大數(shù)據(jù)騰飛迫切需要健全安全保障體系

去年8月，國務院發(fā)布《促進大數(shù)據(jù)發(fā)展行動綱要》，總體部署大數(shù)據(jù)發(fā)展，并將健全大數(shù)據(jù)安全保障體系作為重要任務。在大數(shù)據(jù)成為國家基礎性戰(zhàn)略資源的今天，我國大數(shù)據(jù)安全卻面臨著嚴峻挑戰(zhàn)：數(shù)據(jù)主權問題突出，政府、金融等領域關鍵數(shù)據(jù)泄露嚴重，開放共享與數(shù)據(jù)安全矛盾凸顯。目前各國政府紛紛出臺政策、采取措施，開展大數(shù)據(jù)安全保障實踐，為大數(shù)據(jù)發(fā)展保駕護航。我國該如何健全大數(shù)據(jù)安全保障體系，值得深思。

我國大數(shù)據(jù)安全面臨嚴峻挑戰(zhàn)

數(shù)據(jù)主權問題突出。隨著世界各國對數(shù)據(jù)的依賴程度快速上升，國際競爭焦點從對資本、土地、資源的爭奪轉向對數(shù)據(jù)的爭奪，維護數(shù)據(jù)主權成為國家主權的重要內(nèi)容。當前我國對數(shù)據(jù)的掌控力正面臨著不小的威脅。一方面，美國等國家利用其信息技術優(yōu)勢監(jiān)控我國網(wǎng)絡，采取多種手段竊取我國核心要害部門機密信息，(數(shù)據(jù)分析師)并從海量數(shù)據(jù)中挖掘我國社會、經(jīng)濟、軍事等重要情報信息，嚴重威脅我國國家安全；另一方面，隨著云計算等新一代信息技術的加速應用普及，我國重要領域數(shù)據(jù)、公民身份數(shù)據(jù)等關鍵數(shù)據(jù)存儲在國外服務器上，這些數(shù)據(jù)有可能按照存儲國家的法律規(guī)定提供給該國國家安全等執(zhí)法部門，安全性無法得到保障。

關鍵數(shù)據(jù)泄露嚴重。政府、金融等重要領域和行業(yè)信息基礎設施承載著大量的業(yè)務數(shù)據(jù)和用戶數(shù)據(jù)，近年來頻遭高強度、高復雜度的黑客攻擊，數(shù)據(jù)丟失和泄露事件時有發(fā)生，遭泄露數(shù)據(jù)規(guī)模大。例如，2014年12月，12306網(wǎng)站遭遇黑客“撞庫”攻擊，13萬用戶賬號、明文密碼、身份證、手機、郵箱等信息被泄露；去年4月，超30個省市社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等曝出高危安全漏洞，僅社保類安全漏洞就達5279萬條，數(shù)千萬人的個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息泄露；唯品會、當當網(wǎng)、國美在線等電子商務平臺更是黑客攻擊的重要目標，均曾遭遇過大規(guī)模信息泄露。

開放共享與數(shù)據(jù)安全矛盾凸顯。大數(shù)據(jù)具有巨大價值，但只有開放、讓數(shù)據(jù)真正流動起來，才能釋放大數(shù)據(jù)的價值。美國、英國等國家政府已經(jīng)出臺了政府數(shù)據(jù)開放計劃，谷歌等企業(yè)也實施大數(shù)據(jù)開放項目。但在數(shù)據(jù)開放過程中，如何保護數(shù)據(jù)安全成為核心問題。由于缺乏大數(shù)據(jù)管理和安全保障機制，一些通信、互聯(lián)網(wǎng)企業(yè)出于政治、經(jīng)濟等各種目的，利用自身便利非法獲取并使用用戶信息。同時，在利益的驅使下，針對網(wǎng)絡數(shù)據(jù)的非法收集、竊取、販賣和利用行為日漸猖獗，已形成黑色地下產(chǎn)業(yè)鏈，規(guī)模十分巨大。

各國政府建立大數(shù)據(jù)安全保障體系的主要舉措

將數(shù)據(jù)安全提升到國家戰(zhàn)略高度。2012年英國發(fā)布《開放數(shù)據(jù)白皮書》，明確要對個人數(shù)據(jù)進行保護規(guī)范，提出設立隱私保護專家，執(zhí)行隱私影響評估機制等措施，并規(guī)定政府日常業(yè)務中收集的大數(shù)據(jù)可以開放，而個人數(shù)據(jù)不開放。2013年日本《創(chuàng)建最尖端IT戰(zhàn)略》明確闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護的國家戰(zhàn)略。2014年美國發(fā)布《大數(shù)據(jù)：把握機遇、維護價值》報告，提出發(fā)展大數(shù)據(jù)與安全保障的具體舉措。2014年，德國在《2014—2017年數(shù)字議程》中提出打造“數(shù)字強國”，并提出將出臺《信息保護級基本條例》加強大數(shù)據(jù)時代的安全保障。

圍繞數(shù)據(jù)主權加強法律法規(guī)建設。歐盟通過新版《數(shù)據(jù)保護法》，強調(diào)本地存儲和禁止跨國分享，歐洲法院根據(jù)此法，于2015年10月宣判歐美《安全港協(xié)議》無效。俄羅斯從2015年起實行新法規(guī)定，互聯(lián)網(wǎng)企業(yè)需將收集的俄羅斯公民信息存儲在俄羅斯國內(nèi)，禁止公民數(shù)據(jù)存儲在國外服務器上。巴西2014年通過《互聯(lián)網(wǎng)民法》，要求跨國互聯(lián)網(wǎng)公司在國外存儲巴西公民信息時，應作出承諾，遵守巴相關法律，以防這些信息被竊取。

制定以安全為前提的數(shù)據(jù)共享政策。2013年，奧巴馬簽署13642總統(tǒng)令，對聯(lián)邦大數(shù)據(jù)管理提出新準則，在保護隱私安全與機密性的同時，將數(shù)據(jù)公開化納入政府的義務范圍。2013年澳大利亞《公共服務大數(shù)據(jù)戰(zhàn)略》強調(diào)推動公共行業(yè)利用大數(shù)據(jù)分析進行服務改革的同時保護公民隱私。印度2012年批準國家數(shù)據(jù)共享和開放政策，但同時列出非共享數(shù)據(jù)清單，包括保護國家安全、隱私、機密、商業(yè)秘密和知識產(chǎn)權等數(shù)據(jù)安全。

強化關鍵數(shù)據(jù)保護技術手段建設，開展數(shù)據(jù)安全評估。圍繞數(shù)據(jù)采集、存儲、挖掘和發(fā)布等關鍵環(huán)節(jié)，各國加快發(fā)展數(shù)字加密和數(shù)據(jù)恢復、基于生物特征等的身份認證和強制訪問控制、基于日志的安全審計和數(shù)字水印等溯源、數(shù)據(jù)防泄露等技術手段。

美國、歐盟等還開展了數(shù)據(jù)安全評估工作，如美國TRUSTe隱私認證得到全球很多國家消費者的認可和信賴，歐盟數(shù)據(jù)跨境流動安全評估成為評判數(shù)據(jù)能否轉移的重要依據(jù)。

健全我國大數(shù)據(jù)安全保障體系的幾點思考

以維護數(shù)據(jù)主權為重點，建立健全大數(shù)據(jù)安全法律法規(guī)。在維護數(shù)據(jù)主權方面，我國已出臺一些政策，如《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》中明確，黨政部門數(shù)據(jù)歸屬關系不變，敏感信息不出境。鑒于大數(shù)據(jù)資源的戰(zhàn)略地位，有必要建立和完善大數(shù)據(jù)安全法律法規(guī)體系，針對國內(nèi)數(shù)據(jù)的所有權、自由流動、出境限制等問題，制定相應的法律法規(guī)，同時加強大數(shù)據(jù)開放共享的制度建設，明確政府共享數(shù)據(jù)和非共享數(shù)據(jù)清單，對數(shù)據(jù)的收集使用和處理予以規(guī)范，切實保護大數(shù)據(jù)安全。

強化制度建設，加強重點領域和行業(yè)關鍵數(shù)據(jù)的安全監(jiān)管。在大型數(shù)據(jù)中心、重點領域和行業(yè)信息系統(tǒng)深入落實等級保護制度，開展信息安全風險評估，并部署基于主動防御理念的技術防護手段和措施。做好大數(shù)據(jù)平臺及服務商的可靠性及安全性評測、應用安全評測、監(jiān)測預警和風險評估。利用大數(shù)據(jù)技術建立網(wǎng)絡安全監(jiān)測體系，實時監(jiān)測和感知網(wǎng)絡安全威脅，防御網(wǎng)絡攻擊，提升對大規(guī)模網(wǎng)絡攻擊威脅的發(fā)現(xiàn)和應對能力。強化數(shù)據(jù)安全相關檢測與評估，推動開展數(shù)據(jù)跨境流動安全評估。

加強大數(shù)據(jù)安全技術研發(fā)，建立完善大數(shù)據(jù)全過程安全標準體系。加強大數(shù)據(jù)安全技術的研發(fā)，將安全技術融于新大數(shù)據(jù)技術中，提升大數(shù)據(jù)基礎設施關鍵設備、平臺、產(chǎn)品和服務的安全性能。{數(shù)據(jù)分析師}研究制定數(shù)據(jù)采集、整合、提煉、挖掘、處理等全過程安全標準，制定從安全態(tài)勢判斷、安全分析、安全檢測到發(fā)現(xiàn)威脅的相關標準，有效防止數(shù)據(jù)丟失、泄露、被越權訪問、被篡改，保護國家核心數(shù)據(jù)、商業(yè)機密和用戶隱私等內(nèi)容。