映象新聞

劉多

　　大數據時代已經到來，大數據技術及應用蓬勃發展，大數據數量和價值快速攀升。除數據資源自身蘊含的豐富價值外，元數據資源經挖掘分析可創造出更為巨大的經濟和社會價值。隨著互聯網+行動計劃進一步推進實施，大數據將加速從互聯網向更廣泛的領域滲透，與此同時，大數據安全威脅也將全面輻射到各行各業。2015年開年發生的12306網站用戶信息泄露等多起數據泄露事件，再次給我們敲響警鐘，數據資源安全正面臨嚴峻挑戰。

　　一、大數據時代數據安全面臨的主要挑戰

　　1、數據基礎設施頻受攻擊，數據丟失及泄露風險加大

　　數據中心、移動智能終端承載大量重要業務數據和用戶個人信息，安全地位日益凸顯。然而，近年來針對IDC的攻擊日趨增加，2014年12月阿里云稱遭遇全球最大規模DDoS攻擊，2015年初一家亞洲網絡運營商的數據中心遭遇334Gbps的垃圾數據流攻擊。同時，侵犯數據安全的惡意應用、木馬等日益增多，對用戶隱私和財產安全構成極大隱患。2014全年，安全企業監測到的Android用戶感染惡意程序達3.19億人次，平均每天惡意程序感染量達到了87.5萬人次。

　　2、新型網絡威脅層出不窮，倒逼數據保護技術革新

　　新型網絡威脅的技術復雜性和隱蔽性越來越高，危害范圍不斷擴大。2014年心臟出血漏洞威脅全球約2/3的網絡服務器內存儲的用戶名、密碼以及服務器證書、私鑰等敏感數據安全；同年索尼公司遭遇ATP攻擊，大量員工信息及影視拷貝遭泄露。新型網絡威脅的層出不窮倒逼網絡數據保護技術創新突破。

　　3、數據交易地下產業鏈活動猖獗，治理仍需長期展開

　　在利益驅動下，針對用戶信息的非法收集、竊取、販賣和利用行為日漸猖獗，國內倒賣用戶信息的地下產業鏈總規模已超過百億。為防范和治理黑客地下產業鏈，2014年工信部開展了專項行動并取得一定成效，但同時也面臨技術手段多樣、涉及環節多、隱蔽性強等執法挑戰，長期治理任重道遠。

　　4、數據跨境流動成為關注熱點，監管機制面臨挑戰

　　互聯網和移動數據在全球范圍內的自由流動在成為經濟增長、就業創造和社會福利重要推動力的同時，也日益成為信息主權、知識產權、公民隱私權的重要威脅。由于數據跨境流動可能導致國家關鍵數據資源流失，各國高度重視數據跨境流動監管這一國際性難題，但目前仍缺乏指導數據跨境流動監管的統一規范和國際規則。

　　5、數據資源需求強烈，開放共享與安全保護矛盾凸顯

　　隨著智慧城市的建設發展與兩化融合的不斷深入，以經濟和民生需求為導向的數據開放共享需求日益強烈。交通、旅游等機構為優化服務對人群分布和流動數據提出訴求；商業客戶為產品定制和精準營銷，需要用戶行為特征數據進行決策支撐。目前數據資源開放共享缺乏統籌有力的管理和安全保障，國家數據資源的開放共享與安全保護已成為長期存在矛盾難題。

　　二、國際數據安全保障實踐

　　伴隨各國對于數據安全重要性認識的不斷加深，國際主要國家紛紛已從法律法規、戰略政策、技術手段、標準評估等方面展開了數據安全保障實踐。

　　1、聚焦信息共享和跨境流動，完善數據保護法律體系

　　美國頒布《2014年國家網絡安全保護法案》、積極推動出臺《網絡安全信息共享法案》，敦促私企與政府分享網絡安全信息。歐盟通過新版《數據保護法》,強調本地存儲和禁止跨國分享。俄羅斯2015年起實行新法規定，互聯網企業需將收集的俄羅斯公民信息存儲在俄羅斯國內。

　　2、頂層設計與政策落實并重，深化數據安全政策導向

　　各國紛紛將數據安全作為國家戰略的重要組成部分，對數據安全政策進行單獨說明。日本2013年《創建最尖端IT戰略》明確闡述了開放公共數據和大數據保護的國家戰略；印度2014年國家電信安全政策指導意見草案對移動數據保護作出規定。同時，創新政策的落實方式，通過項目模式引導政策落地。法國“未來投資計劃”有力推動云計算數據安全保護政策落實；英國“Data.Gov.uk”項目實測開放政府數據保護政策的應用效果。

　　3、從關鍵數據保護關鍵環節出發，強化安全技術手段

　　世界各國數據安全保障技術已覆蓋數據采集、存儲、挖掘和發布等關鍵環節，已具備傳輸安全和SSL/VPN技術、數字加密和數據恢復技術、基于生物特征等的身份認證和強制訪問控制技術、基于日志的安全審計和數字水印等溯源技術等保護數據安全的通用技術手段。此外,數據防泄漏(DLP)技術、云平臺數據安全等數據安全防護專用技術的研發與應用正不斷提速。

　　4、完善數據安全標準體系，開展數據安全評估和認證實踐

　　各國和國際標準組織紛紛出臺數據安全相關標準指南。美國國家標準與技術研究院（NIST）發布了用戶身份識別指南；ISO/IEC制定了公共云計算服務的數據保護控制措施實用規則。同時，對于數據安全的評估和相關認證體系日漸成熟。美國TRUSTe隱私認證得到全球很多國家消費者認可和信賴；歐盟委員會開展數據跨境流動安全評估，成為評判數據能否轉移的重要依據。此外，國際安全港認證、合同范本及公司綁定規則等實踐促進了數據安全保護水平的提升。

　　三、我國數據安全保障工作思考

　　近年來，我國高度重視數據安全，相繼出臺《加強網絡信息保護的決定》、《電信和互聯網用戶個人信息保護規定》等法律法規以及多部涉及數據保護的部門規章，發布國家和行業的網絡個人信息保護相關標準，在國家和行業層面開展了以數據安全為重點的安全防護檢查，取得一定成效。但總體看，我國數據安全單行立法缺失、專用保護技術不足、數據安全評估不夠等問題突出，數據安全保障能力亟待進一步提升。因此，應從當前面臨的數據安全挑戰出發，多管齊下，多措并舉，構建全面的數據安全保護體系，著力提升數據安全保障能力。

　　一是推進數據安全保護立法進程。加快數據安全立法進程，明確數據保護的對象、范疇和違法責任等，制定關于數據開放共享和跨境流動監管的法律條款。同時，拓寬現有法律的調整范圍，將工業互聯網、云計算等新技術新應用場景下的數據保護納入法律調整范疇。

　　二是出臺國家數據安全保護戰略。從國家安全、國家戰略資源的高度定位數據安全，強化數據戰略統籌。制定通信、金融等重點行業的關鍵數據和用戶信息的跨境流動監管政策，推動立法規范我國公民個人信息的境內存儲。積極參與國際規則的制定，提升我國在數據保護領域的話語權，為我國開展數據安全保護營造良好的國際環境。

　　三是加強數據安全保護技術攻關。加強數據保護關鍵技術手段建設，加快身份管理、APT攻擊防御、DDoS攻擊溯源等關鍵技術研發。加快數據安全監管支撐技術研究，提升針對敏感數據泄露、違法跨境數據流動等安全隱患的監測發現與處置能力。

　　四是健全數據安全標準體系和評估體系。統籌規劃數據安全相關標準制定，積極開展通用和專用的數據安全標準研發。強化數據安全相關檢測與評估，推動開展數據跨境流動安全評估。

　　四、結語

　　大數據時代，機遇與挑戰并存。面對新形勢新問題，堅持安全與發展并重，筑牢我國大數據安全管理的防線，守衛好我國信息主權和用戶隱私，才能防止大而無序、大而無安，真正實現大有所長、大有所用。