“世界的本質(zhì)是數(shù)據(jù)，大數(shù)據(jù)開(kāi)啟了一次重大的時(shí)代轉(zhuǎn)型，也是一場(chǎng)生活、工作與思維的大變革”。隨著世界各大國(guó)在陸、海、空、天、電、網(wǎng)多維度戰(zhàn)略的緊張部署，信息技術(shù)爆炸式發(fā)展。基于大數(shù)據(jù)發(fā)展對(duì)國(guó)家、社會(huì)的組織結(jié)構(gòu)和治理模式，對(duì)商業(yè)、企業(yè)的決策方式和業(yè)務(wù)策略，對(duì)個(gè)人的生活思維方式等各方面產(chǎn)生的深刻影響，各界逐漸開(kāi)始關(guān)注“信息”本身而不只是“技術(shù)”了。在大數(shù)據(jù)時(shí)代，人類(lèi)信息管理準(zhǔn)則也將面臨重新定位，而在信息安全問(wèn)題日益突出的當(dāng)下，大數(shù)據(jù)給信息安全帶來(lái)新挑戰(zhàn)的同時(shí)，也為信息安全領(lǐng)域的發(fā)展帶來(lái)新機(jī)遇。

1.大數(shù)據(jù)及其思維特點(diǎn)

大數(shù)據(jù)，源于“人、機(jī)、物”，規(guī)模大且復(fù)雜以至于很難在一定時(shí)間范圍內(nèi)用現(xiàn)有數(shù)據(jù)庫(kù)管理工具或數(shù)據(jù)處理工具進(jìn)行捕捉、管理和處理的數(shù)據(jù)集合，其特征業(yè)界概括為“4V+1C”：Volume(規(guī)模大)、Variety(類(lèi)型多)、Value(價(jià)值密度低)、Velocity(處理速度快)，Complexity(復(fù)雜)。大數(shù)據(jù)思維特點(diǎn)：

不是隨機(jī)樣本，而是全體數(shù)據(jù)：小數(shù)據(jù)時(shí)代，用少量數(shù)據(jù)樣本獲得最多信息是受限于與數(shù)據(jù)交流的技術(shù)限制而非自然限制;大數(shù)據(jù)時(shí)代，該限制得到緩解，要分析與某事物相關(guān)的所有數(shù)據(jù)，進(jìn)入全數(shù)據(jù)模式;

不是精確性，而是混雜性：接受數(shù)據(jù)的紛繁混雜，而不再執(zhí)迷其精確性。相比小數(shù)據(jù)的精確性，大數(shù)據(jù)更強(qiáng)調(diào)數(shù)據(jù)的完整性和混雜性，更接近事實(shí)真相;

不是因果關(guān)系，而是相關(guān)關(guān)系：不揭示內(nèi)部運(yùn)作機(jī)制，通過(guò)識(shí)別有用的關(guān)聯(lián)物來(lái)做分析或預(yù)測(cè)，因果關(guān)系只是相關(guān)關(guān)系的一種特殊情況，先追求“是什么”，而非“為什么”。

2.大數(shù)據(jù)時(shí)代信息安全面臨的挑戰(zhàn)

2.1加大隱私泄露風(fēng)險(xiǎn)

從個(gè)人隱私的角度而言，用戶在互聯(lián)網(wǎng)中產(chǎn)生的數(shù)據(jù)具有累積性和關(guān)聯(lián)性，單點(diǎn)信息可能不會(huì)暴露隱私，但如果采用大數(shù)據(jù)關(guān)聯(lián)性抽取和集成有關(guān)該用戶的多點(diǎn)信息并進(jìn)行匯聚分析，其隱私泄露風(fēng)險(xiǎn)將大大增加，其關(guān)聯(lián)性利用類(lèi)似于現(xiàn)實(shí)生活中的“人肉搜索”將某人或事物暴露。

從企業(yè)、政府等大的角度而言，大數(shù)據(jù)安全標(biāo)準(zhǔn)體系尚不完善，隱私保護(hù)技術(shù)和相關(guān)法律法規(guī)尚不健全，加之大數(shù)據(jù)所有權(quán)和使用權(quán)出現(xiàn)分離，使得數(shù)據(jù)公開(kāi)和隱私保護(hù)很難做到友好協(xié)調(diào)，在數(shù)據(jù)的合法使用者在利用大數(shù)據(jù)技術(shù)收集、分析和挖掘有價(jià)值信息的同時(shí)，攻擊者也同樣可以利用大數(shù)據(jù)技術(shù)最大限度地獲取他們想要的信息，無(wú)疑增加了企業(yè)和政府敏感信息泄露的風(fēng)險(xiǎn)。

從大數(shù)據(jù)基礎(chǔ)技術(shù)的角度而言，無(wú)論是被公認(rèn)為大數(shù)據(jù)標(biāo)準(zhǔn)開(kāi)源軟件的Hadoop，還是大數(shù)據(jù)依托的數(shù)據(jù)庫(kù)基礎(chǔ)NOSQL，其本身均存在數(shù)據(jù)安全隱患。Hadoop作為一個(gè)分布式系統(tǒng)架構(gòu)對(duì)數(shù)據(jù)的匯聚增加數(shù)據(jù)泄露風(fēng)險(xiǎn)的同時(shí)，作為一個(gè)云平臺(tái)也存在著云計(jì)算面臨的訪問(wèn)控制問(wèn)題，其派生的新數(shù)據(jù)也面臨加密問(wèn)題。NOSQL技術(shù)將不同系統(tǒng)、不同應(yīng)用和不同活動(dòng)的數(shù)據(jù)進(jìn)行關(guān)聯(lián)，加大隱私泄露風(fēng)險(xiǎn)，又由于數(shù)據(jù)的多元非結(jié)構(gòu)化，使得企業(yè)很難對(duì)其中的敏感信息進(jìn)行定位和保護(hù)。

2.2大數(shù)據(jù)成為黑客攻擊的目標(biāo)和手段

大數(shù)據(jù)其自身規(guī)模大且集中的特點(diǎn)使得其在網(wǎng)絡(luò)空間中無(wú)疑是一個(gè)更易被“發(fā)現(xiàn)”、“命中”的大目標(biāo)，低成本高收益的攻擊效果對(duì)黑客而言是充滿誘惑力的。

此外，大數(shù)據(jù)也被當(dāng)做黑客的攻擊手段，除了獲取用戶或其他組織機(jī)構(gòu)的敏感信息之外，也可以對(duì)這些信息進(jìn)行篡改、偽造、重放，通過(guò)控制關(guān)鍵節(jié)點(diǎn)放大攻擊效果，或控制大量傀儡機(jī)發(fā)起傳統(tǒng)單點(diǎn)攻擊不具備的高數(shù)量級(jí)僵尸網(wǎng)絡(luò)攻擊。更甚者，利用大數(shù)據(jù)價(jià)值密度低的特征，將大數(shù)據(jù)作為APT攻擊的載體，稀釋APT攻擊代碼攜帶的安全分析工具所需的價(jià)值點(diǎn)，或誤導(dǎo)安全廠商或安全分析工具進(jìn)行安全監(jiān)測(cè)的方向。若將該手段與0day漏洞結(jié)合利用，后果將不堪設(shè)想。

2.3大數(shù)據(jù)對(duì)信息安全的合規(guī)性要求

大數(shù)據(jù)時(shí)代，出現(xiàn)數(shù)據(jù)擁有權(quán)和使用權(quán)分離，數(shù)據(jù)經(jīng)常脫離數(shù)據(jù)擁有者的控制范圍活躍著，這就對(duì)數(shù)據(jù)需求合規(guī)性和用戶授權(quán)合規(guī)性提出新的要求，包括數(shù)據(jù)形態(tài)和轉(zhuǎn)移方式的合規(guī)性。數(shù)據(jù)需求方為精準(zhǔn)開(kāi)展一個(gè)業(yè)務(wù)要求數(shù)據(jù)擁有者提供原始敏感數(shù)據(jù)或未脫敏的統(tǒng)計(jì)類(lèi)數(shù)據(jù)，顯然這有違背信息安全的本意。就算數(shù)據(jù)需求遵循最小級(jí)原則，對(duì)數(shù)據(jù)的提供未超出合理范圍，用戶授權(quán)仍是數(shù)據(jù)服務(wù)的前提，包括轉(zhuǎn)移數(shù)據(jù)使用的目的、范圍、方式以及授權(quán)信息的保存等各個(gè)環(huán)節(jié)。

在對(duì)信息安全提出合規(guī)性要求的同時(shí)，引入第三方的標(biāo)準(zhǔn)符合性審查服務(wù)似乎也很必要。如通過(guò)針對(duì)數(shù)據(jù)提供者和接受者雙方的審查，包括文檔資料安全規(guī)范的審查，技術(shù)輔助現(xiàn)場(chǎng)審查，在供方和需方之間做掃描和數(shù)據(jù)檢測(cè)，提供第三方公平的數(shù)據(jù)安全審查服務(wù)。

3.大數(shù)據(jù)時(shí)代信息安全面臨的機(jī)遇

3.1大數(shù)據(jù)為基于異常的入侵檢測(cè)提供支撐

傳統(tǒng)的入侵檢測(cè)機(jī)制基于簽名庫(kù)，即黑名單，顯然該機(jī)制不可檢測(cè)0day漏洞，而基于異常即白名單的檢測(cè)機(jī)制將有效彌補(bǔ)該缺陷。異常的鑒定需借助機(jī)器學(xué)習(xí)，而大量數(shù)據(jù)的機(jī)器學(xué)習(xí)則需要大數(shù)據(jù)技術(shù)對(duì)海量多元數(shù)據(jù)進(jìn)行分析和處理從而更高效地刻畫(huà)網(wǎng)絡(luò)異常。大數(shù)據(jù)為基于異常的入侵檢測(cè)提供新的可能性。

3.2大數(shù)據(jù)為APT攻擊檢測(cè)新的突破口

APT攻擊的相對(duì)于其他攻擊形式更為高級(jí)，在發(fā)動(dòng)攻擊之前針對(duì)攻擊對(duì)象進(jìn)行長(zhǎng)期、有計(jì)劃和組織性地收集相關(guān)資料、情報(bào)，并在整個(gè)過(guò)程中極具隱蔽性，攻擊特征難以提取，攻擊渠道的多元化，社會(huì)工程學(xué)也被其充分利用，且存在攻擊空間的不確定性。這也意味著傳統(tǒng)的攻擊檢測(cè)將需要花費(fèi)不可接受的人力、物力和財(cái)力成本。此時(shí)，大數(shù)據(jù)將為解決該問(wèn)題提供新的突破口：不局限于單點(diǎn)檢測(cè)，而是針對(duì)一段時(shí)間內(nèi)的多源海量數(shù)據(jù)利用數(shù)據(jù)之間的關(guān)聯(lián)特性持續(xù)地進(jìn)行動(dòng)態(tài)分析、處理，若有各層面、各階段的全方位信息數(shù)據(jù)，即可對(duì)任何交互行為都進(jìn)行檢測(cè)，可以利用不同的數(shù)據(jù)找到不同的階段進(jìn)行APT分析;其次也可考慮從全流量分析入手，在此基礎(chǔ)上做宏觀的分析、微觀特定事件的檢測(cè)，利用大數(shù)據(jù)組織、整理相關(guān)信息，提高截獲攻擊者攻擊路徑的概率。

4.大數(shù)據(jù)時(shí)代信息安全風(fēng)險(xiǎn)防范的建議

2015年8月，國(guó)務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，指出我國(guó)在大力發(fā)展大數(shù)據(jù)產(chǎn)業(yè)的同時(shí)要注意大數(shù)據(jù)利用過(guò)程中的安全保障問(wèn)題;2016年3月17日，十二屆全國(guó)人大四次會(huì)議表決通過(guò)的“十三五規(guī)劃”要求實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略，同時(shí)要強(qiáng)化信息安全保障。可見(jiàn)大數(shù)據(jù)環(huán)境下的信息安全問(wèn)題已提升到國(guó)家戰(zhàn)略層面。而大數(shù)據(jù)安全標(biāo)準(zhǔn)是保障大數(shù)據(jù)安全、促進(jìn)大數(shù)據(jù)發(fā)展的重要支撐，加快大數(shù)據(jù)安全標(biāo)準(zhǔn)化的研究將尤為迫切。中國(guó)軟件評(píng)測(cè)中心認(rèn)為，除了完善相關(guān)體系、制度、標(biāo)準(zhǔn)外，加強(qiáng)大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全問(wèn)題的研究和基于大數(shù)據(jù)的網(wǎng)絡(luò)安全技術(shù)的研究，落實(shí)信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等網(wǎng)絡(luò)安全體制也是解決信息安全問(wèn)題的關(guān)鍵。中國(guó)軟件評(píng)測(cè)中心基于多年開(kāi)展軟硬件測(cè)試的豐富經(jīng)驗(yàn)，啟動(dòng)了基于大數(shù)據(jù)背景的第三方的標(biāo)準(zhǔn)符合性審查、評(píng)估和認(rèn)證工作，服務(wù)于大數(shù)據(jù)產(chǎn)業(yè)鏈的相關(guān)企業(yè)及機(jī)構(gòu)。致力于與各界共同妥善處信息安全保障和發(fā)展創(chuàng)新之間的關(guān)系，做到大數(shù)據(jù)創(chuàng)新驅(qū)動(dòng)發(fā)展，大數(shù)據(jù)治理保障安全，大數(shù)據(jù)發(fā)展與安全同步推進(jìn)。