得数据者得天下 大数据安全不容小视!

  【IT168 评论】2017年5月25日,“第三届中国大数据安全高层论坛”在贵阳成功召开,本届论坛由中国信息安全测评中心和贵阳市人民政府共同主办,论坛围绕“数据创新安全”主题,邀请政府部门、大型企业、产业界代表及专家、学者等400余位嘉宾出席。与会嘉宾从大数据安全战略、行业、学术、产业等多个视角,围绕大数据安全相关前沿内容,进行深入交流和探讨。其中中国信息安全测评中心专家委员会副主任黄殿中作为论坛演讲嘉宾表示,我们应积极适应新趋势带来的新变化,理清大数据发展的安全风险,把握科学治理的思想脉络,敢为人先、顺势而上、主动作为。

得数据者得天下 大数据安全不容小视!
中国信息安全测评中心专家委员会副主任 黄殿中

  以下为黄殿中的演讲实录:

  在今年的大数据安全高层论坛上,心系祖国、胸怀天下的院士泰斗和实业兴邦、立志报国的业界精英为了大数据安全的共同目标,再次齐聚贵阳,共谋中国大数据安全事业的发展大计,我感到由衷地欣慰和喜悦。中国自古以来就强调要“随时以举事,因资而立功,用万物之能而获利其上”,在大数据成为互联网发展的“新动能”和信息革命的“智慧树”之后,我们应积极适应新趋势带来的新变化,理清大数据发展的安全风险,把握科学治理的思想脉络,敢为人先、顺势而上、主动作为。在此,我想借助此次论坛的优势平台,同大家一起展开头脑风暴,就大数据的发展与安全交流几点看法和思考。

  第一,“得数据者,得天下”,大数据成为助推“两个百年”奋斗目标的重要“奠基石”

  当前,网络空间方兴未艾、万物互联势不可挡;数据时代潜力无限、发展应用前所未有。大数据时代真正地掀起全球治理的大变革、带来生活方式的大融合,它是人类信息交流史上的一次大跨越,也是人类生产生活水平的一次大跃升。从国际形势来看,数字化革命正在改变全球的面貌,以信息化为基础的新工业正取代传统工业成为全球主导性产业,全球竞争的角力焦点开始转向对大数据资源的战略争夺和安全治理,世界主要发达国家纷纷提速前行、立体布局,极力确保在战略规划、技术创新和安全应用等方面的领先地位,力争做到“与数同行、与时俱进”。从国内发展来看,党中央、国务院准确把握大数据带来的机遇期,从发展实际出发,审时度势,以高瞻远瞩的顶层设计和快马扬鞭的建设步伐,加快制定并实施国家大数据战略,纵深推进大数据发展的应用建设与治理工程。

  首先,顶层设计的科学引领成为繁荣发展的“先锋队”。自党的十八大以来,我国先后出台了《促进大数据发展行动纲要》、《大数据产业发展规划(2016-2020)》等十多项政策指导性文件。在短短的几年时间内,大数据战略已从全面、总体布局向各大行业、各细分领域扩展延伸,呈现出全面发力、多点突破、蹄疾步稳、纵深推进的良好态势,战略规划的大布局使大数据发展的驱动效应日趋明显。

  其次,管理机制的强化落实成为依法治理的“生力军”。以北京、上海、贵州、广东和浙江等为代表的多个省、市纷纷设立大数据发展领导小组和大数据管理局,短短两年时间,我国已拥有了十余个省市级以上的大数据专业管理部门,这些机构致力于帮助政府拟定并组织实施大数据战略,借助政策红利的提升和管理机制的理顺来助推大数据事业的健康有序发展。

  同时,应用建设的广泛实施成为驱动发展的“主力军”。从区域布局来看,数据驱动的新经济给东西部带来了平等的发展机遇。京津冀地区重点打造大数据走廊,利用产业集群效应全力推动经济社会发展;苏浙粤等东部省份则充分发挥经济优势潜能,以智慧城市、云计算等为切入口,积极筹建大数据产业园,推进区域经济的繁荣发展;贵川渝等西部省份也瞄准时机、紧握机遇,顺势推动大数据内容中心、服务中心和金融中心等产业应用的培育与建设,深层次地激发了产业经济的集群优势,驱动效应日趋突显。

  第二,“辨风险者,辩全局”,大数据风险管控成为检验国家网络治理能力的重要“试金石”

  从总体环境来看,大数据的发展确实为我们营造了有利的“时与势”、但伴随而来的“艰与险”却在不断增多;不同于传统意义上的安全挑战,大数据风险可以说是非传统安全领域的一项全新的、多变的未知挑战,是将政治、经济、文化和国家安全等问题融合为一炉,并相互渗透的综合性安全风险。围绕数据资源的渗透与反渗透、窃密与反窃密、攻击与反攻击等网络斗争行为日趋激烈,直接威胁国家的政治稳定、破坏社会的长治久安、侵害民众的福利福祉。正如古语所云:“治国犹如栽树,本根不摇则枝叶繁茂”。辨识和管控大数据风险已成为治国理政之关切、繁荣富强之根本,它是检验国家网络安全风险管控能力的“试金石”,更是体现国家总体安全水平的“晴雨表”。

  从国家安全层面来看,跨境数据自东向西流动的趋势将加剧“敌先知,我未知”的风险程度。当前,数字经济的快速发展助推了跨境数据的流进流出,数据资源自东向西的流向格局愈发明显,致使数据的所有权和治理权进一步分离。尤其是当前,大型跨国互联网企业开展云计算、大数据和人工智能等服务,利用其技术优势大范围搜集存储敏感数据、商业重要数据和个人隐私数据,这些涉及经济运行和社会稳定的关键信息一旦跨境流出被非法利用,提炼出其中的价值敏感信息,将对数据流出国的国家安全形成直接威胁。因此,如何让跨境数据成为滋养经济社会的“源头活水”而非危害安全发展的“洪水猛兽”,是摆在大数据风险治理层面的安全难题。

  从社会治理风险来看,数据治理的“扁平分布”将加深“由谁管,怎么管”的复杂难度。过去,政府机关、企事业单位是数据资源的主要拥有者和监管者,数据治理工作相对单一简单。但在大数据时代,随着智能生活的深入递进和数据资源的扁平化分布,大型互联网公司和小微创意企业成为海量信息的集大成者,它们得利于经济发展、技术创新,能够广泛搜集和存储更多、更重要的数据资源信息,过去数据资源的“集中统一”变成现今的“扁平治理”。在现行法律法规和相关监管措施并不完善的背景下,企业道德良知的高下和安防技术的高低将直接影响大数据的安全治理水平。去年9月,美国雅虎公司就因为自身技术安防的漏洞被网络黑客利用,造成5亿雅虎用户的信息被窃,引发了“史上最大的数据泄露事件”。网络空间治理规制的相对缺失进一步增大了大数据风险管控的难度,致使大数据安全防护的内外压力陡然提升。

  从个人隐私风险来看,数据脚印的“痕迹属性”将加大“被泄露,被滥用”的危害频度。在大数据时代,无论是购物消费、网络聊天等琐碎小事,还是读书买房、结婚生子等人生大事,都不可避免地在各式各样的数据系统中留下必要的“数据脚印”和“数据痕迹”。就单个系统而言,这些细小数据可能无关痛痒,但一旦将它们萃取整合,就会使敏感信息迅速还原、个人隐私无所遁形。同时,随着“互联网+”、“人工智能”和“智慧生活”的不断融入,大数据资源的获取渠道开始呈现便利化和便捷化的特征,过去难以获取的敏感隐私,在大数据时代可能变得信手拈来、唾手可得,如果政府部门不对大数据收集、存储、处理和利用的相关行为体进行合理的规制或及时的约束,就会使个人隐私数据泄露的风险加大、重要敏感数据暴露的风险增多。如何打好个人数据安全的“保卫战”,使大数据发展造福于民而非危害于民是未来大数据治理进程中无法回避的现实风险与挑战难题。

  第三,“赢安全者,赢未来”,大数据安全成为全面推进网络强国建设工程的核心“压舱石”

  自古以来,我国就是一个讲求兵法战术,重视学以致用的国家。早在《孙子兵法》一书中就提出“用兵之法,无恃其不来,恃吾有以待;吾恃其不攻,恃吾有所不可攻也”的战略思想。在大数据时代,面临潜在的风险挑战,只有做足充分准备、确保综合施策,才能真正地打赢大数据安全治理的保卫战,具体来说:

  一是战略上,要用好治理抓手,确保张弛有度、施策得当。“开放、共享、安全”是我们开展大数据建设工作遵循的基本原则,三者存在辩证的关系,缺一不可。数据开放、数据共享是大数据的基础,也是利弊共存、得失兼具的“双刃剑”,只有以安全作保障,这把双刃剑才不会伤及自身,对于那些不涉及政治、经济和国家安全等国家机密,又确实有利于经济社会长足发展的大数据资源,我们应鼓励开放、正确引导,对涉及国家安全核心利益和大是大非的原则性问题,我们必须坚守底线、拿出实招,确保大数据安全战略施策得当、张弛有度。对那些已经看得清的已知风险,要深入研判、早做谋划、从容应对;对暂时难以看清的未知挑战,要密切跟踪、未雨绸缪、灵活施策。只有科学合理地布局大数据安全战略,切实有效地发挥治理抓手的作用,才能使我们的发展与安全同步推进、并肩而行。

  二是战术上,要重视多管齐下,确保掷地有声、卓有成效。“审度时宜,虑定而动,天下无不可为之事”。在强化大数据安全治理问题上,要综合运用政策法规、技术保障、人才培养和市场引领等施策手段,充分调动和发挥国家、企业和个人的优势力量,用好“十个指头弹钢琴”的方法,切实加强大数据发展的安全治理与综合施策,具体包括:

  1、切实用好顶层立法和战略规划的治理抓手,布好大棋局、下好先手棋。坚持把“数据主权”纳入网络主权范畴,明确数据所有权、治理权和管辖权的边界与划分;及时出台并推动落实相关法律法规,加强对信息网络和关键领域重要信息系统的数据安全保护;加快推进数据资源权益和个人信息保护方面的立法工作,明确大数据使用中各方行为体的权责义务,加强对数据滥用、侵犯个人隐私等行为的治理和惩戒。

  2、着力完善大数据安全的审查评估和制度建设,设好预警阀、打好主动仗。积极研究数据开放、共享和保护等方面的制度建设,实现对大数据资源采集、传输、存储、利用的规范管理,建立并实施符合时代发展需求、符合本国安全需要的大数据资源“分级分层管理办法”,进一步完善数据安全管理制度;同时,结合测评认证和风险评估方面的工作经验,研究出台大数据安全审查办法,加大对重点行业、重点领域大数据应用的审查和评估力度。

  3、全力推进大数据安全的预警监测和行业监管,织密防护网、擦亮金睛眼。在监测问题上,要适时启动国家级大数据监测分析中心工程项目,加快推进大数据环境下“防攻击、防泄漏、防窃取”监测预警系统建设;突破多维语义分析的数据指纹提取和匹配技术,动态并发的大数据脱敏技术,触发式的完整性验证与修复技术,细粒度的访问控制与授权技术,全面提升网络和大数据态势感知能力、事件识别能力、安全防护能力、风险控制能力和应急处置能力。同时,要进一步加强信息安全领域的行业监管,加大对重点领域敏感数据监管的监察和执法力度,发挥行业自律,规范大数据的使用制度和方法流程,切实保障各行业、各领域大数据应用的健康有序发展。

  4、全面提升大数据安全的自主可控和技术能力,夯实金刚墙、把好安全门。未来,应进一步推进国产芯片、国产网络设备、国产操作系统、国产数据库和国产云平台、云存储、云安全等关键软硬件产品的规模化应用,分期分批实现关键软硬件的自主化;同时,积极构建支持自主可控的大数据安全产业链条和技术研发,使自主软硬件产品有条件、有渠道进入采购市场,坚持采用安全可控的大数据安全产品和服务,对涉及国家核心利益的信息网络和信息系统,实行高级别技术保障,确保大数据安全又好又快发展。

  嘉宾们、朋友们!在推动大数据事业健康、有序、安全发展的道路上,我们只有筑牢信念之基、补足发展之钙、把稳安全之舵,才能集思广益用好时代机遇,众志成城应对安全挑战,立行立改破解风险难题。今天,我的发言就到这里,感谢大家对中国大数据安全事业的关爱与支持,预祝本次论坛获得圆满成功,谢谢大家!

发表评论

相关文章