发展大数据安全为先
作为第三次浪潮的引擎,大数据对各国来说首先是一种机遇。“棱镜门”事件爆发后,人们才突然意识到,数据管理的风险无处不在,不管是国家秘密还是个人隐私,在大数据时代都变成了极其容易被收集、窃取、分析和控制的“猎物”。当我们成为大数据时代一员的同时,或者也是它的受害者。
大数据这柄“双刃剑”应该如何使用?回答这个问题,得好好消化习近平总书记关于“没有网络安全就没有国家安全,没有信息化就没有现代化”的论断。正是本着这一理念,在7月1日高票通过的《新国家安全法》中,信息安全成为备受关注的内容。
大数据时代,信息安全到底有多重要?中央网信办主任鲁炜在首届世界互联网大会上的发言中说:“推动技术的发展必须以安全为前提,否则技术发展越快它给人类带来的危害就越大。就像高速路上正在行驶的汽车一样,如果没有刹车,那是不可思议的。”
政府网站成黑客“靶场”
2015年2月的一个案例,凸现了没有刹车的危害性。江苏省公安厅发文称,该省公安系统所使用的海康威视监控设备“存在严重安全隐患”“部分设备已经被境外IP地址控制”。原来,公安系统在互联网上的部分海康威视设备,因设备弱口令问题被黑客攻击。
云计算、大数据等网络信息技术的普及应用,以及在此基础上即时通信、社交网络、电子商务、互联网金融等网络商业应用的持续创新,正使得中国的网络安全问题进一步凸显。政府作为最大的信息收集者、最有用信息的掌握者,成了恶意攻击的重灾区。中国信息安全测评中心监测发现,2014年国家与省部级重要网站漏洞减少,但地市级政府网站隐患偏大,这些网站成为黑客组织的重要“靶场”。2014年约有200多个政府网站存在严重安全隐患,多个政府网站遭黑客组织攻击篡改;由于被植入非法链接等,我国300多个政府网站发生安全事件。
在专门从事信息安全战略及技术研究的中国信息安全测评中心总工王军看来,最近的一系列安全事件影响重大,并呈现全球传导的趋势。他说:“技术发展使得大数据与人们日常工作和生活息息相关,风险的发生机会和连带效应将变得超过以往任何时期。”
大数据是“一把手工程”
对各国而言,大数据都是一柄 “双刃剑”。既可以成为促进国家经济发展和维护网络空间安全的重要抓手,又因自身发展给网络空间信息安全带来潜在隐患和巨大威胁。
纵观国际形势,以美国为代表的发达国家在推进大数据应用上,已经形成从发展战略、法律框架到行动计划的完整布局。
迄今为止,美国政府在大数据方面实施了三轮政策行动。第一轮是2012年3月,白宫发布《大数据研究和发展计划》,并成立以奥巴马为首的“大数据高级指导小组”。第二轮是2013年11月,白宫推出“数据-知识-行动”计划,进一步细化了利用大数据改造国家治理、促进前沿创新、提振经济增长的路径,这是美国向数字治国、数字经济、数字城市、数字国防转型的重要举措。第三轮是2014年5月,美国总统办公室提交《大数据:把握机遇,维护价值》政策报告,强调政府部门和私人部门紧密合作,利用大数据最大限度地促进增长和利益,减少风险。
欧盟也在力推《数据价值链战略计划》,用大数据改造传统治理模式。2013年6月,安倍内阁正式公布了以开放大数据为核心的新IT战略《创建最尖端IT国家宣言》。
各国的大数据战略,基本上都是“一把手工程”。专家分析,大数据关乎国家安全,哪些数据资源能开发,哪些不能开发,哪些即使不能开发也必须开发,这就成了国家安全战略选择问题。
中国构筑“信息长城”
在握住大数据这个引擎的同时,我国又该如何捍卫“信息边疆”,从而全面提升我国未来的信息安全战略优势?
过去,中国在信息安全方面是“九龙治水”。《十八届三中全会公报》指出,面对互联网技术和应用飞速发展,现行管理体制存在明显弊端:多头管理、职能交叉、权责不一、效率不高。
中共中央网络安全和信息化领导小组的成立,使得国家的信息安全管理有了新组织架构,规格之高前所未见。2014 年 5月 9 日,中央网信办印发了成立以来的第一份正式文件《关于加强党政机关网站安全管理的通知》。
这份1号文件意义重大。党政机关网站已经成为宣传党的路线方针政策、公开政务信息的重要窗口,成为各级党政机关履行社会管理和公共服务职能、为民办事和了解掌握社情民意的重要平台。而在其作用日益突出的同时,网站安全管理工作也面临着越来越多的挑战与威胁。
大数据时代信息安全面临严峻挑战,任何单一固化的保护模式均难以为继,只有从法律体系、自律机制、管理标准、组织机构、技术应用等多个层面构建起立体协同、动态发展的信息安全保障体系,才能从根本上遏制我国个人信息安全的系统性风险。
安全审查护航“云计算”
建构一套大数据系统,有三个必备因素:“天上有云(云平台),地上有网(物联网、泛在网),中间有数(数据)”。作为大数据系统的基础设施,云计算是信息化发展的必然趋势。
党政部门采购云计算服务,有利于提高资源利用率和为民服务的效率与水平,同时,安全风险也很突出:用户对数据、系统的控制管理能力减弱;安全责任不明确,一些单位可能由于数据和业务的外包而放松安全管理;云计算平台更加复杂,风险和隐患增多,控制和监管手段不足;云计算平台间的相互操作和移植比较困难,用户数据和业务迁移到云计算平台后容易形成对云计算服务提供者(以下称服务商)的过度依赖。
为了推动党政部门云计算服务网络安全管理工作,中央网信办指导全国信息安全标准化技术委员会秘书处组织制定了《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)和《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)两项国家标准。2014年9月正式发布后,又在成都、济南、无锡、襄阳、上海、北京等6个城市组织标准应用试点。
这次试点进一步验证了标准的合理性和可操作性,摸索出了加强党政部门云计算服务网络安全管理的经验,为开展党政部门云计算服务网络安全审查奠定了很好的基础。
近期,中央网信办制定了《关于加强党政部门云计算服务网络安全管理的意见》,明确了由中央网信办会同有关部门建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性。《意见》指出,党政部门采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。
根据国务院办公厅发布的《关于运用大数据加强对市场主体服务和监管的若干意见》,政府拥抱大数据的同时,还要落实国家信息安全等级保护制度要求,加强对涉及国家安全重要数据的管理,加强对大数据相关技术、设备和服务提供商的风险评估和安全管理。采取必要的管理和技术手段,切实保护国家信息安全及公民、法人和其他组织信息安全。
对于种种安全挑战,中央网信办副主任王秀军曾经在接受记者采访时说:“网络安全是信息化推进中出现的新问题,只能在发展的过程中用发展的方式加以解决。不能简单地通过不上网、不共享、不互联互通来保安全,或者片面强调建专网。这样做的结果只能是造成不必要的重复建设,大量网络资源得不到充分利用,增加信息化的成本,降低信息化效益,失去发展机遇。这种‘懒政思维必须破除。要努力实现技术创新和体制机制创新,不断形成维护网络安全的新思路、新方法、新举措、新本领”。
