全球数据安全治理态势与产业趋势分析
石英村(赛博研究院)
0 引言
当今全球进入数据经济时代,数据资源成为推动各国产业发展和商业创新的动力源泉。然而与此同时,数据资源面临的安全威胁也日益严峻,数据开放利用与数据安全治理成为“一个硬币的两面”,也是各国政策法律的焦点和难点。2017年12月8日,中共中央政治局就实施国家大数据战略进行第二次集体学习会议上,习近平总书记指出,强调推动实施国家大数据战略的同时要保障数据安全。“发展与安全”并重,“没有大数据安全,就没有大数据产业发展”已经成为共识。本文通过分析全球数据安全威胁及其治理的形势,研判国内外数据安全产业发展的总体趋势,并对我国数据安全产业发展现状与问题进行分析,提出相关建议。
近年来,随着我国医疗体制改革的不断推进,人们对医疗服务也有了更高的要求[4-5]。急诊科护理具有工作任务量强、内容繁杂、安全隐患多等特点,传统急诊科护理工作仅仅局限于遵医嘱落实各项诊疗项目,而缺少针对性与持续性的管理措施,不仅影响了整体护理服务质量,同时也增加了护理人员的工作负担[6-7]。
1 全球数据安全威胁空前严峻
当前,全球数据安全形势越发严峻,对个人隐私、企业机密和国家安全等带来严重安全威胁。据统计,2015年全球数据泄露为7.07亿条,2016年为14亿条,2017年高达50亿条,围绕网络攻击、数据窃取和数据交易形成的网络黑市已经成为大规模、有组织的犯罪集团,甚至是国家黑客主导的高度成熟的经济体,全球数据黑产规模超过数千亿美元。数据安全不仅给企业和个人造成巨大的经济损失,而且对各国的政治安全和社会稳定构成复杂影响,例如美国民主党“邮件门”事件对美国大选政治进程产生重大影响,而我国“徐玉玉”事件等也带来广泛的社会关注。
2 各国数据安全治理日趋严苛
面对日益严峻的数据安全威胁,世界主要国家全面加强数据保护的立法和监管。截至2016年12月,全球共有115个国家和地区制定了专门的个人信息保护法,确立了个人信息收集、使用以及安全保护等数据保护规则。2018年5月25日,被称为史上最严格数据保护法的欧盟《一般数据保护条例》(GDPR)正式实施,成为全球数据安全保护的重要标杆。我国《网络安全法》也将个人信息保护纳入网络安全保护的范畴,围绕数据保护的相关配套法规和管理标准相继出台。纵观全球,各国数据保护的相关法律法规持续升级,对企业数据安全合规提出了更高的要求。“数据泄露通知”“数据保护官”“隐私风险影响评估”“从设计保护安全”等原则和要求正成为企业需要承担的新型数据保护义务。
3 数据安全产业创新迎来重大机遇
数据经济时代,数据安全技术发生深刻变革,数据保护需求全面释放,数据安全的新技术、新模式不断涌现,数据安全产业边界呈现不断拓展和融合的态势。根据Gartner 2017年用户安全支出行为调查表明,51%的企业表示数据安全风险是整体安全支出的主要驱动因素,而数据安全风险中企业对“用户隐私问题”成为多种安全风险的主要焦点,也是涉及企业/组织业务的核心问题,超过七成的企业/组织在2018年增加了数据安全的预算。以全球网络安全产业风向标著称的2018年RSA大会议题中,大量讨论涉及GDPR影响范围、法律问题、应对措施、技术支撑、最佳实践等,而GDPR相关的数据安全产品和技术也成为产业关注的焦点,包括IBM、微软、思科等IT巨头的展台上,随处可见GDPR相关解决方案,以帮助客户降低数据保护的法律合规风险。以色列网络隐私保护新锐公司BigID凭借数据隐私保护技术获得RSAC创新沙盒竞赛冠军,该公司主要借助机器学习技术开发软件平台,帮助企业更好地保护员工和客户的数据,量级可达到PB级。此外,Absolute公司的GDPR数据风险和终端准备评估系统、Forcepoint Dynamic Data Protection公司的动态数据保护、MinerEye公司的MineEye数据追踪系统等也受到业界广泛关注。
数据开放流通才能增加数据资源的商业价值和社会价值。然而随着大数据融合开发,数据权属关系将更为复杂,即便采取匿名化和假名化的技术措施,仍然可能在开放流通的各个环节产生用户数据滥用等法律风险。此外,针对开放海量数据的关联分析也可能引发商业机密甚至国家情报的泄露。
4 中国数据开放面临安全痛点
随着大数据、人工智能、工业互联网的普及应用,以及GDPR、《网络安全法》等数据合规治理体系的日趋严苛,全球数据安全产业必将迎来高速增长。在大数据产业和数据安全日益重要的背景下,我国需要积极总结、借鉴国内外数据安全产业发展的有益经验,实现数据安全产业的创新布局和数据安全产业跨越式、可持续发展。
4.1 大数据资源基础设施无法实现安全可控
就目前我国大数据技术架构而言,无论是使用Hadoop、Spark、MongoDB等开源软件搭建平台,还是采购Cloudera、Amazon、EMC等大数据产品搭建平台,均面临大数据资源平台核心底层技术无法安全可控的风险。“斯诺登事件”“中兴事件”等事件拉响了我国IT核心软硬件产品安全可控的警报,中国在新一轮大数据产业发展中需要通过国产芯片、操作系统、数据库等的创新应用,全面提升国家数据资源安全。
4.2 数据大规模集中存储增加数据泄露风险
“诗的妾”说出的所谓重大决定,令高潮忍不住哑然失笑。“诗的妾”说她想趁出差的机会,偷偷去一趟温州,原配大官人能突然袭击我,我为什么不能突然袭击他?那小子向来是个花心大萝卜,在温州那座纸醉金迷的城市里哪会自甘寂寞?“诗的妾”说她已经买好了明天的火车票,时间段很好,在杭州下午四五点钟上车,晚上七八点钟就可到达温州,先找个酒店住下来,待到半夜时分,打个车,直奔老公的住处,说不定啊,能从大官人的被窝里提溜出一个光溜溜的小三呢。
4.3 大数据开放流通导致用户数据滥用风险
调查得知,新生信息素质教育平台目前对应的是图书馆“新生入馆教育平台”。平台内容包括本校图书馆规章制度、馆藏资源布局以及电子资源的查找利用,联机公共查询目录系统的使用方法、查找纸本、电子文献的途径及技巧等等。平台形式多样化,包括图书馆介绍视频、图书馆利用教程、新生答题系统、MOOC学习平台等。平台功能也不断扩展,可以实现网上新生培训、网上考试、实时开通借阅权限等功能。
组织研究力量积极研判未来5~10年全球大数据安全关键技术发展趋势,通过政策扶持、项目引导、需求牵引等方式相结合,积极引导企业加强大数据安全保护产品和解决方案的创新研发。重点推动大数据差分隐私技术、多方安全计算、数据流动监控与追溯、移动终端数据安全、云平台虚拟机安全技术、虚拟化网络安全技术、新一代数据防泄漏(DLP)技术、工控数据安全等大数据安全关键共性技术产业化布局。
5 综合施策推动中国数据安全产业创新发展
长期以来,中国高度重视公共数据开放和大数据产业发展,数据开放水平稳步推进,大数据产业创新生态初步形成。2015年5月,中国首家大数据中心落户贵阳,包括贵阳大数据征信中心和贵阳大数据资产评估中心,2018年3月,上海组建上海市大数据中心,旨在对包括政务数据在内的各类大数据资源实现汇集互联、共享应用,实现从政府部门为中心的管理模式向着以用户为中心的管理模式转变。可以预见的是,中国将在未来进行新一轮数据开放,能够全面提升政府服务水平,激发企业创新动能。但是,在《网络安全法》等数据保护框架下,中国大数据开放和利用不可避免地会面临数据安全和隐私保护的挑战,主要风险包括如下。
数据资源需要通过集中才能实现数据资源的共享利用,然而当“鸡蛋放在一个篮子里”时,针对性的外部攻击威胁和内部泄露风险都将全面增加,客观上要求大数据采集和存储机构具有更强的数据安全保障能力。
5.1 重视大数据安全关键技术研判,引导数据安全产业创新布局
数据安全是中国大数据工程项目和大数据产业发展的关键痛点,客观上要求做大做强中国数据安全产业,以此全面推动和保障中国数字经济的健康发展。
5.2 针对国内外数据安全监管趋势,推动数据安全产业业态创新
全球数据安全产业向着服务化和细分化方向转型,中国应该利用《网络安全法》、GDPR等国内外数据安全合规发展的契机,除了鼓励数据安全创新产品和技术的研发,也要积极打造数据安全创新服务业态,面向重点行业开展数据安全综合服务能力体系构建,重点发展数据安全保险、大数据安全审计、安全态势感知、大数据安全情报分析等服务业态、数据安全咨询/培训等,以服务业态创新提升中国网络安全产业能级。
5.3 加强大数据中心建设,构建大数据安全技术生态建设
大数据中心是大数据资源和产业的主要枢纽,必须从建设阶段构建高标准的数据安全保障能力。我国数据安全产业需要以此为契机,从技术、产品和服务等方面打造全生命周期的大数据安全解决体系/标准,积极扶持特色鲜明的创新型安全企业融入各地数据开放开发的产业链,培育和引进大数据安全骨干企业,形成共性技术与专业技术相结合的大数据安全生态模板,构建数据开放利用和安全治理协同发展的生态模式;同时,结合各地产业发展重点领域,打造各具特色的数据安全融合应用示范园区。数据资源是行业数字化应用的基础,数据安全的技术、产品和服务必须融合在各地数据化应用的各个领域。因此,我国数据安全产业需要聚焦各地科技金融、工业互联网、智能网联汽车等不同重点领域的发展要素和环境优劣,进行融合性布局,在产业功能特色鲜明的区域构建规模适中的融合应用型示范园区,打造数据安全融合应用公共服务平台,汇聚数据应用机构、数据开发利用和数据安全研发机构、数据安全厂商等。
作者介绍
石英村, 上海赛博网络安全产业创新研究院研究员,研究方向为网络空间治理和网络安全产业。
企业价值共创体系的涌现主要体现在价值创造能力的涌现行为上,因此对企业价值共创体系的价值创造能力的评价就是对企业价值共创体系涌现的评价。
标签:安全治理论文; 产业趋势论文; 中共中央政治局论文; 数据资源论文; 安全威胁论文; 数据安全论文; 安全产业论文; 大数据论文; 赛博研究院论文;