大數(shù)據(jù)掀起新一輪生產(chǎn)率提高和生活方式改變的同時,隨之而來的是安全挑戰(zhàn),這是我們必須破解的重大現(xiàn)實課題。
當(dāng)今,社會信息化和網(wǎng)絡(luò)化的發(fā)展導(dǎo)致數(shù)據(jù)爆炸式增長,全球數(shù)據(jù)量大約每兩年翻一番,這意味著人類在最近兩年產(chǎn)生的數(shù)據(jù)量相當(dāng)于之前產(chǎn)生的全部數(shù)據(jù)量。大數(shù)據(jù)時代已經(jīng)到來,大數(shù)據(jù)滲透到各個行業(yè)領(lǐng)域,逐漸成為一種生產(chǎn)要素發(fā)揮著重要作用,成為未來競爭的制高點。然而,大數(shù)據(jù)掀起新一輪生產(chǎn)率提高和生活方式改變的同時,隨之而來的是安全挑戰(zhàn),這是我們必須破解的重大現(xiàn)實課題。
大數(shù)據(jù)隱患
面臨三大風(fēng)險問題
數(shù)據(jù)生命周期安全問題。伴隨著大數(shù)據(jù)技術(shù)和應(yīng)用的快速發(fā)展,在大數(shù)據(jù)生命周期的各個階段、各個環(huán)節(jié),越來越多的安全隱患逐漸暴露出來。比如,大數(shù)據(jù)傳輸環(huán)節(jié),除了存在泄漏、篡改等風(fēng)險外,還可能被數(shù)據(jù)流攻擊者利用,數(shù)據(jù)在傳播中可能出現(xiàn)逐步失真等。又如,大數(shù)據(jù)處理環(huán)節(jié),除數(shù)據(jù)非授權(quán)使用和被破壞的風(fēng)險外,由于大數(shù)據(jù)的異構(gòu)、多源、關(guān)聯(lián)等特點,即使多個數(shù)據(jù)集各自脫敏處理,數(shù)據(jù)集仍然存在因關(guān)聯(lián)分析而造成個人信息泄漏的風(fēng)險。
基礎(chǔ)設(shè)施安全問題。作為大數(shù)據(jù)匯集的主要載體和基礎(chǔ)設(shè)施,云計算為大數(shù)據(jù)提供了存儲場所、訪問通道、虛擬化的數(shù)據(jù)處理空間。因此,云平臺中存儲數(shù)據(jù)的安全問題也成為阻礙大數(shù)據(jù)發(fā)展的主要因素。在云計算安全方面,云安全聯(lián)盟2016年發(fā)布的云安全十二大威脅中,“數(shù)據(jù)泄露”高居榜首。美國國家標(biāo)準(zhǔn)技術(shù)研究院指出安全是公共云計算面臨的最大障礙,潛在風(fēng)險包括:一是云計算環(huán)境復(fù)雜,產(chǎn)生了比較大的受攻擊面;二是多租戶共享計算資源,增加了網(wǎng)絡(luò)和計算基礎(chǔ)設(shè)施的風(fēng)險,一個用戶的數(shù)據(jù)和應(yīng)用可能在無意中暴露給其他用戶;三是公共云計算通過互聯(lián)網(wǎng)交付,用戶的應(yīng)用和數(shù)據(jù)面臨來自網(wǎng)絡(luò)和暴露接口的威脅;四是用戶失去了對系統(tǒng)和數(shù)據(jù)在物理和邏輯上的控制。
個人隱私安全問題。在現(xiàn)有隱私保護法規(guī)不健全、隱私保護技術(shù)不完善的條件下,互聯(lián)網(wǎng)上的個人隱私泄露失去管控,微信、微博、QQ等社交軟件掌握著用戶的社會關(guān)系,監(jiān)控系統(tǒng)記錄著人們的聊天、上網(wǎng)、出行記錄,網(wǎng)上支付、購物網(wǎng)站記錄著人們的消費行為。但在大數(shù)據(jù)時代,人們面臨的威脅不僅限于個人隱私泄露,還在于基于大數(shù)據(jù)對人的狀態(tài)和行為的預(yù)測。近年來,國內(nèi)多省社保系統(tǒng)個人信息泄露、12306賬號信息泄露等大數(shù)據(jù)安全事件表明,大數(shù)據(jù)未被妥善處理會對用戶隱私造成極大的侵害。因此,在大數(shù)據(jù)環(huán)境下,如何管理好數(shù)據(jù),在保證數(shù)據(jù)使用效益的同時保護個人隱私,是大數(shù)據(jù)時代面臨的巨大挑戰(zhàn)之一。
大數(shù)據(jù)安全
全方位加強數(shù)據(jù)安全治理
我國“十三五”規(guī)劃綱要提出要實施國家大數(shù)據(jù)戰(zhàn)略,強化信息安全保障。為保障大數(shù)據(jù)發(fā)展戰(zhàn)略的順利實施,應(yīng)大力加強數(shù)據(jù)安全治理。
加強數(shù)據(jù)安全管理。明確數(shù)據(jù)安全治理目標(biāo),解決“云、管、端”三類數(shù)據(jù)的違規(guī)監(jiān)控和泄漏防護問題,對涉及敏感內(nèi)容的數(shù)據(jù)存儲、傳輸、使用過程進行全方位監(jiān)控、審計、實時防護,防止敏感數(shù)據(jù)泄露、丟失,確保數(shù)據(jù)的價值實現(xiàn)、運營合規(guī)和風(fēng)險可控。建立數(shù)據(jù)安全治理的保障機制,包括確立數(shù)據(jù)安全治理的戰(zhàn)略;健全數(shù)據(jù)安全治理的組織機制,明確數(shù)據(jù)安全管理的角色和責(zé)任;建立滿足業(yè)務(wù)戰(zhàn)略的數(shù)據(jù)架構(gòu)和架構(gòu)管理策略;識別政策、法律、法規(guī)要求,跟蹤相關(guān)標(biāo)準(zhǔn)規(guī)范的進展并采取措施予以積極落實。根據(jù)確定的數(shù)據(jù)安全角色和責(zé)任,分解落實各項數(shù)據(jù)安全治理任務(wù),有序開展各項治理工作。建立對數(shù)據(jù)安全治理的監(jiān)督評估機制,提升數(shù)據(jù)安全治理的有效性。
加強敏感數(shù)據(jù)管控。采取相關(guān)技術(shù)措施,加強對敏感數(shù)據(jù)的管控。既要開展數(shù)據(jù)分級分類工作,對敏感數(shù)據(jù)進行識別定義,為采用技術(shù)手段實現(xiàn)對敏感數(shù)據(jù)的安全管控提供基礎(chǔ);又要建設(shè)數(shù)據(jù)安全管控系統(tǒng),在數(shù)據(jù)分級分類基礎(chǔ)上,對傳統(tǒng)環(huán)境和云計算環(huán)境下的數(shù)據(jù)進行深度內(nèi)容識別,并通過展示界面實時、動態(tài)展示敏感信息分布態(tài)勢、傳輸態(tài)勢、使用態(tài)勢及整體安全風(fēng)險態(tài)勢;還要對涉及敏感內(nèi)容的數(shù)據(jù)存儲、傳輸、使用過程實現(xiàn)全方位監(jiān)控、審計、實時防護。
加強平臺安全防護。大數(shù)據(jù)承載平臺應(yīng)遵循國家網(wǎng)絡(luò)安全等級保護制度的要求,根據(jù)確定的安全等級采取相應(yīng)的安全保障策略。從物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)和管理等多個層面,構(gòu)建層次化的縱深安全防御體系,有效保障各業(yè)務(wù)應(yīng)用系統(tǒng)、大數(shù)據(jù)軟件平臺及承載其運行的云計算平臺的系統(tǒng)安全。既要加強大數(shù)據(jù)資源、環(huán)境、系統(tǒng)整體防護,建設(shè)多重防護、多級互聯(lián)體系結(jié)構(gòu),確保大數(shù)據(jù)處理環(huán)境可信;又要加強處理流程控制,防止內(nèi)部攻擊,提高計算節(jié)點自我免疫能力;還要加強全局層面安全機制,制定數(shù)據(jù)控制策略,梳理數(shù)據(jù)處理流程,建立安全的數(shù)據(jù)處理模式;更要加強技術(shù)平臺支持下的安全管理。
加強數(shù)據(jù)安全評估。通過深入貫徹等級保護、風(fēng)險評估等相關(guān)制度,對數(shù)據(jù)安全治理實施的符合性和質(zhì)量進行監(jiān)督評估,形成數(shù)據(jù)安全治理的閉環(huán)管理。要開展對大數(shù)據(jù)承載平臺的定期安全評估;加強對大數(shù)據(jù)相關(guān)信息系統(tǒng)的安全評估;跟蹤大數(shù)據(jù)相關(guān)評估標(biāo)準(zhǔn)的進展,適時開展對大數(shù)據(jù)安全的數(shù)據(jù)可信性和隱私保護程度等指標(biāo)的評估。通過體系化的大數(shù)據(jù)安全評估,促使大數(shù)據(jù)系統(tǒng)在數(shù)據(jù)安全方面達到運營合規(guī)、風(fēng)險可控的目標(biāo)。
(作者單位:浙江省經(jīng)濟信息中心)