在第十三屆中國信息港論壇“大數(shù)據(jù)與網(wǎng)絡(luò)安全”專題峰會上,中國電信信息安全部總經(jīng)理李安民發(fā)表了他對大數(shù)據(jù)安全的挑戰(zhàn)、關(guān)鍵和舉措的看法。李安民認(rèn)為,社會發(fā)展引發(fā)大數(shù)據(jù)時代的到來,大數(shù)據(jù)帶來全方位的社會變革,同時也帶來了新的安全問題和挑戰(zhàn)。大數(shù)據(jù)的安全問題主要包括:危害數(shù)據(jù)的保密性、完整性、可用性以及濫用數(shù)據(jù)的問題。
李安民認(rèn)為,大數(shù)據(jù)信息安全面臨三大挑戰(zhàn):一是隱私泄露和濫用風(fēng)險加大。首先是“第三只眼”無所不在,萬物互聯(lián)導(dǎo)致一切事物都數(shù)據(jù)化,包括我們的行為、習(xí)慣、社交關(guān)系。而目前相關(guān)法律和監(jiān)管要求不明確、不完善。其次是隱私數(shù)據(jù)“二次利用”,處理欠妥數(shù)據(jù)經(jīng)過多源交叉分析仍能被還原泄密。大數(shù)據(jù)的創(chuàng)新性導(dǎo)致不可能在一開始明確數(shù)據(jù)用途,傳統(tǒng)的“告知與許可”存在問題。再次是數(shù)據(jù)獨裁,數(shù)據(jù)成為越來越多的決策依據(jù),但數(shù)據(jù)質(zhì)量卻不一定可靠,通過大數(shù)據(jù)交叉關(guān)聯(lián)得出的也不一定是因果聯(lián)系。二是外部的惡意攻擊更為集中。數(shù)據(jù)技術(shù)(DT)時代,數(shù)據(jù)成為業(yè)務(wù)發(fā)展核心動力,也成為黑客的主要目標(biāo)。DT時代,數(shù)據(jù)泄露等同于經(jīng)濟損失。大數(shù)據(jù)成為更引人注意的“大目標(biāo)”,對黑客而言,攻擊大數(shù)據(jù)業(yè)務(wù)或平臺,可以降低攻擊成本,提升攻擊收益。如果泄露1000條記錄時,有95%的可能會損失5.2萬~8.7萬美元。泄露1000萬數(shù)據(jù)記錄的花費介于210萬到520萬美元之間,但最多可能達(dá)到7390萬美元。三是現(xiàn)有的安全措施難以適配。首先是訪問控制策略需要改進(jìn)。傳統(tǒng)的訪問控制多依賴于角色,而大數(shù)據(jù)業(yè)務(wù)難以準(zhǔn)確的預(yù)設(shè)角色,實現(xiàn)角色劃分,并為角色授予恰當(dāng)?shù)臋?quán)限。其次是大數(shù)據(jù)量時細(xì)粒度的數(shù)據(jù)審計能力不足。網(wǎng)絡(luò)、系統(tǒng)層面的行為審計技術(shù)比較成熟,但是大數(shù)據(jù)量下的數(shù)據(jù)層面審計技術(shù)仍不完善。再次是大數(shù)據(jù)風(fēng)險評估標(biāo)準(zhǔn)和指標(biāo)體系的缺失。數(shù)據(jù)業(yè)務(wù)不能簡單套用傳統(tǒng)的風(fēng)險評估模型,也缺乏系統(tǒng)性的評估指標(biāo)體系和工具集合。
同時,李安民認(rèn)為大數(shù)據(jù)信息安全有三大關(guān)鍵。關(guān)鍵一是思想認(rèn)識的轉(zhuǎn)變。首先是明確定位,數(shù)據(jù)安全是發(fā)展任何業(yè)務(wù)的基礎(chǔ),要找到用戶隱私和業(yè)務(wù)需求、運維管理的平衡點。其次是關(guān)注重點,傳統(tǒng)安全以網(wǎng)絡(luò)安全為主,大數(shù)據(jù)安全將以數(shù)據(jù)隱私保護(hù)、數(shù)據(jù)信息安全為主。再次是防護(hù)方式,傳統(tǒng)安全以設(shè)備堆疊為主,大數(shù)據(jù)可從海量數(shù)據(jù)找出安全隱患,大數(shù)據(jù)技術(shù)參與安全防護(hù)。關(guān)鍵二是數(shù)據(jù)權(quán)限的界定。個人數(shù)據(jù)保護(hù)是人權(quán)保護(hù)的重要組成部分,要梳理數(shù)據(jù)權(quán)限,分清責(zé)任主體,確定數(shù)據(jù)的密級和敏感度,保證合法、公正、透明、適當(dāng)。關(guān)鍵三是防護(hù)體系的建設(shè)。避免數(shù)據(jù)被不合規(guī)使用,保證僅合法用戶能訪問數(shù)據(jù)。
李安民提出了大數(shù)據(jù)信息安全管理三大舉措。舉措一是依法依規(guī),建章立制。國家、行業(yè)、企業(yè)已經(jīng)高度重視,紛紛出臺相應(yīng)法律、規(guī)定、要求。舉措二是加強評估,提升能力。制定管理規(guī)章,規(guī)范業(yè)務(wù)發(fā)展;進(jìn)行大數(shù)據(jù)業(yè)務(wù)上線前安全評估;對重點產(chǎn)品進(jìn)行在線安全監(jiān)測;開展周期性巡檢。舉措三是協(xié)同推進(jìn),構(gòu)建體系。大數(shù)據(jù)安全與大數(shù)據(jù)應(yīng)用“三同步”:同步規(guī)劃、同步建設(shè)、同步使用。建設(shè)大數(shù)據(jù)信息安全的“三個機制”:風(fēng)險評估機制、應(yīng)急響應(yīng)機制、災(zāi)難恢復(fù)機制。
京公網(wǎng)安備 11010502049343號