大数据时代我国网络信息安全控制体系构建

陈薇伶 黄 敏

（1.对外经济贸易大学国际商学院，北京 100029；2.防灾科技学院经济管理系，河北三河 101601）

网络技术的持续发展使得网络在人类生产、生活等一系列社会活动中的作用持续提升，在网络环境下进行数据交换已成为人类日常生活的重要组成，信息已然成为关键的生产资源，网络则成为信息传播的关键载体。网络信息和人类生活紧密联系，故而网络信息安全直接关系着人类社会的运转。对个人来说，网络信息的泄露势必会侵犯个人隐私进而影响生活；对企业来说，网络信息的安全性决定着企业的正常运转；对国家来说，网络信息安全已成为国家安全的关键组分。故而，网络信息安全问题已逐渐成为各方关注的主要社会问题之一，维护网络信息安全也已成为信息监管部门的核心工作。

当前既有的网络信息安全控制体系包含了诸多安全保障策略，能够在一定程度上应对各类安全问题。但在大数据时代海量信息的冲击下，不管就保障而言，还是就操作而言，现有体系都还有待完善[1]。因此，针对大数据时代下网络信息安全的新特点，还需构建一套能够应对全新安全风险的控制体系，从而确保大数据功能的充分发挥。

一、网络信息安全的定义与特点

随着人类社会步入大数据时代，网络信息安全再次成为各界关注的热点。为对网络信息安全进行深入研究，从而发现信息安全存在的问题及其成因，还需对其定义和特点获得更加具体且直观的认知。

（一）网络信息安全的定义

信息安全一词的诞生年代并不久远，各国目前还未对其定义达成共识。在21世纪初的联合国大会第五十六届会议上，联合国倡议各国对信息安全形成统一认知，减少信息安全问题应对过程中的阻碍，深化国际信息安全合作[2]。尽管对信息安全的定义还未形成共识，但是各方对其的认知却一直处于动态变化之中，目前研究人员针对网络信息安全达成统一的地方主要是其五大特征，即完整性、保密性、可用性、可控性和不可否认性。我国相关研究人员则认为网络信息可以划分为四个部分，即环境、系统、程序以及数据安全[3]。网络信息安全是一项综合学科，涉及的专业门类甚广，主要包括计算机技术、网络技术、密码技术、通讯技术等。从广义来看，与网络信息五大特征相关的所有理论与技术都可以纳入网络信息安全范畴；从狭义来看，网络信息安全表示互联网中的信息安全，这又涉及软硬件以及系统的安全。

（二）网络信息安全的特点

不同于以往常常谈及的政治或军事安全，网络信息安全具备独有的特点，可以归纳为如下几点：

其一，脆弱性。网络系统的脆弱性主要来自于其自身的开放性，开放即意味着可能随之而来的危险，系统越是开放，网络信息便越不安全。网络系统的脆弱性在其设计、运作和维持等多个过程中都有所体现。在设计过程中，设计人员虽然会将网络信息安全可能遭受的威胁纳入技术攻关范畴，然而设计人员难以在防控设计过程中臻于完美，即便在设计过程中将各种防御措施都融入网络系统，在后期运作过程中，其安全性也会受到操作水平、维护水平等诸多因素的影响；在运作与维持过程中，网络信息安全受到的威胁最为明显，这种威胁主要来自于各类未知软件存在的风险[4]。故而，设计过程中存在的不足与运作过程中存在的威胁都对网络信息安全造成了影响，使得网络系统在任一过程中的任意时间都面临着黑客攻击的威胁，同时极有可能导致网络系统瘫痪、信息传输泄密等事故的发生。

其二，突发性。网络信息安全问题的爆发往往是突发的，这主要来自于计算机病毒的蔓延式传播。计算机病毒在目前得到较为广泛认可的定义是，人类创造的在计算机系统内具有复制、传播等功能的代码，具有强大的破坏能力与超快的传播速度。该病毒的爆发往往是难以预计的，因此可以迅速侵蚀系统或软件中的数据，进而对计算机造成破坏，部分病毒的目标则是盗取计算机的数据。计算机病毒的爆发具有突发性的另一个原因便是其能够长时间潜伏在计算机中，由于该病毒是人类设计的，因此其在进入计算机系统后可以长期潜伏，并在潜伏一定时间后植入系统信任的程序，而潜伏时间越长，则其能够窃取到的信息数量便越多。在潜伏期间，病毒并不会干扰系统的运作，而其一旦爆发后，对于计算机造成的影响将是难以估计的。

其三，全球性。网络信息传播范围之广、速度之快，是人类在信息传播领域达到的顶峰，网络的联动则促进着全球一体化进程。然而网络的开放性也为网络攻击创造了便利，导致网络信息安全事故故不存在国家限制，任何国家都有可能出现网络信息安全问题。例如，2015年10月，英国电信运营商Talktalk旗下约有120万用户信息泄露，包括电子邮件、名字和电话号码，以及数万银行账户信息[5]；2016年1月，美国最大的有线电视公司时代华纳表示旗下约有32万用户的邮件和密码信息已被黑客窃取；2017年5月，新型“蠕虫”式勒索病毒WannaCry爆发，席卷全球。这场全球最大的网络攻击已经造成至少150个国家和20万台机器受到感染。受害者包括中国、英国、俄罗斯、德国和西班牙等国的医院、大学、制造商和政府机构。由此可见，深化国际网络信息安全合作，将逐渐成为抵御网络信息安全问题的必然趋势。

二、网络信息安全控制理论

网络信息安全控制并非新鲜话题，计算机研究学者早已对其展开了多年的研究，其理论研究核心主要集中在机制与评价两个方面。

（一）网络信息安全控制机制

根据管理学的相关知识，控制是管理的关键职能之一，主要由控制者、对象、手段与工具组成，这三者是网络信息安全控制机制构建中的重要元素[6]。其一，网络信息安全控制者，一般是数据库或服务器的管理人员；其二，网络信息安全控制对象，一般包括人力、资产、时间等核心资源，也包括数据库等信息系统；其三，网络信息安全控制手段与工具，一般包含管理机构、机制、方法，这些都是控制行为有效施展的基本保障[7]。大数据时代下，计算机和互联网能够有效提升控制效能，因此控制行为的实施还需紧紧依托此二者。要构建网络信息安全控制机制，就必须分析信息安全存在的主要问题，明确控制对象，向管理人员分派任务，对工作人员和物质资源进行合理分配，成立专门的控制机构，制定具有较强操作性的控制制度。

（二）网络信息安全控制评价

要实现对网络信息安全控制的有效评价，就必须紧握能够对其造成影响的关键因素，故而应当遵循科学性原则，这是确保评价准确性的必然要求[8]。大数据时代下，网络信息安全呈现出综合性特点，故而在对网络信息安全控制进行评价时应当重视全面性，同时需要展现出评价的针对性，并重视信息收集与量化的便捷性，尽可能对评价过程进行简化。

截至目前，国内外相关学者已对网络信息安全控制评价展开了诸多层面的研究，其中大部分学者认为应当在实践过程中完善评价指标体系[9]。综合这部分学者的观点，可以得出以下结论：在构建评价体系时，应当尽可能选取在大多数情况下都存在的评价指标，避免选取在偶然情况下出现的指标；应当重视评价指标的稳定性、普适性以及实用性。为确保上述观点得到落实，在选择评价指标时，既应重视指标的代表性，也应当重视指标的全面性，尽管最终选择的指标数量有限，但是在选择时应当尽可能地扩大选择范围，以确保评价体系的可行性[10]。此外，在选取指标时，还需确认该指标是否便于分析。网络信息的安全性主要取决于技术与管理，这两组评价对象显然较为复杂，许多指标难以量化。然而，网络信息的安全性必须依托能够量化的指标来评价，因此，还需尽可能量化指标，从而对网络信息的安全性进行科学而真实的评价。

三、大数据时代下网络信息安全存在问题及成因分析

网络信息安全问题无疑是21世纪人类发展面临的关键问题。虽然网络早已是信息传播的重要渠道，且信息技术发展迅猛，但网络信息安全的控制却未能引起广大群众的重视，以致信息安全漏洞屡屡被不法分子所利用，这为国家、政治、经济安全带来了严重威胁。

（一）大数据时代下网络信息安全存在的问题

首先，网络信息安全事故数量逐年增长。尽管当前网络信息安全控制在我国已上升至国家战略高度，信息技术也处在持续优化的过程中，然而我国网络信息安全控制技术仍旧亟待完善，核心技术还需依赖欧美等发达国家，这也为我国持续增长的网络安全事故数量埋下了隐患，其中企事业单位与个人用户往往是重灾区[11]。根据2018年2月国家互联网应急中心发布的《2017钓鱼网站报告》，国家互联网应急中心所处置的钓鱼网站IP地址绝大多数依然位于境外,占比达88.2%（2016年占比为77.6%），同比增长10.6%，针对境内目标的钓鱼网站IP地址持续向境外转移；根据2018年1月腾讯发布的《2017年度互联网安全报告》，2017年上半年物联网攻击增加了280%。9月，物联网安全研究公司Armis在蓝牙协议中发现了8个0day漏洞，预计影响全球超过53亿设备；10月，Wi-Fi设备WAP2安全协议又爆出安全漏洞，几乎所有手机系统受到影响；仅中国“网络黑产从业人员”就已超过150万，“市场规模”也已高达千亿级别；2017年上半年全球泄露或被盗的数据达19亿条，这一数字已经超过了2016年全年被盗数据总量，其中，仅雅虎一家就达到了30亿条。

其次，网络信息安全基础薄弱。我国信息产业发展时间不长，许多关键技术还处在摸索之中，因此在诸多方面受制于发达国家。就硬件而言，我国各大企业、事业单位以及个人用户所需的CPU大部分均非国产。虽然在超算领域，我国已领先世界，然而所需的诸多核心零件依然采购自美国。就软件而言，我国大多数民用计算机所使用的操作系统均来自微软，这既导致我国在网络信息安全控制上缺乏自主性，也导致我国相关管理水平难以提升[12]。此外，我国企业使用的管理软件九成以上均非国产，这不仅使得国外软件企业赚取了高额收益，也使得我国信息安全管理受制于人。

最后，网络信息安全面临全新挑战。信息技术的快速发展已然使得网络信息安全面临着诸多全新问题，具体包括以下几点：其一，计算机病毒正日益强大。计算机技术的发展也助推着病毒的进化，“蠕虫”式病毒兼具速度与破坏力，木马病毒则可以实现对寄主计算机的控制，尽管市面上一系列杀毒软件可以应对绝大多数普通病毒，但对于新型病毒而言仍然形同虚设[13]。其二，黑客攻击日益频繁。伴随计算机与网络普及范围的扩大，黑客数量同样逐年增长，因此黑客攻击次数日益增多，且攻击对象的难度也日益提升，过去黑客大多以民用电脑为主要攻击目标，当前政府、银行等安全等级较高的单位受到越来越多的黑客攻击，成为其挑战高难度的平台[14]。

（二）大数据时代下网络信息安全问题的形成原因

首先，技术设备层面上尚存一些缺陷和漏洞。尽管网络信息技术发展日趋成熟，但依然存在许多漏洞，使得不法分子有机可乘。其一，通信线路及设备存在缺陷。这类缺陷主要包含了电磁泄露、设备监听、终端接入等。信息设备运作时会寄生电磁信号，从而造成电磁泄露，不法分子则可以借助电磁泄漏，寻获无线传输信号，经过破解后窃取信息[15]；监听在当前网络高度发达的时代已不是新鲜事物，且已发展得较为成熟，高端黑客能够轻易侵入通信设备，对其实施窃听，从而获取传输信息；黑客还能够借助终端接入的方式，将终端连接至路由器，通过路由器实现终端和前置机的信息传输。其二，软件存在漏洞。在网络空间中，软件漏洞的价值使得其完全被赋予了商品的性质。在当前的科技时代下，人类生活的一切事物都在脱离现实，逐渐以数据的形态被记录在软件中，此时软件漏洞的危害性不言而喻。黑客能够借助软件漏洞侵入用户计算机，然后借助网络传播其制作的病毒，对更多计算机发起攻击，获取重要的私密信息，例如金融账户信息。

其次，人员层面上存在操作不当、专业技能不高等问题。网络信息安全问题之所以能够产生，人员因素起到了绝大部分助推作用。针对信息系统操作人员而言，可能保密意识还较为薄弱，对重要信息未做加密处理，密码设置的强度较低或是对文件的共享未设置权限；针对技术人员而言，可能专业技能有待提升，责任心不强，导致对保密设备造成了损坏；针对专业人员而言，问题出现的原因可能是其借职务之便，为达到非法目的而进入系统窃取信息；针对黑客而言，问题出现的原因可能是黑客借助系统端口，通过监听、截取、破译等方式获取系统信息[16]。因此，人员因素是影响网络信息安全的主要因素。

最后，管理层面上存在机制不够完善、监管缺位等问题。网络信息管理是提升网络信息安全性的重要手段，能够在一定程度上保障计算机系统中信息的安全。管理上一旦出现问题，网络信息的安全便难以保证了。管理层面的原因主要体现在以下几个方面：其一，管理机制不够完善，导致管理人员未能重视网络信息安全；其二，监督机制不够健全，以致技术人员玩忽职守，忽视操作章程；其三，培训机制过于落后，未能重视管理人员的安全教育，对技术人员的技能培训不够到位。

四、大数据时代下网络信息安全控制体系构建路径

在大数据时代下，信息已然成为各个国家、各个企业竞相争夺的战略资源。不论从国家安全角度来看，还是从社会发展角度来看，大数据的开放性都将带来诸多不确定的风险，深刻影响着国家与社会的和谐与稳定。唯有构建完善网络信息安全控制体系，大数据时代下的网络信息安全才可能得到保障。

（一）用户、提供商、管理者三方各尽其能，认真防范

首先，应当关注网络用户的信息活动。大数据背景下，网络与用户生活的联系紧密，但用户对自身信息的保护意识趋于弱化。分析历年的互联网安全报告可以发现，相当一部分网络信息泄露事故的发生都是源于用户保护意识薄弱，用户在这种情况下极易使自身网络信息受到盗用。由此可见，关注网络用户的信息活动，是保障网络信息安全的必然选择。网络用户的信息安全是网络信息安全工作的核心，确保用户信息的安全，能够使用户加深对网络的信任，从而确保用户敢于使用网络；网络用户是网络信息安全管理的对象，应当对其在网络中的活动作出科学引导，对其失当行为进行规制与规范。

其次，应当关注信息服务提供商的责任。服务提供商在网络信息安全事故中应当承担一定责任，如若其未能承担数据保护责任，则可根据其失责程度对其处以相应惩罚，例如通报批评、罚款、撤销经营许可等；网络信息受损的个人用户则可以通过法院向服务供应商索取民事赔偿；此外，立法部门还需考虑将服务供应商的失责行为纳入刑法范畴，使责任主体承担相应的刑事责任。

最后，提升网络安全管理者的职业素养。信息安全虽不是新兴专业，但是大数据时代对其提出了更多技术要求，因而对此专业的人才考核更为严格。为应对当下我国信息安全人才供不应求的现状，应加快相关专业人才的培养。国家与相关企业还需不断加大信息技术教育投入，提升专业人才的职业素养与创新能力，以期借助优质的信息人才队伍优化网络基础设施。

（二）设施、评价、法规三位一体

首先，关注网络设施构建与维护。相关企业与国家信息安全中心应当借助各类技术手段保障网络信息系统与数据库的安全，发挥安全机制的作用，构建科学、有效的网络信息安全体系。相关企业与部门应当加快硬件设施的建设，对内容网络进行科学管理；构建容灾备份系统与分散式数据库，确保数据中心在黑客与重大自然灾害的冲击下已然能够平稳运作。

其次，挑选科学的安全评价指标。评价指标的明确有利于网络信息安全工作标准的建立，从而便于相关企业与部门以统一标准规范网络信息安全工作。

最后，颁布网络信息安全法规。虽然我国之前已经颁布了一系列涉及信息安全的法律法规，然而从内容上来看，这部分法律法规都还存在一些漏洞，例如，对网络信息安全违法行为的描述不够清晰，责任划分存在模棱两可之处，显然无法适应大数据时代的安全形势。因此，还需针对网络信息安全制定专门性法律。

（三）依托现有技术，鼓励自主创新

首先，充分依托现有的安全技术。依托目前已开发完成的大数据安全技术，能够有效保障网络信息的安全，避免网络信息泄露、丢失、恶意篡改等问题的发生。因此，还需为大数据安全技术制定更加明确的标准与规范，设计相应的产品与服务，建立相应的大数据安全模型。为此，需要在大数据录入过程中对数据种类进行分类，依托数据挖掘手段，使得分类、分析、评估等程序能够自动运行；在通信的各个节点进行加密处理，确保网络攻击能够被最大限度地抵御；在录入过程中还应注意对数据进行标记，以便加快处理价值密度较低的大数据；根据标记数据的类型与敏感度，对数据进行有序的分类存储，确保大数据系统的稳定性与安全性；实时监控CPU、内存、硬盘等硬件的运行状况，以便构建科学的细粒度分析机制，从而避免硬件问题带来的信息安全威胁。

其次，鼓励网络信息安全技术的自主创新。大数据的开放性使得网络信息的泄露风险大大提升，持续改进安全技术则是应对不断提升的风险的重要手段。云计算、物联网的迅速崛起，无疑为大数据的处理与应用带来了更大的安全威胁。然而我国目前在大数据相关技术领域进展过于缓慢，核心技术受制于人，这都源于自主创新的缺失。因此，国家与相关企业应当通过制定激励政策、扩大资金投入，激发网络信息工作者的创新热情，不断推进我国网络信息安全技术的发展。