2018年大数据安全白皮书

大数据安全白皮书 （2018年） 中国信息通信研究院 安全研究所 2018年7月 艾媒报告商城用户187****6583专享 尊重版权，严禁篡改、转售等侵权行为 I 引言 当前，全球大数据产业正值活跃发展期，技术演进和应用创新并行加速推进，非关系型数据库、分布式并行计算以及机器学习、深度挖掘等新型数据存储、计算和分析关键技术应运而生并快速演进，大数据挖掘分析在电信、互联网、金融、交通、医疗等行业创造商业价值和应用价值的同时，开始向传统第一、第二产业传导渗透，大数据逐步成为国家基础战略资源和社会基础生产要素。 与此同时，大数据安全问题逐渐暴露。大数据因其蕴藏的巨大价值和集中化的存储管理模式成为网络攻击的重点目标，针对大数据的勒索攻击和数据泄露问题日趋严重，全球大数据安全事件呈频发态势。相应的，大数据安全需求已经催生相关安全技术、解决方案及产品的研发和生产，但与产业发展相比，存在滞后现象。 习近平主席在中共中央政治局就实施国家大数据战略第二次集体学习时指出，要构建以数据为关键要素的数字经济，推动实体经济和数字经济融合发展，推动互联网、大数据、人工智能同实体经济深度融合。同时，要切实保障国家数据安全。这要求我们必须坚持国家总体安全观，树立正确的网络安全观，坚持“以安全保发展，以发展促安全”，充分发艾媒报告商城用户187****6583专享 尊重版权，严禁篡改、转售等侵权行为 II 挥大数据在推动产业转型升级、提升国家治理现代化水平等方面重要作用的同时，深刻认识大数据安全的重要性和紧迫性，认清大数据安全挑战，积极应对复杂严峻的安全风险，坚持安全与发展并重，加速构建大数据安全保障体系，保障国家大数据发展战略顺利实施。 本报告首先从大数据带来的变革出发，探讨了大数据安全区别于传统安全的特殊内涵；然后聚焦技术领域，给出大数据安全技术总体视图，分别从平台安全、数据安全和个人隐私安全三个方面梳理了大数据环境下面临的安全威胁以及相应的安全保障技术的发展情况；最后基于大数据安全技术发展现状，提出大数据安全技术未来发展方向与建议，为大数据产业和安全技术发展提供依据和参考。 艾媒报告商城用户187****6583专享 尊重版权，严禁篡改、转售等侵权行为 III 目录 引 言 ................................................................................................................. I 一、对大数据安全的认识和思考 ....................................................................... 1 二、大数据安全技术总体视图 .......................................................................... 5 （一）大数据平台安全 .................................................................................. 6 （二）数据安全 ............................................................................................ 7 （三）隐私保护 ............................................................................................ 8 三、大数据安全面临的技术问题和挑战 ............................................................ 8 （一）平台安全问题与挑战 ........................................................................... 9 （二）数据安全问题和挑战 ......................................................................... 13 （三）个人隐私安全挑战 ............................................................................ 16 四、大数据安全技术发展情况 ........................................................................ 17 （一）大数据平台安全技术 ......................................................................... 17 （二）数据安全技术 ................................................................................... 22 （三）个人隐私保护技术 ............................................................................ 26 （四）大数据安全技术发展现状总结 .......................................................... 28 五、大数据安全技术未来发展建议 ................................................................. 31 艾媒报告商城用户187****6583专享 尊重版权，严禁篡改、转售等侵权行为 IV （一）需要站在总体安全观的高度，构建大数据安全综合防御体系 ............ 31 （二）从攻防两方面入手，强化大数据平台安全保护 ................................. 32 （三）以关键环节和关键技术为突破点，完善数据安全技术体系 ............... 32 （四）加强隐私保护核心技术产业化投入，兼顾数据利用和隐私保护双重需求 ................................................................................................................... 33 （五）重视大数据安全评测技术的研发，构建第三方安全检测评估体系 ..... 34 艾媒报告商城用户187****6583专享 尊重版权，严禁篡改、转售等侵权行为 中国信息通信研究院安全研究所 大数据安全白皮书（2018年） 1 一、对大数据安全的认识和思考 大数据在数量规模、处理方式、应用理念等方面都呈现了与传统数据不同的新特征。大数据是具有体量大、结构多样、时效强等特征的数据；处理大数据需采用新型计算架构和智能算法等新技术；大数据的应用强调以新理念应用于辅助决策、发现新知识，更强调在线闭环的业务流程优化。从安全视角看，大数据这些新特性，产生了哪些影响？我们认为： （一）大数据已经对经济运行机制、社会生活方式和国家治理能力产生深刻影响，需要从“大安全”的视角认识和解决大数据安全问题 大数据发展过程中，资源、技术、应用相依相生，以螺旋式上升的模式发展。无论是商业策略、社会治理、还是国家战略的制定，都越来越重视大数据的决策支撑能力。但也要看到，大数据是一把双刃剑，大数据分析预测的结果对社会安全体系所产生的影响力和破坏力可能是无法预料和提前防范的。例如，美国一款健身应用软件将用户健身数据的分析结果在网络上公布，结果涉嫌泄露美国军事机密，这在以往是不可想象的。未来，基于大数据的智能决策将会在经济运行、社会生活、国家治理方面发挥更重要的作用，大数据可能会对国家“11种安全”的方方面面产生更加深远的影响。艾媒报告商城用户187****6583专享 尊重版权，严禁篡改、转售等侵权行为 大数据安全白皮书（2018年） 中国信息通信研究院安全研究所 2 因此，必须从“大安全”的视角审视大数据安全问题，必须站在国家总体安全观的高度，打破传统的重技术的安全保护思维模式，建立涉及经济、法律、技术等多角度全方位的大数据安全保障体系。 （二）大数据正逐渐演变为新一代基础性支撑技术，大数据平台的自身安全将成为大数据与实体经济融合领域安全的重要影响因素 目前来看，大数据正在成为一种通用的数据处理技术，除推动人工智能、虚拟现实等新兴信息技术应用创新之外，互联网、大数据通过与实体经济的深度融合，正加速推进传统制造业向数字化、网络化、智能化发展。然而，在信息化和工业化融合业务繁荣发展的背后，安全问题如影随形。针对大数据平台的网络攻击手段正在悄然变化，攻击目的已经从单纯地窃取数据、瘫痪系统转向干预、操纵分析结果，攻击效果已经从直观易察觉的系统宕机、信息泄露转向细小难以察觉的分析结果偏差，造成的影响可能从网络安全事件上升到工业生产安全事故。目前，传统基于监测、预警、响应的网络安全技术难以应对上述攻击变化，需要进行理念创新，针对不断变化演进的网络攻击形态，设计建构更加完善的大数据平台安全保护体系，为上层跨行业跨领域的业务应用提供基础性安全保障。 艾媒报告商城用户187****6583专享 尊重版权，严禁篡改、转售等侵权行为 中国信息通信研究院安全研究所 大数据安全白皮书（2018年） 3 （三）大数据时代，数据在流动过程中实现价值最大化，需要重构以数据为中心、适应数据动态跨界流动的安全防护体系 大数据时代，数据作为一种特殊的资产，能够在流通和使用过程中不断创造新的价值。因此，在大数据应用场景下，数据流动是“常态”，数据静止存储才是“非常态”。同时，可以预见到，未来大数据业务环境将更加开放，业务生态将更加复杂，参与数据处理的角色将更多元，系统、业务、组织边界将进一步模糊，导致数据的产生、流动、处理等过程比以往更加丰富和多样。数据的频繁跨界流动，除可能导致传统的数据泄露风险外，还会引发新的安全风险。特别是在数据共享环节中，传统数据访问控制技术无法解决跨组织的数据授权管理和数据流向追踪问题，仅靠书面合同或协议难以实现对数据接收方的数据处理活动进行实时监控和审计，极易造成数据滥用的风险，最典型的案例即是今年曝光的“剑桥分析”事件。未来，数据共享和流通将成为刚性业务需求，传统的静态隔离安全保护方法将彻底不能满足数据流动安全防护的需求，必须通过动态变化的视角分析和判断数据安全风险，构建以数据为中心的动态、连续的数据安全防护体系。 （四）大数据推动数字经济新业态新模式蓬勃发展，广艾媒报告商城用户187****6583专享 尊重版权，严禁篡改、转售等侵权行为 大数据安全白皮书（2018年） 中国信息通信研究院安全研究所 4 大民众却面临享受便捷化泛在化信息服务与保护个人信息权利之间的两难抉择 近年来，我国网络购物、移动支付、共享经济等数字经济新业态新模式发展迅猛，基于互联网、移动互联网、物联网的信息服务已经渗透到社会生活的方方面面，为广大民众提供便捷、高效、全天候的服务。以普惠金融为例，利用大数据对个人数据的挖掘和分析，能够帮助金融科技公司更好的理解用户需求，提供个性化定制服务；利用大数据进行金融风险控制，能够实现流水线操作，减少经营成本，提高服务效率，提升用户体验。例如，某互联网金融服务企业推出的“310”个人信贷服务模式，即“3 分钟填表、1 分钟批贷、0人工干预”，为用户提供了传统信贷服务无法比拟的业务体验，同时将业务成本从每单 2000 元降至 2.3 元。然而，用户享受便捷服务的代价是出让自己的个人信息权利。每