【光明特稿】
光明网记者 李政葳
去年9月,雅虎公司因为安全漏洞被黑客利用,造成5亿用户信息被泄;近期发生的“永恒之蓝”“永恒之石”恶意病毒攻击用户文件和数据,再次向人们敲响了警钟。
在大数据等颠覆性技术快速发展的同时,网络安全面临的挑战也日益尖锐。在2017“数博会”期间,大数据安全成为业界专家热议的焦点。他们表示,大数据产业的发展与创新,必须直面数据安全的严峻挑战,急需打造和构建促进大数据健康发展的安全生态环境。
在2017“数博会”博览会现场,一家互联网公司展台大屏幕上,利用大数据技术监测,实施显示用户恶意IP等数量统计。(记者 李政葳/摄)
辨识、管控大数据风险成为国家安全“晴雨表”
近年来,中央网信办开展了一系列切实有效的指挥协调与落地部署工作。在顶层设计方面,中央网信办协同相关单位,在网络安全、信息化发展和大数据应用等方面,共同促进国家相关法律法规的增补完善和相应国家战略政策的落地出台;在安全审查方面,进一步防范信息安全产品与技术应用领域的潜在隐患和安全风险,为国家信息主权和数据主权的保护提供切实的保障和有力支撑。
“在短短几年内,大数据战略已经从全面总体布局,向各大行业、各细分领域扩展延伸、全面发力、多点突破。国家一系列战略规划的大布局,正是大数据发展驱动效应日趋凸现。”在“数博会”期间举办的第三届中国大数据安全高层论坛上,中国信息安全测评中心专家委员会副主任黄殿中说。
黄殿中认为,辨识和管控大数据风险成为国家繁荣的根本,是监控国家安全能力的试金石,也是体现国家安全的“晴雨表”。尤其一些大型互联网企业开展大数据和人工智能服务,利用技术优势大范围搜集敏感数据,部分涉及经济运行和社会稳定的关键信息一旦跨境流出,将对国家安全形势形成直接的威胁。
“未来政府部门和非政府机构,将在网络空间治理上大家共同使劲,同台竞技。”随着经济全球化趋势不断加深,中国信息安全测评中心总工王军做出这样的“预测”。他认为,从国际上来看,国际跨境数据交易加剧,国家之间合作的可能性加强。
中国信息安全测评中心主任朱胜涛也认为,大数据时代的安全威胁成为全人类面临的共同问题,任何国家都难以“独善其身”,世界各国都无法“置身事外”。
大数据将传统安全与非传统安全融为一体
“我国大数据发展已经进入关键时期,大数据深刻改变了人们的思维方式,生产方式和生活方式。”朱胜涛认为,作为重要的战略资源,大数据将网络空间和现实社会联结在一起,将传统安全与非传统安全融合为一体,信息社会由此变成了一个风险多样,挑战多变的复杂的新时代。
中国工程院院士倪光南表示,过去传统的安全在保密性、完整性和可用性方面,基本都是技术因素,也有一套比较完整的测评体系,但是对于网络安全、大数据安全显然不够。“网络安全很重要的一点是要强调可控性。”倪光南说。
阿里巴巴副总裁、首席安全专家杜跃进也认为,与保护静态文件或者数据库等传统安全相比,“大数据环境下的数据安全”具有其特殊性,也面临非常多的挑战和新问题,过去的工具、方法和标准都需要改进。
杜跃进还举例说,在万物互联的大数据环境下,用户在工作和生活中几乎每时每刻都在产生各种数据,用户的隐私、自身权益和安全如何保障都是面临的新问题。此外,大量网站或应用的安全防护水平不高,导致黑灰产人员可以从中大量窃取数据,都令用户防不胜防。
网络安全不能“一隔了之”,没有攻不破的网络
在2017“数博会”博览会内,360企业安全展台吸引了不少参观者驻足。一块硕大的电子屏幕实施展示着“大数据城市安全指数”,全国各个城市的企业安全、个人安全等指标一目了然。
“我们面临的网络安全威胁无处不在。包括各种木马病毒、欺诈短信。信息泄露、ATP攻击等。”奇虎360公司副总裁石晓虹表示,网络隔离解决不了问题,网络安全不能“一隔了之”;二是漏洞是绝对存在,没有攻不破的网络。
“尤其2011年以来,网络欺诈案件越来越多,每年欺诈金额比例增长60%;在数据泄露方面,2016年共有超过十亿数据被窃取,其中95%属于科技、金融等行业。”通付盾科技有限公司总裁王梅还提到,欺诈行为凸显非接触性和隐蔽性,且欺诈方式更加智能化、专业化,诈骗手段不断翻新;尤其,金融欺诈越来越呈现出集团化、职业化的分工。
石晓虹坦言,在大数据建设方面也面临很多的威胁。除了基础设施外,还包括系统漏洞和后门,以及外部攻击、泄密,内部非授权访问和违规交易等。尤为应该注意的“两大挑战”:一是大数据生命周期安全,即采集、传输、存储、应用等方面的一些威胁;还有在承载大数据系统的预警能力和协同机制也不到位。
期待建立统一数据平台和共享机制
“赢安全者赢未来。”在黄殿中看来,大数据安全成为推进全国安全建设的压仓石,而大数据的开放是得失双备的双刃剑,只有做好准备才能不伤及自身。“对于涉及国家机密确又有利于大数据发展的,应该有利引导;对涉及大是大非问题,必须坚守底线,确保大数据施策有当。”黄殿中说。
黄殿中认为,在强化大数据安全治理问题上,要综合运用政策法规、技术保障、人才培养和市场引领等施策手段,充分调动和发挥国家、企业和个人的优势力量,用好“十个指头弹钢琴”的方法,切实加强大数据发展的安全治理与综合施策。
“构筑安全管理体系,才能应对各种的漏洞,利用漏洞来进行攻击。”中国工程院院士沈昌祥表示,只有这样才能达到攻击者进不去,进去了也拿不到东西,尽管拿到了也看不懂、改不了的状态。“应该开启网络安全主动防御时代,唯有主动免疫的可信计算来解决大数据安全问题。”沈昌祥说。
数据是重要的资产,也是下一代的“石油”。石油化工集团信息管理部主任李德芳常常这样打比方。他认为,从实际应用层面,应该思考利用大数据构建应用体系来打造产业竞争新优势。“要建立统一的数据平台,形成统一的数据资源,实现数据资产的统筹管理和高效管控;做到管理和技术并重,做好态势感知,实现协同共享、主动防御,构建一个相对全面、安全、牢固的安全体系和保障系统。”李德芳说。
“期待实现安全共享。”石晓虹也表示,安全厂商之间打破应数据的壁垒,在基础数据和威胁情报之间形成共享模式,“毕竟大数据面临有很多的安全威胁,涉及很长的产业链条,单独一家厂商很难做到防护。”
作者:李政葳来源光明网)