隨著互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等技術(shù)的快速發(fā)展,全球數(shù)據(jù)量出現(xiàn)爆發(fā)式增長。與此同時,云計算為這些海量的多樣化數(shù)據(jù)提供了存儲和運(yùn)算平臺,分布式計算等數(shù)據(jù)挖掘技術(shù)又使得大數(shù)據(jù)分析規(guī)律、研判趨勢的能力大大增強(qiáng)。在大數(shù)據(jù)不斷向各個行業(yè)滲透并深刻影響國家政治、經(jīng)濟(jì)、民生、國防等領(lǐng)域的同時,其安全問題也將對個人隱私、社會穩(wěn)定和國家安全帶來巨大的潛在威脅,如何應(yīng)對這些巨大的挑戰(zhàn),成為擺在我們面前的重要課題。
安全問題日益凸顯
隨著數(shù)字化進(jìn)程不斷深入,大數(shù)據(jù)逐步滲透至金融、汽車、制造、醫(yī)療等各個傳統(tǒng)行業(yè),甚至延伸到社會生活的每個角落,大數(shù)據(jù)安全問題的影響也日益增大,主要問題表現(xiàn)為以下幾個方面:
國家數(shù)據(jù)資源大量流失。互聯(lián)網(wǎng)海量數(shù)據(jù)的跨境流動,加劇了大數(shù)據(jù)作為國家戰(zhàn)略資源的大量流失,全世界的各類海量數(shù)據(jù)正在不斷匯總到美國,短期內(nèi)還看不到轉(zhuǎn)變的跡象。隨著未來大數(shù)據(jù)的廣泛應(yīng)用,涉及國家安全的政府和公用事業(yè)領(lǐng)域的大量數(shù)據(jù)資源也將進(jìn)一步開放,但目前由于相關(guān)配套法律法規(guī)和監(jiān)管機(jī)制尚不健全,極有可能造成國家關(guān)鍵數(shù)據(jù)資源的流失。
大數(shù)據(jù)環(huán)境下用戶隱私安全威脅嚴(yán)重。隨著大數(shù)據(jù)挖掘分析技術(shù)的不斷發(fā)展,個人隱私保護(hù)和數(shù)據(jù)安全變得非常緊迫。大數(shù)據(jù)環(huán)境下,人們對個人信息的控制權(quán)明顯下降,導(dǎo)致個人數(shù)據(jù)能夠被廣泛、詳實(shí)地收集和分析。大數(shù)據(jù)被應(yīng)用于攻擊手段,黑客可最大限度地收集更多有用信息,為發(fā)起攻擊做準(zhǔn)備,大數(shù)據(jù)分析讓黑客的攻擊更精準(zhǔn)。隨著大數(shù)據(jù)技術(shù)發(fā)展,更多信息可以用于個人身份識別,而個人身份識別信息的范圍界定困難,隱私保護(hù)的數(shù)據(jù)范圍變得模糊。以往建立在“目的明確、事先同意、使用限制”等原則之上的個人信息保護(hù)制度,在大數(shù)據(jù)場景下變得越來越難以操作。
基于大數(shù)據(jù)挖掘技術(shù)的國家安全威脅日益嚴(yán)重。大數(shù)據(jù)時代美國情報機(jī)構(gòu)已搶占先機(jī),美國通過遍布在全球的國安局監(jiān)聽機(jī)構(gòu)如地面衛(wèi)星站、國內(nèi)監(jiān)聽站、海外監(jiān)聽站等采集各種信息,對采集到的海量數(shù)據(jù)進(jìn)行快速預(yù)處理、解密還原、分析比對、深度挖掘,并生成相關(guān)情報,供上層決策。2013年6月底,美國中情局前雇員斯諾登爆料,美國情報機(jī)關(guān)通過思科路由器對中國內(nèi)地移動運(yùn)營商、中國教育和科研計算機(jī)網(wǎng)等骨干網(wǎng)絡(luò)實(shí)施長達(dá)4年之久的長期監(jiān)控,以獲取網(wǎng)內(nèi)海量短信數(shù)據(jù)和流量數(shù)據(jù)。
基礎(chǔ)設(shè)施安全防護(hù)能力不足引發(fā)數(shù)據(jù)資產(chǎn)失控。基礎(chǔ)通信網(wǎng)絡(luò)關(guān)鍵產(chǎn)品缺乏自主可控能力,成為大數(shù)據(jù)安全缺口。我國運(yùn)營企業(yè)網(wǎng)絡(luò)中,國外廠商設(shè)備的現(xiàn)網(wǎng)存量很大,國外產(chǎn)品存在原生性“后門”等隱患,一旦被遠(yuǎn)程利用,大量數(shù)據(jù)信息存在被竊取的安全風(fēng)險。我國大數(shù)據(jù)安全保障體系不健全,防御手段能力建設(shè)處于起步階段,尚未建立起針對境外網(wǎng)絡(luò)數(shù)據(jù)和流量的監(jiān)測分析機(jī)制,對“棱鏡”監(jiān)聽等深層次、復(fù)雜、高隱蔽性的安全威脅難以有效防御、發(fā)現(xiàn)和處置。
多措并舉聯(lián)防聯(lián)控
目前,世界各國均通過出臺國家戰(zhàn)略、促進(jìn)數(shù)據(jù)融合與開放、加大資金投入等推動大數(shù)據(jù)應(yīng)用。相比之下,各國在涉及大數(shù)據(jù)安全方面的保障舉措則剛剛起步,主要集中在通過立法加強(qiáng)對隱私數(shù)據(jù)的保護(hù)。德國在2009年對《聯(lián)邦數(shù)據(jù)保護(hù)法》進(jìn)行修改并生效,約束范圍包括互聯(lián)網(wǎng)等電子通信領(lǐng)域,旨在防止因個人信息泄露導(dǎo)致的侵犯隱私行為;印度在2012年批準(zhǔn)國家數(shù)據(jù)共享和開放政策的同時,通過擬定非共享數(shù)據(jù)清單以保護(hù)涉及國家安全、公民隱私、商業(yè)秘密和知識產(chǎn)權(quán)等數(shù)據(jù)信息;美國在2014年5月發(fā)布《大數(shù)據(jù):把握機(jī)遇,守護(hù)價值》白皮書表示,在大數(shù)據(jù)發(fā)揮正面價值的同時,應(yīng)該警惕大數(shù)據(jù)應(yīng)用對隱私、公平等長遠(yuǎn)價值帶來的負(fù)面影響,建議推進(jìn)消費(fèi)者隱私法案、通過全國數(shù)據(jù)泄露法案、修訂電子通信隱私法案等。
我國在布局、鼓勵和推動大數(shù)據(jù)發(fā)展應(yīng)用的同時,也應(yīng)提早謀劃、積極應(yīng)對大數(shù)據(jù)帶來的安全挑戰(zhàn),從戰(zhàn)略制定、法律法規(guī)、基礎(chǔ)設(shè)施防護(hù)等方面應(yīng)對大數(shù)據(jù)安全問題,為此提出幾條建議:
將大數(shù)據(jù)資源保護(hù)上升為國家戰(zhàn)略,建立分級分類安全管理機(jī)制。應(yīng)把數(shù)據(jù)資源視為國家戰(zhàn)略資源,將大數(shù)據(jù)資源保護(hù)納入到國家網(wǎng)絡(luò)空間安全戰(zhàn)略框架中,構(gòu)建大數(shù)據(jù)環(huán)境下的信息安全體系,提高應(yīng)急處置能力和安全防范能力,提升服務(wù)能力和運(yùn)作效率。通過國家層面的戰(zhàn)略布局,明確大數(shù)據(jù)資源保護(hù)的整體規(guī)劃和近遠(yuǎn)期重點(diǎn)工作。對國內(nèi)大數(shù)據(jù)資源,按實(shí)施分級分類安全保護(hù)思路,保障數(shù)據(jù)安全、可靠;積極開展大數(shù)據(jù)安全風(fēng)險評估工作,針對不同級別大數(shù)據(jù)特點(diǎn)加強(qiáng)安全防范。建議國家盡快制定不同級別的大數(shù)據(jù)采集、存儲、備份、遷移、處理和發(fā)布等關(guān)鍵環(huán)節(jié)的安全規(guī)范與標(biāo)準(zhǔn),配套完善相應(yīng)的監(jiān)管措施。
完善法律法規(guī),加大個人信息保護(hù)監(jiān)管力度。積極推動個人信息保護(hù)法律的立法工作,探索通過技術(shù)標(biāo)準(zhǔn)、行業(yè)自律等手段解決法律出臺前的個人信息保護(hù)問題。加快《網(wǎng)絡(luò)安全法》的出臺,在《網(wǎng)絡(luò)安全法》中對電信和互聯(lián)網(wǎng)行業(yè)用戶信息保護(hù)作出明確法律界定,為相關(guān)工作開展提供法律依據(jù)。加強(qiáng)對個人隱私保護(hù)的行政監(jiān)管,同時要加大對侵害個人隱私行為的打擊力度,建立對個人隱私保護(hù)的測評機(jī)制,推動大數(shù)據(jù)行業(yè)的自律和監(jiān)督。
加強(qiáng)國家信息基礎(chǔ)設(shè)施保護(hù),提升大數(shù)據(jù)安全保障與防范能力。促進(jìn)技術(shù)研究和創(chuàng)新,通過加大財政支持力度,激勵關(guān)系國家安全的政府部門及國有企事業(yè)單位采用安全可控的產(chǎn)品,提升我國基礎(chǔ)設(shè)施關(guān)鍵設(shè)備的安全可控水平。加強(qiáng)大數(shù)據(jù)信息安全系統(tǒng)建設(shè),針對大數(shù)據(jù)的收集、處理、分析、挖掘等過程,設(shè)計與配置相應(yīng)的安全產(chǎn)品,并組成統(tǒng)一的、可管控的安全系統(tǒng),推動建立國家級、企業(yè)級的網(wǎng)絡(luò)個人信息保護(hù)態(tài)勢感知、監(jiān)控預(yù)警、測評認(rèn)證平臺。充分利用大數(shù)據(jù)技術(shù)應(yīng)對網(wǎng)絡(luò)攻擊,通過大數(shù)據(jù)處理技術(shù)實(shí)現(xiàn)對網(wǎng)絡(luò)異常行為的識別和分析,基于大數(shù)據(jù)分析的智能驅(qū)動型安全模型,把被動的事后分析變成主動的事前防御;基于大數(shù)據(jù)的網(wǎng)絡(luò)攻擊追蹤,實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊行為的溯源。
京公網(wǎng)安備 11010502049343號