|
??????? 摘要:大數(shù)據(jù)時代是一個互聯(lián)、融合的時代���,網(wǎng)絡(luò)數(shù)據(jù)資源是一把懸在信息社會上空的達(dá)摩克利斯之劍��。針對數(shù)據(jù)資源的網(wǎng)絡(luò)攻擊不斷增加���,用戶個人信息泄露事件難以有效遏制����,然而����,現(xiàn)階段我國數(shù)據(jù)安全保護(hù)的技術(shù)防范和監(jiān)管能力仍然捉襟見肘。
當(dāng)前��,全球大數(shù)據(jù)產(chǎn)業(yè)日趨活躍��,技術(shù)演進(jìn)和應(yīng)用創(chuàng)新加速發(fā)展�,大數(shù)據(jù)在推動經(jīng)濟(jì)發(fā)展、改善公共服務(wù)���,乃至保障國家安全方面都有著重大意義,大數(shù)據(jù)時代已然到來���。與此同時��,網(wǎng)絡(luò)數(shù)據(jù)的增值也日趨顯著�,數(shù)據(jù)安全成為社會大眾普遍關(guān)注的焦點(diǎn)����。
大數(shù)據(jù)時代是一個互聯(lián)���、融合的時代,網(wǎng)絡(luò)數(shù)據(jù)資源是一把懸在信息社會上空的達(dá)摩克利斯之劍���。面對數(shù)據(jù)安全保障的新形勢���、新問題,下好發(fā)展安全“一盤棋”����,建設(shè)完善我國網(wǎng)絡(luò)空間安全保障體系,為我國的數(shù)據(jù)資源和公民信息提供全方位的保護(hù)已成未來發(fā)展的必由之路��。
大數(shù)據(jù)時代的數(shù)據(jù)安全理念變化
近年來����,云計(jì)算技術(shù)的大規(guī)模使用和大數(shù)據(jù)技術(shù)的成熟使得數(shù)據(jù)安全面臨的挑戰(zhàn)不斷增大,相應(yīng)的數(shù)據(jù)安全保護(hù)理念也發(fā)生了演進(jìn)與變化�。
第一,在大數(shù)據(jù)時代背景下����,數(shù)據(jù)價(jià)值凸顯導(dǎo)致安全挑戰(zhàn)激增。隨著大數(shù)據(jù)時代的到來,在我們所生活的物質(zhì)世界中��,越來越多的事物可以通過計(jì)算�、分析和預(yù)測形成數(shù)據(jù),經(jīng)過處理后�,再次反饋到物質(zhì)世界,進(jìn)而幫助我們對社會進(jìn)行優(yōu)化管理�����。
近年來��,大數(shù)據(jù)技術(shù)和應(yīng)用正從互聯(lián)網(wǎng)向更廣闊的領(lǐng)域擴(kuò)散���,并不斷催生新的產(chǎn)業(yè)生態(tài)���。在此過程中,數(shù)據(jù)資源的價(jià)值不再僅限于元數(shù)據(jù)價(jià)值���,還包括了數(shù)據(jù)的分析再利用的價(jià)值。
例如��,用戶的通話����、上網(wǎng)記錄可被交通�、旅游等行業(yè)管理部門用于分析人群分布和流動規(guī)律�����;微博的“點(diǎn)贊” 數(shù)據(jù)���,可用于分析用戶的生活狀態(tài)�、從事職業(yè)以及宗教信仰等��。
數(shù)據(jù)價(jià)值的多元化使得數(shù)據(jù)安全的破壞動機(jī)也日趨多樣�。為了獲得精神滿足、實(shí)現(xiàn)經(jīng)濟(jì)利益���、維護(hù)國家或集體利益�����,個人�����、企業(yè)����、各類團(tuán)體等都可能發(fā)起破壞數(shù)據(jù)安全的行為。同時����,技術(shù)隱蔽性高、侵害便利等技術(shù)誘因���,安全保護(hù)成本高�����、侵害成本低等環(huán)境便利����,也刺激了數(shù)據(jù)安全破壞行為的產(chǎn)生����。因此,網(wǎng)絡(luò)數(shù)據(jù)的明顯增值提高了數(shù)據(jù)受到破壞的危險(xiǎn)���,導(dǎo)致數(shù)據(jù)安全面臨著多方面的挑戰(zhàn),安全保護(hù)壓力不斷增加�。
第二�,在安全挑戰(zhàn)面前�����,各國數(shù)據(jù)安全觀念經(jīng)歷了從注重開放到強(qiáng)調(diào)保護(hù)的演進(jìn)過程�。近年來,全球數(shù)據(jù)量出現(xiàn)爆炸式增長�,數(shù)據(jù)結(jié)構(gòu)日趨復(fù)雜。據(jù)IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)預(yù)測��,到2020年��,全球人均產(chǎn)生數(shù)據(jù)量將達(dá)5200GB����,非結(jié)構(gòu)化、半結(jié)構(gòu)化的數(shù)據(jù)將大量出現(xiàn)��。數(shù)據(jù)來源日益龐雜�、數(shù)據(jù)種類和業(yè)務(wù)類型不斷增多、數(shù)據(jù)開放和保護(hù)需求的矛盾漸深使得針對數(shù)據(jù)采集安全�、數(shù)據(jù)整合與存儲安全、數(shù)據(jù)共享和發(fā)布安全的威脅不斷增多��。與日俱增的網(wǎng)絡(luò)數(shù)據(jù)安全威脅給數(shù)據(jù)安全保護(hù)帶來了嚴(yán)峻挑戰(zhàn)��。
在“棱鏡門”事件發(fā)生之前,國際社會�,特別是美、加����、歐等西方發(fā)達(dá)國家和地區(qū),對網(wǎng)絡(luò)數(shù)據(jù)的國際自由流動基本給予了默認(rèn)和支持���,網(wǎng)絡(luò)數(shù)據(jù)開放逐年深化��,針對數(shù)據(jù)跨境流動等的國際合作不斷推進(jìn)���,美歐信息安全港協(xié)議等國際協(xié)約陸續(xù)簽訂。
注重開放是國際社會對網(wǎng)絡(luò)數(shù)據(jù)保護(hù)秉持的基本理念��。“后棱鏡門”時代��,由于國際互信氛圍的破壞�����,各國開始明確并不斷強(qiáng)化數(shù)據(jù)保護(hù)責(zé)任����,網(wǎng)絡(luò)數(shù)據(jù)成為重要的國家資源�,各國對數(shù)據(jù)主權(quán)的維護(hù)不斷增強(qiáng)����。強(qiáng)調(diào)保護(hù)成為當(dāng)前各國對網(wǎng)絡(luò)數(shù)據(jù)的基本態(tài)度���。
當(dāng)前數(shù)據(jù)安全面臨的主要挑戰(zhàn)
盡管數(shù)據(jù)安全威脅種類繁多���、表征不一,但相對難以緩解����、尚無有效應(yīng)對措施或較難形成國際治理合力的主要有以下三項(xiàng),從而對目前的數(shù)據(jù)安全保障構(gòu)成嚴(yán)峻挑戰(zhàn)����。
第一,針對數(shù)據(jù)資源的網(wǎng)絡(luò)攻擊不斷增加�。由于網(wǎng)絡(luò)攻擊手段日漸復(fù)雜、頻度日益增加�、防范日趨艱難,網(wǎng)絡(luò)攻擊可能造成的數(shù)據(jù)損毀�����、泄露等風(fēng)險(xiǎn)也不斷加大,集中體現(xiàn)在兩方面:
一是數(shù)據(jù)中心頻受攻擊�,數(shù)據(jù)丟失及泄露風(fēng)險(xiǎn)加大;IDC是重要的信息基礎(chǔ)設(shè)施����,集中了大量的政府、企業(yè)和個人的核心業(yè)務(wù)服務(wù)器和重要數(shù)據(jù)�����,自2013年以來�,數(shù)據(jù)中心遭遇DDoS攻擊的占比已經(jīng)達(dá)到70%,且這些攻擊中有36%超出數(shù)據(jù)中心負(fù)荷的總帶寬���,頻繁的攻擊事件導(dǎo)致IDC數(shù)據(jù)丟失和泄露事件不斷發(fā)生�����。
二是新型網(wǎng)絡(luò)攻擊開始向數(shù)據(jù)資源蔓延�����,現(xiàn)有數(shù)據(jù)防護(hù)技術(shù)難以抵御�����;APT攻擊等新型網(wǎng)絡(luò)攻擊技術(shù)復(fù)雜性和隱蔽性越來越高�,威脅范圍不斷擴(kuò)大,現(xiàn)有保護(hù)措施難以應(yīng)對����,常導(dǎo)致大量機(jī)密數(shù)據(jù)被竊取�。如2014年,索尼影音公司遭遇ATP攻擊�����,硬盤數(shù)據(jù)被毀壞�����,大量員工信息及影視拷貝遭泄露�。
第二,用戶個人信息泄露事件難以有效遏制�。近年來,用戶隱私數(shù)據(jù)泄露事件成倍增加���,造成的損失不斷擴(kuò)大��,數(shù)據(jù)安全保護(hù)的技術(shù)防范和監(jiān)管能力仍然捉襟見肘����。
從2011年至今的4年時間里,全球約有總計(jì)11.2167億用戶隱私數(shù)據(jù)遭泄露���,2014年公開的信息泄露量已超過了2013年公開數(shù)量的4倍��。小米論壇800萬用戶數(shù)據(jù)泄露���、多家快遞網(wǎng)站共計(jì)1400萬用戶數(shù)據(jù)被轉(zhuǎn)賣、智聯(lián)招聘86萬用戶數(shù)據(jù)泄露等用戶個人信息泄露事件成為2014年社會大眾熱議的焦點(diǎn)�����。
2015年伊始���,12306網(wǎng)站13萬用戶的賬號�、密碼��、手機(jī)號碼等遭到泄露����;微信被爆存在高危漏洞,導(dǎo)致微信可被任意手機(jī)綁定,造成個人信息被盜等事件�����,使得社會對用戶個人信息保護(hù)的關(guān)注有增無減���。如何有效減少泄露事件已成為我國數(shù)據(jù)安全監(jiān)管的難題�����。
第三,數(shù)據(jù)開放和跨境流動成為監(jiān)管新焦點(diǎn)��。一方面��,隨著數(shù)據(jù)價(jià)值的體現(xiàn)和科技的發(fā)展��,以經(jīng)濟(jì)和民生需求為導(dǎo)向的數(shù)據(jù)開放共享需求日益強(qiáng)烈��,由此帶來的國家關(guān)鍵數(shù)據(jù)資源保護(hù)等問題已成為長期存在的矛盾難題���。
目前����,全世界已有60余個國家制定了開放政府?dāng)?shù)據(jù)計(jì)劃,數(shù)據(jù)開放已成為各國的共同趨勢��。但目前我國數(shù)據(jù)開放共享的安全保護(hù)機(jī)制尚不健全�,存在數(shù)據(jù)泄露等安全隱患。
另一方面�,數(shù)據(jù)跨境流動日趨頻繁,各國針對數(shù)據(jù)跨境流動監(jiān)管態(tài)度各異�,國際博弈激烈。數(shù)據(jù)跨境流動可能導(dǎo)致國家關(guān)鍵數(shù)據(jù)資源流失���,甚至被轉(zhuǎn)換為現(xiàn)實(shí)世界的各種掌控能力和攻擊能力���,嚴(yán)重威脅國家安全。雖然美國一貫倡導(dǎo)“數(shù)據(jù)共有����,自由流動”,但“后棱鏡”時代���,各國普遍擔(dān)心自身數(shù)據(jù)主權(quán)受到侵害��,限制數(shù)據(jù)跨境流動的國際陣營不斷擴(kuò)大���。
2015年�,俄羅斯出臺法律要求一年內(nèi)實(shí)現(xiàn)公民數(shù)據(jù)的境內(nèi)存儲����,歐美之間的“信息安全港”協(xié)議也即將終止,各國對于數(shù)據(jù)跨境流動監(jiān)管的布局還將繼續(xù)積極展開����。
數(shù)據(jù)保護(hù)體系構(gòu)建的關(guān)鍵問題思考
為了應(yīng)對數(shù)據(jù)安全挑戰(zhàn),優(yōu)化安全保障策略����,國際國內(nèi)都已建立了一套數(shù)據(jù)安全保護(hù)體系,并不斷對其進(jìn)行完善��。數(shù)據(jù)安全保障體系的關(guān)鍵要素包括:法律法規(guī)����、戰(zhàn)略政策���、監(jiān)管體制��、技術(shù)手段����、標(biāo)準(zhǔn)制定和安全評估等。
第一�,法律法規(guī)與戰(zhàn)略政策。法律法規(guī)是數(shù)據(jù)安全保護(hù)措施的準(zhǔn)繩�����,戰(zhàn)略政策是數(shù)據(jù)安全保護(hù)開展的方向�。近年來,各國不斷推進(jìn)數(shù)據(jù)安全立法����,紛紛出臺涉及數(shù)據(jù)安全的國家戰(zhàn)略政策,重點(diǎn)聚焦法律法規(guī)的落地實(shí)施�。一方面,各國的立法對象不斷細(xì)化��,針對熱點(diǎn)領(lǐng)域的立法不斷增多��,如歐盟確立了公民個人數(shù)據(jù)的“被遺忘權(quán)”����,并在新版《數(shù)據(jù)保護(hù)法》中禁止公民數(shù)據(jù)的跨國分享;在戰(zhàn)略政策方面��,各國多在在國家網(wǎng)絡(luò)戰(zhàn)略中對數(shù)據(jù)安全政策單獨(dú)說明���,并積極設(shè)立數(shù)據(jù)安全試點(diǎn)和專項(xiàng)��。
相比于外國�����,我國尚無專門針對數(shù)據(jù)安全的單行立法�����,但已出臺了多項(xiàng)部門規(guī)章����,如工業(yè)和信息化部頒布的《關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》等。此外�����,另有《上海市關(guān)于推進(jìn)政府信息資源向社會開放利用工作的實(shí)施意見》等數(shù)據(jù)保護(hù)地方政策��。
未來����,我國將科學(xué)推進(jìn)數(shù)據(jù)安全保護(hù)立法進(jìn)程�����,擴(kuò)展現(xiàn)有法律的調(diào)整范圍;提升數(shù)據(jù)安全戰(zhàn)略高度�,積極參與國際監(jiān)管規(guī)則制定,制定出臺針對數(shù)據(jù)跨境流動等熱點(diǎn)問題的監(jiān)管政策����,進(jìn)一步完善數(shù)據(jù)安全保護(hù)的法律與戰(zhàn)略體系。
第二����,監(jiān)管體制與技術(shù)手段。監(jiān)管體制是數(shù)據(jù)安全行政管理的保障�,技術(shù)手段是數(shù)據(jù)安全保護(hù)措施的依托。各發(fā)達(dá)國家數(shù)據(jù)安全的監(jiān)管體制主要有政府主導(dǎo)和行業(yè)自律兩種����,英、德等國以政府為主導(dǎo)�,建立了覆蓋事前、事中�、事后的全程行政管理體系;美國則允許行業(yè)組織制定行業(yè)內(nèi)的隱私保護(hù)規(guī)范����。同時�,各國已基本具備貫穿數(shù)據(jù)應(yīng)用的整個生命周期的通用安全技術(shù)保護(hù)手段����,并不斷加緊研發(fā)和應(yīng)用數(shù)據(jù)防泄漏技術(shù)等專用防護(hù)技術(shù)。
我國目前尚未形成明確的數(shù)據(jù)保護(hù)行政監(jiān)管體系��。數(shù)據(jù)保護(hù)的通用安全技術(shù)基本借鑒國際通用技術(shù)�����,并與之保持一致��,但核心專用保護(hù)技術(shù)仍有待提高�����。
未來���,我國可將數(shù)據(jù)保護(hù)納入安全管理的核心范疇�,加強(qiáng)數(shù)據(jù)跨境流動等重點(diǎn)領(lǐng)域的行政監(jiān)管體制��。同時����,大力加強(qiáng)數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)手段建設(shè),加快身份管理���、防御APT攻擊等關(guān)鍵技術(shù)研發(fā)�����。
第三�����,標(biāo)準(zhǔn)制定與安全評估��。標(biāo)準(zhǔn)制定和安全評估都是數(shù)據(jù)保護(hù)工作的重要支撐���。各西方國家長期以來不斷加緊標(biāo)準(zhǔn)的研制與完善,充分發(fā)揮標(biāo)準(zhǔn)與安全評估對數(shù)據(jù)安全保障策略的規(guī)范和促進(jìn)作用�����。目前�����,國外數(shù)據(jù)安全評估認(rèn)證體系已較為成熟,如美國的TRUSTe隱私認(rèn)證等被全球很多國家消費(fèi)者認(rèn)可和信賴����。
我國雖然數(shù)據(jù)安全標(biāo)準(zhǔn)制定起步較晚,但近年來對相關(guān)標(biāo)準(zhǔn)的重視逐步增加��,并制定了《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》等專門針對數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)����。目前,我國針對數(shù)據(jù)安全及用戶信息保護(hù)的安全評估尚為空白�����,仍有較大發(fā)展空間����。
未來,我國將加強(qiáng)數(shù)據(jù)安全標(biāo)準(zhǔn)制定的統(tǒng)籌規(guī)劃��,引導(dǎo)行業(yè)內(nèi)第三方機(jī)構(gòu)開展數(shù)據(jù)安全相關(guān)的檢測和評估��,逐步構(gòu)建我國的數(shù)據(jù)安全標(biāo)準(zhǔn)與評估體系���。
(作者:中國信息通信研究院安全所副所長 魏 亮)
|
