新环境下大数据安全的五个挑战

时至今日，不再有人质疑大数据的价值；

正因如此，大数据安全治理才尤为重要。

大数据就像一座漂浮的冰山，海面下所蕴含的巨大价值正被不断挖掘而出；然而，自身集中化的存储与管理模式，却使其成为黑客网络攻击的绝佳目标。近年来，全球大数据安全事件呈频发态势，针对大数据的勒索攻击和数据泄露问题日益严重。对于安全需求的不断增长，催生了相关技术、产品与解决方案的研发面世，但相比大数据产业的极速扩张，配套的安全技术领域发展明显滞后…须知欲破敌阵，先要知己知彼！

数据越庞大，挑战越多样

大数据在数量规模、处理方式、应用理念等方面都呈现出与传统数据不同的新特征，如：

大数据是一类具有体量大、结构多样、时效性强等特征的数据；

想要处理大数据，需要采用新型计算架构以及智能算法等新技术；

大数据应用强调在线闭环业务流程优化，用以辅助决策、发现新知。

安华金和从大数据安全治理角度进行总结梳理，发现大数据的“新”催生出五个层面的安全挑战：

挑战1：大数据平台基础组件的安全问题

大数据平台采用了与以往完全不同的软件产品构成，一方面受发展阶段的限制，其自身安全性并不高；另一方面，存在众多组件也十分容易引发安全问题。以hadoop系为例，一个大数据平台至少包含20到30种软件，这些软件形成了非常广阔的供给面——方便黑客通过利用其中软件的错误配置或漏洞获取账号密码、敏感数据甚至整个集群的控制权，进而对大数据平台实施入侵。

（组件众多的大数据平台）

与此同时，藏身暗处的“灰黑产”对经济利益的极度渴求令大数据环境变得更为波云诡谲。随着加密货币市场热度的持续攀升，入侵挖矿一时成为最高效的“赚钱”手段，而其对算力方面不断扩大的需求，势必导致恶意软件将攻击锁定大数据平台。为应对上述安全风险，需要定期对大数据安全平台的所有组件进行安全检测和安全加固，且至少应包括漏洞检查、配置检查、木马检查以及后门检测等。

挑战2：大数据流转中的安全问题

如今，数据被视为一种特殊资产，能够在流通和使用的过程中不断创造新价值。因此，在大数据应用场景下，数据的流动是“常态”，数据的静止存储才是“非常态”。未来的大数据业务环境将更加开放，业务生态将更加复杂，参与数据处理的角色将更加多元，而系统、业务、组织的边界也将进一步模糊化，数据的产生、流动、处理等过程都会不同以往。

然而，数据频繁的跨界流动与共享也存在其风险——传统的数据访问控制技术无法解决跨组织的数据授权管理和数据流向追踪问题，仅靠书面合同或协议又难以实现对数据接收方的数据处理活动进行实时监控与审计，极易造成数据滥用等安全风险（2018年曝光的“剑桥分析”事件就是典型案例）。未来，数据共享和流通将成为刚性业务需求，传统的静态隔离防护不再能满足数据流动中的安全防护需求，而需要通过动态变化的视角分析和判断数据安全风险，构建以数据为中心的，动态、连续的数据安全防护体系。

挑战3：大数据中的个人隐私问题

放眼全球，中国在移动支付、共享经济等新兴数字技术领域的发展普及速度惊人，基于互联网、移动互联网、物联网的信息服务已渗透到社会生活的方方面面。网购喜好推荐、会员消费报告等个性化功能都是基于大数据技术对用户个人数据进行挖掘分析，逐步形成用户画像，进而提供的定制化服务。然而，用户在享受便捷的同时却在主动或被动出让着个人信息安全。

面对大数据应用场景下无所不在的数据收集技术以及专业、多样化的数据处理技术，用户几乎难以控制其个人信息的收集与应用情境，个人信息的自决权被大大削弱。特别是随着企业间的数据共享日益频繁，利用大数据的超强分析能力对多源数据进行处理，能够将已经过匿名化处理的数据再次还原，令现有数据脱敏技术“失灵”，直接威胁到用户的隐私安全。

挑战4：厂商缺乏安全意识的问题

未来，基于大数据的智能决策将会在经济运行、社会生活、国家治理等多方面发挥更加重要的作用，大数据可能会对国家安全的方方面面产生更加深远的影响。然而，对大数据进行分析预测，其结果对社会安全体系所产生的影响力和破坏力也可能是无法预料和预先防范的。

因此，必须要求从事大数据相关产业的企业和个人都从“大安全”的视角审视大数据安全问题，必须站在国家总体安全的战略高度，全面、有效应对因大数据泄露等问题可能造成的严重危害及后果。

挑战5：大数据影响决策安全的问题

在信息化和工业化融合业务繁荣发展的背后，针对大数据平台的网络攻击手段正在悄然变化——攻击目的已从单纯窃取数据、瘫痪系统，转向干预、操纵分析结果等方面；攻击效果已从直观易察觉的系统宕机、信息泄露转向细小且难以察觉的分析结果偏差等方面；所造成的影响和危害已从网络安全事件上升到工业生产安全事故等方面。

目前，基于监测、预警、响应的传统网络安全技术手段已难应对上述五个挑战中攻击模式的变化发展，迫切需要进行理念创新，针对不断变化演进的网络攻击形态，设计构建更为完善的大数据平台安全保护体系，从而实现为上层跨行业、跨领域的业务应用提供基础性安全保障的目标。

在安华金和看来，开展 “大数据安全治理”，目的是“让大数据使用更安全”，脱离了“使用”去谈大数据安全是不切实际的“浪费”。大数据应被更充分、更高效、更安全的使用，从而为人类社会的可持续发展贡献出它真正的价值和作用。