移动互联应重视大数据安全
随着互联网、移动互联网、物联网、云计算等技术的快速发展,全球数据量出现爆发式增长。与此同时,云计算为这些海量的多样化数据提供了存储和运算平台,分布式计算等数据挖掘技术又使得大数据分析规律、研判趋势的能力大大增强。在大数据不断向各个行业渗透并深刻影响国家政治、经济、民生、国防等领域的同时,其安全问题也将对个人隐私、社会稳定和国家安全带来巨大的潜在威胁,如何应对这些巨大的挑战,成为摆在我们面前的重要课题。
安全问题日益凸显
随着数字化进程不断深入,大数据逐步渗透至金融、汽车、制造、医疗等各个传统行业,甚至延伸到社会生活的每个角落,大数据安全问题的影响也日益增大,主要问题表现为以下几个方面:
国家数据资源大量流失。互联网海量数据的跨境流动,加剧了大数据作为国家战略资源的大量流失,全世界的各类海量数据正在不断汇总到美国,短期内还看不到转变的迹象。随着未来大数据的广泛应用,涉及国家安全的政府和公用事业领域的大量数据资源也将进一步开放,但目前由于相关配套法律法规和监管机制尚不健全,极有可能造成国家关键数据资源的流失。
大数据环境下用户隐私安全威胁严重。随着大数据挖掘分析技术的不断发展,个人隐私保护和数据安全变得非常紧迫。大数据环境下,人们对个人信息的控制权明显下降,导致个人数据能够被广泛、详实地收集和分析。大数据被应用于攻击手段,黑客可最大限度地收集更多有用信息,为发起攻击做准备,大数据分析让黑客的攻击更精准。随着大数据技术发展,更多信息可以用于个人身份识别,而个人身份识别信息的范围界定困难,隐私保护的数据范围变得模糊。以往建立在“目的明确、事先同意、使用限制”等原则之上的个人信息保护制度,在大数据场景下变得越来越难以操作。
基于大数据挖掘技术的国家安全威胁日益严重。大数据时代美国情报机构已抢占先机,美国通过遍布在全球的国安局监听机构如地面卫星站、国内监听站、海外监听站等采集各种信息,对采集到的海量数据进行快速预处理、解密还原、分析比对、深度挖掘,并生成相关情报,供上层决策。2013年6月底,美国中情局前雇员斯诺登爆料,美国情报机关通过思科路由器对中国内地移动运营商、中国教育和科研计算机网等骨干网络实施长达4年之久的长期监控,以获取网内海量短信数据和流量数据。
基础设施安全防护能力不足引发数据资产失控。基础通信网络关键产品缺乏自主可控能力,成为大数据安全缺口。我国运营企业网络中,国外厂商设备的现网存量很大,国外产品存在原生性“后门”等隐患,一旦被远程利用,大量数据信息存在被窃取的安全风险。我国大数据安全保障体系不健全,防御手段能力建设处于起步阶段,尚未建立起针对境外网络数据和流量的监测分析机制,对“棱镜”监听等深层次、复杂、高隐蔽性的安全威胁难以有效防御、发现和处置。
多措并举联防联控
目前,世界各国均通过出台国家战略、促进数据融合与开放、加大资金投入等推动大数据应用。相比之下,各国在涉及大数据安全方面的保障举措则刚刚起步,主要集中在通过立法加强对隐私数据的保护。德国在2009年对《联邦数据保护法》进行修改并生效,约束范围包括互联网等电子通信领域,旨在防止因个人信息泄露导致的侵犯隐私行为;印度在2012年批准国家数据共享和开放政策的同时,通过拟定非共享数据清单以保护涉及国家安全、公民隐私、商业秘密和知识产权等数据信息;美国在2014年5月发布《大数据:把握机遇,守护价值》白皮书表示,在大数据发挥正面价值的同时,应该警惕大数据应用对隐私、公平等长远价值带来的负面影响,建议推进消费者隐私法案、通过全国数据泄露法案、修订电子通信隐私法案等。
我国在布局、鼓励和推动大数据发展应用的同时,也应提早谋划、积极应对大数据带来的安全挑战,从战略制定、法律法规、基础设施防护等方面应对大数据安全问题,为此提出几条建议:
将大数据资源保护上升为国家战略,建立分级分类安全管理机制。应把数据资源视为国家战略资源,将大数据资源保护纳入到国家网络空间安全战略框架中,构建大数据环境下的信息安全体系,提高应急处置能力和安全防范能力,提升服务能力和运作效率。通过国家层面的战略布局,明确大数据资源保护的整体规划和近远期重点工作。对国内大数据资源,按实施分级分类安全保护思路,保障数据安全、可靠;积极开展大数据安全风险评估工作,针对不同级别大数据特点加强安全防范。建议国家尽快制定不同级别的大数据采集、存储、备份、迁移、处理和发布等关键环节的安全规范与标准,配套完善相应的监管措施。
完善法律法规,加大个人信息保护监管力度。积极推动个人信息保护法律的立法工作,探索通过技术标准、行业自律等手段解决法律出台前的个人信息保护问题。加快《网络安全法》的出台,在《网络安全法》中对电信和互联网行业用户信息保护作出明确法律界定,为相关工作开展提供法律依据。加强对个人隐私保护的行政监管,同时要加大对侵害个人隐私行为的打击力度,建立对个人隐私保护的测评机制,推动大数据行业的自律和监督。
加强国家信息基础设施保护,提升大数据安全保障与防范能力。促进技术研究和创新,通过加大财政支持力度,激励关系国家安全的政府部门及国有企事业单位采用安全可控的产品,提升我国基础设施关键设备的安全可控水平。加强大数据信息安全系统建设,针对大数据的收集、处理、分析、挖掘等过程,设计与配置相应的安全产品,并组成统一的、可管控的安全系统,推动建立国家级、企业级的网络个人信息保护态势感知、监控预警、测评认证平台。充分利用大数据技术应对网络攻击,通过大数据处理技术实现对网络异常行为的识别和分析,基于大数据分析的智能驱动型安全模型,把被动的事后分析变成主动的事前防御;基于大数据的网络攻击追踪,实现对网络攻击行为的溯源。