台的传播过程中可能存在的失真、破坏、泄露或被攻击、拦截、窃取等问题。[8]246-258如在GPS的导航应用中,用户位置信息的暴露。数据应用阶段的安全问题是指在数据应用或发布过程中可能存在着的对个人隐私保护的威胁、数据挖掘结果的非法发布、系统维护导致的原始数据丢失等数据全安问题。如匿名处理的失效导致数据发布时的个人隐私泄露。
再次,从技术类型看,大数据应用安全问题包括数据平台安全问题、计算安全问题和加密技术安全问题等。Hadoop大数据平台是目前应用最广泛也是最重要的大数据应用平台,但是,Hadoop大数据平台建设在其落地之初就是功能优先的,而安全管控问题并没有放到重要的位置加以考虑,从而留下了重大的安全漏洞隐患[9]1-9,不仅存在着用户操作失误、Hadoop集群内数据被任意访问[10]56-62、MapReduce没有身份验证和授权造成的安全威胁等82-
传统安全问题,还存在着用户可在集群内执行任意代码、任意提交、修改或删除其他用户的任务、未授权的文件块读写操作、未授权的直接访问中间输出结果、未授权的本地磁盘数据访问、未授权的数据包截获以及冒名提交任务等缺少有效身份验证带来的重大安全隐患。计算安全问题主要指的是分布式计算在应用环境中存在着不安全的因素,包括分布式处理的函数可能被黑客修改或伪造,黑客冒充用户对集群进行非法的访问和操作等大数据安全问题。[11]34-78,71加密技术安全问题是指在公共云存储服务中如何选择适当的数据加密机制以确保用户仅获得其能够获得和应当获得的数据,用户如何有效地查找或定位以密文方式储存在云端的海量数据,第三方如何公开审计存储在云端的海量数据的完整性和可用性,以及如何保证在审计过程中不泄露数据隐私或数据所有者的个人隐私信息,用户如何确信已经删除了存储在云端的用户自己确实想要删除的数据,[12]1397-1409等等。
此外,还可以根据数据安全问题的层次将其分为大数据系统安全问题、数据安全问题和隐私安全问题等,[13]42-43也有学者[14]6978提出了诸如APT等新型安全攻击问题。不过,这些大数据安全问题都归属到上述大数据个人隐私信息安全、企业大数据安全、国家大数据安全、大数据技术安全等大数据安全问题类型中去。
三、大数据应用安全问题的根源分析
大数据技术的广泛应用带来的安全威胁其成因复杂,可以将其大致概括为思想认识方面的原因、法律制度不完善、技术根源以及大数据应用安全标准缺失等几个方面的原因。
首先,大数据技术应用安全问题的产生有其深刻的认识根源。计算机技术、物联网技术、互联网技术和智能手机技术的迅速发展有力地促进了经济社会的发展和进步,并且给人们的生活带来了极大的舒适性和便利性,人们生活方式和思想观念的发生了很大的变化。人们以网络为媒介开展自己的生产、生活和思维活动,从而制造了海量数据。大数据企业大批涌现,并且传统企业及社会公共服务、政务等领域也在快速地大数据化,海量数据被收集、存储、挖掘和应用。但是,技术是一柄双刃剑,它在推动经济社会快速发展,给人们的生产生活带来便利的同时,也带来了一系列的大数据安全问题。人们总是先看见并且也乐于看见大数据技术的运用给自己在生产生活方面带来的推动和促进,勇于尝试着投入到大数据化的生产和生活中去,但大多数的人们却对大数据技术可能带来的安全隐患缺乏足够的认识。
-第36卷 广西民族师范学院学报 mzsfxyxb@163.com(总第124期)
其次,大数据技术在资本推动之下迅速地向前发展,而社会法律制度建设却相对滞后,从而导致规范大数据技术安全应用的法律缺位,这也是大数据应用安全问题的产生的一个重要根源。尼葛洛庞帝(Nicholas Negroponte)认为,世界“大多数的法律都是为了原子的世界,而不是比特的世界而制定的……电脑空间的法律中,没有国家法律的容身之处。”[15]278这样,由于法律制度建设的滞后,现行法律在面对新涌现的大数据应用安全问题时,我们
的法律就像甲板上垂死挣扎的鱼一样拼命喘气。[15]278
在大数据法律规范领域,美国走在了各国的前面。早在1966年,美国就正式颁布了《信息自由法》,并随着经济社会的发展对该法进行了6次修订,以适应保障公民信息自由和保护个人隐私信息的需要。为了统帅和指导大数据的健康发展,2012年3月,美国白宫科技政策办公室颁发了《大数据研究和发展计划》,以便对大数据收集、发布、处理、存储和使用进行法律层面的规范。其他发达国家也紧随美国的脚步先后发布了规范大数据发展的法律法规。而发展中国家关于大数据的法律制度建设则相对滞后,中国2017年6月才正式颁布实施《网络安全法》,对大数据发展涉及的相关安全问题进行法律的规范和引导,并加强个人信息的法律保护。但是,从整体上看,中国个人隐私安全、国家大数据安全、大数据安全技术研发等大数据应用安全的法律法规建设都亟须进一步发展和完善。
再次,大数据技术应用的安全问题之所以会事故频发,还在于大数据技术发展不完善这一技术根源。大数据技术广泛应用于经济社会并深刻地改变着人们的生产生活,其速度之快和影响之深让人始料未及。技术总是在生产生活的广泛应用中发展、进化和完善。如当今应用最广泛的Hadoop大数据平台,由于其功能优先的设计导向,大数据应用安全问题就被忽略了;面对手段多样、目标明确、持续时间长的高级持续性攻击(APT),大数据应用安全保障技术明显有待改进和完善;而包括中国在内的许多发展中国家,由于信息基础设施自主可控程度低,安全防护技术和手段都明显缺乏或不足,[16]427-432从而给发展中国家带来了不可忽视的大数据应用安全问题。因此,正是由于大数据技术作为技术序列本身发展不完善这一技术根源,造成了大数据应用安全事故频发。
最后,大数据应用安全标准的缺失也是造成大数据应用安全威胁的一个重要根源。“同样的商品或服务,老客户看到的价格反而比新客户要贵出许多,这在互联网行业被叫作‘大数据杀熟’” [17],如2018年5月,被推至舆论的风口浪尖上的某公司利用大数据“杀熟”的事件。[18]大数据“杀熟”除了规范大数据应用安全的法律不完善等因素外,
也反映出了大数据应用由于缺乏统一的安全标准,从而造成了掌握着海量用户数据的公司或企业利用大数据侵害用户利益。
除了上述原因,大数据本身的多源异构性、大数据的开源性和开放性等也在一定程度上导致了当今大数据应用安全事故的频发。
四、大数据安全应用的对策与路径
大数据应用安全事故频发已经给人们的生产生活带来了一系列负面的影响,导致用户的利益损失,甚至威胁到了公民的人身和财产安全,而国家大数据安全事故的发生则会使国家安全面临重大威胁。针对大数据应用安全问题,必须采取一定的措施加以防范。
第一,加强公民自身的数据保护意识。计算机技术、互联网技术、物联网技术和智能手机的迅速发展确实给人的生活带来了极大便利,极大地拓展了人们的生存空间,将人们从现实世界带进了虚拟世界。利用这些技术,在法律规范范围内,人们可以随心所欲地开展自己的生存活动——想播就播、想拍就拍、想抖就抖,殊不知,在这一播一拍一抖之间,个人隐私就会被泄露出去,个人数据安全就可能面临着危险。因此,公民个人应养成正确的网络生存习惯,具备基本的个人隐私信息保护意识,不要轻易将个人生活带入到网络空间中去。只有转变思想观念,加强数据意识,保护好自身数据权益,才能更好更有效地保障个人大数据的安全。
第二,加快制定大数据应用安全标准。目前,国际上已有美国NIST大数据工作组、ISO/IEC JTC1 SC32、ISO/IEC JTC1 WG9、ITU大数据工作组、云安全联盟CSA大数据工作组[19]404-411等机构在开展大数据应用安全标准的研究和制定工作,并发布了《大数据安全和隐私需求》《大数据安全与隐私十大挑战》《大数据安全和隐私手册》《大数据安全最佳实践》《大数据和未来隐私评论》和《基
于大数据的安全情报分析》等文档。[19]404-411
中国也有全国信息技术标准化委员会和全国信息安全标准化委员会在开展大数据安全标准化的研究和规划制定工作,并发布了《大数据标准白皮书》。与西方发达国家相比,中国的大数据应用安全标准的研究制定工作起步较晚,发展也不完善,至今尚未成立专门的国家大数据安全标准化工作组来统筹协调大数据安全标准化工作。要有力地保障中国的大数据应用安全,推进中国大数据产业的健康发展,就必须建立政府主导、企业为主、产学研用联合的大数据安全标准化工作组,以应用为导向,系统梳理大数据安全标准化核心需求,整合资源、统一规划大数据安全标准体系,紧急先行、成熟先上、关注
-83-
2019年第3期 陈 艳,李君亮 大数据安全应用分析6月25日出版
重点。[19]404-411
第三,加强大数据应用安全的相关立法工作,构建强有力的大数据安全法律保障机制。中国的《网络安全法》已于2017年6月1日起开始颁布实施。《网络安全法》的颁布实施是“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。”①可见,《网络安全法》的出台主要是为了保障中国网络的安全运行、应用与发展。根据《网络安全法》第七章附则第七十六条第二款的释义,“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。” ①数据的安全性、保密性和可用性固然是大数据安全的一个重要组成部分,但是该法还远远不能够有效地有力地保护个人、企业、政府、国家、社会的大数据安全。只有建立起完善的保障大数据安全的法律体系,国家的数据主权和安全、政府企业和社会的数据安全、公民个人的数据安全等才能够得到有效保护。
第四,构建大数据发展与应用自主可控的国家安全战略。齐爱民等认为,数据主权是一个国家的国家主权在大数据时代的新表现,这就意味着,为了维护大数据时代的国家主权,一个国家就必须能够自主地对本国数据行使占有、管理、控制和利用等的权力,且能够排除其他国家的干涉,以保护本国数据权益免受其他国家的侵害。[2]112-122但是,由于中国的国家信息基础设施自主可控程度低,大数据安全防护技术和手段不足,这就使中国的数据安全面临着严重的外部威胁。只有加强大数据战略规划和安全体系建设,构建具有中国特色的自主可控的大数据安全发展路线,不断强化大数据技术在信息安全领域的创新应用。[16]427-432这样,才能维护好中国的数据主权。
第五,加快和加强大数据处理与应用安全的技术研发活动。首先,由大数据平台导致的大数据应用安全问题,可以通过改进大数据平台的建设,使其由功能优先转向重视功能兼顾安全,并且在实际应用中重点关注经常发生的大数据安全问题,针对性地改善大数据服务平台的安全保障问题,有效构建起大数据平台安全管控方案。其次,加强大数据安全保障技术的研究和开发。在加密技术、完整性校验、用户访问控制、数据隔离技术和虚拟化技术等大数据安全应用的关键技术领域,要投入更多的人才资金资源,从技术根源上保障大数据处理与应用的安全基础。最后,通过原始创新从根本上解决国家信息基础设施自主可控程度低、大数据安全防护技术和手段不足等安全瓶颈问题,只有实现大数84-
据安全保障的基础性技术的自主可控,中国国家大数据安全问题才能够获得切实可靠的保障。
结 语
大数据时代,从个人层面到企业层面再到国家层面,都特别重视自身的大数据安全问题。解决大数据安全问题,在调整人们观念,加深安全意识的同时,大数据企业应积极开发大数据应用安全保障技术,国家也应鼓励、支持和引导大数据企业开展保障大数据安全的技术创新,完善相关的政策和法律,促进大数据处理与应用安全技术的发展,保障个人、企业、国家和社会的大数据应用安全。注释:
①引自《中华人民共和国网络安全法》
参考文献:
[1]佚名.聚焦近年来全球十大典型数据安全事件
[EB/OL]. https://www.sohu.com/a/141781878_630337, 2017-05-19.
[2]齐爱民.盘佳.大数据安全法律保障机制研究[J].
重庆邮电大学学报(社会科学版),2015(3).[3]胡坤,刘镝,刘明辉.大数据的安全理解及应对
策略研究[J].电信科学,2014(2).
[4]张璐,李晓勇,马威,等.政府大数据安全保护
模型研究[J].技术研究,2014(5).
[5]王丹,赵文兵,丁治明.大数据安全保障关键技
术分析综述[J].北京工业大学学报,2017(3).[6]Piatetshy G. Interview: Michael brodie, leading
database researcher, industry, thinker[J]. Sigkdd Explorations Newsletter, 2014 (1).[7]胡德敏,余星.云存储服务中支持动态数据完整
性检测方法[J].计算机应用研究,2014 (10).[8]FengDengguo, Zhang Min, Li Hao. Big Data
Science and Privacy Protection[J]. Chinese Journal of Computer,2014 (1).
[9]陈丽,黄晋,王锐.Hadoop大数据平台安全问题
和解决方案的综述[J].计算机系统应用,2018 (1).
[10]Somu N, Gangaa A, Sriram VSS. Authentication
service in12 Hadoop using one time pad[J]. Indian Journal of Science & Technology,2014(S4).
[11]陈文捷,蔡立志.大数据安全及评估[J].计算
机应用与软件,2016 (4).
[12]李晖,孙文海,李凤华,等.公共云存储服务数
据安全及隐私保护技术综述[J].计算机研究与(下转第88页)
-2019年第3期 曹路舟 AHP视域下艺术类高校贫困生精准认定方法研究6月25日出版
实际情况,可操作性较强,适合在高校进行推广。参考文献:
[1]毕鹤霞.大数据下高校贫困生确认模型构建[J].
高教探索,2016(8).
[2]唐业喜.基于AHP和CM模型的贫困生精准认定
与实证分析[J].教育财会研究,2017(5).
[3]项家春等.基于层次分析法的家庭经济困难学
生精准认定研究[J].山东青年政治学院学报,2018(1).
[4]屈昌雷,刘晓倩,郭蓉,等.高校资助政策体系
综合评价模型[J].齐鲁师范学院学报,2018(1).[5]张克柱,张超.模糊综合评判在高校贫困生评定
系统中的应用[J].宿州教育学院学报,2012(3).
责任编辑:李凡生
(上接第84页)发展,2014 (7).
[13]汤伟.大数据环境下的数据安全综述[J].通讯
世界,2016(12).
[14]Jafarian JHH, Al-Shaer E, Duan Q.
Spatiotemporal address mutation for proactive cyber agility against sophisticated attackers[C]//Proceedings of the First ACM Workshop on Moving Target Defense.Scottsdale: ACM, 2014.
[15]尼葛洛庞帝.数字化生存[M].胡泳,范海燕,
译.海口:海南出版社,1977.
[16]陈左宁,王广益,胡苏太,等.大数据安全与自
主可控[J].科学通报,2015(5).
[17]朱昌俊.大数据杀熟,无关技术关乎伦理[N].
光明日报,2018-3-28.
[18]吴晓宇.携程杀熟事件背后:用户习惯被大数
据出卖,重装软件仍受影响[EB/OL]. https://baijiahao.baidu.com/s?id=1601868978183938189&wfr=spider&for=pc .
[19]叶润国,胡影,韩晓露,等.大数据安全标准化
研究进展[J].信息安全研究,2016(5).
责任编辑:李凡生
-88-
因篇幅问题不能全部显示,请点此查看更多更全内容