大数据安全形势下电商的机遇与挑战

□ 宁家骏



大数据安全形势下电商的机遇与挑战

□ 宁家骏

云计算、物联网、社交网络等新兴服务促使人类社会的数据种类和规模正以前所未有的速度增长，大数据时代正式到来。大数据时代对电子商务及其企业的发展带来了新挑战和新的机遇，提出了构建大数据时代下的电子商务信息安全的新理念和新架构，指出新形势下确保电商大数据安全对企业发展、增强综合竞争力等具有极其重要的关键作用，它将会是未来电子商务发展的必然趋势。同时就电商企业构建大数据时代下的电子商务信息安全保障体系，提出了设想和建议。

随着互联网的快速发展与变化，电子商务等承载了大量的个人及交易信息。电子商务中的数据不仅量大，而且结构复杂，其业务数据类型繁多，已经成为名副其实的大数据资源。这就意味着电商的数据必须在大容量数据分析和挖掘的基础之上，才能获得最真实的价值，因此大数据应用需求在电子商务中日趋重要，随之而来大数据安全问题及其风险日益凸显。同时，中国的电子商务企业已经认识到大数据蕴含着巨大的商业价值，但电商企业往往对大数据安全仅仅具有粗浅和初步的认识，远未真正认识到其巨大的风险和潜在的巨大机遇。近日国家有关部门对此高度重视，国家发改委主任徐绍史同志与国家质检总局局长支树平同志在北京正式签署战略合作协议，共同贯彻落实国办《关于运用大数据加强对市场主体服务和监管的若干意见》和《促进大数据发展行动纲要》等重要文件要求，联合开展国家电子商务产品质量大数据分析应用工作，这一重要举措再次表明国家高度重视运用大数

据加强对市场主体服务和监管，进一步提升我国电子商务产品质量监测管理水平以及宏观经济决策支持能力，同时也对大数据环境下的数据质量与安全提出了更高的要求。

本文首先通过对大数据时代下电子商务因数据安全引发的挑战和机遇进行分析;其次，提出构建大数据时代下的电子商务网络信息安全架构。大数据时代下的电子商务网络信息安全架构的设计与构建不仅能促进企业经济的发展，而且，它还可以加快实现电子商务企业信息化的建设。它是促进电子商务企业经济发展的迫切需要；是使传统企业经济向信息化经济过渡的有效途径；是企业实现经济全球化、信息化的有效手段。

大数据时代下的电子商务现状

大数据是继云计算、物联网之后IT 产业又一次颠覆性的技术变革，对于企业将产生巨大的影响。如今，大数据分析已经成为行业研究的热点，大数据正在以多种方式创造着巨大的价值。在大数据时代，未来数年数据量将会呈指数爆炸。未来大数据的发展趋势主要会呈现出几个特点：大数据会越来越多地进入垂直领域；越来越实时化；大数据产业会发展成生态链；开放性越来越强，大数据会越来越多地走向数据互换和数据交易。

众所周知，当今电子商务的发展在经历了基于用户数和基于销量的时代之后，已经进入了基于数据和大数据开发利用的新时代。当今电商迅速发展，数据已经如一股“洪流”注入了世界经济，成为全球各个经济领域的重要组成部分。企业可以分析和使用的数据在爆炸式增长，通过对大数据的收集、整合、分析，企业可以发现新的商机，创造新的价值，带来大市场、大利润和大发展。所以对于电子商务企业来说，大数据时代蕴藏着巨大的商机，数据服务已经成为电商发展的重要方向。当阿里巴巴、百度、腾讯等海量数据的拥有者在面对数据挖掘带来的巨大财富时，数据服务已逐步成为我国电商的发展趋势，出售数据和相关服务成为新的利益增长点。

以阿里巴巴为例，根据阿里巴巴旗下淘宝网的数据显示，每天活跃数据量已经超过50TB。围绕着买卖双方的交易，大量搜索、浏览、评价等构成了淘宝网的数据产生来源。以淘宝平台的数据开放为例，针对个人用户，“淘宝指数”提供了对公众的免费信息，公众通过淘宝指数可以获得行业和宏观经济的各项指标。另外，针对企业用户，淘宝推出了数据魔方产品，可以获取行业宏观情况、品牌的市场状况、消费者行为情况等，及时调整营销手段，进而获取更多流量，提高销量。阿里整合旗下所有电商模式的基石——大数据平台——初步成形，淘宝正转型成为电商“生态圈”的基石。

另一方面，大数据在利用中为信息安全带来发展契机。随着移动互联网、物联网等新兴IT 技术逐渐步入主流，大数据使得数据价值极大提高，无处不在的数据，对信息安全提出了更高要求。同时，大数据领域出现的许多新兴技术与产品将为安全分析提供新的可能性；信息安全和云计算贯穿于大数据产业链的各个环节，云安全等关键技术将更安全地保护数据。大数据对信息安全的要求和促进将推动信息安全产业的大发展。

今天越来越多的电子商务公司通过对消费者的海量数据的收集、分析、整合，挖掘出商业价值，促进个性化和精确化营销的开展。随着电子商务的广泛应用，选择网上购物的消费者越来越多，使得电子商务网站的数据越来越多，这正是典型的大数据。全球迎来大数据时代，数据成为越来越有用的资源，电子商务企业在开发利用大数据的市场上存在着巨大的发展前景。

大数据安全已经成为新形势下电商的巨大挑战

大数据时代的到来将为其发展和竞争提供新的出路，包括具体产品和服务形式，通过个性化创新提升企业竞争力。善于利用大数据的电子商务企业将会获得新的发展方向和动力。要收集大数据和发挥大数据的潜力，电子商务企业仍有很多障碍需要去克服。电子商务企业在大数据时代将会迎来重大的机遇和契机，同时也面临着大数据安全和隐私保护等方面的挑战。当前我国电子商务发展面临的两大突出问题是同质化竞争和大数据安全问题。

在大数据时代下，电子商务的竞争已经成为基于数据的竞争。数据就是电子商务企业的财富和金矿，谁拥有大数据，谁就有制胜的砝码，谁就可能成为大赢家。然而网络上的消费者并不会直接告诉企业其需求，电子商务企业必须去收集、分析、跟踪、对比消费者在互联网上留下的种种“足迹”、评论、图片、视频等。当今极速爆炸的信息量远远超越了大部分企业IT 架构和基础设施的承载能力，其实时性要求也大大超越了现有的计算能力。

挖掘大数据的价值类似沙里淘金，由于大数据价值密度低的特性更加增添了数据收集工作的巨大性和繁重性。拥有大数据是利用大数据的前提条件，若不具备整合大数据收集和使用的能力，企业就很难在广告和多个营销渠道中提供真正个性化和精确的产品和服务推荐，而拥有大数据的企业则能在竞争中脱颖而出，不战而胜。当今越来越多的电子商务企业已经认识到大数据的价值，高度重视数据的收集工作。各个企业纷纷重构其IT 架构，提高基础设施的承载能力，租用足够的空间，进一步加强信息化投资和建设，适应大数据时代的要求。

但是大多数企业在重视拥有大数据、重视对大数据的分析和挖掘能力、纷纷制定自己企业的“大数据发展战略”的同时，往往忽略了大数据安全，未能认真研究和解决大数据安全带来的困难和挑战，从而难以有效地指导企业制订精确的大数据安全行动纲领和落实有效的行动，这是十分危险的倾向。

大数据时代，网络用户在互联网的评论、图片、视频、个人信息、兴趣爱好、交易信息、访问的网站等等均被企业记录在案。企业掌握了大量消费者的行为数据，不仅可对大数据进行整合和分析，从而可以发现新的商机，创造新的价值。更加需要引发人们注意的是，这些数据经常包含消费者的真实信息，如在淘宝网上交易时的真实姓名、家庭住址以及银行账号等重要的真实信息，不仅引起了我们对个人隐私的担忧，还关系到各个单位、行业、领域的重要信息，涉及到企业商业秘密、行业与领域的敏感数据，甚至包含着事关国家经济社会发展的重要数据。一方面，大量的数据汇集，包括大量的企业运营数据、客户信息、个人的隐私和各种行为的细节记录，面临的数据泄露风险将会增大。电商企业既要防止数据在云上丢掉，也要防止数据在端上被窃取和篡改。另一方面，一些敏感数据的所有权和使用权还没有明确的界定，很多基于大数据的分析都未考虑到其中涉及到的个体的隐私问题。

正如美国著名的计算机专家迪博德所言，在信息时代，计算机内的每一个数据、每一个字节，都是构成一个隐私的血肉，更是一个企业、行业、领域直至国家经济社会发展体征的重要信息。电商信息汇聚和数据整合，对隐私和信息安全的穿透力不仅仅是“1＋1＝2”的，很多时候，是大于2 的[1]。

大数据时代下的电子商务数据安全问题的由来

1）技术发展增加了安全风险

随着计算机网络技术、云计算和人工智能的发展，云存储、云计算、云服务、虚拟化和移动互联网以及数据挖掘应用系统等技术越来越广泛，为大数据自动收集效率以及智能动态分析提供方便。但是，技术发展也增加了大数据的安全风险。一方面，大数据本身的安全防护存在漏洞。虽然云计算对大数据提供了便利，但对大数据的安全控制力度仍然不够，API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄露。而且大数据本身可以成为一个可持续攻击的载体，被隐藏在大数据中的恶意软件和病毒代码很难发现，从而达到长久攻击的目的。另一方面，攻击的技术提高了。在用数据挖掘和数据分析等大数据技术获取价值信息的同时，攻击者也在利用这些大数据技术进行攻击。

2）网络化社会使大数据易成为攻击目标

网络化社会的形成，为大数据在各个行业领域实现资源共享和数据互通搭建平台和通道。基于云计算的网络化社会为大数据提供了一个开放的环境，分布在不同地区的资源可以快速整合，动态配置，实现数据集合的共建共享。而且，网络访问便捷化和数据流的形成，为实现资源的快速弹性推送和个性化服务提供基础。正因为平台的暴露，使得蕴含着海量数据和潜在价值的大数据更容易吸引黑客的攻击。也就是说，在开放的网络化社会，大数据的数据量大且相互关联，对于攻击者而言，相对低的成本可以获得“滚雪球”的收益。近年来在互联网上发生的用户帐号的信息失窃等连锁反应可以看出，大数据更容易吸引黑客，而且一旦遭受攻击，失窃的数据量也是巨大的。

3）大数据自身的非结构化特征对大数据安全存储与管理提出新要求

在大数据之前，我们通常将数据存储分为关系型数据库和文件服务器2种。而当前大数据汹涌而来，数据类型的千姿百态也使我们措手不及。对于将占数据总量80%以上的非结构化数据，虽然NoSQL数据存储具有可扩展性和可用性等优点，利于趋势分析，为大数据存储提供了初步解决方案。但是NoSQL数据存储仍存在以下问题：一是相对于严格访问控制和隐私管理的SQL技术，目前NoSQL还无法沿用SQL的模式，而且适应NoSQL的存储模式并不成熟；二是虽然NoSQL软件从传统数据存储中取得经验，但NoSQL仍然存在各种漏洞，毕竟它使用的是新代码；三是由于NoSQL服务器软件没有内置足够的安全，所以客户端应用程序需要内建安全因素，这又反过来导致产生了诸如身份验证、授权过程和输入验证等大量的安全问题。

当然，大数据也为数据安全的发展提供了新机遇。大数据正在为安全分析提供新的可能性，对海量数据的分析有助于更好地跟踪网络异常行为，对实时安全和应用数据结合在一起的数据进行预防性分析，可防止诈骗和黑客入侵。网络攻击行为总会留下蛛丝马迹，这些痕迹都以数据的形式隐藏在大数据中，从大数据的存储、应用和管理等方面层层把关，可以有针对性地应对数据安全威胁。

4）电子商务大数据安全的应对策略

目前电子商务对大数据大都朝着云存储的模式进行了改造，因此首先要制定科学可靠的存储安全策略。因为基于云计算架构的大数据，数据的存储和操作都是以服务的形式提供。目前，大数据的安全存储采用虚拟化海量存储技术来存储数据资源，涉及数据传输、隔离、恢复等问题。解决大数据的安全存储，一是数据加密。在大数据安全服务的设计中，大数据可以按照数据安全存储的需求，被存储在数据集的任何存储空间，通过SSL（安全套接层）加密，实现数据集的节点和应用程序之间移动保护大数据。在大数据的传输服务过程中，加密为数据流的上传与下载提供有效的保护。应用隐私保护和外包数据计算，屏蔽网络攻击。目前，PGP和TrueCrypt等程序都提供了强大的加密功能。二是分离密钥和加密数据。使用加密把数据使用与数据保管分离，把密钥与要保护的数据隔离开。同时，定义产生、存储、备份、恢复等密钥管理生命周期。三是使用过滤器。通过过滤器的监控，一旦发现数据离开了用户的网络，就自动阻止数据的再次传输。四是数据备份。通过系统容灾、敏感信息集中管控和数据管理等产品，实现端对端的数据保护，确保大数据损坏情况下有备无患和安全管控。五是对重要数据实施结构分散化存储处理。物理上切割重要数据，以确保数据安全。

随着大数据应用所需的技术和工具快速发展，必须动态调整大数据应用的安全策略，制定这一策略应立足于电子商务信息安全保障体系整体构架，科学设定，做好顶层设计，明确保障目标，并依据信息安全形势态势感知和漏洞发现，进行动态调整[2]。当前一般而言可以主要从以下几方面着手：一是防止APT攻击。借助大数据处理技术，针对APT安全攻击隐蔽能力强 、长期潜伏、攻击路径和渠道不确定等特征，设计具备实时检测能力与事后回溯能力的全流量审计方案，提醒隐藏有病毒的应用程序。二是用户访问控制。大数据的跨平台传输应用在一定程度上会带来内在风险，可以根据大数据的密级程度和用户需求的不同，将大数据和用户设定不同的权限等级，并严格控制访问权限。而且，通过单点登录的统一身份认证与权限控制技术，对用户访问进行严格的控制，有效地保证大数据应用安全。三是整合工具和流程。通过整合工具和流程，确保大数据应用安全处于大数据系统的顶端。在整合点平行于现有的连接的同时，减少直接通过连接企业或业务线的工具将结果输出到数据仓库，以防止通过处理结果泄露业务处理逻辑并导致处理结果中敏感数据的外泄。同时，通过设计一个标准化的数据格式简化整合过程，同时也可以改善分析算法的持续验证。四是数据实时分析引擎。数据实时分析引擎融合了云计算、机器学习、语义分析、统计学等多个领域，通过数据实时分析引擎，从大数据中第一时间挖掘出黑客攻击、非法操作、潜在威胁等各类安全事件，第一时间发出警告响应。

许多专家都从实践经验认识到：数据安全三分靠技术，七分靠管理。通过技术来保护大数据的安全虽然重要，但管理也很关键[3]。大数据的管理安全策略主要有：一是规范建设。大数据建设是一项有序的、动态的、可持续发展的系统工程，一套规范的运行机制、建设标准和共享平台建设至关重要。规范化建设可以促进大数据管理过程的正规有序，实现各级各类信息系统的网络互连、数据集成、资源共享，在统一的安全规范框架下运行。二是建立以数据为中心的安全系统。基于云计算的大数据存储在云共享环境中，为了大数据的所有者可以对大数据使用进行控制，可以通过建设一个基于异构数据为中心的安全方法，从系统管理上保证大数据的安全。三是融合创新。大数据是在云计算的基础上提出的新概念，大数据时代应以智慧创新理念融合大数据与云计算 ，以智能管道与聚合平台为基础，提升数据流量规模 、层次及内涵，在大数据流中提升知识价值洞察力。积极创造大数据公司技术融合平台，寻找数据洪流大潮中新的立足点，特别是在数据挖掘、人工智能 、机器学习等新技术的创新应用融合创新。

5）当前要特别关注电子商务产业链中数据安全风险管控

随着电子商务的发展，越来越离不开物流的配套，其中所产生的流动数据越来越重要和流程越来越复杂，我国各类物流企业对数据安全、网络安全的重视力度不够，很多电子商务企业的相关物流企业对跨企业流动的数据安全意识淡薄，再加上第三方物流在我国的不成熟，缺乏物流信息安全保障，这些原因致使我国电商与相关物流企业的数据流动安全存在较大的风险。电子商务与物流企业数据安全保障的整合发展，将随着企业效率的增加、物流业的发展壮大，更加重要和紧迫。可当今的电商物流存在一系列的问题，比如：商家不重视数据安全管理、安全标准不统一、物流信息管理难度大及缺乏专业的人才。面对上述问题，企业应该更加注重完善相关数据安全，必须加快制定统一的数据保护安全策略，提高数据安全保护的级别，加强对人才的培养，从而提高电商数据的安全保障水平，最终达到电商大数据安全保障的目的。

要在电商产业链、服务链中妥善处理隐私，针对隐私保护方面的问题，建议电子商务企业从以下3方面着手：1）电子商务企业应该恪守行业道德，不能将消费者的个人信息进行交易和泄露；2）企业应该从技术层面上采用先进的隐私保护技术，进一步加强用户的隐私保护，解决由于过度开发或者深度营销可能造成的用户隐私侵犯等等问题；3）随着大数据应用的发展，隐私保护的问题和概念在不断地发展，因此国家应进一步完善与之相应的隐私保护的法律和法规，确实保护公民的隐私权。

结 语

大数据是信息化时代的“石油”。大数据转化为信息和知识的速度与能力将成为这个时代的核心竞争力之一。现在，大数据及其安全的重要性已经上升到事关电子商务企业竞争性要素的高度。众所周知，信息时代的竞争，不是劳动生产率的竞争，而是知识生产率的竞争。可以预见，基于知识的竞争，将集中表现为基于数据和数据安全的竞争。而这种数据竞争，将成为经济发展的必然。电子商务也即将跨入一个数据兴则企业兴、数据强则企业强的竞争时代。大数据将成为电子商务的新武器，谁拥有大数据和对大数据的强大处理能力，谁就有制胜的砝码，并将最终赢得市场。随着大数据的不断发展，大数据面临的安全挑战却不容忽视，只有大数据技术和大数据安全“两条腿”走路时，大数据才可以真正成为这个时代的驱动力量。所以可以预言，未来的电子商务将会成为大数据安全发展的一个重要平台。

[1] 王树西，李安渝. 大数据与云计算环境下的电子商务安全研究[C] // 中国信息经济学会学术年会暨博士生论坛.北京:中国信息经济年会秘书处, 2013:18-22

[2] 王伟.论当前电子商务安全最大的威胁:大数据信息系统[J].电子制作, 2013(17):26-29

[3] 汪秀.云计算环境下电子商务安全风险评估模型研究[J].安徽财经大学学报, 2015（1）: 38-42

宁家骏

现任国家信息中心专家委员会副主任、国家发改委电子政务工程建设指导专家组成员兼秘书长、中国信息化推进联盟专家委员会副主任。曾先后主持完成了国家电子政务外网和宏观经济管理信息系统的设计与工程建设工作，是国家“十二五”电子商务规划的主要执笔人和国家“十二五”政务信息化工程建设规划的主要起草者。主要研究方向为信息安全、信息系统和数据库等。ningjj@cei.gov.cn

Opportunities and Challenges of E-Commerce Data Security in Big Data Era

Ning Jiajun