周園 王濤 曾海燕

滁州學(xué)院 計算機與信息工程學(xué)院 安徽 滁州 239000

引言

數(shù)字經(jīng)濟(jì)是這樣的一種新的經(jīng)濟(jì)形態(tài)，它是以數(shù)據(jù)資源為核心要素，以現(xiàn)代信息網(wǎng)絡(luò)為主要載體，以信息通信技術(shù)的綜合應(yīng)用和各種要素的數(shù)字化轉(zhuǎn)型為重要驅(qū)動力，促進(jìn)社會的團(tuán)結(jié)、公平和高效[1]。數(shù)字經(jīng)濟(jì)的迅猛發(fā)展、廣度擴(kuò)散和前所未有的深刻影響正在推動生產(chǎn)方式、生活方式和治理方式發(fā)生深刻變化。目前，數(shù)字經(jīng)濟(jì)已成為重構(gòu)全球經(jīng)濟(jì)要素資源、重塑全球經(jīng)濟(jì)結(jié)構(gòu)、變革全球競爭格局的關(guān)鍵性的力量。

數(shù)字經(jīng)濟(jì)其核心是數(shù)據(jù)。數(shù)據(jù)量的增加，促使大數(shù)據(jù)相關(guān)技術(shù)應(yīng)運而生。隨著大數(shù)據(jù)技術(shù)應(yīng)用的蓬勃發(fā)展（中國大數(shù)據(jù)產(chǎn)業(yè)規(guī)模的增長如圖1所示），對數(shù)據(jù)安全的威脅在同步快速上升。隨著近些年“互聯(lián)網(wǎng)+”行動的實踐，大數(shù)據(jù)會加快從Internet領(lǐng)域滲透到其他的不同的領(lǐng)域。數(shù)據(jù)本身的安全威脅也會隨之深入各行各業(yè)。用戶信息泄露、黑客攻擊頻發(fā)等數(shù)據(jù)安全事件再次為我們敲響了數(shù)據(jù)資源安全嚴(yán)峻挑戰(zhàn)的警鐘。

圖1 中國大數(shù)據(jù)產(chǎn)業(yè)規(guī)模

在這樣的形勢下，挑戰(zhàn)與機遇共同存在。面對新的數(shù)據(jù)安全的挑戰(zhàn)，我們要做的是讓數(shù)據(jù)安全與經(jīng)濟(jì)社會發(fā)展并重，建構(gòu)我國數(shù)據(jù)安全管理的鋼鐵長城，保衛(wèi)我國的數(shù)據(jù)主權(quán)和人民的數(shù)據(jù)隱私。

1 大數(shù)據(jù)技術(shù)的相關(guān)內(nèi)涵

通過對大數(shù)據(jù)相關(guān)文獻(xiàn)的調(diào)查，我們獲知大數(shù)據(jù)目前有著比較公認(rèn)的定義。Hu等人認(rèn)為大數(shù)據(jù)指的不僅是數(shù)據(jù)量大，還包括多樣性及速度等其他特征[2]。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）對大數(shù)據(jù)進(jìn)行相關(guān)定義如下：大數(shù)據(jù)指的是數(shù)據(jù)的數(shù)量、數(shù)據(jù)采集的速度和數(shù)據(jù)的表示，限制了使用傳統(tǒng)關(guān)系數(shù)據(jù)庫方法進(jìn)行有效分析的能力。因而需要使用具有良好可伸縮性的新方法來有效地處理大數(shù)據(jù)[3]。

綜合以上定義，目前認(rèn)為大數(shù)據(jù)具有5個特征，即5V：價值密度相對低（Value）、處理速度要求快（Velocity）、數(shù)據(jù)類型各種各樣（Variety）、數(shù)據(jù)量非常大（Volume），以及新提出的特征，即準(zhǔn)確性要求較高（Veracity）。這些特征是評判大數(shù)據(jù)性能的指標(biāo)，很多針對大數(shù)據(jù)技術(shù)及其分析的研究[4-6]也利用到了5V特征來對大數(shù)據(jù)的質(zhì)量進(jìn)行評判。

2 目前數(shù)據(jù)安全面臨的形勢

工信部最近發(fā)布了《工作指引》，指出數(shù)據(jù)的安全風(fēng)險信息指的是通過檢測、評估、收集、授權(quán)監(jiān)控等方式，獲取的數(shù)據(jù)的安全風(fēng)險，包括但不限于數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)濫用、非法傳輸、非法訪問、異常流量等數(shù)據(jù)安全風(fēng)險[7]。基于此，可以大體歸納一下目前大數(shù)據(jù)安全面臨的形勢。

首先，由于數(shù)據(jù)基礎(chǔ)設(shè)施經(jīng)常受到攻擊，數(shù)據(jù)泄漏、丟失、篡改等安全風(fēng)險增加。數(shù)據(jù)中心和移動智能終端承載著大量重要的業(yè)務(wù)數(shù)據(jù)和用戶個人信息，其安全狀況日益突出。然而，近年來，針對IDC的攻擊不斷增加。2014年12月，阿里云表示遭遇了全球最大的DDoS攻擊。2014年，被安全企業(yè)監(jiān)控的惡意程序感染的安卓用戶達(dá)到3.19億，平均每天感染的惡意程序數(shù)量達(dá)到87.5萬。圖2為網(wǎng)絡(luò)犯罪的幾種基本類型。

圖2 網(wǎng)絡(luò)犯罪的基本類型

然后，隨著數(shù)據(jù)需求的日趨強烈，導(dǎo)致數(shù)據(jù)的開放性、共享性與數(shù)據(jù)安全形成矛盾。隨著智慧城市的建設(shè)和發(fā)展以及城市化和城市化融合的深化，經(jīng)濟(jì)和以人為本的數(shù)據(jù)開放共享需求日益強烈。例如，交通、旅游和其他機構(gòu)需要人口分布和流動數(shù)據(jù)來優(yōu)化服務(wù)。商業(yè)客戶需要用戶行為特征數(shù)據(jù)，為產(chǎn)品定制和精準(zhǔn)營銷提供決策支持，但這都會導(dǎo)致嚴(yán)重的數(shù)據(jù)安全問題。當(dāng)前，數(shù)據(jù)資源開放共享缺乏全面有效的管理和安全保障，國家數(shù)據(jù)資源的開放共享和安全保護(hù)成為長期存在的矛盾。

同時，旺盛的數(shù)據(jù)需求，導(dǎo)致地下數(shù)據(jù)交易活動猖獗，需要長期、大力治理。在利益鏈條的驅(qū)動下，非法收集、盜竊、販運和使用用戶信息的行為日益猖獗。中國用于用戶信息轉(zhuǎn)售的地下產(chǎn)業(yè)鏈總規(guī)模估測已超過100億。為防控黑客地下產(chǎn)業(yè)鏈，工信部開展了專項行動，取得了一定成效。

最后，數(shù)據(jù)安全還面臨許多新的挑戰(zhàn)，如技術(shù)手段的多樣化、所涉及的鏈接增加以及更大的隱蔽性。數(shù)據(jù)跨境流動也使得國家的數(shù)據(jù)監(jiān)管機制面臨深層次挑戰(zhàn)?；ヂ?lián)網(wǎng)及移動數(shù)據(jù)，在全球各個地方的無障礙流動已成為經(jīng)濟(jì)增長、創(chuàng)造就業(yè)和社會福利的重要推動力。與此同時，這種數(shù)據(jù)跨境流動也日益成為對數(shù)據(jù)主權(quán)、知識產(chǎn)權(quán)和公民數(shù)據(jù)隱私的重要威脅。因此，數(shù)據(jù)治理還有很長的路要走。

3 國際社會面對數(shù)據(jù)安全嚴(yán)峻形勢的應(yīng)對策略

全球各個國家對數(shù)據(jù)安全重要性認(rèn)識已經(jīng)得到加深。世界主要國家在法律法規(guī)、戰(zhàn)略、政策、技術(shù)手段、標(biāo)準(zhǔn)評估等方面開展了數(shù)據(jù)安全保障實踐，各國將數(shù)據(jù)安全作為國家戰(zhàn)略的重要組成部分，并分別解釋了各自的數(shù)據(jù)安全政策。

3.1 注重信息共享和跨境流動，完善數(shù)據(jù)保護(hù)法律體系

由于跨境數(shù)據(jù)流動可能導(dǎo)致國家關(guān)鍵數(shù)據(jù)資源流失，各國高度重視數(shù)據(jù)跨境流動監(jiān)管的國際問題。美國頒布了《國家網(wǎng)絡(luò)安全保護(hù)法》，積極推動頒布《網(wǎng)絡(luò)安全信息共享法》，并敦促私營企業(yè)與政府共享網(wǎng)絡(luò)安全信息。歐盟通過《一般數(shù)據(jù)保護(hù)條例》（GDPR）建立了嚴(yán)格的個人數(shù)據(jù)保護(hù)法律框架，采取了將主權(quán)內(nèi)化于私權(quán)的方式間接保護(hù)個人數(shù)據(jù)安全，并在此框架下力圖推進(jìn)數(shù)據(jù)的跨境流動，達(dá)成二者之間的平衡。俄羅斯將數(shù)據(jù)本地化作為基本原則，要求數(shù)據(jù)回流，通過不斷地修正和頒布法令加強對數(shù)據(jù)流動的管控。不過，當(dāng)前時間仍然缺乏公認(rèn)的標(biāo)準(zhǔn)規(guī)則和國際規(guī)范來指導(dǎo)數(shù)據(jù)跨境流動的監(jiān)管。

3.2 從數(shù)據(jù)安全的關(guān)鍵步驟發(fā)掘新的數(shù)據(jù)安全技術(shù)

全球各國的數(shù)據(jù)安全技術(shù)涵蓋數(shù)據(jù)收集、存儲、挖掘和發(fā)布等關(guān)鍵環(huán)節(jié)。它們具有保護(hù)數(shù)據(jù)安全的通用技術(shù)手段，如傳輸安全、SSL/VPN技術(shù)、數(shù)字加密和數(shù)據(jù)恢復(fù)技術(shù)，并得到廣泛應(yīng)用。盡管如此，更多的國家仍在努力開發(fā)新的數(shù)據(jù)安全技術(shù)。例如，基于生物特征的身份認(rèn)證和強制性訪問控制技術(shù)，以及基于日志、數(shù)字水印和其他可追蹤技術(shù)的安全審計。此外，數(shù)據(jù)防泄漏（DLP）技術(shù)、云平臺數(shù)據(jù)安全等特殊數(shù)據(jù)安全防護(hù)技術(shù)的開發(fā)和應(yīng)用也在加快。

3.3 開展數(shù)據(jù)安全的評估和認(rèn)證實踐，完善數(shù)據(jù)安全標(biāo)準(zhǔn)體系

各國與國際標(biāo)準(zhǔn)組織發(fā)布了與數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)和指南。國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布了用戶識別指南。ISO/IEC制定了公共云計算服務(wù)數(shù)據(jù)保護(hù)控制措施的實用規(guī)則。

與此同時，數(shù)據(jù)安全評估和相關(guān)認(rèn)證體系也日趨成熟。歐盟委員會對跨境數(shù)據(jù)流的安全評估已成為判斷數(shù)據(jù)能否傳輸?shù)闹匾罁?jù)。美國信托隱私認(rèn)證已得到全球許多國家消費者的認(rèn)可和信任。國際安全港認(rèn)證、合同模板和公司約束規(guī)則等實踐促進(jìn)了數(shù)據(jù)安全保護(hù)措施的改進(jìn)。

4 我國對數(shù)據(jù)安全保障的相關(guān)工作

我國向來重視數(shù)據(jù)安全。國家各部委先后頒行《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》[8]、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》[9]等規(guī)定和《中華人民共和國數(shù)據(jù)安全法》[10]等法律法規(guī)（表1為數(shù)據(jù)違法處罰規(guī)定（節(jié)選））。各部委頒行了與個人網(wǎng)絡(luò)信息保護(hù)相關(guān)的相關(guān)數(shù)據(jù)保護(hù)法規(guī)，和相關(guān)的國家及行業(yè)標(biāo)準(zhǔn)，在國家和行業(yè)層面開展了以數(shù)據(jù)安全為關(guān)鍵點的專項安全檢查。

表1 數(shù)據(jù)違法處罰規(guī)定（節(jié)選）

然而，總體而言，我國的數(shù)據(jù)安全立法仍然匱乏，數(shù)據(jù)保護(hù)技術(shù)仍然不足，數(shù)據(jù)安全保障能力有待進(jìn)一步提高。因此，應(yīng)從當(dāng)前數(shù)據(jù)安全挑戰(zhàn)的方面涉入。通過采取各種新的措施，構(gòu)建更為全面的數(shù)據(jù)安全保障體系，努力提升數(shù)據(jù)安全保障能力。

那么面對如此嚴(yán)峻的數(shù)據(jù)安全形式，我們應(yīng)該怎樣應(yīng)對呢？

完善我國數(shù)據(jù)安全標(biāo)準(zhǔn)和評價體系。大力推進(jìn)數(shù)據(jù)安全新技術(shù)創(chuàng)新。協(xié)調(diào)制定數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)。積極開展數(shù)據(jù)安全通用標(biāo)準(zhǔn)和專用標(biāo)準(zhǔn)的研發(fā)工作。加強數(shù)據(jù)安全測試評估，推動跨境數(shù)據(jù)流安全評估發(fā)展。

制定我們的數(shù)據(jù)安全保護(hù)戰(zhàn)略，穩(wěn)步前進(jìn)。從國家安全和國家戰(zhàn)略資源的角度思考。定位數(shù)據(jù)安全，加強數(shù)據(jù)戰(zhàn)略規(guī)劃。制定銀行、電信等重點產(chǎn)業(yè)關(guān)鍵數(shù)據(jù)和用戶信息跨境流動監(jiān)管政策，推進(jìn)公民個人信息境內(nèi)存儲監(jiān)管立法。積極參與國際規(guī)則制定，提高中國在數(shù)據(jù)保護(hù)領(lǐng)域的話語權(quán)，從而為中國數(shù)據(jù)安全保護(hù)創(chuàng)造良好的國際環(huán)境。

根據(jù)國家戰(zhàn)略，繼續(xù)推進(jìn)數(shù)據(jù)安全保護(hù)立法進(jìn)程。加快數(shù)據(jù)安全立法，明確數(shù)據(jù)保護(hù)的對象、范圍和責(zé)任，制定開放數(shù)據(jù)共享、跨境交通監(jiān)管等法律法規(guī)。同時，將法律調(diào)整范圍擴(kuò)大到物聯(lián)網(wǎng)、云計算等新技術(shù)應(yīng)用場景的數(shù)據(jù)保護(hù)。

5 結(jié)束語

正是因為無窮無盡的新數(shù)據(jù)威脅，數(shù)據(jù)保護(hù)技術(shù)必須創(chuàng)新。新數(shù)據(jù)威脅的技術(shù)復(fù)雜性和隱蔽性越來越高，危害范圍不斷擴(kuò)大。同時，在政策法律層面，應(yīng)該健全數(shù)據(jù)保護(hù)法律體系保障信息安全，并且構(gòu)建多層次的數(shù)據(jù)跨境流動監(jiān)管秩序，加強國際合作，應(yīng)對日趨嚴(yán)峻的數(shù)據(jù)安全形式。