2015年8月,國務院發(fā)布《促進大數據發(fā)展行動綱要》,總體部署大數據發(fā)展,并將健全大數據安全保障體系作為重要任務。在大數據成為國家基礎性戰(zhàn)略資源的今天,我國大數據安全卻面臨著嚴峻挑戰(zhàn):數據主權問題突出,政府、金融等領域關鍵數據泄露嚴重,開放共享與數據安全矛盾凸顯。目前各國政府紛紛出臺政策、采取措施,開展大數據安全保障實踐,為大數據發(fā)展保駕護航。我國該如何健全大數據安全保障體系,值得深思。

 
  我國大數據安全面臨嚴峻挑戰(zhàn)
 
  數據主權問題突出。隨著世界各國對數據的依賴程度快速上升,國際競爭焦點從對資本、土地、資源的爭奪轉向對數據的爭奪,維護數據主權成為國家主權的重要內容。當前我國對數據的掌控力正面臨著不小的威脅。一方面,美國等國家利用其信息技術優(yōu)勢監(jiān)控我國網絡,采取多種手段竊取我國核心要害部門機密信息,并從海量數據中挖掘我國社會、經濟、軍事等重要情報信息,嚴重威脅我國國家安全;
 
  另一方面,隨著云計算等新一代信息技術的加速應用普及,我國重要領域數據、公民身份數據等關鍵數據存儲在國外服務器上,這些數據有可能按照存儲國家的法律規(guī)定提供給該國國家安全等執(zhí)法部門,安全性無法得到保障。
 
  關鍵數據泄露嚴重。政府、金融等重要領域和行業(yè)信息基礎設施承載著大量的業(yè)務數據和用戶數據,近年來頻遭高強度、高復雜度的黑客攻擊,數據丟失和泄露事件時有發(fā)生,遭泄露數據規(guī)模大。例如,2014年12月,12306網站遭遇黑客“撞庫”攻擊,13萬用戶賬號、明文密碼、身份證、手機、郵箱等信息被泄露;2015年4月,超30個省市社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等曝出高危安全漏洞,僅社保類安全漏洞就達5279萬條,數千萬人的個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息泄露;唯品會、當當網、國美在線等電子商務平臺更是黑客攻擊的重要目標,均曾遭遇過大規(guī)模信息泄露。
 
  開放共享與數據安全矛盾凸顯。大數據具有巨大價值,但只有開放、讓數據真正流動起來,才能釋放大數據的價值。美國、英國等國家政府已經出臺了政府數據開放計劃,谷歌等企業(yè)也實施大數據開放項目。但在數據開放過程中,如何保護數據安全成為核心問題。由于缺乏大數據管理和安全保障機制,一些通信、互聯網企業(yè)出于政治、經濟等各種目的,利用自身便利非法獲取并使用用戶信息。同時,在利益的驅使下,針對網絡數據的非法收集、竊取、販賣和利用行為日漸猖獗,已形成黑色地下產業(yè)鏈,規(guī)模十分巨大。
 
  各國政府建立大數據安全保障體系的主要舉措
 
  將數據安全提升到國家戰(zhàn)略高度。2012年英國發(fā)布《開放數據白皮書》,明確要對個人數據進行保護規(guī)范,提出設立隱私保護專家,執(zhí)行隱私影響評估機制等措施,并規(guī)定政府日常業(yè)務中收集的大數據可以開放,而個人數據不開放。2013年日本《創(chuàng)建最尖端IT戰(zhàn)略》明確闡述了開放公共數據和大數據保護的國家戰(zhàn)略。2014年美國發(fā)布《大數據:把握機遇、維護價值》報告,提出發(fā)展大數據與安全保障的具體舉措。2014年,德國在《2014—2017年數字議程》中提出打造“數字強國”,并提出將出臺《信息保護級基本條例》加強大數據時代的安全保障。
 
  圍繞數據主權加強法律法規(guī)建設。歐盟通過新版《數據保護法》,強調本地存儲和禁止跨國分享,歐洲法院根據此法,于2015年10月宣判歐美《安全港協議》無效。俄羅斯從2015年起實行新法規(guī)定,互聯網企業(yè)需將收集的俄羅斯公民信息存儲在俄羅斯國內,禁止公民數據存儲在國外服務器上。巴西2014年通過《互聯網民法》,要求跨國互聯網公司在國外存儲巴西公民信息時,應作出承諾,遵守巴相關法律,以防這些信息被竊取。
 
  制定以安全為前提的數據共享政策。2013年,奧巴馬簽署13642總統(tǒng)令,對聯邦大數據管理提出新準則,在保護隱私安全與機密性的同時,將數據公開化納入政府的義務范圍。2013年澳大利亞《公共服務大數據戰(zhàn)略》強調推動公共行業(yè)利用大數據分析進行服務改革的同時保護公民隱私。印度2012年批準國家數據共享和開放政策,但同時列出非共享數據清單,包括保護國家安全、隱私、機密、商業(yè)秘密和知識產權等數據安全。
 
  強化關鍵數據保護技術手段建設,開展數據安全評估。圍繞數據采集、存儲、挖掘和發(fā)布等關鍵環(huán)節(jié),各國加快發(fā)展數字加密和數據恢復、基于生物特征等的身份認證和強制訪問控制、基于日志的安全審計和數字水印等溯源、數據防泄露等技術手段。
 
  美國、歐盟等還開展了數據安全評估工作,如美國TRUSTe隱私認證得到全球很多國家消費者的認可和信賴,歐盟數據跨境流動安全評估成為評判數據能否轉移的重要依據。
 
  健全我國大數據安全保障體系的幾點思考
 
  以維護數據主權為重點,建立健全大數據安全法律法規(guī)。在維護數據主權方面,我國已出臺一些政策,如《關于加強黨政部門云計算服務網絡安全管理的意見》中明確,黨政部門數據歸屬關系不變,敏感信息不出境。鑒于大數據資源的戰(zhàn)略地位,有必要建立和完善大數據安全法律法規(guī)體系,針對國內數據的所有權、自由流動、出境限制等問題,制定相應的法律法規(guī),同時加強大數據開放共享的制度建設,明確政府共享數據和非共享數據清單,對數據的收集使用和處理予以規(guī)范,切實保護大數據安全。
 
  強化制度建設,加強重點領域和行業(yè)關鍵數據的安全監(jiān)管。在大型數據中心、重點領域和行業(yè)信息系統(tǒng)深入落實等級保護制度,開展信息安全風險評估,并部署基于主動防御理念的技術防護手段和措施。做好大數據平臺及服務商的可靠性及安全性評測、應用安全評測、監(jiān)測預警和風險評估。利用大數據技術建立網絡安全監(jiān)測體系,實時監(jiān)測和感知網絡安全威脅,防御網絡攻擊,提升對大規(guī)模網絡攻擊威脅的發(fā)現和應對能力。強化數據安全相關檢測與評估,推動開展數據跨境流動安全評估。
 
  加強大數據安全技術研發(fā),建立完善大數據全過程安全標準體系。加強大數據安全技術的研發(fā),將安全技術融于新大數據技術中,提升大數據基礎設施關鍵設備、平臺、產品和服務的安全性能。研究制定數據采集、整合、提煉、挖掘、處理等全過程安全標準,制定從安全態(tài)勢判斷、安全分析、安全檢測到發(fā)現威脅的相關標準,有效防止數據丟失、泄露、被越權訪問、被篡改,保護國家核心數據、商業(yè)機密和用戶隱私等內容。
責任編輯:admin