海洋大数据安全现状及其工作对策建议

　　海洋大数据安全现状及其工作对策建议

　　    党中央、国务院高度重视数据安全。党的十九大报告提出“坚持总体国家安全观”“加强国家安全能力建设，坚决维护国家主权、安全、发展利益”。2020年3月《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据视为与土地、劳动力、资本和技术并行的五种生产要素之一，提出“加强数据资源整合和安全保护”。2021年9月1日《中华人民共和国数据安全法》（以下简称《数据安全法》）正式实施，充分彰显了国家对数据安全的高度重视。2021年8月30日《旗帜》杂志文章《坚持党管数据，保障数据安全》指出，大数据不仅是重要的生产资源，更是和“枪杆子”“笔杆子”一样重要的执政资源。数据作为生产要素的同时，数据安全更是事关国家安全。

　　    海洋数据总量大、产生速度快、结构类型复杂、数据中蕴藏着巨大的潜在价值，具有大数据“4V”的典型特征。经过多年建设发展，我国已经积累了海量的数据资源，海洋已经进入了“大数据时代”。同时，由此可能引发的海洋数据安全问题，诸如涉及国家海洋安全和权益、海洋核心技术秘密，以及海洋科研数据信息被攻击、被泄露、被窃取、被纂改、被非法使用等安全风险与日俱增。数据安全已成为大数据时代海洋数据资源管理与共享服务最紧迫的核心问题。深入贯彻落实《数据安全法》，促进海洋大数据安全发展，已成为当前和今后一段时间内需要持续关注和重点解决的问题。

　　    1、大数据安全发展现状

　　    1.1国外大数据安全政策发展

　　    在数据安全形势日益严峻、安全风险和威胁日益突出的今天，各国纷纷通过加强数据制度设计和立法保障来加强对数据安全的保护。从国际范围来看，数据全球化日趋明显，数据跨境流动治理政策面临重构。至今，国际上尚未有统一的数据政策与治理规则，但在2019年，美国、欧盟、俄罗斯、澳大利亚、越南、新加坡、芬兰、泰国、埃及、葡萄牙、印度等纷纷出台了大数据安全制度，通过内部立法来维护自身数据主权。

　　    1.2我国大数据安全政策发展

　　    近年来，我国加快调整和规范了网络运行安全和网络信息安全相关制度，以不断满足大数据时代数据安全管理制度的需求。2015年出台的《中华人民共和国国家安全法》提出“国家建设网络与信息安全保障体系，实现数据的安全可控”。2015年8月国务院印发《促进大数据发展行动纲要》，提出“健全大数据安全保障体系”“强化安全支撑”，网络和大数据安全保障工程设立专栏。2016年全国人大通过的《中华人民共和国网络安全法》提出通过数据分类、重要数据备份和加密等措施保障数据安全。《数据安全法》则分别从数据安全与发展、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行规定。明确了数据安全主管机构的监管职责，建立健全数据安全协同治理体系，提高数据安全保障能力，促进数据处境安全和自由流动，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，使数据安全有法可依、有章可循。依据相关法律法规，有关部门正在积极研制数据安全管理、跨境流动、云计算以及关键信息基础设施安全保护等配套法律法规，着力构建综合数据安全治理体系。总体上，为确保大数据产业在我国的健康发展，必须健全我国的大数据安全保障体系，加强大数据安全技术支撑。

　　    1.3大数据安全发展的历程

　　    大数据安全发展可以分为3个阶段。第一阶段典型特征是以“数据库安全”为核心，以数据库系统为安全目标，核心是保护边界、防止外部入侵、对外部进行监管。这个阶段以一种系统安全的思想来保护数据库系统，实际上是网络安全思想到数据安全思想的映射；第二阶段逐步进入以“数据场景化”为核心，重点针对数据离库之后在业务使用中的数据安全，核心理念在于尽可能保证业务系统正常使用。此阶段的数据安全发展受到数据共享范围扩大、数据资产积累和数据价值显现的驱动；第三阶段以“数据安全治理”为核心，进入到系统化的数据安全治理的时期，最关键特征就是体系化安全。在这个阶段，数据上升到资产、基础设施层面，数据安全不再是一个技术上的安全，实际上是组织规范加技术的整合，呈现的是整体的安全。

　　    2、海洋大数据安全现状和面临的挑战

　　    2.1海洋大数据安全现状

　　    海洋数据资源是认识海洋和经略海洋的重要战略性、基础性资源，通过海洋观监测、专项调查研究、国际合作与交换、极地大洋科考、海洋基础地理和遥感、海洋综合管理等建设发展。海洋数据最早可追溯至1662年，至今数据总量达PB级。其中不乏涉及海洋权益、海洋安全、海洋关键核心技术和重要海洋科研成果等数据资料，数据安全面临的挑战也正在与日俱增。

　　    我国高度重视海洋数据的安全管理。依托海洋行政主管部门的国家海洋资料管理机构，持续加强数据安全管控能力。在组织架构上，建立了由行政领导、安防工作联络员、数据库／网站软硬件环境运维人员、系统研发与管理人员、数据专业处理人员、对外服务专员和部门联络员等组成的数据管理与服务网络安防组织结构。在运行机制上，建立了网络安全预警监测、安全监督管理、等级测评与定级备案、应急响应与处置等软硬件环境及业务系统安防机制。在规章制度上，研究建立海洋数据管理服务办法和分类分级技术指标体系。技术手段上，数据传输按不同的安全域进行划分和边界防护，建立防御纵深化和多样化、防护策略系统性和动态化原则：数据存储依据数据级别，按照敏感、内部和公开区域进行分区存储，开展物理硬件、虚拟资源、业务系统和所有业务数据的安全防护；数据应用从网络、主机、应用、数据四个层面开展安全保护，结合数据级别开展数据分级应用；数据公开须经过严格的审查审批手续，对使用目的、用户资质、保密条件等进行审查报批。

　　    2.2海洋大数据安全面临的挑战

　　    随着大数据时代的到来，海洋大数据安全在技术和平台、数据安全和真实性、数据治理和法规标准等方面，面临着巨大的挑战。

　　    海洋大数据技术和平台方面。一是传统措施无法适配当前海洋大数据安全需要。传统的安全保护措施是基于边界保护，随着大数据更加复杂的底层结构、更加开放的分布式计算等，大数据应用系统变得更加模糊，原有的保护措施已无法满足当下的海洋大数据保护要求。二是海洋大数据平台安全隐患增多。越来越多的大数据应用采用开源平台及技术，数据处理功能倾向于大容量、高速率，而原生的安全特性，在整体安全规划考虑不足。随着海洋感知技术的不断发展，使得当前设备连接和海洋数据规模都达到了前所未有的程度，而在越来越多的新终端安全防护上现有的安全防护体系尚不成熟。三是海洋数据资源应用访问控制愈加困难。海洋数据的开放共享意味着将有更多用户可访问数据，大量的用户以及复杂的共享应用环境，会导致海洋大数据系统需要更加准确地识别和鉴别用户身份，传统基于集中数据存储的用户身份鉴别难以满足安全需求。

　　    海洋数据安全和真实性方面。一是海洋数据安全技术要求更高。分布式的系统部署、开放的网络环境等，都使得海洋大数据在保密性、完整性、可用性等方面面临更大挑战。二是部分海洋数据真实性保障更加困难。除了调查观测数据，通过互联网产生收集的数据往往经过多次转手，无法验证是否为原始数据，甚至无法确认数据是否被纂改、伪造，而依赖这些数据进行的海洋大数据应用，很可能得出错误的结果。

　　    海洋治理和法规标准方面。主要挑战表现在海洋大数据安全法规标准需要完善。海洋数据具有其鲜明的特点，需要从海洋数据的全生命周期考虑，制定完善的数据采集、传输、存储、处理、推送、共享服务的技术标准规范，需要深入研究制定科学合理且操作性强的海洋数据分类分级技术标准。亟待通过制定适应海洋的大数据应用和安全标准，有效促进海洋大数据安全应用，从而既能引导、规范、促进海洋大数据发展，又能确保海洋数据开放共享和安全保障需求之间的平衡。

　　    3、海洋大数据安全策略建议

　　    3.1深入理解海洋大数据安全的内涵

　　    通常来讲，海洋大数据安全的目标是保障海洋数据在体系内运行过程中不被窃取、破坏和滥用。在大数据时代背景下，更加重要的是要构建包括系统层面、数据层面和服务层面的海洋大数据安全框架。

　　    在系统层面，构建全局安全防护体系，保障海洋数据安全和各类海洋大数据应用正确、安全可靠地运行运营，同时保障海洋云计算、云存储、海洋数据采集终端、应用软件、网络通信等部分的安全。在数据层面，海洋大数据应用涉及数据采集、传输、存储、处理、共享、服务、交换、销毁等各个环节，每个环节都面临着不同的安全威胁，需要采取不同的安全防护措施，确保数据在各个环节的保密性、完整性、可用性，并且要采用分类分级、去标识化、脱敏等方法保护用户信息安全。在服务层面，加强海洋大数据资产管理、运营管理、风险管理，做好数据资产保护，确保海洋大数据服务安全可靠运行，从而充分挖掘海洋大数据的价值，提高生产效率，同时防范各种安全隐患。

　　    3.2确立海洋大数据安全管理原则和内容

　　    黄冬梅等从数据存储安全、访问安全、计算安全、共享安全、监管安全5个方面提出海洋数据安全对策，更多侧重数据实体和系统安全。以总体国家安全观理论为指导，参考“数据安全治理”的理念，始终坚持“安全与发展并重”，避免由于数据安全而完全放弃数据共享利用，将海洋大数据安全管理的主要内容分为数据战略安全、数据制度安全、数据系统安全、数据信息安全和数据实体安全等几个层面。

　　    海洋数据战略安全是从国家和国际的全局高度统筹谋划国家海洋数据安全和利益的方略，包括国家海洋数据战略和国家海洋数据规划等内容。海洋数据制度安全方面，依据“风险限定”制定，内容应涵盖海洋数据汇集管理措施、海洋数据分类分级规则、海洋数据国际合作机制、海洋数据交易规则等，实现数据自主可控并能够防范风险。海洋数据系统安全是要保护计算机网络系统、操作系统及数据库安全，包括数据传输系统安全、数据库系统运行安全、数据存储系统安全、计算机系统安全等。数据信息安全是指计算机存储介质上存放的数据及网络中传输的信息安全保护，包括数据处理过程的机密性和数据传输过程中的完整性。数据实体安全是指物理安全，保护计算机硬件设备、网络设置、存储介质及其他免遭天灾人祸的措施及其过程，具体包括数据存储物理环境安全、数据存储设备安全等。

　　    3.3坚持核心技术自主可控，开展海洋大数据安全关键技术攻关

　　    很多学者已经开展了大数据安全技术框架的研究。如马敏燕等（2020年）梳理了数据存储、数据挖掘、数据发布等安全技术手段。但由于大数据技术框架仍在不断演变当中，尚未形成相对统一的大数据安全技术框架。参考典型大数据系统和陈性元等构建的大数据安全技术框架，建立涵盖海洋大数据平台安全、海洋大数据安全监管、海洋大数据安全共享和可信服务3个部分的海洋大数据安全技术框架。

　　    海洋大数据平台安全是在充分发挥大数据处理平台核心功能的同时，保证任务调查与执行的安全、实现处理结果可信。采用数据加密（同态加密、可搜索加密、保留格式加密、属性加密等）、数据完整性证明和数据容灾备份等技术手段，应对资源共享与虚拟化给大数据基础设施带来的安全威胁，确保存储数据的机密性、完整性和可用性，解决海量数据的细粒度访问控制和跨域访问控制的挑战。海洋大数据安全监管方面，研究基于数据世系的海洋数据安全监管技术，尤其是基于世系检测数据安全威胁的自动化技术方法，为海洋数据监管提供支持。研究基于大数据技术的服务与平台安全监管，通过融合处理海洋大数据服务和平台的运行状态数据、网络数据流等多种安全数据，及时发现服务与平台面临的安全威胁，为系统监管和态势掌控提供支撑。最后，在海洋大数据安全共享和可信服务方面，研究基于数据迁移的数据安全共享、基于计算迁移的多中心协同可信服务、支持结构化和非结构化海洋数据、支持静态和动态脱敏的综合性脱敏等技术，面向多样化数据和海量用户请求，提升海洋大数据服务的可信性。

　　    3.4构建海洋大数据安全指数指标体系，动态开展海洋大数据安全评估

　　    参考大数据战略重点实验室课题组和国际数据管理协会(DAMA)等研究成果，针对海洋大数据安全面临的威胁和挑战，结合海洋大数据管理特点和工作实际，从海洋大数据安全制度、海洋大数据安全设施、海洋大数据安全能力、海洋大数据安全生态等四个维度构建海洋大数据安全指数，动态开展海洋大数据安全评估。

　　    海洋大数据安全制度维度分析方面，主要包括政策规范和顶层设计。在国家安全政策的宏观背景下，在战略层面推动海洋大数据管理相关制度、技术防护、安全运营以及过程管理等工作的开展，可以选取数据安全政策规范、标准评估等指标。海洋大数据安全设施维度分析方面，对海洋大数据基础设施、工具等硬件条件进行客观评价，主要评价海洋大数据安全基础设施完备度与服务安全情况，可以选取数据节点稳定度、灾备设施完备度、网络安全程度等指标。海洋大数据安全能力维度分析方面，对海洋大数据安全软件层进行评价，包括保障海洋大数据安全所使用的技术支撑、平台支撑以及人才支撑等内容，主要评价海洋大数据在出现危险、事故、侵害后的安全恢复能力，以及对安全事件发生的预见性、预警和相应能力等，可以选取技术研发、平台开放、攻防演练等指标。海洋大数据生态维度分析方面，对海洋大数据社会环境进行评价，聚焦海洋大数据全生命周期的最终体现，包括完整的数据安全产业体系、灵活的对外交流合作机制、鲜明的数据安全意识等。可以选取产业体系、合作机制、文化建设等指标。

　　    4、结语

　　当前，大数据技术飞速发展，数据治理体系不断完善，海洋数据管理与共享服务工作面临既是挑战也是转型的有利契机。在海洋大数据的舞台上，大数据、云计算、区块链等信息技术都是舞台的基础支撑，而海洋数据资源必然是舞台上的主角，因此，海洋大数据安全管理就显得尤为重要。本文提出的海洋大数据安全的内涵、内容、技术体系架构和评估指标体系等内容已经运用在国家海洋大数据资源体系安全管理工作中，现阶段只是很初步的研究，很多理念、方法和技术还有待于在后续的实践工作中进一步检验完善。

　　                 摘自：《海洋信息技术与应用》2022年第2期