引言

当今全球进入数据经济时代,数据资源成为推动各国产业发展和商业创新的动力源泉。然而与此同时,数据资源面临的安全威胁也日益严峻,数据开放利用与数据安全治理成为“一个硬币的两面”,也是各国政策法律的焦点和难点。2017 年 12 月 8 日,中共中央政治局就实施国家大数据战略进行第二次集体学习会议上,习近平总书记指出,强调推动实施国家大数据战略的同时要保障数据安全。“发展与安全”并重,“没有大数据安全,就没有大数据产业发展”已经成为共识。本文通过分析全球数据安全威胁及其治理的形势,研判国内外数据安全产业发展的总体趋势,并对我国数据安全产业发展现状与问题进行分析,提出相关建议。

全球数据安全威胁空前严峻

当前,全球数据安全形势越发严峻,对个人隐私、企业机密和国家安全等带来严重安全威胁。据统计,2015 年全球数据泄露为 7.07 亿条,2016 年为 14 亿条,2017 年高达 50 亿条,围绕网络攻击、数据窃取和数据交易形成的网络黑市已经成为大规模、有组织的犯罪集团,甚至是国家黑客主导的高度成熟的经济体,全球数据黑产规模超过数千亿美元。数据安全不仅给企业和个人造成巨大的经济损失,而且对各国的政治安全和社会稳定构成复杂影响,例如美国民主党“邮件门”事件对美国大选政治进程产生重大影响,而我国“徐玉玉”事件等也带来广泛的社会关注。

各国数据安全治理日趋严苛

面对日益严峻的数据安全威胁,世界主要国家全面加强数据保护的立法和监管。截至2016 年 12 月,全球共有 115 个国家和地区制定了专门的个人信息保护法,确立了个人信息收集、使用以及安全保护等数据保护规则。2018年5月25日,被称为史上最严格数据保护法的欧盟《一般数据保护条例》(GDPR)正式实施,成为全球数据安全保护的重要标杆。我国《网络安全法》也将个人信息保护纳入网络安全保护的范畴,围绕数据保护的相关配套法规和管理标准相继出台。纵观全球,各国数据保护的相关法律法规持续升级,对企业数据安全合规提出了更高的要求。“数据泄露通知”“数据保护官”“隐私风险影响评估”“从设计保护安全”等原则和要求正成为企业需要承担的新型数据保护义务。

数据安全产业创新迎来重大机遇

数据经济时代,数据安全技术发生深刻变革,数据保护需求全面释放,数据安全的新技术、新模式不断涌现,数据安全产业边界呈现不断拓展和融合的态势。根据 Gartner 2017 年用户安全支出行为调查表明,51%的企业表示数据安全风险是整体安全支出的主要驱动因素 ,而数据安全风险中企业对“用户隐私问题”成为多种安全风险的主要焦点,也是涉及企业 / 组织业务的核心问题 , 超过七成的企业 / 组织在 2018年增加了数据安全的预算。以全球网络安全产业风向标著称的 2018 年 RSA 大会议题中,大量讨论涉及 GDPR 影响范围、法律问题、应对措施、技术支撑、最佳实践等,而 GDPR 相关的数据安全产品和技术也成为产业关注的焦点,包括 IBM、微软、思科等 IT 巨头的展台上,随处可见 GDPR 相关解决方案,以帮助客户降低数据保护的法律合规风险。以色列网络隐私保护新锐公司 BigID 凭借数据隐私保护技术获得RSAC 创新沙盒竞赛冠军,该公司主要借助机器学习技术开发软件平台,帮助企业更好地保护员工和客户的数据,量级可达到 PB 级。此外,Absolute 公司的 GDPR 数据风险和终端准备评估系统、Forcepoint Dynamic Data Protection 公司的动态数据保护、MinerEye 公司的 MineEye 数据追踪系统等也受到业界广泛关注。

中国数据开放面临安全痛点

长期以来,中国高度重视公共数据开放和大数据产业发展,数据开放水平稳步推进,大数据产业创新生态初步形成。2015 年 5月,中国首家大数据中心落户贵阳,包括贵阳大数据征信中心和贵阳大数据资产评估中心,2018 年3 月,上海组建上海市大数据中心,旨在对包括政务数据在内的各类大数据资源实现汇集互联、共享应用,实现从政府部门为中心的管理模式向着以用户为中心的管理模式转变。可以预见的是,中国将在未来进行新一轮数据开放,能够全面提升政府服务水平,激发企业创新动能。但是,在《网络安全法》等数据保护框架下,中国大数据开放和利用不可避免地会面临数据安全和隐私保护的挑战,主要风险包括如下。

大数据资源基础设施无法实现安全可控

就目前我国大数据技术架构而言,无论是使用 Hadoop、Spark、MongoDB 等开源软件搭建平台,还是采购 Cloudera、Amazon、EMC 等大数据产品搭建平台,均面临大数据资源平台核心底层技术无法安全可控的风险。“斯诺登事件”“中兴事件”等事件拉响了我国 IT 核心软硬件产品安全可控的警报,中国在新一轮大数据产业发展中需要通过国产芯片、操作系统、数据库等的创新应用,全面提升国家数据资源安全。

数据大规模集中存储增加数据泄露风险

数据资源需要通过集中才能实现数据资源的共享利用,然而当“鸡蛋放在一个篮子里”时,针对性的外部攻击威胁和内部泄露风险都将全面增加,客观上要求大数据采集和存储机构具有更强的数据安全保障能力。

大数据开放流通导致用户数据滥用风险

数据开放流通才能增加数据资源的商业价值和社会价值。然而随着大数据融合开发,数据权属关系将更为复杂,即便采取匿名化和假名化的技术措施,仍然可能在开放流通的各个环节产生用户数据滥用等法律风险。此外,针对开放海量数据的关联分析也可能引发商业机密甚至国家情报的泄露。

数据安全是中国大数据工程项目和大数据产业发展的关键痛点,客观上要求做大做强中国数据安全产业,以此全面推动和保障中国数字经济的健康发展。

综合施策推动中国数据安全产业创新发展

随着大数据、人工智能、工业互联网的普及应用,以及 GDPR、《网络安全法》等数据合规治理体系的日趋严苛,全球数据安全产业必将迎来高速增长。在大数据产业和数据安全日益重要的背景下,我国需要积极总结、借鉴国内外数据安全产业发展的有益经验,实现数据安全产业的创新布局和数据安全产业跨越式、可持续发展。

重视大数据安全关键技术研判,引导数据安全产业创新布局

组织研究力量积极研判未来 5 ~ 10 年全球大数据安全关键技术发展趋势,通过政策扶持、项目引导、需求牵引等方式相结合,积极引导企业加强大数据安全保护产品和解决方案的创新研发。重点推动大数据差分隐私技术、多方安全计算、数据流动监控与追溯、移动终端数据安全、云平台虚拟机安全技术、虚拟化网络安全技术、新一代数据防泄漏 (DLP) 技术、工控数据安全等大数据安全关键共性技术产业化布局。

针对国内外数据安全监管趋势,推动数据安全产业业态创新

全球数据安全产业向着服务化和细分化方向转型,中国应该利用《网络安全法》、GDPR 等国内外数据安全合规发展的契机,除了鼓励数据安全创新产品和技术的研发,也要积极打造数据安全创新服务业态,面向重点行业开展数据安全综合服务能力体系构建,重点发展数据安全保险、大数据安全审计、安全态势感知、大数据安全情报分析等服务业态、数据安全咨询 / 培训等,以服务业态创新提升中国网络安全产业能级。

加强大数据中心建设,构建大数据安全技术生态建设

大数据中心是大数据资源和产业的主要枢纽,必须从建设阶段构建高标准的数据安全保障能力。我国数据安全产业需要以此为契机,从技术、产品和服务等方面打造全生命周期的大数据安全解决体系 / 标准 , 积极扶持特色鲜明的创新型安全企业融入各地数据开放开发的产业链,培育和引进大数据安全骨干企业,形成共性技术与专业技术相结合的大数据安全生态模板,构建数据开放利用和安全治理协同发展的生态模式;同时,结合各地产业发展重点领域,打造各具特色的数据安全融合应用示范园区。数据资源是行业数字化应用的基础,数据安全的技术、产品和服务必须融合在各地数据化应用的各个领域。因此,我国数据安全产业需要聚焦各地科技金融、工业互联网、智能网联汽车等不同重点领域的发展要素和环境优劣,进行融合性布局,在产业功能特色鲜明的区域构建规模适中的融合应用型示范园区,打造数据安全融合应用公共服务平台,汇聚数据应用机构、数据开发利用和数据安全研发机构、数据安全厂商等。

作者:石英村, 上海赛博网络安全产业创新研究院研究员,研究方向为网络空间治理和网络安全产业。

(本文选自《信息安全与通信保密》2019年第四期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。