目前,大数据已不断向各个行业渗透并深刻影响国家政治、经济、民生、国防等领域。然而其安全问题也日益凸显,稍加疏忽必将对个人隐私、社会稳定和国家安全带来巨大的潜在威胁。如何利用好这柄双刃剑,需要我们不懈努力,共同探寻大数据发展的安全之道。
1.危险悄然而至
2014年”携程网”用户信息泄露和2015年12306网站用户信息泄露等多起数据泄露事件向人们警示:大数据安全风险已悄然而至。大数据时代,每个人都是数据的贡献者,在个人贡献信息的同时,信息泄露等安全问题也变得更加严峻。
据统计,2011—2014年,已确认被泄露的我国公民个人信息就多达11.27亿条,非法采集、窃取、贩卖和利用个人信息的黑色产业链不断”做大”。可以说,身处大数据时代,人人都在”裸奔”——电话号码、个人身份、家庭住址、购物记录、社会关系等,都在以数据形式被记录、传输。而随着大数据挖掘分析技术的不断发展,个人隐私保护变得更加□本刊记者李杰大数据发展的安全之道紧迫。有专家分析,大数据环境下,人们对个人信息的控制权明显下降,导致个人数据被广泛、详实地搜集和分析。
大数据被应用于攻击手段,黑客可最大限度地搜集更多有用信息,为发起攻击做准备,大数据分析让黑客的攻击更精准。随着大数据技术的发展,更多信息被用于个人身份识别,而个人身份识别信息的范围界定困难,隐私保护的数据范围变得模糊。以往建立在”目的明确、事先同意、使用限制”等原则之上的个人信息保护制度,在大数据场景下变得越来越难以操作。大数据对行业和企业来说也存在安全威胁。全国人大代表、中国电信湖南公司总经理廖仁斌认为,各个行业和企业在利用大数据获得信息价值的同时,也在不断累积风险。大数据通过分布式云计算,在系统中进行上传、下载、交换的同时,极易成为黑客与病毒攻击的对象,大数据平台和各类应用服务系统一旦被入侵,则会对行业和相关企业的信誉、研发、销售、服务和品牌等方面带来严重冲击,造成难以估量的损失。
大数据对国家安全有着巨大的潜在威胁,各国在信息设施和重要机构以及能源、交通、金融、商业等重要基础设施与军事设备等方面都依赖信息网络,海量大数据的采集、传输、存储、处理过程中,增加了遭受信息攻击的可能性,信息设施和重要机构等都可能成为攻击目标,国家安全甚至可能受到信息战的威胁。若数据管理和技术防范不当,大数据还可能为网络恐怖主义提供新的利用资源,网络恐怖主义可通过分析工具窃取无所不在的数据资源,获取情报,进而威胁国家安全。实际上,基于大数据的数据挖掘技术对国家安全的威胁最为严重。在这方面,美国情报机构已抢占先机,通过遍布在全球的监听机构采集各种信息,进行快速预处理、解密还原、分析比对、深度挖掘,并生成相关情报,供上层决策。2013年6月,美国前中情局雇员斯诺登曝光了始于2007年的美国”棱镜”秘密项目。美国国家安全局通过接入雅虎、谷歌、微软、苹果等9家美国互联网公司中心服务器,对邮件、图片、视频、电话等10类数据进行监控,以搜集情报,监视民众的网络活动。
2.贵州探路数据安全
贵州省高度重视数据安全,强调树立”数据是资源、应用是核心、产业是目的、安全是保障”四大理念,要求大数据发展和大数据安全必须”两条腿”走路。在省经信委主任马宁宇看来,”价值是0,安全是1,没有安全,0再多也没有意义”。然而,由于国家层面的大数据安全立法滞后,又没有现成的经验可供借鉴,同时,贵州的大数据发展迅猛,安全保障问题等不得也等不起,为此,贵州结合实际,大胆探索,特别是在积极推进”云上贵州”系统平台过程中,严格按照”开放、互通、安全”的要求,把安全体系作为重中之重加以建设,走出了一条新路。在贵州看来,解决大数据安全的根本之道在于实现国家主要信息产品、设备和技术的自主可控。自主是安全的基础,可控是安全的目的。实现自主可控虽有一定难度,但它是一个必然选择,是一个底线,是确保大数据安全的根本出路。正是基于这一思路,一方面,”云上贵州”系统平台的云操作系统、服务器等主要软硬件全部采用具有自主知识产权的国产产品,强化自主可控。
另一方面,筑牢防火墙,与阿里、启明星辰、中国长城网际等网络安全防控能力强的大公司合作,明确安全需求边界,签署安全防护责任协议,在系统平台上进一步开发符合政府数据安全要求的云安全附加产品。”‘云上贵州’系统平台自2014年10月上线运行以来,共成功防御30次10G以上大规模DDoS流量攻击、126万次暴力破解攻击以及1807万次Web安全攻击,至今未发生任何重大信息安全事故。”云上贵州大数据产业发展有限公司首席技术官秦晓东自豪地说。数据分级管理是解决大数据安全的关键。
为此,贵州进行了有益的探索,总的思路是,在基础设施配套完备的前提下,按照”谁拥有、谁定级”的原则,将政府数据资源分类梳理,按完全开放、有条件开放和暂不开放三级,将数据分为绿色、橙色和红色三级数据。贵州省经信委基础设施处处长娄松介绍,绿色数据是完全共享开放数据,红色数据是还不具备开放条件的敏感数据,中间便是橙色数据,这类数据价值较高、经过处理可以用于商业开发,也可作为共享开放数据。红色数据随着技术条件的提高与保障机制、运行机制的成熟,处理后可以转化为绿色数据开放,或作为橙色数据开发。涉密数据禁止接入云平台。目前,迁入”云上贵州”的20朵云220个应用系统中,绿色数据占35%,橙色数据占45%,红色数据占20%。为了进一步强化”云上贵州”的数据安全,贵州积极探索推动数据安全发展地方立法。
2016年3月1日,《贵州省大数据发展应用促进条例》开始施行。其中,第三十一条规定,省人民政府建立数据安全工作领导协调机制,统筹协调和指导本省数据安全保障和监管工作。省大数据安全主管部门会同有关部门制定数据安全等级保护、风险测评、应急防范等安全制度,加强对大数据安全技术、设备和服务提供商的风险评估和安全管理,建立健全大数据安全保障和安全评估体系。第三十二条规定,大数据采集、存储、清洗、开发、应用、交易、服务单位应当建立数据安全防护管理制度,制定数据安全应急预案,并定期开展安全测评、风险评估和应急演练;采取安全保护技术措施,防止数据丢失、毁损、泄露和篡改,确保数据安全。发生重大数据安全事故时,应当立即启动应急预案,及时采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。”作为全国首部大数据地方法规,条例的出台不仅填补了我国大数据地方立法的空白,也为贵州的大数据安全发展提供了强有力的法律保障。”娄松说。在发展中解决安全问题从技术上来讲,这个世界上没有绝对的安全。贵州大学密码学与数据安全研究所所长彭长根告诉记者,绝对安全是不存在的,任何安全都是有成本的,成本决定你的安全等级。也就是说,数据开放和数据安全之间存在平衡策略问题。
在彭长根看来,大数据的发展必然是进一步走向开放,而开放必然会带来相应的安全问题。如何解决这一问题?根本途径是通过大数据的发展来解决相应的安全问题,决不能因噎废食。在发展中解决安全问题需要在国家层面进行顶层设计、统一部署、统一推进。为此,国家信息中心时空大数据研究中心秘书长吕欣建议:要坚持系统治理,把数据安全维护从数据管理方的单方面管理向数据管理方主导,数据所有方和数据访问方等多元主体共同参与安全维护转变,构建数据安全管理的完整体系和全面流程,使数据安全管理系统化;坚持依法治理,把对数据安全的处理方式从治理方式、管理规制向法治保障转变;坚持综合治理,把数据安全的治理手段从行政手段为主的单一手段运用过多,向多种手段综合运用转变;坚持源头治理,把数据安全管理关口从事后处理向事前和事中延伸转变,提高数据安全所涉及的不同角色阶层的安全意识,强化数据加密等相关安全技术研发,预防数据泄露事故,从源头上对数据安全采取相应措施,进行安全保障。对于具体如何保障大数据安全,廖仁斌建议:构建大数据安全政府监管和行业自律机制,加强分类分级管理;建立适应大数据发展的法律法规体系,加大对数据滥用、侵犯个人隐私、恶意利用数据危害社会稳定和国家安全等行为的打击和惩戒力度,并积极参与国际大数据安全规则和标准的制定;健全大数据安全技术标准和认证机制,从国家层面尽快制定统一的大数据安全技术标准,各行业领域和行政区域的管理部门深入制定行业和区域的技术规范和防护标准,实施大数据安全认证机制;推动大数据安全产业和人才培养同步发展,并加强大数据安全保护的宣传教育。
3.结语
实际上,在今年4月19日,习近平总书记在网络安全和信息化工作座谈会上就特别指出:”网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”这其实就指明了大数据发展的安全之道。