扫一扫获取最新动态
扫一扫获取最新动态
“Facebook事件”把数据安全推上了“风口浪尖”。今年3月,Facebook的裙带机构剑桥分析公司爆出在未经用户同意的情况下,利用在 Facebook 上获得的大量用户个人数据创建档案,并在2016年美国总统大选期间针对这些人进行定向宣传,影响选举结果。此后,欧盟、美国、英国纷纷抨击Facebook和剑桥分析公司的这种行径,联邦贸易委员会(FTC)就此事对Facebook展开调查。
“Facebook事件”暴露的只是数据安全的一个方面,除了个人信息遭泄露、被滥用之外,企业数据、政府数据同样面临安全风险,这不仅会影响到企业经营,甚至会威胁到国家安全。
在大数据时代,保护数据安全是刻不容缓的大事。习近平总书记在中共中央政治局就实施国家大数据战略进行的第二次集体学习时强调,要切实保障国家数据安全。这要求我们必须坚持国家总体安全观,树立正确的网络安全观,坚持“以安全保发展,以发展促安全”,充分发挥大数据在推动产业转型升级、提升国家治理现代化水平等方面重要作用的同时,深刻认识大数据安全的重要性和紧迫性,认清大数据安全挑战,积极应对复杂严峻的安全风险,坚持安全与发展并重,加速构建大数据安全保障体系,保障国家大数据发展战略顺利实施。
政府及企业数据安全面临严峻考验
数据安全对国对民如此重要,但值得警醒的是,近年来,数据大规模泄露事件频繁发生。全球知名数字安全企业金雅拓(Gemalto)发布的《2017数据泄露水平指数报告》显示,2017 年全球范围内数据泄露总量为26.01亿条,超过2016年全年总量(13.79亿条)近一倍。仅 2017 年,全球发生了多起影响重大的数据泄露事件,美国共和党下属数据分析公司、征信机构先后发生大规模用户数据泄露事件,影响人数均达到亿级规模。我国数据泄露事件也时有发生。2017年3月,京东试用期员工与网络黑客勾结,盗取涉及交通、物流、医疗等个人信息 50 亿条,在网络黑市贩卖。此外,数据泄露的潜在隐患同样不容乐观,据互联网设备搜索引擎Shodan统计,截至2017年2 月3日,中国有15046个MangoDB数据库暴露在公网,存在严重安全问题。
中国信息通信研究院安全研究所数据安全研究部主任陈湉在接受《中国信息界》记者采访时指出,当前,我国的政府和企业数据安全都面临着严峻考验。从国家层面来看,大数据时代下的数据安全问题已经与国家安全产生直接关联。一是大数据分析挖掘技术使数据资源成为重要情报来源,西方各国的数据掠夺行为不断加剧。2013年,斯诺登公开揭露美国长期监听全球通信数据,同时英国的“颞颥”项目也被爆监听承担全球电话和网络流量的光缆系统;二是利用大数据分析技术能够操纵民意,干预国家政治格局。随着技术的成熟和普及,利用大数据干预国家政治活动的门槛将进一步降低;三是利用大数据技术对国家重要数据资源进行挖掘分析,能够获得反映社会经济运行情况的关键信息。随着全球经济社会网络化、数字化进程深入推进,能够反映国家军事及科技实力、经济运行、社会秩序等情况的重要数据资源不再仅仅掌握在政府部门手中,网络运营者也有能力收集、分析这些重要数据资源。例如在工业大数据领域,工业互联网平台厂商有能力、有机会对我国关键领域的工业大数据进行深度挖掘分析,掌握我国重点工业领域的核心生产制造能力,进而分析出国防科工、航空航天等领域的关键信息,甚至国家秘密,威胁国家安全。
从企业层面来看,陈湉认为,大数据平台是数据采集、存储、计算、分析与展示的重要场所,其面临的安全威胁和挑战日趋严峻。一是由于大数据平台存储、处理海量高价值数据,已经成为黑客攻击的重点目标。针对大数据平台的高级持续性威胁(APT)攻击时有发生,大规模分布式拒绝服务(DDoS)攻击也屡见不鲜,现有攻击检测、防御技术在大数据环境下暴露出严重不足,无法有效抵御外界入侵攻击;二是广泛应用的Hadoop大数据技术架构在开源社区发展模式下缺少严格的安全测试管理,导致多数大数据平台存在未知漏洞威胁。据Common Vulnerabilities and Exposures(CVE)漏洞列表显示,从2013年到2017年,Hadoop暴露出来的漏洞数量共计18个,并且漏洞数量逐年增长;三是大数据平台的大规模分布式存储和计算模式导致安全配置难度成倍增长,一旦出错,会影响整个系统的正常运行。据互联网设备搜索引擎Shodan的分析显示,大数据平台服务器配置不当,已经导致全球5120TB数据泄露或存在数据泄露风险,泄露案例最多的国家分别是美国和中国 。
个人信息保护备受关注
不仅政府和企业数据面临着严峻的安全考验,个人信息因涉及每个人的生活而显得更为敏感。
目前,个人信息泄露情况相当严重。在北京市一家杂志社工作的陈女士向《中国信息界》记者讲述了她的经历:一天晚上9点多,她接到了一个电话,对方自称是优衣库的客服,说由于公司工作人员的失误,错把她加入了批发商名单,其结果是银行将从她的银行卡中扣除6000多元的年费。于是,让她找一台ATM机,按“客服”说的进行一些操作,以便阻止银行扣款。“这套说辞漏洞百出,我当然不会相信,但让我害怕的是,骗子不仅知道我的手机号码,准确说出了我的家庭地址和真实姓名,还知道我最近在优衣库网购过的一笔交易。这样看来,岂不是我的个人信息都被骗子得到了!”之后陈女士在优衣库的天猫旗舰店看到了反诈骗提醒的公告,其中所述情况与陈女士遇到的骗子的说辞一致,可见有大批消费者的个人信息与她一样被泄露,而且很多人已经遭受了财产损失。
据国家互联网应急中心发布的《2017年我国互联网网络安全态势报告》的数据显示,2017 年数据泄露事件数量较近几年来有增无减,且泄露的数据总量创历史新高。2017 年 3 月,公安部公布破获一起盗卖我国公民信息的特大案件,犯罪团伙涉嫌入侵社交、游戏、视频直播、医疗等各类公司的服务器,非法获取用户账号、密码、身份证、电话号码、物流地址等重要信息 50 亿条。
除了个人信息泄露,个人信息被过度收集、被滥用的情况也普遍存在。在广东省一家房地产公司工作的蒋先生在接受《中国信息界》记者采访时说,由于工作原因,他经常要往返于北京和广州两地,比较便捷的交通方式就是乘坐高铁。为了买票方便,他在手机上下载了一个12306的APP,结果这个APP要求他提供很多个人信息,甚至要求访问他的微信通讯录,这让他感到很不理解。“我买高铁票的话,提供我的姓名、身份证号码之类的信息就够了,为什么还要获取我的微信通讯录呢?但是如果我不同意APP的要求,就不能使用它。为了购票,我还是不得不同意了。”蒋先生无奈地说。
陈湉表示,大数据应用催生数据共享、交易空前活跃,个人信息滥用、非法买卖问题也随之进一步加剧。近日,据公安部、最高检察院督办的涉及“数据堂”的特大侵犯个人信息专案披露的案件细节显示,即使是“国内首家大数据交易平台”的新三板上市企业,也已成为个人信息非法买卖“灰黑”产业链的一环,而其专业的数据清洗、聚类能力,反而为不法分子提供了更为精准的个人信息,用以实施诈骗等犯罪活动。
对于个人信息保护,陈湉提出,我国需要一部统一的个人信息保护法。“虽然《刑法修正案九》《网络安全法》《民法总则》等众多法律、法规均规定了个人信息保护问题,但碎片化的分散立法不足以实现上述立法目标,对于产业发展的共性问题,还是有必要通过高位阶的基础性法律进行统一立法,实现平衡协调。”
赛迪顾问软件与信息服务业研究中心总经理高丹在接受《中国信息界》记者采访时指出,虽然个人信息泄露一直存在,但是伴随着大数据技术提升,个人隐私数据通过数据分析,能够精准地描绘出一个人的“数据画像”,让每个人处于毫无隐私可言的境地,未来与个人有关的信息将呈现出更大的网络化、智能化趋势,个人信息保护市场也将不断扩大。除了从法律法规加快完善方面着手之外,高丹还建议,企业应该承担起自身的社会责任,提升信息保护意识,从产品端出发,部署网络安全设备,严守个人信息。
多管齐下,保护数据安全
无论是保障政府、企业数据安全,还是保护个人信息,都离不开数据安全立法,但法律法规的出台绝非一蹴而就之事,就目前而言,加强政府监管十分必要。6月6日,在中国信息协会主办的“2018中国网络信息安全峰会”上,公安部网络安全保卫局处长盘冠员表示,保护数据安全,要处理好3个关系:一是产业发展和政府监管的关系;二是数据安全和资源共享的关系;三是公共安全利益和个人信息保护的关系。
盘冠员提出,在政府监管方面,首先,要明确监管边界。从事数据安全保护监管的部门很多,有网信、工信、公安等主管部门。但各个部门的监管边界是什么?大家的职责分工是什么?目前还需要进一步细化。同时还要建立协作配合机制,在监管执法方面形成合力;其次,要创新数据安全监管方式。数据安全监管涉及数据采集、传输、使用和开放等多个环节,每个环节该如何监管?现在有关部门正在研究探讨一些监管的具体措施,未来有可能会出台一系列有关数据全生命周期的安全监管方式;第三,要严厉打击违法犯罪行为,加强行政执法。欧盟的《通用数据安全保护条例》对违反数据法律的行为规定了很高的罚款数额,中国是不是也应该借鉴?对于公安机关来说,现在就是要用好现有的法律法规和政策,加强对数据安全保护,尤其是对危害数据安全的违法犯罪行为严厉打击。
除了加快立法和加强政府监管之外,保护数据安全离不开技术创新。陈湉就此提出了几点建议:第一,从攻防两方面入手,强化大数据平台安全保护。平台安全是大数据系统安全的基石,未来大数据平台安全技术的研究不仅要解决运行安全问题,还要进行理念创新,针对不断演进的网络攻击形态,设计大数据平台安全保护体系。
第二,以关键环节和关键技术为突破点,完善数据安全技术体系。应积极推动产学研用结合,加快密文计算等关键技术在运算效率提升方面的研究和应用推广。企业应加强数据采集、运算、溯源等关键环节的保障能力建设,强化数据安全监测、预警、控制和应急处置能力,以数据安全关键环节和关键技术的研究为突破点,完善大数据安全技术体系,促进整个大数据产业的健康发展。
第三,加强隐私保护核心技术产业化投入,兼顾数据利用和隐私保护双重需求。在大数据应用场景下,数据利用和隐私保护是天然矛盾的两端,同态加密、多方安全计算、匿名化等技术可以实现这两者良好的平衡,是解决大数据应用过程中隐私保护问题的理想技术,隐私保护核心技术方面的进展必然会极大推动大数据应用的发展。需要鼓励企业、科研机构研究同态加密、多方安全计算等前沿隐私保护算法,同时推动数据脱敏、数据审计等技术手段在大数据环境下的增强应用,提升大数据环境下隐私保护技术水平。
第四,重视大数据安全评测技术的研发,构建第三方安全检测评估体系。通过制定大数据安全技术标准和测评标准,建立大数据平台及大数据服务安全评估体系,推进第三方评估机构和人员资质认证等配套管理制度建设,从平台防护、数据保护、隐私保护等方面切实促进大数据安全保障能力的全面提升。
