隨著(zhù)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等技術(shù)的快速發(fā)展,全球數據量出現爆炸式增長(cháng)。與此同時(shí),云計算為這些海量的多樣化數據提供了存儲和運算平臺,分布式計算等數據挖掘技術(shù)又使得大數據分析規律、研判趨勢的能力大大增強。在大數據不斷向各個(gè)行業(yè)滲透、深刻影響國家的政治、經(jīng)濟、民生和國防的同時(shí),其安全問(wèn)題也將對個(gè)人隱私、社會(huì )穩定和國家安全帶來(lái)巨大的潛在威脅,如何應對面臨巨大挑戰。
一、大數據安全關(guān)鍵問(wèn)題
隨著(zhù)數字化進(jìn)程不斷深入,大數據逐步滲透至金融、汽車(chē)、制造、醫療等各個(gè)傳統行業(yè),甚至到社會(huì )生活的每個(gè)角落,大數據安全問(wèn)題影響也日益增大。
(一)國家數據資源大量流失。互聯(lián)網(wǎng)海量數據的跨境流動(dòng),加劇了大數據作為國家戰略資源的大量流失,全世界的各類(lèi)海量數據正在不斷匯總到美國,短期內還看不到轉變的跡象。隨著(zhù)未來(lái)大數據的廣泛應用,涉及國家安全的政府和公用事業(yè)領(lǐng)域的大量數據資源也將進(jìn)一步開(kāi)放,但目前由于相關(guān)配套法律法規和監管機制尚不健全,極有可能造成國家關(guān)鍵數據資源的流失。
(二)大數據環(huán)境下用戶(hù)隱私安全威脅嚴重。隨著(zhù)大數據挖掘分析技術(shù)的不斷發(fā)展,個(gè)人隱私保護和數據安全變得非常緊迫。一是大數據環(huán)境下人們對個(gè)人信息的控制權明顯下降,導致個(gè)人數據能夠被廣泛、詳實(shí)的收集和分析。二是大數據被應用于攻擊手段,黑客可最大限度地收集更多有用信息,為發(fā)起攻擊做準備,大數據分析讓黑客的攻擊更精準。三是隨著(zhù)大數據技術(shù)發(fā)展,更多信息可以用于個(gè)人身份識別,個(gè)人身份識別信息的范圍界定困難,隱私保護的數據范圍變得模糊。四是以往建立在“目的明確、事先同意、使用限制”等原則之上的個(gè)人信息保護制度,在大數據場(chǎng)景下變得越來(lái)越難以操作。
(三)基于大數據挖掘技術(shù)的國家安全威脅日益嚴重。大數據時(shí)代美國情報機構已搶占先機,美國通過(guò)遍布在全球的國安局監聽(tīng)機構如地面衛星站、國內監聽(tīng)站、海外監聽(tīng)站等采集各種信息,對采集到的海量數據進(jìn)行快速預處理、解密還原、分析比對、深度挖掘,并生成相關(guān)情報,供上層決策。2013年6月底,美中情局前雇員斯諾登爆料,美國情報機關(guān)通過(guò)思科路由器對中國內地移動(dòng)運營(yíng)商、中國教育和科研計算機網(wǎng)等骨干網(wǎng)絡(luò )實(shí)施長(cháng)達4年之久的長(cháng)期監控,以獲取網(wǎng)內海量短信數據和流量數據。
(四)基礎設施安全防護能力不足引發(fā)數據資產(chǎn)失控。一是基礎通信網(wǎng)絡(luò )關(guān)鍵產(chǎn)品缺乏自主可控,成為大數據安全缺口。我國運營(yíng)企業(yè)網(wǎng)絡(luò )中,國外廠(chǎng)商設備的現網(wǎng)存量很大,國外產(chǎn)品存在原生性后門(mén)等隱患,一旦被遠程利用,大量數據信息存在被竊取的安全風(fēng)險。二是我國大數據安全保障體系不健全,防御手段能力建設處于起步階段,尚未建立起針對境外網(wǎng)絡(luò )數據和流量的監測分析機制,對棱鏡監聽(tīng)等深層次、復雜、高隱蔽性的安全威脅難以有效防御、發(fā)現和處置。
二、國外大數據安全相關(guān)舉措及我國應對思路
目前世界各國均通過(guò)出臺國家戰略、促進(jìn)數據融合與開(kāi)放、加大資金投入等推動(dòng)大數據應用。相比之下,各國在涉及大數據安全方面的保障舉措則起剛剛起步,主要集中在通過(guò)立法加強對隱私數據的保護。德國在2009年對《聯(lián)邦數據保護法》進(jìn)行修改并生效,約束范圍包括互聯(lián)網(wǎng)等電子通信領(lǐng)域,旨在防止因個(gè)人信息泄露導致的侵犯隱私行為;印度在2012年批準國家數據共享和開(kāi)放政策的同時(shí),通過(guò)擬定非共享數據清單以保護涉及國家安全、公民隱私、商業(yè)秘密和知識產(chǎn)權等數據信息;美國在2014年5月發(fā)布《大數據:把握機遇,守護價(jià)值》白皮書(shū)表示,在大數據發(fā)揮正面價(jià)值的同時(shí),應該警惕大數據應用對隱私、公平等長(cháng)遠價(jià)值帶來(lái)的負面影響,建議推進(jìn)消費者隱私法案、通過(guò)全國數據泄露立法、修訂電子通信隱私法案等。
我國在布局、鼓勵和推動(dòng)大數據發(fā)展應用的同時(shí),也應提早謀劃、積極應對大數據帶來(lái)的安全挑戰,從戰略制定、法律法規、基礎設施防護等方面應對大數據安全問(wèn)題。
(一)將大數據資源保護上升為國家戰略,建立分級分類(lèi)安全管理機制。一是把數據資源視為國家戰略資源,將大數據資源保護納入到國家網(wǎng)絡(luò )空間安全戰略框架中,構建大數據環(huán)境下的信息安全體系,提高應急處置能力和安全防范能力,提升服務(wù)能力和運作效率。二是通過(guò)國家層面的戰略布局,明確大數據資源保護的整體規劃和近遠期重點(diǎn)工作。三是對國內大數據資源按實(shí)施分級分類(lèi)安全保護思路,保障數據安全、可靠,積極開(kāi)展大數據安全風(fēng)險評估工作,針對不同級別大數據特點(diǎn)加強安全防范。五是盡快制定不同級別的大數據采集、存儲、備份、遷移、處理和發(fā)布等關(guān)鍵環(huán)節的安全規范和標準,配套完善相應的監管措施。
(二)完善法律法規,加大個(gè)人信息保護監管力度。一是積極推動(dòng)個(gè)人信息保護法律的立法工作,探索通過(guò)技術(shù)標準、行業(yè)自律等手段解決法律出臺前的個(gè)人信息保護問(wèn)題。加快《網(wǎng)絡(luò )安全法》的出臺,在《網(wǎng)絡(luò )安全法》中對電信和互聯(lián)網(wǎng)行業(yè)用戶(hù)信息保護作出明確法律界定,為相關(guān)工作開(kāi)展提供法律依據。二是加強對個(gè)人隱私保護的行政監管,同時(shí)要加大對侵害個(gè)人隱私行為的打擊力度,建立對個(gè)人隱私保護的測評機制,推動(dòng)大數據行業(yè)的自律和監督。
(三)加強國家信息基礎設施保護,提升大數據安全保障與防范能力。一是促進(jìn)技術(shù)研究和創(chuàng )新,通過(guò)加大財政支持力度,激勵關(guān)系國家安全和穩定的政府和國有企事業(yè)單位采用安全可控的產(chǎn)品,提升我國基礎設施關(guān)鍵設備的安全可控水平。二是加強大數據信息安全系統建設,針對大數據的收集、處理、分析、挖掘等過(guò)程設計與配置相應的安全產(chǎn)品,并組成統一的、可管控的安全系統,推動(dòng)建立國家級、企業(yè)級的網(wǎng)絡(luò )個(gè)人信息保護態(tài)勢感知、監控預警、測評認證平臺。三是充分利用大數據技術(shù)應對網(wǎng)絡(luò )攻擊,通過(guò)大數據處理技術(shù)實(shí)現對網(wǎng)絡(luò )異常行為的識別和分析,基于大數據分析的智能驅動(dòng)型安全模型,把被動(dòng)的事后分析變成主動(dòng)的事前防御;基于大數據的網(wǎng)絡(luò )攻擊追蹤,實(shí)現對網(wǎng)絡(luò )攻擊行為的溯源。
作者簡(jiǎn)介:
王昕,畢業(yè)于北京郵電大學(xué),網(wǎng)絡(luò )與信息安全專(zhuān)業(yè),博士。目前就職于中國信息通信研究院安全所網(wǎng)絡(luò )安全研究部,從事云計算安全、移動(dòng)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全等技術(shù)研究與相關(guān)標準制定工作,負責并參與起草了《基于云計算的互聯(lián)網(wǎng)數據中心安全指南》等標準。
