刘多
大数据时代已经到来,大数据技术及应用蓬勃发展,大数据数量和价值快速攀升。除数据资源自身蕴含的丰富价值外,元数据资源经挖掘分析可创造出更为巨大的经济和社会价值。随着互联网+行动计划进一步推进实施,大数据将加速从互联网向更广泛的领域渗透,与此同时,大数据安全威胁也将全面辐射到各行各业。2015年开年发生的12306网站用户信息泄露等多起数据泄露事件,再次给我们敲响警钟,数据资源安全正面临严峻挑战。
一、大数据时代数据安全面临的主要挑战
1、数据基础设施频受攻击,数据丢失及泄露风险加大
数据中心、移动智能终端承载大量重要业务数据和用户个人信息,安全地位日益凸显。然而,近年来针对IDC的攻击日趋增加,2014年12月阿里云称遭遇全球最大规模DDoS攻击,2015年初一家亚洲网络运营商的数据中心遭遇334Gbps的垃圾数据流攻击。同时,侵犯数据安全的恶意应用、木马等日益增多,对用户隐私和财产安全构成极大隐患。2014全年,安全企业监测到的Android用户感染恶意程序达3.19亿人次,平均每天恶意程序感染量达到了87.5万人次。
2、新型网络威胁层出不穷,倒逼数据保护技术革新
新型网络威胁的技术复杂性和隐蔽性越来越高,危害范围不断扩大。2014年心脏出血漏洞威胁全球约2/3的网络服务器内存储的用户名、密码以及服务器证书、私钥等敏感数据安全;同年索尼公司遭遇ATP攻击,大量员工信息及影视拷贝遭泄露。新型网络威胁的层出不穷倒逼网络数据保护技术创新突破。
3、数据交易地下产业链活动猖獗,治理仍需长期展开
在利益驱动下,针对用户信息的非法收集、窃取、贩卖和利用行为日渐猖獗,国内倒卖用户信息的地下产业链总规模已超过百亿。为防范和治理黑客地下产业链,2014年工信部开展了专项行动并取得一定成效,但同时也面临技术手段多样、涉及环节多、隐蔽性强等执法挑战,长期治理任重道远。
4、数据跨境流动成为关注热点,监管机制面临挑战
互联网和移动数据在全球范围内的自由流动在成为经济增长、就业创造和社会福利重要推动力的同时,也日益成为信息主权、知识产权、公民隐私权的重要威胁。由于数据跨境流动可能导致国家关键数据资源流失,各国高度重视数据跨境流动监管这一国际性难题,但目前仍缺乏指导数据跨境流动监管的统一规范和国际规则。
5、数据资源需求强烈,开放共享与安全保护矛盾凸显
随着智慧城市的建设发展与两化融合的不断深入,以经济和民生需求为导向的数据开放共享需求日益强烈。交通、旅游等机构为优化服务对人群分布和流动数据提出诉求;商业客户为产品定制和精准营销,需要用户行为特征数据进行决策支撑。目前数据资源开放共享缺乏统筹有力的管理和安全保障,国家数据资源的开放共享与安全保护已成为长期存在矛盾难题。
二、国际数据安全保障实践
伴随各国对于数据安全重要性认识的不断加深,国际主要国家纷纷已从法律法规、战略政策、技术手段、标准评估等方面展开了数据安全保障实践。
1、聚焦信息共享和跨境流动,完善数据保护法律体系
美国颁布《2014年国家网络安全保护法案》、积极推动出台《网络安全信息共享法案》,敦促私企与政府分享网络安全信息。欧盟通过新版《数据保护法》,强调本地存储和禁止跨国分享。俄罗斯2015年起实行新法规定,互联网企业需将收集的俄罗斯公民信息存储在俄罗斯国内。
2、顶层设计与政策落实并重,深化数据安全政策导向
各国纷纷将数据安全作为国家战略的重要组成部分,对数据安全政策进行单独说明。日本2013年《创建最尖端IT战略》明确阐述了开放公共数据和大数据保护的国家战略;印度2014年国家电信安全政策指导意见草案对移动数据保护作出规定。同时,创新政策的落实方式,通过项目模式引导政策落地。法国“未来投资计划”有力推动云计算数据安全保护政策落实;英国“Data.Gov.uk”项目实测开放政府数据保护政策的应用效果。
3、从关键数据保护关键环节出发,强化安全技术手段
世界各国数据安全保障技术已覆盖数据采集、存储、挖掘和发布等关键环节,已具备传输安全和SSL/VPN技术、数字加密和数据恢复技术、基于生物特征等的身份认证和强制访问控制技术、基于日志的安全审计和数字水印等溯源技术等保护数据安全的通用技术手段。此外,数据防泄漏(dlP)技术、云平台数据安全等数据安全防护专用技术的研发与应用正不断提速。
4、完善数据安全标准体系,开展数据安全评估和认证实践
各国和国际标准组织纷纷出台数据安全相关标准指南。美国国家标准与技术研究院(NIST)发布了用户身份识别指南;ISO/IEC制定了公共云计算服务的数据保护控制措施实用规则。同时,对于数据安全的评估和相关认证体系日渐成熟。美国trUSTe隐私认证得到全球很多国家消费者认可和信赖;欧盟委员会开展数据跨境流动安全评估,成为评判数据能否转移的重要依据。此外,国际安全港认证、合同范本及公司绑定规则等实践促进了数据安全保护水平的提升。
三、我国数据安全保障工作思考
近年来,我国高度重视数据安全,相继出台《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等法律法规以及多部涉及数据保护的部门规章,发布国家和行业的网络个人信息保护相关标准,在国家和行业层面开展了以数据安全为重点的安全防护检查,取得一定成效。但总体看,我国数据安全单行立法缺失、专用保护技术不足、数据安全评估不够等问题突出,数据安全保障能力亟待进一步提升。因此,应从当前面临的数据安全挑战出发,多管齐下,多措并举,构建全面的数据安全保护体系,着力提升数据安全保障能力。
一是推进数据安全保护立法进程。加快数据安全立法进程,明确数据保护的对象、范畴和违法责任等,制定关于数据开放共享和跨境流动监管的法律条款。同时,拓宽现有法律的调整范围,将工业互联网、云计算等新技术新应用场景下的数据保护纳入法律调整范畴。
二是出台国家数据安全保护战略。从国家安全、国家战略资源的高度定位数据安全,强化数据战略统筹。制定通信、金融等重点行业的关键数据和用户信息的跨境流动监管政策,推动立法规范我国公民个人信息的境内存储。积极参与国际规则的制定,提升我国在数据保护领域的话语权,为我国开展数据安全保护营造良好的国际环境。
三是加强数据安全保护技术攻关。加强数据保护关键技术手段建设,加快身份管理、APT攻击防御、DDoS攻击溯源等关键技术研发。加快数据安全监管支撑技术研究,提升针对敏感数据泄露、违法跨境数据流动等安全隐患的监测发现与处置能力。
四是健全数据安全标准体系和评估体系。统筹规划数据安全相关标准制定,积极开展通用和专用的数据安全标准研发。强化数据安全相关检测与评估,推动开展数据跨境流动安全评估。
四、结语
大数据时代,机遇与挑战并存。面对新形势新问题,坚持安全与发展并重,筑牢我国大数据安全管理的防线,守卫好我国信息主权和用户隐私,才能防止大而无序、大而无安,真正实现大有所长、大有所用。
原标题:刘多:大数据时代数据安全保障的举措分析