数据安全贯穿数据发展的始终，是数据广泛应用和有序发展的前提与核心，关系国家的安全、发展与稳定。数据在经济社会中得到广泛应用的同时，数据中包含的大量信息使得数据安全变得异常重要。

大量的数据泄露事件让我们意识到需要前沿技术加强防范。 2015 年年初发生的12306网站用户信息泄露事件，大量12306用户数据在互联网上疯传，包括用户账号、明文密码、身份证号码、电子邮箱等，数据被传播售卖，据互联网安全机构统计，泄露的用户信息多达13 万条。 2015 年还发生了网易等多起用户信息泄露等数据泄露事件，给我们敲响警钟。在用数据技术获取有价值信息的同时，“黑客” 等不法分子也正在利用这些数据技术最大限度地收集更多的有用信息，对其感兴趣的目标发起“精准” 的攻击，我们需要通过前沿科技对数据安全加强防范。

有些数据安全问题已经超越了技术所及的范畴。例如， 2015 年年末互联网出现多篇文章谈及阿里巴巴的数据安全问题带给了我们深刻的思考。众所周知，阿里巴巴的消费数据覆盖之广、累积之深，全球没有任何一家公司和机构能出其右；阿里巴巴的云计算技术位居业界翘楚，其数据挖掘能力几乎独步江湖。这两项结合起来，使阿里巴巴能够轻而易举地为其用户建立一个细致的个人档案并进行精准的行为预测。因此，阿里巴巴的大数据和云计算简直就是有史以来最为强大的情报搜集和分析系统———通过其大数据和云计算，中国人的一举一动及行为偏好都可以尽在其掌握之中。但是，阿里的股权结构(日资软银占34.１％、美资雅虎占22.4％)和企业国籍(注册于英属开曼群岛)，以及在美国上市的阿里巴巴已不属于中国企业。从国家安全的角度考量，这简直让人不寒而栗。以下是阿里巴巴的数据挖掘对国家安全造成威胁的两个实例: 第一，通过大数据挖掘建立起中国要害人员的个人档案———档主的社会关系、性格禀赋、兴趣爱好、隐私绯闻甚至生理周期和心理缺陷都尽在其中。有了这样一份个人档案，档主的行为偏好及弱点把柄就会被人洞若观火，威胁利诱等策反手段就能事半功倍。可以想象，如果我国各级军官甚至每一个士兵都被敌对国建立了这样一份档案，一旦开战，我方必败无疑；如果我们的外交及经济谈判代表团成员都被对方建立了这样一份档案，谈判的结果也不难想象。甚至可以这样说，如果阿里的大数据能以现在的规模再累积30 年，30 年后的中国领导人或许会从阿里巴巴的用户中产生。若此，阿里巴巴的大数据和云计算，差不多能披露30 年后领导人的个人隐私。第二，通过大数据挖掘建立起中国战略资源的流转及节点图。阿里巴巴的大数据本身就包含各种商品流转的数据，通过各种商品的流转很容易分析出国家各种资源的流转，由此绘制出中国各种战略资源的流转及节点图，包括各种战略资源流转的全部流程、转化的产品形态、持有人、关联系统及相关的地点、时点、数量产能。有了这样一份战略资源的流转及节点图，中国战略资源的薄弱环节就会清晰地展现出来。显然，无论战时还是平时，这样一份战略资源的流转及节点图都可用作瓦解国家安全的导航图。而这些安全威胁都是由于我们法律法规不健全造成的，因此，需要科学有效的法律规范加以约束。

云计算专家李志雷博士认为“数据安全三分靠技术，七分靠管理”，通过技术手段保障数据安全固然重要，但是管理也非常关键。

数据安全防御核心

随着信息化建设的不断发展，信息技术安全建设的重点已经从传统的网络安全、桌面安全、系统安全、应用安全和身份认证管理安全等领域，转向了数据安全。

数据中心的安全防御是数据安全的核心。

传统数据中心的安全防御

敏感数据“看不见”，核心数据“拿不走”，运维操作“能审计” 是数据中心的安全防御的重点。数据中心通常是以防为主，其安全可采用逐层深入的数据纵深防御过程，包括基于防火墙技术的数据阻止和记录，以配置管理为核心的审计和监测，以认证安全为核心的访问控制，以高级安全控制为核心的数据加密和屏蔽。执行过程包括监视威胁并且在其到达数据中心之前阻止、跟踪更改并审计数据活动、控制对数据的访问、防止非认证用户访问数据中心、从非生产数据中删除敏感数据等过程。

构建数据安全最大化体系成熟度模型是反映数据安全现状的最有效方式，包括６种状态，即无计划状态，初始状态，待完善状态，稳定状态，经验状态，完美状态。每个状态都包含数据中心防护安全、数据标签安全、数据通信安全、数据认证安全、数据备份安全、数据恢复安全、数据配置安全、认证管理安全、数据审计安全、用户管理安全这些关键环节。

云数据中心的安全防御

当前的云数据中心对安全产品的性能要求达到了前所未有的高度，数据中心防护设备必须要做到高性能、高可靠性、灵活部署和可扩展。虽然针对数据中心的安全服务遍及各大行业，甚至很多细分行业领域，但是对于数据中心的安全建设要求还是存在共性问题，高性能和虚拟化是当前数据中心安全防护亟待解决的两大基础共性问题。吞吐量动辄高达百G以上，延迟、小包吞吐率(包转发率)、会话能力要求也极高。另外，机房空间、能耗等也是制约数据中心发展的重要因素。因此节能、环保、绿色也是数据中心安全建设的一大要求。

云数据中心安全与传统数据中心安全和传统安全在安全目标、系统资源类型、基础安全技术方面是相同的，但云数据中心又有其特有的安全问题，图１为云数据中心安全体系与传统数据中心安全体系对比。云数据中心安全运维体系包含云用户安全、云服务安全及云运维安全3 个部分，每个部分具体组成如图2 所示。

▲图1　云安全与传统安全对比

▲图2　云用户安全、云服务安全及云运维安全

数据安全就是云安全体系，基于终端的木马感知云，将大量的可疑样本收集到安全云中，首先进行海量样本分拣，然后将分拣后的样本放入恶意软件分析流水线，最终将分析后的样本进行黑白名单的分类，然后将产生的大数据安全数据提供给云查杀引擎使用。由于该系统是一个生态的自循环系统，因此可以在最短的时间内发现世界上新产生的威胁，将这些威胁分析整理，用于边界防护和终端防护。

本文由王芳摘编自薛惠锋、张南、康熙曈著《数据安全与国家发展》(北京：科学出版社，2016.11)一书。

ISBN 978-7-03-050376-3

伴随着数据时代的到来， “数据即资产” 成为全球的新共识，发展数据成为全球的大趋势，运用数据治理国家、服务社会是全世界的共同目标。作为对客观世界进行量化和记录的结果，数据将每个部门、每个领域、每个产业、每个业务、每个应用以及我们每一个人无边界地联系在一起，使世界各国几乎又回到同一条起跑线，这为中国带来了弯道超车、实现跨越的难得机遇。本书借鉴欧美等发达国家数据发展战略及技术，运用钱学森系统科学思想与方法，对中国数据发展进行全面系统地剖析，构建以数据理论、数据技术、数据工程、数据产业为主线，以数据环境、数据管理为辅线，以数据基础为前提，以数据安全及数据主权为核心的数据发展体系框架，并在每一部分提出了中国数据发展的思路和建议ꎮ本书可供数据研究人员，高校、科研院所计算机科学与技术、电子信息工程、系统工程等专业师生，以及政府和企业管理人员参考。

一起阅读科学!

科学出版社│微信ID：sciencepress-cspm

专业品质  学术价值

原创好读  科学品味