大資料騰飛迫切需要健全安全保障體系

去年8月，國務院釋出《促進大資料發展行動綱要》，總體部署大資料發展，并将健全大資料安全保障體系作為重要任務。在大資料成為國家基礎性戰略資源的今天，我國大資料安全卻面臨着嚴峻挑戰：資料主權問題突出，政府、金融等領域關鍵資料洩露嚴重，開放共享與資料安全沖突凸顯。

去年8月，國務院釋出《促進大資料發展行動綱要》，總體部署大資料發展，并将健全大資料安全保障體系作為重要任務。在大資料成為國家基礎性戰略資源的今天，我國大資料安全卻面臨着嚴峻挑戰：資料主權問題突出，政府、金融等領域關鍵資料洩露嚴重，開放共享與資料安全沖突凸顯。目前各國政府紛紛出台政策、采取措施，開展大資料安全保障實踐，為大資料發展保駕護航。我國該如何健全大資料安全保障體系，值得深思。

我國大資料安全面臨嚴峻挑戰

資料主權問題突出。随着世界各國對資料的依賴程度快速上升，國際競争焦點從對資本、土地、資源的争奪轉向對資料的争奪，維護資料主權成為國家主權的重要内容。目前我國對資料的掌控力正面臨着不小的威脅。一方面，美國等國家利用其資訊技術優勢監控我國網絡，采取多種手段竊取我國核心要害部門機密資訊，并從海量資料中挖掘我國社會、經濟、軍事等重要情報資訊，嚴重威脅我國國家安全；另一方面，随着雲計算等新一代資訊技術的加速應用普及，我國重要領域資料、公民身份資料等關鍵資料存儲在國外伺服器上，這些資料有可能按照存儲國家的法律規定提供給該國國家安全等執法部門，安全性無法得到保障。

關鍵資料洩露嚴重。政府、金融等重要領域和行業資訊基礎設施承載着大量的業務資料和使用者資料，近年來頻遭高強度、高複雜度的黑客攻擊，資料丢失和洩露事件時有發生，遭洩露資料規模大。例如，2014年12月，12306網站遭遇黑客“撞庫”攻擊，13萬使用者賬号、明文密碼、身份證、手機、郵箱等資訊被洩露；去年4月，超30個省市社保系統、戶籍查詢系統、疾控中心、醫院等曝出高危安全漏洞，僅社保類安全漏洞就達5279萬條，數千萬人的個人身份證、社保參保資訊、财務、薪酬、房屋等敏感資訊洩露；唯品會、當當網、國美線上等電子商務平台更是黑客攻擊的重要目标，均曾遭遇過大規模資訊洩露。

開放共享與資料安全沖突凸顯。大資料具有巨大價值，但隻有開放、讓資料真正流動起來，才能釋放大資料的價值。美國、英國等國家政府已經出台了政府資料開放計劃，谷歌等企業也實施大資料開放項目。但在資料開放過程中，如何保護資料安全成為核心問題。由于缺乏大資料管理和安全保障機制，一些通信、網際網路企業出于政治、經濟等各種目的，利用自身便利非法擷取并使用使用者資訊。同時，在利益的驅使下，針對網絡資料的非法收集、竊取、販賣和利用行為日漸猖獗，已形成黑色地下産業鍊，規模十分巨大。

各國政府建立大資料安全保障體系的主要舉措

将資料安全提升到國家戰略高度。2012年英國釋出《開放資料白皮書》，明确要對個人資料進行保護規範，提出設立隐私保護專家，執行隐私影響評估機制等措施，并規定政府日常業務中收集的大資料可以開放，而個人資料不開放。2013年日本《建立最尖端it戰略》明确闡述了開放公共資料和大資料保護的國家戰略。2014年美國釋出《大資料：把握機遇、維護價值》報告，提出發展大資料與安全保障的具體舉措。2014年，德國在《2014—2017年數字議程》中提出打造“數字強國”，并提出将出台《資訊保護級基本條例》加強大資料時代的安全保障。

圍繞資料主權加強法律法規建設。歐盟通過新版《資料保護法》，強調本地存儲和禁止跨國分享，歐洲法院根據此法，于2015年10月宣判歐美《安全港協定》無效。俄羅斯從2015年起實行新法規定，網際網路企業需将收集的俄羅斯公民資訊存儲在俄羅斯國内，禁止公民資料存儲在國外伺服器上。巴西2014年通過《網際網路民法》，要求跨國網際網路公司在國外存儲巴西公民資訊時，應作出承諾，遵守巴相關法律，以防這些資訊被竊取。

制定以安全為前提的資料共享政策。2013年，奧巴馬簽署13642總統令，對聯邦大資料管理提出新準則，在保護隐私安全與機密性的同時，将資料公開化納入政府的義務範圍。2013年澳洲《公共服務大資料戰略》強調推動公共行業利用大資料分析進行服務改革的同時保護公民隐私。印度2012年準許國家資料共享和開放政策，但同時列出非共享資料清單，包括保護國家安全、隐私、機密、商業秘密和知識産權等資料安全。

強化關鍵資料保護技術手段建設，開展資料安全評估。圍繞資料采集、存儲、挖掘和釋出等關鍵環節，各國加快發展數字加密和資料恢複、基于生物特征等的身份認證和強制通路控制、基于日志的安全審計和數字水印等溯源、資料防洩露等技術手段。

美國、歐盟等還開展了資料安全評估工作，如美國truste隐私認證得到全球很多國家消費者的認可和信賴，歐盟資料跨境流動安全評估成為評判資料能否轉移的重要依據。

健全我國大資料安全保障體系的幾點思考

以維護資料主權為重點，建立健全大資料安全法律法規。在維護資料主權方面，我國已出台一些政策，如《關于加強黨政部門雲計算服務網絡安全管理的意見》中明确，黨政部門資料歸屬關系不變，敏感資訊不出境。鑒于大資料資源的戰略地位，有必要建立和完善大資料安全法律法規體系，針對國内資料的所有權、自由流動、出境限制等問題，制定相應的法律法規，同時加強大資料開放共享的制度建設，明确政府共享資料和非共享資料清單，對資料的收集使用和處理予以規範，切實保護大資料安全。

強化制度建設，加強重點領域和行業關鍵資料的安全監管。在大型資料中心、重點領域和行業資訊系統深入落實等級保護制度，開展資訊安全風險評估，并部署基于主動防禦理念的技術防護手段和措施。做好大資料平台及服務商的可靠性及安全性評測、應用安全評測、監測預警和風險評估。利用大資料技術建立網絡安全監測體系，實時監測和感覺網絡安全威脅，防禦網絡攻擊，提升對大規模網絡攻擊威脅的發現和應對能力。強化資料安全相關檢測與評估，推動開展資料跨境流動安全評估。

加強大資料安全技術研發，建立完善大資料全過程安全标準體系。加強大資料安全技術的研發，将安全技術融于新大資料技術中，提升大資料基礎設施關鍵裝置、平台、産品和服務的安全性能。研究制定資料采集、整合、提煉、挖掘、處理等全過程安全标準，制定從安全态勢判斷、安全分析、安全檢測到發現威脅的相關标準，有效防止資料丢失、洩露、被越權通路、被篡改，保護國家核心資料、商業機密和使用者隐私等内容。

本文轉自d1net（轉載）