2016年1月16日，由企業(yè)網(wǎng)D1Net和中國信息化發(fā)展戰(zhàn)略與創(chuàng)新聯(lián)盟聯(lián)合舉辦的2016年北京部委央企及大型企業(yè)CIO年會(huì)在北京隆重舉行，大咖云集，干貨爆棚，圍繞新IT架構(gòu)和信息安全，CIO們碰撞思想火花，最前沿的技術(shù)廠商交流最新的研究成果及創(chuàng)新產(chǎn)品。技術(shù)與實(shí)戰(zhàn)在這里融合。

主持人：接下來我們將請(qǐng)出國家信息中心安全專家趙睿斌和我們分享大數(shù)據(jù)的安全與挑戰(zhàn)，大家掌聲歡迎!

國家信息中心安全專家趙睿斌

趙睿斌：大家好!我叫做趙睿斌，是國家信息中心的，今天我跟大家探討一下大數(shù)據(jù)面臨的一些機(jī)遇與挑戰(zhàn)，主要是回顧一下2014年和2015年重點(diǎn)的信息安全泄露的幾件大事，可能對(duì)在座各位有所啟發(fā)和學(xué)習(xí)。

主要分以下幾個(gè)點(diǎn)跟大家共同學(xué)習(xí)。第一、大數(shù)據(jù)安全是怎么回事?第二、大數(shù)據(jù)泄露事件。第三、大數(shù)據(jù)國內(nèi)外是怎么樣的政策。第四、我們國家大數(shù)據(jù)安全應(yīng)該采取哪些措施?

所謂大數(shù)據(jù)的定義，從這張圖上可以看到，我們國家從去年開始就是大數(shù)據(jù)在滿天飛，其實(shí)大數(shù)據(jù)跟我們生活是息息相關(guān)分不開的，包括物聯(lián)網(wǎng)、音頻采集、視頻采集、空氣傳感器、土壤傳感器，還有PC機(jī)、手機(jī)，包括小米網(wǎng)一直推，小米雷軍他們做的移動(dòng)智能設(shè)備。其實(shí)無形中就是把數(shù)據(jù)采集起來形成一個(gè)大數(shù)據(jù)。另外，將傳統(tǒng)互聯(lián)網(wǎng)，比如筆記本、臺(tái)式機(jī)、電腦的個(gè)人信息，還有最重要的人手一部手機(jī)可能好幾部。這樣把所有的數(shù)據(jù)集中到一塊兒，它就是匯集了我們?cè)谏?、工作、社交，以及我們面臨的所有信息量產(chǎn)生的信息量集中的一個(gè)大數(shù)據(jù)。

其實(shí)大數(shù)據(jù)首先數(shù)據(jù)量要大，第二、類型要多樣化。不光是筆記本、臺(tái)式機(jī)產(chǎn)生的數(shù)據(jù)叫大數(shù)據(jù)。第二、包括運(yùn)行高效，現(xiàn)在很多移動(dòng)設(shè)備運(yùn)算速率非?？欤赡懿捎肏adoop大數(shù)據(jù)的一些框架，對(duì)高速運(yùn)算和存儲(chǔ)提出一些要求，因?yàn)閿?shù)據(jù)量大，這么多數(shù)據(jù)怎么處理，放在兩年以前這些數(shù)據(jù)處理起來是很難的，那時(shí)候存儲(chǔ)的設(shè)備也不容易，所以那時(shí)候這樣大的數(shù)據(jù)量很難進(jìn)行分析。最后其實(shí)大數(shù)據(jù)最后還是產(chǎn)生價(jià)值的，不產(chǎn)生價(jià)值，大數(shù)據(jù)又不會(huì)起什么作用，當(dāng)然價(jià)值也會(huì)被一些黑客，一些人員所利用，產(chǎn)生他們自己認(rèn)為的企業(yè)價(jià)值。

這是2015年百度在春節(jié)時(shí)候一個(gè)圖像，過幾天春運(yùn)開始了，可能也會(huì)上這個(gè)東西，就是我們?nèi)耸忠徊渴謾C(jī)，我們到哪兒要查一下，比如要查當(dāng)?shù)厥裁辞闆r，百度地圖對(duì)你進(jìn)行定位，就會(huì)密集的知道你春運(yùn)期間北上廣，包括重慶，人流量特別密集，當(dāng)天的數(shù)據(jù)從什么地方出發(fā)到什么地方，就知道從中有一個(gè)情況。就是一個(gè)科技公司能夠發(fā)現(xiàn)這個(gè)趨勢(shì)，這是很可怕的。這一塊如果天氣極端會(huì)發(fā)生航班延誤，這樣我們就會(huì)上網(wǎng)查一下航班是什么情況，這個(gè)圖百度并沒有連到中航信這樣的專業(yè)機(jī)票公司，就是至人查哪架航班，就知道哪架航班處于延誤狀態(tài)還是正常狀態(tài)，這是大數(shù)據(jù)發(fā)展的態(tài)勢(shì)。

所以，大數(shù)據(jù)給我們帶來信息安全的同時(shí)也為信息安全的發(fā)展奠定了機(jī)遇。因?yàn)槲沂菑氖滦畔踩模f一說大數(shù)據(jù)一方面是指數(shù)據(jù)安全，另一方面就是大數(shù)據(jù)安全分析。大數(shù)據(jù)安全分析就是采用一些大數(shù)據(jù)手段對(duì)安全的事情，安全的一些工具，安全的一些本質(zhì)進(jìn)行一些大數(shù)據(jù)安全分析。數(shù)據(jù)安全比較簡單，大家都說數(shù)據(jù)安全如何存儲(chǔ)、如何保存、如何進(jìn)行數(shù)據(jù)本身的安全，大數(shù)據(jù)安全其實(shí)有兩層含義的。

我們共同回顧一下這一兩年發(fā)生的重大安全事件。2013年重點(diǎn)的安全事件就是“棱鏡計(jì)劃”，那個(gè)時(shí)候技術(shù)手段還沒有這么強(qiáng)烈，包括雅虎一出現(xiàn)的時(shí)候，跟政府進(jìn)行合作，進(jìn)行了相關(guān)的監(jiān)控，包括CII。到2013年斯諾登跑到香港披露了這個(gè)事，后來到俄羅斯進(jìn)行避難。當(dāng)時(shí)雖然我們從一些相關(guān)機(jī)構(gòu)，相關(guān)的渠道知道美國在做這件事，但是我們不知道美國能做到這么嚴(yán)重的情況下。美國居然連默克爾的手機(jī)都能進(jìn)行監(jiān)控，按理說德國政府對(duì)于總統(tǒng)、總理的手機(jī)也是進(jìn)行相關(guān)的一些加密措施或者一些相關(guān)的保密措施。但是，它依然能夠破解這種情況。

去年我還關(guān)注一些事件，就是美國大使館往往很多駐全球各地大使館上了特別大的一個(gè)圓球，里頭就是偵聽設(shè)備和監(jiān)聽設(shè)備，能夠偵聽方圓多少公里，包括手機(jī)，咱們采取可能是跟移動(dòng)基站之間的通信，比如發(fā)了一個(gè)郵件，發(fā)了一個(gè)短信全能收集到，美國的設(shè)備是非常非常先進(jìn)的。尤其是針對(duì)俄羅斯、中國、伊朗、朝鮮這樣的一些國家是美國重點(diǎn)的監(jiān)控。所以，斯諾登也不好說，但是斯諾登對(duì)整個(gè)事件信息安全作出了卓越的貢獻(xiàn)，美國認(rèn)為他是叛逃者。

2014年有另外一個(gè)事就是索尼影業(yè)公司被黑客攻擊，索尼影業(yè)作為一個(gè)私人公司能夠被黑客攻擊后來據(jù)說是朝鮮派的一支黑客隊(duì)，個(gè)攻擊造成的損失上億美元，導(dǎo)致索尼近幾年的發(fā)展?fàn)顩r每況愈下。2014年我們還發(fā)生另外一個(gè)大的事，就是12306用戶數(shù)據(jù)泄露，昨天一個(gè)新聞，還有人能夠搜到相關(guān)信息，黑客13條數(shù)據(jù)，現(xiàn)在有些人登錄12306的密碼沒有變，還是能夠利用你的用戶名、密碼登進(jìn)去。12306個(gè)網(wǎng)站我們國家信息中心參與了一些相關(guān)建設(shè)，包括它的等級(jí)，它是全國第一個(gè)等級(jí)保護(hù)四級(jí)系統(tǒng)，按理說它的級(jí)別已經(jīng)夠高了，但是依然能夠發(fā)生信息泄露，這也是很嚴(yán)重的事情。

2015年全球影響比較大的幾個(gè)信息安全事件，包括2015年1月俄羅斯約會(huì)網(wǎng)站Topface 2000萬用戶名和電子郵件地址被盜。2月Uber披露，5萬名Uber司機(jī)的個(gè)人信息被不知名的第三方人士獲取，包括社保碼、司機(jī)相片、車輛等級(jí)號(hào)等信息。3月，醫(yī)保提供商Premera藍(lán)十字披露，1100萬客戶的醫(yī)療和財(cái)務(wù)數(shù)據(jù)泄露等等，以上這些是到7月份的狀況。到8月份在線票務(wù)銷售平臺(tái)大麥網(wǎng)600余萬用戶賬戶密碼泄露并在黑產(chǎn)論壇公開售賣等等。

其實(shí)2015年的大數(shù)據(jù)安全事件約翰·吉布森事件，約翰·吉布森的信息得到了泄露，他是一個(gè)老師，他有一個(gè)姑娘，還有孩子，結(jié)果他上吊自殺了。為什么上吊自殺呢?因?yàn)樗ㄟ^交友平臺(tái)可能交一些社交上的相關(guān)人員，但是他媳婦一直認(rèn)為他是一個(gè)很守本分的人，在同事眼中也是很老實(shí)的一個(gè)人。雖然他這樣的做法我們不是要批判這個(gè)人，但是這個(gè)事件導(dǎo)致個(gè)人隱私泄露以后，確實(shí)最后也就失去他寶貴的生命。2015年7月美國人事管理辦公室OPM最終披露入侵事件帶來的整個(gè)影響，這個(gè)事件影響到2015年的12月份，2015年12月份，美國領(lǐng)事館和大使館把相關(guān)調(diào)查人員撤回到國內(nèi)了，因?yàn)?150萬的個(gè)人信息泄露，我們?nèi)绻幸欢ǖ姆治瞿芰湍苤涝谌A的這些美國聯(lián)邦調(diào)查人員是具備一定的特工背景，能夠在華從事相關(guān)的特勤人員的手段，所以把受影響的特工就撤回去了，7月份做的事12月份才得到一個(gè)明顯的顯現(xiàn)。2015年機(jī)鋒2300萬信息被泄露，這個(gè)很可怕，這是我們國家自己做的一個(gè)機(jī)鋒網(wǎng)。還有酒店，包括喜來登、桔子酒店等。另一個(gè)就是社保系統(tǒng)，社保泄露5000多萬條，涉及30多個(gè)省市，社保信息如果泄露，別人就知道你現(xiàn)在的健康狀況是什么情況。還知道哪個(gè)醫(yī)生給你開的，個(gè)人情況是什么情況，你和誰之間是親戚，你和誰是相關(guān)的領(lǐng)導(dǎo)關(guān)系，從個(gè)人信息上，用大數(shù)據(jù)分析會(huì)發(fā)生無窮的結(jié)果。

2015年支付寶和攜程出的故障。支付寶因?yàn)橐桓饫|在蕭山地區(qū)被挖斷以后就受影響了，2小時(shí)無法使用支付寶。攜程5月28日因故障癱瘓了，說是由于員工錯(cuò)誤操作，刪除了生產(chǎn)服務(wù)器上的執(zhí)行代碼導(dǎo)致，這其實(shí)是官方的說辭。

從大數(shù)據(jù)安全分析來講，大數(shù)據(jù)成為網(wǎng)絡(luò)攻擊的一個(gè)目標(biāo)。我們?nèi)绻罃?shù)據(jù)量，我們通過一定的相關(guān)分析，現(xiàn)在分析軟件越來越多了，我們就能知道個(gè)人隱私，個(gè)人隱私很可怕，我們每個(gè)人如果把我們的隱私暴露在公眾面前，就相當(dāng)于我們沒有穿衣服一樣，你無法保護(hù)自己，這是最可怕的事。而且大數(shù)據(jù)技術(shù)，以前的黑客攻擊可能是個(gè)人喜歡一些相關(guān)的代碼，相關(guān)的一些黑客手段進(jìn)行攻擊。如果用大數(shù)據(jù)平臺(tái)進(jìn)行黑客攻擊，那是有組織，有幾率的行為，一旦發(fā)生攻擊是很可怕的。最后，大數(shù)據(jù)技術(shù)成為一個(gè)新的支撐，我是做信息安全的，希望通過大數(shù)據(jù)的技術(shù)提供一些安全的手段和安全的防護(hù)，防止詐騙或者黑客入侵。

回顧一下大數(shù)據(jù)國內(nèi)外的相關(guān)政策。美國很早提出《大數(shù)據(jù)研究與發(fā)展計(jì)劃》，2015年又推行了《消費(fèi)者隱私權(quán)利法》，就是消費(fèi)者有隱私權(quán)利，不能隨便暴露我的隱私，你要暴露我的隱私，不管政府也好，企業(yè)也好，都需要承擔(dān)相應(yīng)的法律責(zé)任。澳大利亞、英國、法國也對(duì)大數(shù)據(jù)的一些安全規(guī)定了一些自己的相關(guān)綱領(lǐng)和文件。從2015年8月31號(hào)，促進(jìn)大數(shù)據(jù)發(fā)展的行動(dòng)綱要，包括貴州也進(jìn)行了大數(shù)據(jù)，把大數(shù)據(jù)做到一個(gè)高度上，國家也比較支持?？赡茏钪饕囊粋€(gè)，以前的信息泄露，過去就是我們聽的更多是病毒，以前360做病毒防護(hù)衛(wèi)士，但是后來是有目的，有組織的攻擊，而且周密完善，目標(biāo)明確。這是夜龍攻擊的情況，黑客有組織的攻擊了一家能源機(jī)構(gòu)，這是夜龍攻擊的流程，不展開講了，這是夜龍攻擊的相關(guān)環(huán)節(jié)。

另外就是政網(wǎng)攻擊，更可怕，西門子的設(shè)備在伊朗運(yùn)行了很長時(shí)間密謀被進(jìn)行攻擊，后來一個(gè)工程師使用了U盤，觸發(fā)了政網(wǎng)病毒，導(dǎo)致伊朗核能退化很多年，讓你的離心機(jī)倍速的轉(zhuǎn)，這樣設(shè)備壞了，核設(shè)施的研發(fā)也緩慢了，美國太厲害了。2015年9月17號(hào)Xcode的惡意代碼，9月1號(hào)阿里云服務(wù)器預(yù)裝的安全產(chǎn)品云盾“安騎士”升級(jí)觸發(fā)了bug。這些都給我們提了個(gè)醒。

最后，大數(shù)據(jù)應(yīng)用安全。大數(shù)據(jù)信息安全體系要建立起來，當(dāng)然加快大數(shù)據(jù)安全的技術(shù)研發(fā)，把大數(shù)據(jù)怎么用在安全上，怎么解決安全上的問題，用大數(shù)據(jù)的手段解決。第三、加快對(duì)重點(diǎn)敏感數(shù)據(jù)的監(jiān)管，要不監(jiān)管一些重點(diǎn)敏感數(shù)據(jù)，咱們不重視，有人重視，別的國家拿走了，你就很麻煩了，或者一些關(guān)鍵企業(yè)認(rèn)識(shí)不到數(shù)據(jù)的重要性偶然間失誤也會(huì)造成重大影響。

最近我在寫一篇文章就是“國家網(wǎng)絡(luò)空間安全體系建設(shè)”，我們國家如何從政策，從我們國家包括去年12月份烏鎮(zhèn)的會(huì)議，包括習(xí)近平在烏鎮(zhèn)會(huì)議上的講話，我們國家在網(wǎng)絡(luò)空間安全是一個(gè)什么態(tài)勢(shì)?在政策上我們?nèi)绾沃С诌@些行動(dòng)，構(gòu)建國家網(wǎng)絡(luò)空間安全體系，但是又不能跟世界不接軌，還得能跟美國進(jìn)行對(duì)話、合作，得到美國的一些認(rèn)同。有區(qū)別，有競(jìng)爭(zhēng)，我們不是閉關(guān)自守，包括去年提的很多自主可控的一些相關(guān)的國產(chǎn)設(shè)備。如果完全什么都自主可控，都不用國外的一些設(shè)備，那么，不符合改革開放的一個(gè)理念。有些設(shè)備我們必須要國產(chǎn)，必須要自主，但有些設(shè)備我們也需要國外的先進(jìn)的廠商引進(jìn)來共同合作。所以，我最近一直在寫“國家網(wǎng)絡(luò)空間安全體系”的文章做一個(gè)研究，什么時(shí)候?qū)懞昧?，大家可以在一塊兒共同探討一些，謝謝各位領(lǐng)導(dǎo)和專家。