大數(shù)據(jù)時代數(shù)據(jù)安全保障的舉措分析
大數(shù)據(jù)時代已經(jīng)到來�,大數(shù)據(jù)技術及應用蓬勃發(fā)展,大數(shù)據(jù)數(shù)量和價值快速攀升���。除數(shù)據(jù)資源自身蘊含的豐富價值外���,元數(shù)據(jù)資源經(jīng)挖掘分析可創(chuàng)造出更為巨大的經(jīng)濟和社會價值。隨著互聯(lián)網(wǎng)+行動計劃進一步推進實施��,大數(shù)據(jù)將加速從互聯(lián)網(wǎng)向更廣泛的領域滲透�����,與此同時����,大數(shù)據(jù)安全威脅也將全面輻射到各行各業(yè)。2015年開年發(fā)生的12306網(wǎng)站用戶信息泄露等多起數(shù)據(jù)泄露事件���,再次給我們敲響警鐘�����,數(shù)據(jù)資源安全正面臨嚴峻挑戰(zhàn)����。
一���、大數(shù)據(jù)時代數(shù)據(jù)安全面臨的主要挑戰(zhàn)
1���、數(shù)據(jù)基礎設施頻受攻擊,數(shù)據(jù)丟失及泄露風險加大
數(shù)據(jù)中心�、移動智能終端承載大量重要業(yè)務數(shù)據(jù)和用戶個人信息,安全地位日益凸顯���。然而�����,近年來針對IDC的攻擊日趨增加�,2014年12月阿里云稱遭遇全球最大規(guī)模DDoS攻擊,2015年初一家亞洲網(wǎng)絡運營商的數(shù)據(jù)中心遭遇334Gbps的垃圾數(shù)據(jù)流攻擊����。同時,侵犯數(shù)據(jù)安全的惡意應用�、木馬等日益增多,對用戶隱私和財產(chǎn)安全構成極大隱患�。2014全年,安全企業(yè)監(jiān)測到的Android用戶感染惡意程序達3.19億人次�,平均每天惡意程序感染量達到了87.5萬人次。
2����、新型網(wǎng)絡威脅層出不窮,倒逼數(shù)據(jù)保護技術革新
新型網(wǎng)絡威脅的技術復雜性和隱蔽性越來越高����,危害范圍不斷擴大。2014年心臟出血漏洞威脅全球約2/3的網(wǎng)絡服務器內(nèi)存儲的用戶名�����、密碼以及服務器證書����、私鑰等敏感數(shù)據(jù)安全;同年索尼公司遭遇ATP攻擊����,大量員工信息及影視拷貝遭泄露。新型網(wǎng)絡威脅的層出不窮倒逼網(wǎng)絡數(shù)據(jù)保護技術創(chuàng)新突破�。
3、數(shù)據(jù)交易地下產(chǎn)業(yè)鏈活動猖獗��,治理仍需長期展開
在利益驅動下�,針對用戶信息的非法收集、竊取�、販賣和利用行為日漸猖獗,國內(nèi)倒賣用戶信息的地下產(chǎn)業(yè)鏈總規(guī)模已超過百億����。為防范和治理黑客地下產(chǎn)業(yè)鏈,2014年工信部開展了專項行動并取得一定成效��,但同時也面臨技術手段多樣�����、涉及環(huán)節(jié)多、隱蔽性強等執(zhí)法挑戰(zhàn)��,長期治理任重道遠����。
4、數(shù)據(jù)跨境流動成為關注熱點����,監(jiān)管機制面臨挑戰(zhàn)
互聯(lián)網(wǎng)和移動數(shù)據(jù)在全球范圍內(nèi)的自由流動在成為經(jīng)濟增長、就業(yè)創(chuàng)造和社會福利重要推動力的同時����,也日益成為信息主權、知識產(chǎn)權�、公民隱私權的重要威脅。由于數(shù)據(jù)跨境流動可能導致國家關鍵數(shù)據(jù)資源流失�,各國高度重視數(shù)據(jù)跨境流動監(jiān)管這一國際性難題,但目前仍缺乏指導數(shù)據(jù)跨境流動監(jiān)管的統(tǒng)一規(guī)范和國際規(guī)則��。
5��、數(shù)據(jù)資源需求強烈�����,開放共享與安全保護矛盾凸顯
隨著智慧城市的建設發(fā)展與兩化融合的不斷深入,以經(jīng)濟和民生需求為導向的數(shù)據(jù)開放共享需求日益強烈�。交通、旅游等機構為優(yōu)化服務對人群分布和流動數(shù)據(jù)提出訴求���;商業(yè)客戶為產(chǎn)品定制和精準營銷,需要用戶行為特征數(shù)據(jù)進行決策支撐���。目前數(shù)據(jù)資源開放共享缺乏統(tǒng)籌有力的管理和安全保障����,國家數(shù)據(jù)資源的開放共享與安全保護已成為長期存在矛盾難題��。
二�����、國際數(shù)據(jù)安全保障實踐
伴隨各國對于數(shù)據(jù)安全重要性認識的不斷加深����,國際主要國家紛紛已從法律法規(guī)、戰(zhàn)略政策�、技術手段、標準評估等方面展開了數(shù)據(jù)安全保障實踐����。
1��、聚焦信息共享和跨境流動����,完善數(shù)據(jù)保護法律體系
美國頒布《2014年國家網(wǎng)絡安全保護法案》�����、積極推動出臺《網(wǎng)絡安全信息共享法案》�,敦促私企與政府分享網(wǎng)絡安全信息。歐盟通過新版《數(shù)據(jù)保護法》,強調本地存儲和禁止跨國分享����。俄羅斯2015年起實行新法規(guī)定,互聯(lián)網(wǎng)企業(yè)需將收集的俄羅斯公民信息存儲在俄羅斯國內(nèi)����。
2、頂層設計與政策落實并重��,深化數(shù)據(jù)安全政策導向
各國紛紛將數(shù)據(jù)安全作為國家戰(zhàn)略的重要組成部分����,對數(shù)據(jù)安全政策進行單獨說明�。日本2013年《創(chuàng)建最尖端IT戰(zhàn)略》明確闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護的國家戰(zhàn)略���;印度2014年國家電信安全政策指導意見草案對移動數(shù)據(jù)保護作出規(guī)定��。同時���,創(chuàng)新政策的落實方式��,通過項目模式引導政策落地��。法國“未來投資計劃”有力推動云計算數(shù)據(jù)安全保護政策落實�;英國“Data.Gov.uk”項目實測開放政府數(shù)據(jù)保護政策的應用效果。
3�、從關鍵數(shù)據(jù)保護關鍵環(huán)節(jié)出發(fā),強化安全技術手段
世界各國數(shù)據(jù)安全保障技術已覆蓋數(shù)據(jù)采集����、存儲、挖掘和發(fā)布等關鍵環(huán)節(jié)�,已具備傳輸安全和SSL/VPN技術、數(shù)字加密和數(shù)據(jù)恢復技術���、基于生物特征等的身份認證和強制訪問控制技術�、基于日志的安全審計和數(shù)字水印等溯源技術等保護數(shù)據(jù)安全的通用技術手段。此外,數(shù)據(jù)防泄漏(DLP)技術��、云平臺數(shù)據(jù)安全等數(shù)據(jù)安全防護專用技術的研發(fā)與應用正不斷提速�����。
4���、完善數(shù)據(jù)安全標準體系���,開展數(shù)據(jù)安全評估和認證實踐
各國和國際標準組織紛紛出臺數(shù)據(jù)安全相關標準指南。美國國家標準與技術研究院(NIST)發(fā)布了用戶身份識別指南���;ISO/IEC制定了公共云計算服務的數(shù)據(jù)保護控制措施實用規(guī)則��。同時���,對于數(shù)據(jù)安全的評估和相關認證體系日漸成熟。美國TRUSTe隱私認證得到全球很多國家消費者認可和信賴�����;歐盟委員會開展數(shù)據(jù)跨境流動安全評估��,成為評判數(shù)據(jù)能否轉移的重要依據(jù)。此外����,國際安全港認證、合同范本及公司綁定規(guī)則等實踐促進了數(shù)據(jù)安全保護水平的提升����。
三、我國數(shù)據(jù)安全保障工作思考
近年來���,我國高度重視數(shù)據(jù)安全�,相繼出臺《加強網(wǎng)絡信息保護的決定》��、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)以及多部涉及數(shù)據(jù)保護的部門規(guī)章�����,發(fā)布國家和行業(yè)的網(wǎng)絡個人信息保護相關標準����,在國家和行業(yè)層面開展了以數(shù)據(jù)安全為重點的安全防護檢查���,取得一定成效���。但總體看���,我國數(shù)據(jù)安全單行立法缺失、專用保護技術不足��、數(shù)據(jù)安全評估不夠等問題突出�,數(shù)據(jù)安全保障能力亟待進一步提升。因此��,應從當前面臨的數(shù)據(jù)安全挑戰(zhàn)出發(fā)���,多管齊下����,多措并舉��,構建全面的數(shù)據(jù)安全保護體系�,著力提升數(shù)據(jù)安全保障能力。
一是推進數(shù)據(jù)安全保護立法進程����。加快數(shù)據(jù)安全立法進程,明確數(shù)據(jù)保護的對象、范疇和違法責任等���,制定關于數(shù)據(jù)開放共享和跨境流動監(jiān)管的法律條款�����。同時���,拓寬現(xiàn)有法律的調整范圍,將工業(yè)互聯(lián)網(wǎng)���、云計算等新技術新應用場景下的數(shù)據(jù)保護納入法律調整范疇���。
二是出臺國家數(shù)據(jù)安全保護戰(zhàn)略。從國家安全���、國家戰(zhàn)略資源的高度定位數(shù)據(jù)安全,強化數(shù)據(jù)戰(zhàn)略統(tǒng)籌��。制定通信�、金融等重點行業(yè)的關鍵數(shù)據(jù)和用戶信息的跨境流動監(jiān)管政策,推動立法規(guī)范我國公民個人信息的境內(nèi)存儲���。積極參與國際規(guī)則的制定����,提升我國在數(shù)據(jù)保護領域的話語權,為我國開展數(shù)據(jù)安全保護營造良好的國際環(huán)境���。
三是加強數(shù)據(jù)安全保護技術攻關�����。加強數(shù)據(jù)保護關鍵技術手段建設���,加快身份管理、APT攻擊防御���、DDoS攻擊溯源等關鍵技術研發(fā)�。加快數(shù)據(jù)安全監(jiān)管支撐技術研究����,提升針對敏感數(shù)據(jù)泄露、違法跨境數(shù)據(jù)流動等安全隱患的監(jiān)測發(fā)現(xiàn)與處置能力�����。
四是健全數(shù)據(jù)安全標準體系和評估體系。統(tǒng)籌規(guī)劃數(shù)據(jù)安全相關標準制定�����,積極開展通用和專用的數(shù)據(jù)安全標準研發(fā)��。強化數(shù)據(jù)安全相關檢測與評估����,推動開展數(shù)據(jù)跨境流動安全評估。
四�、結語
大數(shù)據(jù)時代,機遇與挑戰(zhàn)并存��。面對新形勢新問題����,堅持安全與發(fā)展并重,筑牢我國大數(shù)據(jù)安全管理的防線��,守衛(wèi)好我國信息主權和用戶隱私�,才能防止大而無序、大而無安���,真正實現(xiàn)大有所長、大有所用。
CDA數(shù)據(jù)分析師考試相關入口一覽(建議收藏):
? 想報名CDA認證考試����,點擊>>>
“CDA報名”
了解CDA考試詳情;
? 想學習CDA考試教材�����,點擊>>> “CDA教材” 了解CDA考試詳情�����;
? 想加入CDA考試題庫�����,點擊>>> “CDA題庫” 了解CDA考試詳情����;
? 想了解CDA考試含金量,點擊>>> “CDA含金量” 了解CDA考試詳情����;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330