劉多

　　大數(shù)據(jù)時代已經(jīng)到來，大數(shù)據(jù)技術(shù)及應(yīng)用蓬勃發(fā)展，大數(shù)據(jù)數(shù)量和價值快速攀升。除數(shù)據(jù)資源自身蘊(yùn)含的豐富價值外，元數(shù)據(jù)資源經(jīng)挖掘分析可創(chuàng)造出更為巨大的經(jīng)濟(jì)和社會價值。隨著互聯(lián)網(wǎng)+行動計劃進(jìn)一步推進(jìn)實(shí)施，大數(shù)據(jù)將加速從互聯(lián)網(wǎng)向更廣泛的領(lǐng)域滲透，與此同時，大數(shù)據(jù)安全威脅也將全面輻射到各行各業(yè)。2015年開年發(fā)生的12306網(wǎng)站用戶信息泄露等多起數(shù)據(jù)泄露事件，再次給我們敲響警鐘，數(shù)據(jù)資源安全正面臨嚴(yán)峻挑戰(zhàn)。

　　一、大數(shù)據(jù)時代數(shù)據(jù)安全面臨的主要挑戰(zhàn)

　　1、數(shù)據(jù)基礎(chǔ)設(shè)施頻受攻擊，數(shù)據(jù)丟失及泄露風(fēng)險加大

　　數(shù)據(jù)中心、移動智能終端承載大量重要業(yè)務(wù)數(shù)據(jù)和用戶個人信息，安全地位日益凸顯。然而，近年來針對IDC的攻擊日趨增加，2014年12月阿里云稱遭遇全球最大規(guī)模DDoS攻擊，2015年初一家亞洲網(wǎng)絡(luò)運(yùn)營商的數(shù)據(jù)中心遭遇334Gbps的垃圾數(shù)據(jù)流攻擊。同時，侵犯數(shù)據(jù)安全的惡意應(yīng)用、木馬等日益增多，對用戶隱私和財產(chǎn)安全構(gòu)成極大隱患。2014全年，安全企業(yè)監(jiān)測到的Android用戶感染惡意程序達(dá)3.19億人次，平均每天惡意程序感染量達(dá)到了87.5萬人次。

　　2、新型網(wǎng)絡(luò)威脅層出不窮，倒逼數(shù)據(jù)保護(hù)技術(shù)革新

　　新型網(wǎng)絡(luò)威脅的技術(shù)復(fù)雜性和隱蔽性越來越高，危害范圍不斷擴(kuò)大。2014年心臟出血漏洞威脅全球約2/3的網(wǎng)絡(luò)服務(wù)器內(nèi)存儲的用戶名、密碼以及服務(wù)器證書、私鑰等敏感數(shù)據(jù)安全；同年索尼公司遭遇ATP攻擊，大量員工信息及影視拷貝遭泄露。新型網(wǎng)絡(luò)威脅的層出不窮倒逼網(wǎng)絡(luò)數(shù)據(jù)保護(hù)技術(shù)創(chuàng)新突破。

　　3、數(shù)據(jù)交易地下產(chǎn)業(yè)鏈活動猖獗，治理仍需長期展開

　　在利益驅(qū)動下，針對用戶信息的非法收集、竊取、販賣和利用行為日漸猖獗，國內(nèi)倒賣用戶信息的地下產(chǎn)業(yè)鏈總規(guī)模已超過百億。為防范和治理黑客地下產(chǎn)業(yè)鏈，2014年工信部開展了專項(xiàng)行動并取得一定成效，但同時也面臨技術(shù)手段多樣、涉及環(huán)節(jié)多、隱蔽性強(qiáng)等執(zhí)法挑戰(zhàn)，長期治理任重道遠(yuǎn)。

　　4、數(shù)據(jù)跨境流動成為關(guān)注熱點(diǎn)，監(jiān)管機(jī)制面臨挑戰(zhàn)

　　互聯(lián)網(wǎng)和移動數(shù)據(jù)在全球范圍內(nèi)的自由流動在成為經(jīng)濟(jì)增長、就業(yè)創(chuàng)造和社會福利重要推動力的同時，也日益成為信息主權(quán)、知識產(chǎn)權(quán)、公民隱私權(quán)的重要威脅。由于數(shù)據(jù)跨境流動可能導(dǎo)致國家關(guān)鍵數(shù)據(jù)資源流失，各國高度重視數(shù)據(jù)跨境流動監(jiān)管這一國際性難題，但目前仍缺乏指導(dǎo)數(shù)據(jù)跨境流動監(jiān)管的統(tǒng)一規(guī)范和國際規(guī)則。

　　5、數(shù)據(jù)資源需求強(qiáng)烈，開放共享與安全保護(hù)矛盾凸顯

　　隨著智慧城市的建設(shè)發(fā)展與兩化融合的不斷深入，以經(jīng)濟(jì)和民生需求為導(dǎo)向的數(shù)據(jù)開放共享需求日益強(qiáng)烈。交通、旅游等機(jī)構(gòu)為優(yōu)化服務(wù)對人群分布和流動數(shù)據(jù)提出訴求；商業(yè)客戶為產(chǎn)品定制和精準(zhǔn)營銷，需要用戶行為特征數(shù)據(jù)進(jìn)行決策支撐。目前數(shù)據(jù)資源開放共享缺乏統(tǒng)籌有力的管理和安全保障，國家數(shù)據(jù)資源的開放共享與安全保護(hù)已成為長期存在矛盾難題。

　　二、國際數(shù)據(jù)安全保障實(shí)踐

　　伴隨各國對于數(shù)據(jù)安全重要性認(rèn)識的不斷加深，國際主要國家紛紛已從法律法規(guī)、戰(zhàn)略政策、技術(shù)手段、標(biāo)準(zhǔn)評估等方面展開了數(shù)據(jù)安全保障實(shí)踐。

　　1、聚焦信息共享和跨境流動，完善數(shù)據(jù)保護(hù)法律體系

　　美國頒布《2014年國家網(wǎng)絡(luò)安全保護(hù)法案》、積極推動出臺《網(wǎng)絡(luò)安全信息共享法案》，敦促私企與政府分享網(wǎng)絡(luò)安全信息。歐盟通過新版《數(shù)據(jù)保護(hù)法》,強(qiáng)調(diào)本地存儲和禁止跨國分享。俄羅斯2015年起實(shí)行新法規(guī)定，互聯(lián)網(wǎng)企業(yè)需將收集的俄羅斯公民信息存儲在俄羅斯國內(nèi)。

　　2、頂層設(shè)計與政策落實(shí)并重，深化數(shù)據(jù)安全政策導(dǎo)向

　　各國紛紛將數(shù)據(jù)安全作為國家戰(zhàn)略的重要組成部分，對數(shù)據(jù)安全政策進(jìn)行單獨(dú)說明。日本2013年《創(chuàng)建最尖端IT戰(zhàn)略》明確闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護(hù)的國家戰(zhàn)略；印度2014年國家電信安全政策指導(dǎo)意見草案對移動數(shù)據(jù)保護(hù)作出規(guī)定。同時，創(chuàng)新政策的落實(shí)方式，通過項(xiàng)目模式引導(dǎo)政策落地。法國“未來投資計劃”有力推動云計算數(shù)據(jù)安全保護(hù)政策落實(shí)；英國“Data.Gov.uk”項(xiàng)目實(shí)測開放政府?dāng)?shù)據(jù)保護(hù)政策的應(yīng)用效果。

　　3、從關(guān)鍵數(shù)據(jù)保護(hù)關(guān)鍵環(huán)節(jié)出發(fā)，強(qiáng)化安全技術(shù)手段

　　世界各國數(shù)據(jù)安全保障技術(shù)已覆蓋數(shù)據(jù)采集、存儲、挖掘和發(fā)布等關(guān)鍵環(huán)節(jié)，已具備傳輸安全和SSL/VPN技術(shù)、數(shù)字加密和數(shù)據(jù)恢復(fù)技術(shù)、基于生物特征等的身份認(rèn)證和強(qiáng)制訪問控制技術(shù)、基于日志的安全審計和數(shù)字水印等溯源技術(shù)等保護(hù)數(shù)據(jù)安全的通用技術(shù)手段。此外,數(shù)據(jù)防泄漏(DLP)技術(shù)、云平臺數(shù)據(jù)安全等數(shù)據(jù)安全防護(hù)專用技術(shù)的研發(fā)與應(yīng)用正不斷提速。

　　4、完善數(shù)據(jù)安全標(biāo)準(zhǔn)體系，開展數(shù)據(jù)安全評估和認(rèn)證實(shí)踐

　　各國和國際標(biāo)準(zhǔn)組織紛紛出臺數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)指南。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了用戶身份識別指南；ISO/IEC制定了公共云計算服務(wù)的數(shù)據(jù)保護(hù)控制措施實(shí)用規(guī)則。同時，對于數(shù)據(jù)安全的評估和相關(guān)認(rèn)證體系日漸成熟。美國TRUSTe隱私認(rèn)證得到全球很多國家消費(fèi)者認(rèn)可和信賴；歐盟委員會開展數(shù)據(jù)跨境流動安全評估，成為評判數(shù)據(jù)能否轉(zhuǎn)移的重要依據(jù)。此外，國際安全港認(rèn)證、合同范本及公司綁定規(guī)則等實(shí)踐促進(jìn)了數(shù)據(jù)安全保護(hù)水平的提升。

　　三、我國數(shù)據(jù)安全保障工作思考

　　近年來，我國高度重視數(shù)據(jù)安全，相繼出臺《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等法律法規(guī)以及多部涉及數(shù)據(jù)保護(hù)的部門規(guī)章，發(fā)布國家和行業(yè)的網(wǎng)絡(luò)個人信息保護(hù)相關(guān)標(biāo)準(zhǔn)，在國家和行業(yè)層面開展了以數(shù)據(jù)安全為重點(diǎn)的安全防護(hù)檢查，取得一定成效。但總體看，我國數(shù)據(jù)安全單行立法缺失、專用保護(hù)技術(shù)不足、數(shù)據(jù)安全評估不夠等問題突出，數(shù)據(jù)安全保障能力亟待進(jìn)一步提升。因此，應(yīng)從當(dāng)前面臨的數(shù)據(jù)安全挑戰(zhàn)出發(fā)，多管齊下，多措并舉，構(gòu)建全面的數(shù)據(jù)安全保護(hù)體系，著力提升數(shù)據(jù)安全保障能力。

　　一是推進(jìn)數(shù)據(jù)安全保護(hù)立法進(jìn)程。加快數(shù)據(jù)安全立法進(jìn)程，明確數(shù)據(jù)保護(hù)的對象、范疇和違法責(zé)任等，制定關(guān)于數(shù)據(jù)開放共享和跨境流動監(jiān)管的法律條款。同時，拓寬現(xiàn)有法律的調(diào)整范圍，將工業(yè)互聯(lián)網(wǎng)、云計算等新技術(shù)新應(yīng)用場景下的數(shù)據(jù)保護(hù)納入法律調(diào)整范疇。

　　二是出臺國家數(shù)據(jù)安全保護(hù)戰(zhàn)略。從國家安全、國家戰(zhàn)略資源的高度定位數(shù)據(jù)安全，強(qiáng)化數(shù)據(jù)戰(zhàn)略統(tǒng)籌。制定通信、金融等重點(diǎn)行業(yè)的關(guān)鍵數(shù)據(jù)和用戶信息的跨境流動監(jiān)管政策，推動立法規(guī)范我國公民個人信息的境內(nèi)存儲。積極參與國際規(guī)則的制定，提升我國在數(shù)據(jù)保護(hù)領(lǐng)域的話語權(quán)，為我國開展數(shù)據(jù)安全保護(hù)營造良好的國際環(huán)境。

　　三是加強(qiáng)數(shù)據(jù)安全保護(hù)技術(shù)攻關(guān)。加強(qiáng)數(shù)據(jù)保護(hù)關(guān)鍵技術(shù)手段建設(shè)，加快身份管理、APT攻擊防御、DDoS攻擊溯源等關(guān)鍵技術(shù)研發(fā)。加快數(shù)據(jù)安全監(jiān)管支撐技術(shù)研究，提升針對敏感數(shù)據(jù)泄露、違法跨境數(shù)據(jù)流動等安全隱患的監(jiān)測發(fā)現(xiàn)與處置能力。

　　四是健全數(shù)據(jù)安全標(biāo)準(zhǔn)體系和評估體系。統(tǒng)籌規(guī)劃數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)制定，積極開展通用和專用的數(shù)據(jù)安全標(biāo)準(zhǔn)研發(fā)。強(qiáng)化數(shù)據(jù)安全相關(guān)檢測與評估，推動開展數(shù)據(jù)跨境流動安全評估。

　　四、結(jié)語

　　大數(shù)據(jù)時代，機(jī)遇與挑戰(zhàn)并存。面對新形勢新問題，堅(jiān)持安全與發(fā)展并重，筑牢我國大數(shù)據(jù)安全管理的防線，守衛(wèi)好我國信息主權(quán)和用戶隱私，才能防止大而無序、大而無安，真正實(shí)現(xiàn)大有所長、大有所用。