大數(shù)據(jù)時代已經(jīng)到來，大數(shù)據(jù)技術及應用蓬勃發(fā)展，大數(shù)據(jù)數(shù)量和價值快速攀升。除數(shù)據(jù)資源自身蘊含的豐富價值外，元數(shù)據(jù)資源經(jīng)挖掘分析可創(chuàng)造出更為巨大的經(jīng)濟和社會價值。隨著互聯(lián)網(wǎng)+行動計劃進一步推進實施，大數(shù)據(jù)將加速從互聯(lián)網(wǎng)向更廣泛的領域滲透，與此同時，大數(shù)據(jù)安全威脅也將全面輻射到各行各業(yè)。2015年開年發(fā)生的12306網(wǎng)站用戶信息泄露等多起數(shù)據(jù)泄露事件，再次給我們敲響警鐘，數(shù)據(jù)資源安全正面臨嚴峻挑戰(zhàn)。

一、大數(shù)據(jù)時代數(shù)據(jù)安全面臨的主要挑戰(zhàn)

1、數(shù)據(jù)基礎設施頻受攻擊，數(shù)據(jù)丟失及泄露風險加大

數(shù)據(jù)中心、移動智能終端承載大量重要業(yè)務數(shù)據(jù)和用戶個人信息，安全地位日益凸顯。然而，近年來針對IDC的攻擊日趨增加，2014年12月阿里云稱遭遇全球最大規(guī)模DDoS攻擊，2015年初一家亞洲網(wǎng)絡運營商的數(shù)據(jù)中心遭遇334Gbps的垃圾數(shù)據(jù)流攻擊。同時，侵犯數(shù)據(jù)安全的惡意應用、木馬等日益增多，對用戶隱私和財產(chǎn)安全構成極大隱患。2014全年，安全企業(yè)監(jiān)測到的Android用戶感染惡意程序達3.19億人次，平均每天惡意程序感染量達到了87.5萬人次。

2、新型網(wǎng)絡威脅層出不窮，倒逼數(shù)據(jù)保護技術革新

新型網(wǎng)絡威脅的技術復雜性和隱蔽性越來越高，危害范圍不斷擴大。2014年心臟出血漏洞威脅全球約2/3的網(wǎng)絡服務器內(nèi)存儲的用戶名、密碼以及服務器證書、私鑰等敏感數(shù)據(jù)安全；同年索尼公司遭遇ATP攻擊，大量員工信息及影視拷貝遭泄露。新型網(wǎng)絡威脅的層出不窮倒逼網(wǎng)絡數(shù)據(jù)保護技術創(chuàng)新突破。

3、數(shù)據(jù)交易地下產(chǎn)業(yè)鏈活動猖獗，治理仍需長期展開

在利益驅(qū)動下，針對用戶信息的非法收集、竊取、販賣和利用行為日漸猖獗，國內(nèi)倒賣用戶信息的地下產(chǎn)業(yè)鏈總規(guī)模已超過百億。為防范和治理黑客地下產(chǎn)業(yè)鏈，2014年工信部開展了專項行動并取得一定成效，但同時也面臨技術手段多樣、涉及環(huán)節(jié)多、隱蔽性強等執(zhí)法挑戰(zhàn)，長期治理任重道遠。

4、數(shù)據(jù)跨境流動成為關注熱點，監(jiān)管機制面臨挑戰(zhàn)

互聯(lián)網(wǎng)和移動數(shù)據(jù)在全球范圍內(nèi)的自由流動在成為經(jīng)濟增長、就業(yè)創(chuàng)造和社會福利重要推動力的同時，也日益成為信息主權、知識產(chǎn)權、公民隱私權的重要威脅。由于數(shù)據(jù)跨境流動可能導致國家關鍵數(shù)據(jù)資源流失，各國高度重視數(shù)據(jù)跨境流動監(jiān)管這一國際性難題，但目前仍缺乏指導數(shù)據(jù)跨境流動監(jiān)管的統(tǒng)一規(guī)范和國際規(guī)則。

5、數(shù)據(jù)資源需求強烈，開放共享與安全保護矛盾凸顯

隨著智慧城市的建設發(fā)展與兩化融合的不斷深入，以經(jīng)濟和民生需求為導向的數(shù)據(jù)開放共享需求日益強烈。交通、旅游等機構為優(yōu)化服務對人群分布和流動數(shù)據(jù)提出訴求；商業(yè)客戶為產(chǎn)品定制和精準營銷，需要用戶行為特征數(shù)據(jù)進行決策支撐。目前數(shù)據(jù)資源開放共享缺乏統(tǒng)籌有力的管理和安全保障，國家數(shù)據(jù)資源的開放共享與安全保護已成為長期存在矛盾難題。

二、國際數(shù)據(jù)安全保障實踐

伴隨各國對于數(shù)據(jù)安全重要性認識的不斷加深，國際主要國家紛紛已從法律法規(guī)、戰(zhàn)略政策、技術手段、標準評估等方面展開了數(shù)據(jù)安全保障實踐。

1、聚焦信息共享和跨境流動，完善數(shù)據(jù)保護法律體系

美國頒布《2014年國家網(wǎng)絡安全保護法案》、積極推動出臺《網(wǎng)絡安全信息共享法案》，敦促私企與政府分享網(wǎng)絡安全信息。歐盟通過新版《數(shù)據(jù)保護法》,強調(diào)本地存儲和禁止跨國分享。俄羅斯2015年起實行新法規(guī)定，互聯(lián)網(wǎng)企業(yè)需將收集的俄羅斯公民信息存儲在俄羅斯國內(nèi)。

2、頂層設計與政策落實并重，深化數(shù)據(jù)安全政策導向

各國紛紛將數(shù)據(jù)安全作為國家戰(zhàn)略的重要組成部分，對數(shù)據(jù)安全政策進行單獨說明。日本2013年《創(chuàng)建最尖端IT戰(zhàn)略》明確闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護的國家戰(zhàn)略；印度2014年國家電信安全政策指導意見草案對移動數(shù)據(jù)保護作出規(guī)定。同時，創(chuàng)新政策的落實方式，通過項目模式引導政策落地。法國“未來投資計劃”有力推動云計算數(shù)據(jù)安全保護政策落實；英國“Data.Gov.uk”項目實測開放政府數(shù)據(jù)保護政策的應用效果。

3、從關鍵數(shù)據(jù)保護關鍵環(huán)節(jié)出發(fā)，強化安全技術手段

世界各國數(shù)據(jù)安全保障技術已覆蓋數(shù)據(jù)采集、存儲、挖掘和發(fā)布等關鍵環(huán)節(jié)，已具備傳輸安全和SSL/VPN技術、數(shù)字加密和數(shù)據(jù)恢復技術、基于生物特征等的身份認證和強制訪問控制技術、基于日志的安全審計和數(shù)字水印等溯源技術等保護數(shù)據(jù)安全的通用技術手段。此外,數(shù)據(jù)防泄漏(DLP)技術、云平臺數(shù)據(jù)安全等數(shù)據(jù)安全防護專用技術的研發(fā)與應用正不斷提速。

4、完善數(shù)據(jù)安全標準體系，開展數(shù)據(jù)安全評估和認證實踐

各國和國際標準組織紛紛出臺數(shù)據(jù)安全相關標準指南。美國國家標準與技術研究院（NIST）發(fā)布了用戶身份識別指南；ISO/IEC制定了公共云計算服務的數(shù)據(jù)保護控制措施實用規(guī)則。同時，對于數(shù)據(jù)安全的評估和相關認證體系日漸成熟。美國TRUSTe隱私認證得到全球很多國家消費者認可和信賴；歐盟委員會開展數(shù)據(jù)跨境流動安全評估，成為評判數(shù)據(jù)能否轉移的重要依據(jù)。此外，國際安全港認證、合同范本及公司綁定規(guī)則等實踐促進了數(shù)據(jù)安全保護水平的提升。

三、我國數(shù)據(jù)安全保障工作思考

近年來，我國高度重視數(shù)據(jù)安全，相繼出臺《加強網(wǎng)絡信息保護的決定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)以及多部涉及數(shù)據(jù)保護的部門規(guī)章，發(fā)布國家和行業(yè)的網(wǎng)絡個人信息保護相關標準，在國家和行業(yè)層面開展了以數(shù)據(jù)安全為重點的安全防護檢查，取得一定成效。但總體看，我國數(shù)據(jù)安全單行立法缺失、專用保護技術不足、數(shù)據(jù)安全評估不夠等問題突出，數(shù)據(jù)安全保障能力亟待進一步提升。因此，應從當前面臨的數(shù)據(jù)安全挑戰(zhàn)出發(fā)，多管齊下，多措并舉，構建全面的數(shù)據(jù)安全保護體系，著力提升數(shù)據(jù)安全保障能力。

一是推進數(shù)據(jù)安全保護立法進程。加快數(shù)據(jù)安全立法進程，明確數(shù)據(jù)保護的對象、范疇和違法責任等，制定關于數(shù)據(jù)開放共享和跨境流動監(jiān)管的法律條款。同時，拓寬現(xiàn)有法律的調(diào)整范圍，將工業(yè)互聯(lián)網(wǎng)、云計算等新技術新應用場景下的數(shù)據(jù)保護納入法律調(diào)整范疇。

二是出臺國家數(shù)據(jù)安全保護戰(zhàn)略。從國家安全、國家戰(zhàn)略資源的高度定位數(shù)據(jù)安全，強化數(shù)據(jù)戰(zhàn)略統(tǒng)籌。制定通信、金融等重點行業(yè)的關鍵數(shù)據(jù)和用戶信息的跨境流動監(jiān)管政策，推動立法規(guī)范我國公民個人信息的境內(nèi)存儲。積極參與國際規(guī)則的制定，提升我國在數(shù)據(jù)保護領域的話語權，為我國開展數(shù)據(jù)安全保護營造良好的國際環(huán)境。

三是加強數(shù)據(jù)安全保護技術攻關。加強數(shù)據(jù)保護關鍵技術手段建設，加快身份管理、APT攻擊防御、DDoS攻擊溯源等關鍵技術研發(fā)。加快數(shù)據(jù)安全監(jiān)管支撐技術研究，提升針對敏感數(shù)據(jù)泄露、違法跨境數(shù)據(jù)流動等安全隱患的監(jiān)測發(fā)現(xiàn)與處置能力。

四是健全數(shù)據(jù)安全標準體系和評估體系。統(tǒng)籌規(guī)劃數(shù)據(jù)安全相關標準制定，積極開展通用和專用的數(shù)據(jù)安全標準研發(fā)。強化數(shù)據(jù)安全相關檢測與評估，推動開展數(shù)據(jù)跨境流動安全評估。

四、結語

大數(shù)據(jù)時代，機遇與挑戰(zhàn)并存。面對新形勢新問題，堅持安全與發(fā)展并重，筑牢我國大數(shù)據(jù)安全管理的防線，守衛(wèi)好我國信息主權和用戶隱私，才能防止大而無序、大而無安，真正實現(xiàn)大有所長、大有所用。