随着我国数字经济和产业的发展,数据安全问题日益凸显。2015年国务院印发《促进大数据发展行动纲要》,部署促进大数据发展的三大主要任务之一是健全大数据安全保障体系,强化安全支撑。随着数据数字技术的延伸和扩展,社会的方方面面对数据的依赖程度日益加深,新的安全挑战不断衍生。大数据要发展,数据安全可是个大问题,那么如何保障数据安全呢?如何通过完善制度供给保障数字经济发展中的数据安全呢?
(1) 促进安全保障高效化
数字安全的基本原则是安全发展。坚持安全是发展的前提,发展是安全的保障,安全和发展并重, 切实保障国家数据安全,全面提升发展的持续性和稳定性,实现发展质量、规模、效益、安全相统一。
数据安全的保障需要各部门联合行动,加强有关执法部门间的数据流通,在法律许可和确保安全的前提下,加强对数据的归集、发掘及关联分析,提高公共安全保障能力,推动构建智能防控、综合治理的安全体系。要牢固树立保护大数据安全意识,严惩运用大数据进行的各种违法犯罪活动。所有运用互联网的单位和个人都应自觉树立维护大数据安全的思想意识和责任担当。新闻媒体应加大对保障大数据安全的宣传教育力度,构建保护大数据安全的良好社会生态环境。要抓紧修改和完善打击大数据犯罪的相关法律法规,做到有法可依,依法保障大数据安全,维护国家安全和社会稳定。
企业单位在安全保障中起关键作用,企业单位需建议高效的安全保障制度体系。要认真落实网络实名制。明确具有大数据平台的单位必须建立健全安全有效的管理制度办法,配备专职的网络安全技术和管理人才,特别要注意加强对内部相关人员的监督管理,杜绝出现“内鬼”。明确企业对外发布某些大数据分析结果,需经政府有关部门批准。
(2) 健全大数据安全保障体系
加强大数据环境下的网络安全问题研究和基于大数据的网络安全技术研究,落实信息安全等级保护、风险评估等网络安全制度,建立健全大数据安全保障体系。
一是加快完善法规标准体系,筑牢数据跨境法律屏障。国家应制定保障大数据安全的总体规划、顶层设计,构建大数据安全的技术保障生态体系。制定大数据采集、传输、存储、交换等安全规范技术标准体系。创建大数据安全人工智能系统,力争做到“能预防,进不来,早预警,拿不走,打不开,读不懂,自销毁,会追踪,保证据”,对大数据安全从技术上做到实时安全预防;受到攻击时有效监控及时发出预警;自动甄别真假信息,主动删除垃圾危害信息;强化密码技术在保障大数据安全中的支撑作用;出现安全漏洞及时主动地进行有效控制和处置,加强实时安全管理。此外,应将大数据安全技术列入国家科技创新和产业发展重大工程规划,从政策和资金方面给予大力支持,加强大数据安全技术基础设施建设。
二是健全数据安全管理制度,实施数据分类分级保护。我国数据安全管理实行行业归口管理,由各行业主管部门负责所属行业和领域的数据出境审批、落实数据分类分级保护制度等工作。然而,由于监管协调机制不健全,仍存在监管竞争或监管漏洞的现象,亟须健全管理制度,统筹协调各部门职能,堵塞监管漏洞,切实做好数据安全保护。同时,应针对个人信息、商业数据,以及电信、金融、能源、交通等重点行业数据建立数据分类分级保护制度、跨境审核制度,集中管理资源对较高级别的跨境数据进行安全评估。
三是强化大数据安全顶层设计,落实网络安全和数据安全相关法律法规和政策标准。鼓励行业、地方和企业推进数据分类分级管理、数据安全共享使用,开展数据安全能力成熟度评估、数据安全管理认证等。加强数据安全保障能力建设,引导建设数据安全态势感知平台,提升对敏感数据泄露、违法跨境数据流动等安全隐患的监测、分析与处置能力。
(3) 强化安全支撑,促进健康发展
《“十四五”大数据产业发展规划》指出,要支持重点行业开展数据安全技术手段建设,提升数据安全防护水平和应急处置能力。加强数据安全产品研发应用,推动大数据技术在数字基础设施安全防护中的应用。加强隐私计算、数据脱敏、密码等数据安全技术与产品的研发应用,提升数据安全产品供给能力,做大做强数据安全产业。
加强数据安全管理能力。推动建立数据安全管理制度,制定相关配套管理办法和标准规范,组织开展数据分类分级管理,制定重要数据保护目录,对重要数据进行备案管理、定期评估与重点保护。
加强数据跨境安全管理。开展数据跨境传输安全管理试点,支持有条件的地区创新数据跨境流动管理机制,建立数据跨境传输备案审查、风险评估和安全审计等工作机制。鼓励有关试点地区参与数字规则国际合作,加大对跨境数据的保护力度。
建设数据安全监测系统。基于大数据平台、互联网数据中心等重要网络节点、建设涵盖行业、地方、企业的全国性数据安全监测平台,形成敏感数据监测发现、数据异常流动分析、数据安全事件追踪溯源等能力。
强化安全技术手段建设,提升数据安全保障能力。为降低重要数据非法出境的风险,应针对涉及收集和产生重要数据的关键信息基础设施运营者,搭建数据安全态势感知平台,在企业大数据中心等关键节点处部署探针,实时监测数据流向,并构建重要数据动态识别策略,研判因汇聚、整合、分析而衍生的重要数据,一旦监测到异常传输等可能威胁国家安全的情况,及时阻断传输并向监管部门发出预警,实现有效预防、制止重要数据非法出境行为。同时,积极利用区块链、隐私计算、密码等技术,围绕数据全生命周期,加强数据加密传输、数据脱敏、追踪溯源等技术研发与应用。数据就是企业的无形资产,而黑客入侵数据库最想得到的还是企业的各种有价值的数据,为了保护数据安全,必须采用一系列的安全防护措施来保护企业的数据,来降低网络攻击造成的危险。
数据加密:大数据本身承载了很多有价值的数据信息,加强核心机密数据的加密防护仍然是加强大数据安全的重心,不容忽视。尽管大数据系统平台采取了实时监控、防火墙、杀毒软件等安全防护措施,有些黑客或病毒仍可以绕过这些安全防护措施,接触到敏感关键数据,只有加强对这些敏感关键数据的加密保护,使任何未经授权许可的用户无法解密获取到实际的数据内容,才能有效地保障数据信息安全。数据加密可以采用硬件加密和软件加密两种方式实现,每种方式都有各自的优缺点。对大数据的数据加密,传统的数据加密方法需要消耗大量的CPU计算时间,严重地影响了大数据处理系统的性能。采用加解密数据文件块、数据文件、数据文件目录、数据系统的方法来实现快速的数据加解密处理,既可以保障系统的数据安全性,又可以提高数据处理的效率。
访问控制:访问控制可分为自主访问控制和强制访问控制两大类。自主访问控制是指用户拥有绝对的权限,能够生成访问对象,并能决定哪些用户可以使用访问。强制访问控制是指系统对用户生成的对象进行统一的强制性控制,并按已制定的规则决定哪些用户可以使用访问。近几年比较热门的访问控制模型有基于对象的访问控制模型、基于任务的访问控制模型和基于角色的访问控制模型。
大数据系统平台不断地接入新的服务器、存储设备、网络设备和其他应用资源,控制系统间和服务间的访问权限,进行访问权限细粒度划分,构造用户权限和数据权限(只读、只写、读写)的复合组合控制方式,提高敏感数据的安全性。
流量分析:网站流量分析,是指在获得网站访问量基本数据的情况下对有关数据进行统计、分析,从中发现用户访问网站的规律,并将这些规律与网络营销策略等相结合,从而发现网络营销活动中可能存在的问题,并为进一步修正或重新制定网络营销策略提供依据。对后台日志进行数据分析,如请求IP统计,访问地址统计,HTTP状态码统计等。有时需要对特定IP进行行为查看,以分析其是否为恶意IP。对于恶意IP后台可以采取相应措施以保护平台安全。
安全漏洞发现:安全漏洞主要是指计算系统和服务程序由于设计缺陷或人为因素留下的系统后门,利用安全漏洞攻击者能够在未授权的情况下访问或破坏系统。安全漏洞的分析可以采用白盒测试、黑盒测试、灰盒测试、动态跟踪分析等方法。现阶段大数据系统多采用开源程序框架和开源程序组件,在服务程序和组件的组合过程中,可能会遗留有安全漏洞或致命性的安全弱点。开源软件安全加固可以根据开源软件中不同的安全类别,使用不同的安全加固体,修复开源软件中的安全漏洞和安全威胁点。动态污点分析方法自动检测覆盖攻击,不需要程序源码和特殊的程序编译,在运行时执行程序二进制代码覆盖重写。
人工智能+数据安全:当前,以大数据、人工智能等为代表的信息技术日新月异,与此同时,网络攻击、网络窃密、网络诈骗频频出现,网络安全的风险正在被技术不断放大。人工智能与数据相辅相成、互促发展。一方面,海量优质数据助力人工智能发展。另一方面,人工智能显著提升数据收集管理能力和数据挖掘利用水平。数据安全是人工智能安全的关键,同时,人工智能为数据安全治理带来新机遇。因此,人工智能数据安全应包含:一是应对人工智能自身面临和应用导致及加剧的数据安全风险与治理挑战;二是促进人工智能在数据安全领域中的应用;三是构建人工智能数据安全治理体系,保障信息安全稳步发展。大数据时代,数据的安全更成为了国家、政府、企业的命脉。随着大数据技术的成熟、应用和推广,对于拥有重要数据资产的企业或政府部门,对大数据发展理念日渐认同,数据成为继现金和技术之后又一核心价值资产。数据的安全是整个大数据时代的核心,包含大量政务、个人隐私、商业机密甚至国家重要数据等内容,这些敏感数据一旦被篡改或者泄露,轻则对业务运行产生影响,严重甚至会直接影响社会安全、国家稳定发展。因此,健全大数据安全保障体系、促进安全保障高效化、强化安全支撑、促进健康发展成为大数据时代必经之路。
