分享到: | 更多 |
面对新一轮的技术引领浪潮,如何在信息化建设中加强大数据安全管理,防止大而无序、大而无力、大而无安,争取实现大有所长、大有所用,至关重要。
大数据是指规模远远超过传统处理和存储能力的海量数据集合,具有规模性、多样性、实时性、价值性等显著特点。
传统孤立的碎片数据价值显性化、即时性特征十分明显,而大数据会随着量的积累和技术的进步不断升值。与传统信息安全注重保护显性价值、即时价值不同,大数据价值的安全保护,亟待注重显隐价值和动态防护。
大数据时代,线上与线下、虚拟与现实、软件与硬件重叠交错、跨界影响,尤其是核心的大数据不可避免地成为各种利益诉求的集散地、国与国之间进行渗透的重要渠道。
从我国情况看,当前仍处于大数据发展的起步阶段,大数据在面临传统安全风险的同时,还面临着数据能否自有掌控、处理能否自主实现、应用能否规范有序、安全能否有所保障等新的安全风险。
习近平总书记在中央网络安全和信息化领导小组第一次会议上强调指出,没有网络安全就没有国家安全,没有信息化就没有现代化。近年来,随着信息化进入大数据时代,国民经济、国防建设等社会各行各业乃至公民个人的状态信息和行为轨迹正在广泛以数据方式记录下来。国家在网络空间的数据主权,已经成为继陆海空天之后又一新的主权领域。面对新一轮的技术引领浪潮,如何在信息化建设中加强大数据安全管理,防止大而无序、大而无力、大而无安,争取实现大有所长、大有所用,至关重要。
一、大数据时代下的数据安全特征
大数据是指规模远远超过传统处理和存储能力的海量数据集合,具有规模性、多样性、实时性、价值性等显著特点。大数据之“大”,不仅在于海量数据的“大规模”,更重要的体现在:通过涉及各行各业乃至个体各类数据源产生数据轨迹的“大覆盖”,推动各类同构、异构数据的“大融合”,提升分析数据内在规律和发展趋势的“大智慧”,实现从数据到信息、到显隐价值挖掘的“大应用”。与传统信息安全不同,大数据安全具有如下新的特征:
数据管理的风险增加。传统信息系统好像是封闭的花园,往往依靠关卡式、闸门式的“围墙”进行安全防护。随着大数据时代数据的“雾化”、泛化,传统封闭独立的“围墙”被海量分散的、流动性极强的数据洪流所冲破。数据来源庞杂带来了数据采集的安全风险,数据种类众多带来了数据的整合与存储安全风险,外部数据需求和用户隐私保护带来了数据审计和安全发布风险。
数据获取方式更为隐蔽。大数据时代,遍布全球各个角落的传感器等电子设备正在实时获取用户的行为轨迹,名目多样的各类云服务也在不经意间诱使用户主动上传信息,数据的攫取越来越公开化、在线化。与此同时,大数据时代的数据获取方式更为隐蔽,往往通过大量数据关联获取价值。比如通过资金流、物流、消费流、能源流轨迹的数据分析,即可洞察一个区域的经济运行态势。
数据的价值显隐并存、动态变化。传统孤立的碎片数据价值显性化、即时性特征十分明显,而大数据会随着量的积累和技术的进步不断升值。今天看似杂乱无章、毫无规律的数据,明天可能会显现出超出想象的价值。因此,与传统信息安全注重保护显性价值、即时价值不同,大数据价值的安全保护,亟待注重显隐价值和动态防护。
数据安全的影响空前广泛。大数据时代,线上与线下、虚拟与现实、软件与硬件重叠交错、跨界影响,尤其是核心的大数据不可避免地成为各种利益诉求的集散地、国与国之间进行渗透的重要渠道。数据安全既影响商业、金融等经济安全,也可能涉及文化意识形态等精神领域,甚至可能会激发社会动荡、改变战争形态、影响国家安全。
二、筑牢我国大数据安全管理的“三道防线”
从我国情况看,当前仍处于大数据发展的起步阶段,大数据在面临传统安全风险的同时,还面临着数据能否自有掌控、处理能否自主实现、应用能否规范有序、安全能否有所保障等新的安全风险。针对这些问题,应尽快从强化数据立法、加快自主自控、注重显隐价值保护三方面筑牢我国大数据安全管理的防线,实现以安全保发展、以发展促安全的良好局面。
强化数据安全立法工作,防止“大而无序”。目前,我国大数据安全的理论和实践还不够成熟,应用的规范和技术标准体系还不完善,包括大数据在内的信息安全相关法律制度还没有建立。公共应用与专业应用、安全应用与非安全应用之间的统筹不够,层出不穷的新模式、新应用缺乏底线约束和规则规范,特别是对数据安全带来巨大隐患、对产业生态造成巨大破坏的新模式还缺乏有效制约。防止管理应用“大而无序”,一要尽快从法理层面提出国家数据主权。尽快组织制定国家层面的数据信息安全法律,积极参与国际相关标准、规则制定,规范国家数据空间主体的义务和权利,防止发达国家利用技术先行优势侵犯其他国家数据主权。二要加快大数据安全法制建设。借鉴各类安全立法与司法经验,完善数据安全相关法律法规制定,对数据的获取、使用、应用等责任和权利进行明确的法律界定,对非法监控行为制定处罚标准,构筑民事、行政与刑事责任三位一体的数据安全法律框架,提升数据空间的法制治理能力。
尽快实现对关键装备、核心领域与人才的自主自控,防止“大而无力”。当前,我国大部分数据的产生、获取、处理和存储仍然依靠国外的软硬件设施,大量数据使用别人造的“车”、行驶在别人造的“路”上、停靠在别人建的“库”里,很容易被监控窃取。例如,西方依靠各种互联网渠道及网络窃听技术,控制了大量的互联网数据流量,“数字鸿沟”正在演化成为“数据鸿沟”。防止自主自控“大而无力”,一要加快自主研发关键装备。对技术成熟的国产设备,建议在国计民生、国家安全等关键领域推广使用,加快国产化替代步伐。对尚不成熟的设备领域,要集中力量和资源进行重点攻关。二要尽快切入核心领域。对于一时无法完全用国产设备替代的关键核心领域,坚持以应用促发展,在使用中完善,在完善中替代。三要加大人才培养力度。整体规划我国大数据安全人才的培养、引进和使用,形成学业、职业、产业三位一体的培育体系。
高度重视大数据显隐价值保护,防止“大而无安”。目前,我国关键基础设施领域仍采用传统数据安全理念和技术手段,被动应对多、主动防护少,许多领域面临着平时被控、战时被瘫的风险。比如美国的“棱镜门”事件,折射出我国在数据安全防护上还存在很多漏洞。防止风险防护“大而无安”,一要坚持显性与隐性价值保护并重。对能够预测到的隐性价值提前采取措施加以保护,慎重对待涉及国家经济安全、国防安全等关键敏感领域大数据的应用和开放。二要加强分类分级管理。建立大数据安全等级保护制度,制定涉及个人隐私、商业秘密和政府保密数据采集使用和保护的规章制度,对国防、交通、能源、金融、通讯、政府公务、医疗、物流、个人等重要信息系统采取相应等级的保护措施。三要建立军民联防的大数据安全管理防护体系。建立军地合作、攻防一体的数据安全应用和应急管理响应体系;注重“平战结合”,做到平时数据建设应用有序,战时数据控制优先保证国防安全的需要。总之,要以国家核心安全需要为牵引,多措并举实现大数据安全保障。(作者:中国联合网络通信集团有限公司党组书记、董事长)