伴隨新技術(shù)新業(yè)務(wù)的創(chuàng)新發(fā)展和應(yīng)用普及,數(shù)據(jù)安全面臨著來自多方全新挑戰(zhàn)。我國的數(shù)據(jù)保護(hù)已經(jīng)起步且發(fā)展迅速,但與國際相比仍有追趕空間。建立完善的數(shù)據(jù)保護(hù)體系,為我國的數(shù)據(jù)資源和公民信息提供全方位的保護(hù),將是未來數(shù)據(jù)安全工作,乃至網(wǎng)絡(luò)安全工作需要解決的重要問題。
新技術(shù)伴生新威脅
由于網(wǎng)絡(luò)數(shù)據(jù)價(jià)值不斷凸顯、數(shù)據(jù)使用主體日漸多元、數(shù)據(jù)破壞動機(jī)復(fù)雜多樣,數(shù)據(jù)安全面臨著多方面嚴(yán)峻的挑戰(zhàn)。
網(wǎng)絡(luò)基礎(chǔ)設(shè)施頻受攻擊,數(shù)據(jù)丟失及泄露風(fēng)險(xiǎn)加大。存儲海量數(shù)據(jù)的IDC、云平臺、重要業(yè)務(wù)系統(tǒng)成為網(wǎng)絡(luò)攻擊重點(diǎn)目標(biāo),導(dǎo)致用戶信息泄露事件連接不斷:2014年蘋果公司iCloud平臺眾多好萊塢明星照片被盜外泄,小米論壇800萬用戶數(shù)據(jù)泄露,智聯(lián)招聘86萬用戶簡歷泄露;2015年12306網(wǎng)站13萬用戶的賬號、明文密碼、身份證與手機(jī)號碼等信息遭到泄露。
新興業(yè)態(tài)融合導(dǎo)致威脅蔓延,數(shù)據(jù)安全威脅全面泛化。“互聯(lián)網(wǎng)+”時(shí)代不斷催生新產(chǎn)品、新服務(wù)、新業(yè)態(tài),諸如工業(yè)物聯(lián)網(wǎng)等新興領(lǐng)域中聚集了大量的數(shù)據(jù)資源。萬物互聯(lián)下網(wǎng)絡(luò)攻擊正逐步向各類新型網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)及聯(lián)網(wǎng)終端滲透,安全威脅的范圍和內(nèi)容不斷擴(kuò)大與演化,伴生性安全威脅和傳統(tǒng)的安全威脅持續(xù)交織顯現(xiàn)。
新型攻擊和高危漏洞層出不窮,倒逼數(shù)據(jù)保護(hù)技術(shù)革新。ATP等新型網(wǎng)絡(luò)攻擊不斷出現(xiàn),攻擊頻率日趨密集,威脅范圍不斷擴(kuò)大,導(dǎo)致現(xiàn)有數(shù)據(jù)安全保護(hù)策略已無法有效應(yīng)對。全球性高危漏洞事件時(shí)有發(fā)生且危害嚴(yán)重,Bash漏洞影響范圍遍及全球約5億臺服務(wù)器及其他網(wǎng)絡(luò)設(shè)備,心臟流血漏洞威脅我國境內(nèi)約3.3萬網(wǎng)站服務(wù)器。
數(shù)據(jù)跨境流動成為關(guān)注熱點(diǎn),開放共享與安全保護(hù)矛盾凸顯。隨著數(shù)據(jù)價(jià)值的體現(xiàn)和科技的發(fā)展,數(shù)據(jù)跨境流動日趨頻繁,以經(jīng)濟(jì)和民生需求為導(dǎo)向的數(shù)據(jù)開放共享需求日益強(qiáng)烈,但各國針對數(shù)據(jù)跨境流動監(jiān)管態(tài)度各異,博弈激烈,數(shù)據(jù)開放共享帶來的隱私保護(hù)等安全問題已成為長期存在并有待解決的難題。
各國數(shù)據(jù)安全工作
當(dāng)今各國對于數(shù)據(jù)安全重要性的認(rèn)識不斷加深,積極開展數(shù)據(jù)安全保障實(shí)踐。
——全球各國數(shù)據(jù)保護(hù)立法進(jìn)程加快
美國修訂《對外情報(bào)監(jiān)聽法》,為監(jiān)聽項(xiàng)目的開展提供法律依據(jù);積極推動《網(wǎng)絡(luò)安全信息共享法案》的出臺。歐盟通過新版《數(shù)據(jù)保護(hù)法》,強(qiáng)調(diào)本地存儲和禁止跨國分享,并擬于2015年制定實(shí)施在歐洲大陸通用的數(shù)據(jù)保護(hù)法規(guī)。俄羅斯2015年起實(shí)行新法,規(guī)定收集俄公民信息的互聯(lián)網(wǎng)公司都應(yīng)將這些數(shù)據(jù)存儲在俄羅斯國內(nèi)。
——全球各國紛紛出臺涉及數(shù)據(jù)安全的國家戰(zhàn)略及政策,重點(diǎn)聚焦法令實(shí)施及數(shù)據(jù)跨境流動監(jiān)管
印度在2014年3月出臺的國家電信安全政策指導(dǎo)意見草案中,對移動數(shù)據(jù)的管控和保護(hù)作出了規(guī)定。日本在2013年“創(chuàng)建最尖端IT戰(zhàn)略”中,闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護(hù)的國家戰(zhàn)略。法國在“未來投資計(jì)劃”落實(shí)云計(jì)算數(shù)據(jù)安全保護(hù)政策。英國“Data.Gov.uk”數(shù)據(jù)開放網(wǎng)站項(xiàng)目實(shí)測開放政府?dāng)?shù)據(jù)保護(hù)政策的應(yīng)用效果。
——發(fā)達(dá)國家數(shù)據(jù)安全的行政監(jiān)管體制以政府主導(dǎo)和行業(yè)自律為主
政府主導(dǎo)型保護(hù)體制指專門特設(shè)保護(hù)機(jī)關(guān)負(fù)責(zé)個(gè)人信息保護(hù),如英國信息委員會辦公室、法國國家信息和自由委員會、德國聯(lián)邦數(shù)據(jù)保護(hù)委員會。美國對商業(yè)領(lǐng)域私營企業(yè)和社會的個(gè)人信息保護(hù)主要由行業(yè)協(xié)會通過自律公約進(jìn)行管理,其“TRUSTe組織”已發(fā)展為美國著名的隱私權(quán)保護(hù)第三方認(rèn)證機(jī)構(gòu)之一。
——全球各國加緊標(biāo)準(zhǔn)的研制與完善,充分發(fā)揮標(biāo)準(zhǔn)與安全評估對數(shù)據(jù)安全保障策略的規(guī)范和促進(jìn)作用
為應(yīng)對新技術(shù)與新業(yè)務(wù)安全需求,各國標(biāo)準(zhǔn)制定機(jī)構(gòu)和國際標(biāo)準(zhǔn)組織紛紛在原有標(biāo)準(zhǔn)的基礎(chǔ)上,進(jìn)行補(bǔ)充和完善,形成有針對性的、細(xì)化的保障方法和相關(guān)要求。同時(shí),各國以評估作為監(jiān)管抓手,應(yīng)用相關(guān)標(biāo)準(zhǔn)度量新技術(shù)新業(yè)務(wù)場景下的安全性,如美國要求被納入政府采購范圍的云服務(wù)商通過FedRAMP評估,內(nèi)容涉及注重隱私權(quán)要求與底層基礎(chǔ)架構(gòu)安全等。
新形勢下的應(yīng)對思路
為有效應(yīng)對新形勢下的數(shù)據(jù)安全挑戰(zhàn),應(yīng)從當(dāng)前面臨的數(shù)據(jù)安全挑戰(zhàn)出發(fā),不斷完善管理制度,多管齊下,多措并舉,構(gòu)建全面的數(shù)據(jù)安全保護(hù)體系。
——以法律法規(guī)為準(zhǔn)繩,推進(jìn)數(shù)據(jù)安全保護(hù)立法進(jìn)程
通過立法明確數(shù)據(jù)保護(hù)的對象、范疇和違法責(zé)任等,制定關(guān)于數(shù)據(jù)開放共享和跨境流動監(jiān)管的法律條款,防止國家重要數(shù)據(jù)資源的流失。將云計(jì)算、工業(yè)互聯(lián)網(wǎng)等新技術(shù)新應(yīng)用場景下的數(shù)據(jù)保護(hù)納入法律調(diào)整范疇。
——以戰(zhàn)略政策為方向,出臺國家數(shù)據(jù)安全保護(hù)戰(zhàn)略
出臺國家層面的網(wǎng)絡(luò)安全綜合戰(zhàn)略,并為數(shù)據(jù)安全單獨(dú)設(shè)章,從國家安全的高度定位數(shù)據(jù)安全。制定通信、金融等重點(diǎn)行業(yè)的關(guān)鍵數(shù)據(jù)和用戶信息的跨境流動監(jiān)管政策,推動我國公民個(gè)人信息的境內(nèi)存儲。積極參與國際數(shù)據(jù)保護(hù)規(guī)則的制定,提升我國在數(shù)據(jù)保護(hù)領(lǐng)域的話語權(quán),為我國開展數(shù)據(jù)安全保護(hù)營造良好的國際環(huán)境。
——以行政體制為保障,強(qiáng)化數(shù)據(jù)安全監(jiān)管體系建設(shè)
國家層面設(shè)置數(shù)據(jù)保護(hù)管理機(jī)構(gòu),對數(shù)據(jù)保護(hù)進(jìn)行統(tǒng)籌協(xié)調(diào);各行業(yè)設(shè)數(shù)據(jù)保護(hù)的接口單位,負(fù)責(zé)開展行業(yè)內(nèi)數(shù)據(jù)保護(hù)工作。完善數(shù)據(jù)保護(hù)行政監(jiān)管體系,確立數(shù)據(jù)保護(hù)的行業(yè)監(jiān)管模式,建立覆蓋備案、評估、舉報(bào)、處罰等各個(gè)環(huán)節(jié)的數(shù)據(jù)保護(hù)行政監(jiān)管機(jī)制,加強(qiáng)針對數(shù)據(jù)泄露、跨境流動、攻擊防范等重點(diǎn)安全問題的行政監(jiān)管。
——以標(biāo)準(zhǔn)評估為支撐,推動檢測評估體系不斷健全
構(gòu)建我國數(shù)據(jù)安全標(biāo)準(zhǔn)體系,制定和實(shí)施通用與專用的數(shù)據(jù)安全標(biāo)準(zhǔn)。引導(dǎo)行業(yè)內(nèi)第三方機(jī)構(gòu)開展數(shù)據(jù)安全相關(guān)的檢測和評估,提高企業(yè)的數(shù)據(jù)保護(hù)意識和社會責(zé)任感。開展針對數(shù)據(jù)跨境流動的安全評估,有效規(guī)范數(shù)據(jù)跨境流動。
京公網(wǎng)安備 11010502049343號