杨波丽
摘要:大数据正在开启一场工作、生活和思维的大变革,即将引领新的一轮技术和产业发展。大数据带来发展机遇的同时,也给信息安全领域带来了新挑战和新问题,主要涉及个人隐私安全、数据企业安全、国家信息主权、物联网运行安全等四个方面。面对复杂严峻的信息安全形势,要采取切实有效的信息防护策略,各方面齐抓共管形成合力,全面维护我国的信息安全。
关键词:大数据;信息安全;信息主权;对策建议
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)29-0068-04
随着移动互联网、云计算、物联网等现代信息技术的快速发展,全球数据量呈爆炸式增长,我们步入了大数据时代。大数据正改变着人们的思维、生活和工作方式,与公共管理、商业科技、教育文化、医疗卫生等各个领域不断融合,为经济腾飞和社会发展注入的新的动力,即将引领新的一轮技术和产业革命,对国家的政治、经济、社会和民生发展将产生深远的影响。但大数据也是把“双刃剑”,在为我们创造了发展机遇的同时,也带来了诸多挑战。在大数据时代背景下,面对个人隐私保护、企业数据安防、国家信息主权维护、物联网智能控制等信息安全问题,现有的信息技术手段还不能实现全方位无死角的监护。为此必须与大数据发展步伐同步,把握发展动向,采取切实可行的信息安全策略,全面保障我国的信息安全。
1大数据和信息安全的发展现状
1.1大数据基本内涵、主要特征和发展现状
大数据这个概念源于最早经历信息爆炸的学科,比如天文学和基因学。最初的概念是指信息量巨大,常规软件工具难以在一定时间范围内对数据进行检索、存储、分析和处理的数据集合。通过运用新处理模式,对数据进行捕捉、存储、管理和挖掘,从而获取更多有价值的有利于决策的资讯。
业界通常用4个V来概括大数据的典型特征,也就是Vol-ume、Variety、Value、Veloeity。一是数据量大(Volume)。每天各行各业都在不断产生庞大的数据碎片,数据从以前的以MB、GB、TB为计量单位,发展到现在的ZB、YB乃至NB、DB级别。二是数据类型多样化(Vafiety)。过去我们大多使用的是以文本为主的结构化数据,运用数据库进行管理和开发。随着信息技术的突飞猛进,电脑、手机、物联网、传感器等设备成为数据的主要来源,图片、音视频、日志、地理的矢量等非结构化数据逐渐成为主流,这将对数据的处理和挖掘提出了更高的要求。三是价值密度低(Value)。大数据的应用要求数据的原始性、完整性,基本上不对数据进行采样,便于提高数据分析的准确率。但是数据里面会掺杂大量的无价值信息或者是错误信息,非结构化数据的价值密度相对偏低,形成了数据总量与价值密度呈反比的局面。四是处理速度快(Veloeity)。数据呈爆炸式增长,这就要求数据处理的速度要与时俱进。提倡数据处理遵循“1秒定律”,快速从多种类型的数据里提取有效的信息。
1.2信息安全主要内容和发展态势
信息安全从狭义上讲,就是指具体的信息技术系统的安全或是某一特定信息系统的安全,信息系统包括软件、硬件、数据、人和物理环境;广义上讲,是一个国家的社会信息化状态和信息技术体系不受外来威胁和侵害,涉及保障国家政治经济军事、商业企业、个人信息等安全领域。随着信息技术的快速发展和广泛应用,信息安全问题与日俱增,2015年,发现有10.5万个木马和控制端控制了我国近2000万台主机,超30个省市卫生和社保系统漏洞导致数千万用户的社保信息可能被泄露。历年来类似的重大信息安全问题频发,信息安全的防护能力建设尤为重要。我国在2014年成立中共中央网络安全和信息化领导小组办公室,习近平主席任组长,信息安全作为国家战略的重要部署。2016年出台的《中华人民共和国国民经济和社会发展第十三个五年规划纲要》有近38%的章节涉及大数据和信息化的相关工作,突出用信息化和大数据促进各行各业的发展。纲要中有4章专门部署了大数据和信息化工作,其中第28章重点强化信息安全保障。中央关于信息安全的政策在不断地加码,信息安全高度逐渐提升到国家战略层面。同时从技术层面,信息安全技术发展的重点由传统的被动防护转为以主动防御技术为主,信息安全正逐步向网络化、智能化、服务化方向发展。
2大数据时代的信息安全挑战
2.1个人信息安全问题
随着云计算的发展和信息技术的创新,个人信息的价值不断被挖掘和滥用,大数据时代的个人信息安全问题尤为突出,主要表现在:一是个人数据未经授权被收集。大数据相关技术与个人数据存在着安全、隐私和便利性之间的冲突。用户在用电脑、手机上网浏览或是购物,访问APP客户端或是使用智能穿戴设备时,用户的一举一动都会被后台记录存储。当用户下载手机APP时,应用软件会提供多种选项,比如共享用户的通讯和位置信息、读取通讯录、使用摄像头、启用录音等。拒绝选项,应用软件提供的服务会受限;同意选项,用户的信息将面临泄露的风险。二是个人数据被超范围使用。企业会以合法的方式获取个人信息,但是大多数权利主体并不知道企业获取信息的目的、用途和范围,企业对个人信息数据的进一步挖掘,有可能会侵犯权利主体的合法权益。通过对用户的碎片式信息和痕迹数据进行分析和汇总,经后台的画点和画像技术手段,能掌握用户的基本情况,精准锁定用户并开展营銷。三是个人数据未被妥善保存。目前黑客主要攻击目标是我国的党政机关、科研院所和各大商业公司。有些机构由于软件或硬件存在安全漏洞,导致被黑客攻击并盗取了大量用户信息,不法分子收购信息后用于诈骗,给部分人民群众造成了巨大的经济损失,甚至是生命的代价。四是个人信息缺乏有力的法律保护。我国涉及个人隐私的法律法规有200多部,但未出台一部个人信息保护法。在没无法可依情况下,有的企业通过收集用户的数据和资源开展大数据相关服务,将会导致用户信息的滥用和泄露。
2.2数据企业面临的挑战
首先,数据存储的问题。对于存储介质而言,以非结构化数据为主的大数据体量过于庞大,要完成数据拷贝备份也并非易事,同时需要实时处理混合在一起的多种非结构化数据,对存储介质的要求越来越高。对于存储地域而言,以前各大平台主要建在一线城市,同时在其他城市建分载中心,实施数据异地备份,以保证数据的安全和恢复。现在数据都存放在一线城市的云上,避免很多不必要的重复建设,但仍存在将面临自然灾害、未来人为破坏可能性大、电力资源是否充沛的问题。对于存储安全而言,以前的信息安全主要是靠在边界上设防、设卡,采取对内部加强管控,对外部实施风险预警。如今数据以虚拟方式存储在云上,如果数据发生丢失应该如何进行恢复和责任认定,这是在采购云时所面临的难题。
其次,传统的安全思路滞后。简单的脚本语言预处理难以解析复杂的数据结构,传统的数据管理软件已经不能有效解决大数据问题,比如我们以前常用的SQL是处理数据库最常用的语言,如今针对非结构化的海量大数据,传统数据库软件束手无策。以前大数据安全措施主要是划分边界,将内网和外网、业务网和公众网进行隔离,通过终端设备对风险进行屏蔽,采用守住边界的方法保护信息的安全。但随着云技术和移动互联网的出现,网络边界变得越来越模糊。网络攻击无时无刻都在发生,我国是网络攻击最大的受害国之一,这些足以说明传统的安全保护模式已经滞后,急需采取有效措施解决大数据安全问题。
再次,大数据分析让黑客的攻击更为精准。企业通过数据挖掘和分析等大数据技术,可以从海量数据中获取商业价值。黑客同样可以利用大数据技术,采集更多有价值的信息,对目标发起精准攻击,其产生的破坏力更强、波及面更广、影响更为持久。
第四,大数据时代中国IT企业在海外市场面临压力。大数据时代,信息安全被提升到国家战略层面,越来越多的国家意识到信息安全的重要性,这对中国的IT企业在海外开拓市场造成了阻碍。2012年美国国会在一份报告中表示,中国的华为和中兴产品将为中国侵入美国通信网络提供便捷通道,会威胁到美国的国家安全,之后美国众议院情报委员会对两家公司开展了调查,美国的很多项目拒绝使用华为和中兴的产品。
3国家信息主权新挑战
1)信息主权是国家主权的新制高点
随着科学技术的日新月异,国家主权从领土、领空、领海、太空、公民的管辖领域,扩展到信息领域。国家主席习近平曾指出,“虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息主权。”大数据时代,互联网发展对国家主权提出了新的挑战,网络空间的信息主权已成为国家主权的全新制高点。信息主权是国家主权概念的延伸,是国家自主管理国内信息传播系统、开发并保护本国数据的权利,国家有权对国内的信息输出和国外的信息输入进行监控和管理。…
2)影响我国信息主权的关键因素
在信息的资源、技术、产业和基础设施这些关键领域缺乏自主、独立和可控的核心产品,导致我国信息主权受到极大的威胁。
一是信息资源方面,要解决数据从哪里来、流向哪里的问题。互联网是信息生产、分享和传递的重要平台,网民是信息的消费者也是信息的生产者,我国虽然人口最多,但信息流量却低于美国、日本和德国。如果中国的网民都在使用国外社交软件、购物网站、搜索平台,将造成我国无数据可维护的尴尬局面,同时他国可以根据这些平台的数据进行分析挖掘,掌握我国目前的经济、政治和社会发展情况,甚至从后台进行信息封锁和舆论误导,这将严重影响我国的政治、经济、社会的发展和稳定。
二是信息技术和产业方面,国产化的软硬件市场占有率低,信息安全形势堪忧。在办公软件领域,我国政府部门一直在推广国产办公软件的使用,但市场份额严重不足;在操作系统领域,我国电脑操作系统仍以微软的Windows为主,国产操作系统的市场份额不到5%,至于主流智能手机普遍使用的安卓操作系统和苹果操作系统均来自美国;在安全软件领域,根据CCID的统计报告显示,目前国内信息化程度较高的企业群体里,主要以国外杀毒软件为主;在硬件产业体系领域,戴尔、惠普和IBM仍然是全球最大的服务器生产商,当前中国各大银行的核心服务器和系统绝大部分是国外品牌;在核心信息技术领域,我国互联网产业链上的各关键环节都依托核心技术,核心技术受制于人是我国最大的隐患。如我国各个产业的设备芯片主要以进口为主,如果芯片被人为地植入木马或开启“后门”,未来一旦发生战争,他国将通过木马和“后门”漏洞攻击我国的金融、交通、通信、智能控制等关键信息基础设施,威胁到国家的安全。
三是信息的基础设施方面,从城市交通、供水供电等公共服务,到能源开发、军队管理、党政建设等国家战略部署,这些关键领域都深度依赖于目前的网络。但我国在关键信息基础设施建设上存在差距,重要网络系统存在致命的脆弱性,必须要强化关键信息基础设施的保护。以互联网名称与数字地址分配机构ICANN为例,ICANN位于美国,主要负责管理互联网协议地址的空间分配和顶级域名系统,比如管理分配给我国的.cn、.corn等分层域名。基于互联网域名解析体系的构建模式,就决定了各国不具备独立运行互联网的能力,一旦域名被恶意屏蔽,将导致一个国家在互联网上“消失”。还有国家间的信息互通大多通过国际光缆,存在中间链接其他国家的问题,节点过多会增加被监听的风险,需要重视互联网基础设施的规划和建设。
3)信息主权缺乏良好的政企合作机制和市场秩序
數据对于企业而言意味着资源和财富,数据对国家而言关系到保障国家安全、社会治理和推动经济发展的战略目标。人是数据的生产者,企业是数据的仓库,并非所有企业都能将数据与政府进行共享,这中间存在法律的问题和企业利益的障碍,导致国家缺乏有力的数据支撑来构建信息主权。同时存在不良的市场秩序不利于数据的整合和信息主权的建设,企业专注于自己领域的专业化分工和布局防御性策略,存在创新驱动不足的问题。企业持本位思想,以自身利益和行业利益出发,对数据开放和信息共享不积极,对于信息服务供给实际上形成了自建自用的格局。
4)物联网面临被控制的风险
物联网(IoT)直译为物体组成的因特网,是将各种信息传感设备与互联网结合起来而形成的一个巨大网络。这些信息传感设备包括大到工厂里的机床、电机,小到驾驶的汽车或是家用电器,所有设备都与互联网连接起来,通过智能系统来识别和管理。IoT环境产生了庞大的多元化数据,云端通过大数据结合算法产生人工智能,再对物联网的设备进行反向控制,实现真正的智能设备和智慧生活。但如果IoT存在漏洞被控制,危害远远大于电脑和手机。比如目前正在研发的自动驾驶汽车,如果在行驶过程中被网络劫持数据,自动驾驶系统被攻击,将威胁到驾驶人的生命安全。如果智能家居的云端大数据被替换,很可能成为危害到人们安全的利器。
4保障信息安全的对策
4.1树立正确的信息安全观,出台政策、法规予以支持和规范
在大数据时代,信息安全关系着公民权益、企业发展、国家主权等诸多方面,维护信息安全、共筑安全防线是全社会共同的责任。信息安全的威胁来源不断变化,要树立全方位的防护理念,加强对外交流合作,提高信息安全防护水平。同时,要及时出台相关数据分类标准及管理办法,进一步规范互联网秩序和保护信息安全。大数据时代所带来的个人隐私安全问题尤为突出,出台相关法律法规以保护个人隐私的举措应提上日程。只有建立完善的个人信息保护法,做到有法可依、有法必依、执法必严、违法必究,企业在一些新技术、新开发使用过程中,将更为尊重用户的隐私和个人信息安全。
4.2大力扶持数据产业,维护我国信息主权
信息主权对维护国家利益的至关重要,要强化国民的信息安全意识,提高信息化和网络化建设能力,推动信息经济的可持续发展。将信息主权与政治主权、经济主权和文化主权结合起来共同维护,坚持国际社会主权原则,抵制信息霸权行为,维护国家的主权利益。同时构建良好的政企合作关系,从法律的层面规范数据的共享和使用,促进政府治理工作的发展。
4.3注重核心技术研发,技术企业逐步形成合力
要摒弃核心技术“拿来主义”思想,围绕国家亟需突破的核心技术,在科研上加大投入,着力推动核心技术成果转化,形成技术产品和产业实力。骨干信息技术企业间要摆脱部门利益,发挥龙头企业优势,带动中小企业发展,构建科技产业链。同时企业在核心技术的研发上要加大投人,企业间广泛开展互利合作,形成核心科技产业的协同效应。
4.4人才是发展的关键,构筑人才与发展的良性循环机制
我国是科技人才流失比较严重的国家之一,这对我国科技事业的发展造成了一定影响。在这个领域的人才选拔上,要有全球视野,聚天下英才而用之。同时要不拘一格降人才,克服唯学历、唯论文、唯资历的倾向,应重能力、重创新、重专业,营造一个适合人才流动、有利人才成长的环境。对于大数据产业、信息安全产业的发展,除了要下大力气引进人才,还要留住人才,留住并善用本地人才资源。以中国的“数谷”贵州为例,作为经济相对滞后的西部省份,贵州发展大数据最亟待解决的问题是人才。留住了引进的人才,更要留得住本地培养的人才,让当地高校与大数据工业园形成良性互动,将教学、研究和产业连通,促使本地高校成为中国“数谷”的孵化器,在促进大数据产业发展的同时,也全面提升了贵州本地高校的信息技术教育水平。
4.5党政办公领域国产化先行,构建关键信息基础设施保障体系
我国军事机构、国有企业和核心政府机构计划在未来四年内逐步调整采购名单、放弃使用国外的科技产品,最终实现中国本土科技产品全面替换国外科技产品,全面使用国产的操作系统、办公软件、服务器等软硬件,这也为我国信息安全产业带来新的发展机遇。我国要强化在金融、电力、通信、交通、能源等领域的关键信息基础设施的建设和保障,防止“物理隔离”防线被跨网入侵,避免出现金融紊乱、电力瘫痪、交通中断等问题,采取有效防护措施确保国家关键信息基础设施的安全。
4.6全方位感知安全态势,用大数据驱动数据安全
习总书记就网络攻击指出“聪者听于无声,明者见于无形”,这要求我们具备全天候、全方位网络安全态势感知能力,构筑具有针对性和实效性的网络安全管理机制,充分利用大数据的思维和方法解决大数据的安全问题。在网络上伪装的任何行为都会留下痕迹数据,而且黑客在网络上的访问行为有别于正常网民。通过对各类行为数据的记录、存储、关联、提取和分析,快速捕获威胁,精准锁定攻击者和目标数据。利用大数据驱动数据安全的方法,能更好地应对未来变幻莫测、纷繁复杂的安全威胁。
党的十八届五中全会、“十三五”规划纲要都对实施网络强国战略、“互联网+”行动计划、大数据战略等作了部署。今年是“十三五”开局之年,大数据时代下的信息安全工作是“十三五”时期的重头戏。大數据时代,信息安全被提到前所未有的高度,安全形势严峻,关系到国家安全、公民安全、企业安全等方方面面。为此,要提高我们抵御风险的能力、构筑安全屏障,提高数据安全意识、信息安全意识、网络安全意识,及时出台相关的政策予以支持;大力扶持大数据产业,切实维护好我国的信息主权;摒弃核心技术拿来主义,不受制于人,推动核心技术自主创新;构筑人才与发展的良性循环机制,党政办公领域国产化先行;全方位感知安全态势,用大数据驱动数据安全,增强安全防御能力。