大数据时代已经到来,大数据技术及应用蒸蒸日上,大数据数量和价值快速攀升。除数据资源自身蕴含的丰富价值外,元数据资源经挖掘分析可创造出更为巨大的经济和社会价值。随着网络+行动计划进一步推进实施,大数据将加速从互联网向更广泛的领域渗透,与此同时,大数据安全威胁也将全面辐射到各行各业。2015年开年发生的12306网站用户个人信息泄露等多起数据泄露事件,再次给我们敲响警钟,数据资源安全正面临严峻挑战。
数据中心、移动智能终端承载大量重要业务数据和用户个人隐私信息,安全地位日益凸显。然而,近年来针对IDC的攻击日趋增加,2014年12月阿里云称遭遇全球规模最大DDoS攻击,2015年初一家亚洲网络运营商的数据中心遭遇334Gbps的垃圾数据流攻击。同时,侵犯数据安全的恶意应用、木马等日益增多,对用户隐私和财产安全构成极大隐患。2014全年,安全企业监测到的Android用户感染恶意程序达3.19亿人次,平均每天恶意程序感染量达到了87.5万人次。
新型网络威胁的技术复杂性和隐蔽性慢慢的升高,危害范围逐步扩大。2014年心脏出血漏洞威胁全球约2/3的网络服务器内存储的用户名、密码以及服务器证书、私钥等敏感数据安全;同年索尼公司遭遇ATP攻击,大量员工信息及影视拷贝遭泄露。新型网络威胁的层出不穷倒逼网络数据保护技术创新突破。
在利益驱动下,针对用户个人信息的非法收集、窃取、贩卖和利用行为日渐猖獗,国内倒卖用户个人信息的地下产业链总规模已超过百亿。为防范和治理黑客地下产业链,2014年工信部开展了专项行动并取得一定成效,但同时也面临技术方法多样、涉及环节多、隐蔽性强等执法挑战,长期治理任重道远。
互联网和移动数据在全世界内的自由流动在成为经济稳步的增长、就业创造和社会福利重要推动力的同时,也日益成为信息主权、知识产权、公民隐私权的重要威胁。由于数据跨境流动可能会引起国家关键数据资源流失,各国格外的重视数据跨境流动监管这一国际性难题,但目前仍缺乏指导数据跨境流动监管的统一规范和国际规则。
随着智慧城市的建设发展与两化融合的不断深入,以经济和民生需求为导向的数据开放共享需求日益强烈。交通、旅游等机构为优化服务对人群分布和流动数据提出诉求;商业客户为产品定制和精准营销,需要用户行为特征数据来进行决策支撑。目前数据资源开放共享缺乏统筹有力的管理和安全保障,国家数据资源的开放共享与安全保护已成为长期存在矛盾难题。
伴随各国对于数据安全重要性认识的不断加深,国际主要国家纷纷已从法律和法规、战略政策、技术方法、标准评估等方面展开了数据安全保障实践。
美国颁布《2014年国家网络安全保护法案》、积极推动出台《网络安全信息共享法案》,敦促私企与政府分享网络安全信息。欧盟通过新版《数据保护法》,强调本地存储和禁止跨国分享。俄罗斯2015年起实行新法规定,互联网公司需将收集的俄罗斯公民信息存储在俄罗斯国内。
各国纷纷将数据安全作为国家战略的重要组成部分,对数据安全政策进行单独说明。日本2013年《创建最尖端IT战略》明确阐述了开放公共数据和大数据保护的国家战略;印度2014年国家电信安全政策指导意见草案对移动数据保护作出规定。同时,创新政策的落实方式,通过项目模式引导政策落地。法国“未来资本预算”有力推动云计算数据安全保护政策落实;英国“Data.Gov.uk”项目实测开放政府数据保护政策的应用效果。
世界各国数据安全保障技术已覆盖数据采集、存储、挖掘和发布等关键环节,已具备传输安全和SSL/VPN技术、数字加密和数据恢复技术、基于生物特征等的身份认证和强制访问控制技术、基于日志的安全审计和数字水印等溯源技术等保护数据安全的通用技术方法。此外,数据防泄漏(DLP)技术、云平台数据安全等数据安全防护专用技术的研发与应用正不断提速。
各国和国际标准组织纷纷出台数据安全有关标准指南。美国国家标准与技术研究院(NIST)发布了用户身份识别指南;ISO/IEC制定了公共云计算服务的数据保护控制措施实用规则。同时,对于数据安全的评估和相关认证体系日渐成熟。美国TRUSTe隐私认证得到全球很多国家消费者认可和信赖;欧盟委员会开展数据跨境流动安全评估,成为评判数据能否转移的重要依据。此外,国际安全港认证、合同范本及公司绑定规则等实践促进了数据安全保护水平的提升。
近年来,我国格外的重视数据安全,相继出台《加强网络信息保护的决定》、《电信和互联网用户个人隐私信息保护规定》等法律和法规以及多部涉及数据保护的部门规章,发布国家和行业的网络个人隐私信息保护有关标准,在国家和行业层面开展了以数据安全为重点的安全防护检查,取得一定成效。但总体看,我国数据安全单行立法缺失、专用保护技术不足、数据安全评估不够等问题突出,数据安全保障能力亟待逐步提升。因此,应从当前面临的数据安全挑战出发,多管齐下,多措并举,构建全面的数据安全保护体系,着力提升数据安全保障能力。
一是推进数据安全保护立法进程。加快数据安全立法进程,明确数据保护的对象、范畴和违法责任等,制定关于数据开放共享和跨境流动监管的法律条款。同时,拓宽现有法律的调整范围,将工业互联网、云计算等新技术新应用场景下的数据保护纳入法律调整范畴。
二是出台国家数据安全保护战略。从国家安全、国家战略资源的高度定位数据安全,强化数据战略统筹。制定通信、金融等重点行业的关键数据和用户个人信息的跨境流动监管政策,推动立法规范我国公民个人隐私信息的境内存储。热情参加国际规则的制定,提升我国在数据保护领域的话语权,为我国开展数据安全保护营造良好的国际环境。
三是加强数据安全保护技术攻关。加强数据保护关键技术方法建设,加快身份管理、APT攻击防御、DDoS攻击溯源等关键研发技术。加快数据安全监督管理支撑技术探讨研究,提升针对敏感数据泄露、违法跨境数据流动等安全风险隐患的监测发现与处置能力。
四是健全数据安全标准体系和评估体系。统筹规划数据安全有关标准制定,积极开展通用和专用的数据安全标准研发。强化数据安全相关检测与评估,推动开展数据跨境流动安全评估。
大数据时代,机遇与挑战并存。面对新形势新问题,坚持安全与发展并重,筑牢我国大数据安全管理的防线,守卫好我国信息主权和用户隐私,才能防止大而无序、大而无安,真正的完成大有所长、大有所用。