前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息安全战略报告主题范文,仅供参考,欢迎阅读并收藏。
为深入贯彻落实党的十精神和国家教育发展规划纲要,加强对高等学校信息安全专业教学改革的研究、咨询、指导和评估,进一步促进信息安全人才培养,新一届(2013-2017)教育部高等学校信息安全专业教学指导委员会(简称信息安全教指委)日前在北京宣布成立。
会上,教育部高等教育司理工科教育处副处长侯永峰代表教育部对新一届信息安全教指委的工作提出了要求;新一届信息安全教指委主任、工信部信息安全协调司司长赵泽良,新一届信息安全教指委名誉主任、中国工程院院士沈昌祥做了主旨讲话。电子工业出版社副社长兼总编辑刘九如代表信息安全教指委支撑机构也在会上致辞。工信部信息安全协调司综合处处长胡啸以及来自全国各相关高校、企业和军队等机构的新一届信息安全教指委成员参加了成立大会。
与会的新一届信息安全教指委成员侧重就新一届教指委的工作目标和主要任务进行了深入讨论,大家期望新一届教指委充分发挥“研究、咨询、指导、评估和服务”的职能,真正成为“教育部管理教学的依靠力量、指导高校教学工作和教学改革的骨干力量、实现高校规范教学管理的推动力量、加强高校教师队伍建设的引导力量”,要在上届信息安全教指委工作的基础上,着力宣传和推行《信息安全专业指导性专业规范》,着重开展信息安全专业规范建设的实践与完善;着手研究制订《信息安全专业国家教育标准》,为开展信息安全专业认证评估工作做好准备;并建议编制《信息安全专业发展战略报告》和《信息安全学科发展报告》,为信息安全专业和学科建设奠定坚实基础。
新一届信息安全教指委主任赵泽良在成立大会上强调,信息安全是国家安全的重要组成部分,而且目前是国家安全的薄弱环节,要从根本上提高我国信息安全水平,健全信息安全保障体系,必须培养高素质的信息安全专业人才,因此加强信息安全学科、专业的体系化建设刻不容缓。本届教指委要主动适应国家信息安全战略和经济社会发展需要,通过研究、咨询、指导、培训等工作,推进信息安全专业教育教学质量和科研水平的提高。新一届信息安全教指委名誉主任沈昌祥院士指出,经过多年的努力,我国的信息安全教育教学体系已经初步建立,为信息安全人才培养做出了贡献。但目前信息安全学科建设仍然面临诸多问题,由于信息安全未能进入一级学科,导致基础不同、方向各异,教学内容混乱,造成人才总量和结构远远不能满足需求,复合性人才和专业化人才严重缺乏。同时,由于没有设立一级学科,致使一些高校信息安全专业发展方向不明,教师队伍出现流失,必将严重影响我国信息安全自主创新能力和信息安全保障体系建设。希望新一届教指委在这方面继续做好推进工作,争取将信息安全专业尽快列入一级学科。
一、搞好信息安全防护是确保国家安全的重要前提
众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。
二、我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
三、积极采取措施加强信息安全防护
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
第二,要建立完备的信息安全法律法规。信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念——PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调险控制工作计划,从而实现信息安全风险管理的工作目标。
计算机软件产品成为世界的核心和灵魂
(一)计算机软件产业成为战略性新兴产业工信部软件服务业司司长陈伟表示:“今天,很多人提出了SDN(软件定义网络)、SDD(软件定义数据中心)、SDS(软件定义系统),而我认为,软件可以定义世界(SDW),软件应该成为世界的核心和灵魂,成为信息消费的引擎和重要内容。”[1]软件产业在我国国民经济中具有重要的战略地位,随着大数据、物联网、移动互联网的兴起与广泛运用,软件产品已经覆盖人民生产、生活的各个领域,逐渐成为重要的民生物品。软件产业个人信息保护不仅关系到本产业的发展,关系到国民高品质智能化生活,而且对于整个信息产业的长远发展,对于信息消费市场的培育与推动,对于“宽带中国”战略的实施,对于国家信息安全的保障具有重要的战略意义。
(二)计算机软件产品的界定
技术业已变革,整个社会都在地动山摇发生着巨大的变化,如果法律制度仍然固守两千年前的传统理论,秉持“祖宗之法不可变”的陈词滥调,那么法律制度必定束缚生产力的发展,并必然地被技术的迅猛发展而冲破。从物和产品的发展趋势来看,随着社会经济高速发展,物与产品的观念均有扩展之势[7]。世界各国出于对消费者权益的保护,不再对已经以“产品”的形式流通的计算机软件“视而不见”,纷纷以“计算机软件产品”称呼之,并开展相关立法规范。
TRUSTe认证工作主要涵盖以下几个方面。
1.初始认证
当网站为获得TRUSTe 的认证而提交了正式的申请表后,TRUSTe 将检查申请网站,看它是否符合程序原则(Program Principles)。其目的是为了确保该网站的隐私政策,明确指出哪类个人信息被收集、谁在收集、为何目的收集、如何使用以及与谁共享等。如果网站符合TRUSTe关于隐私保护的认证要求,TRUSTe就会授予该网站隐私图章,允许在其网站主页上张贴TRUSTe的隐私图章标志。
2.后续监督
当申请网站成为会员后,TRUSTe就会定期检查网站,确保网站的行为符合它公布的隐私声明,并且检查网站隐私声明的变动。初始认证和后续监督都是在网站事先不知道的情况下,通过提交特定标志符到网站来跟踪该站点个人信息的使用,并监控结果,以此来确定其信息收集使用行为是否与该站点的隐私声明相符合。
3.争端解决
当消费者认为网站侵犯其隐私权,而就隐私侵权问题不能得到会员网站恰当处理时,TRUSTe为其提供一种在线的争端解决服务,即所谓的看门狗争端解决方法(Watchdog Dispute Resolution Process)。一旦TRUSTe针对涉嫌侵犯隐私而被消费者投诉的网站作出最终决定,网站必须执行,否则其所获得的隐私图章将被取消,并被列入“不守规矩的网站”的名单中,TRUSTe甚至通过适当的途径向相关的法律权威部门提起诉讼,如美国贸易委员会或者消费保护机构等。这样的争端解决程序逐渐为TRUSTe 树立了一定的威信。
(二)日本个人信息保护评价制度评析
日本早在1998年由非官方第三方机构日本情报处理开发协会(Japan Information Processing Development Corporation,JIPDEC)建立了Pmark认证制度,2005年日本《个人信息保护法》的实施,极大地推进了企业参与个人信息保护认证。
软件及信息服务业个人信息保护评价体系(PIPA)评价的对象主要是企业,其初衷在于帮助以软件和信息服务业为主的企业建立个人信息保护制度,使得企业有能力在2005年日本《个人信息保护法》实施后继续承接日本软件外包业务。通过PIPA评价的企业可以得到个人信息保护合格证书和PIPA标志使用权。具体而言,大连个人信息保护评价制度包括以下几个方面。
1.评价机构
软件及信息服务业个人信息保护评价机构为大连软件行业协会,下设个人信息保护工作委员会、PIPA办公室和评价专家组。
PIPA办公室主要负责PIPA文件管理和事务性工作,负责PIPA受理及投诉,负责评价员的聘任及管理工作,PIPA办公室下设培训教育部门,负责个人信息保护企业培训和评价员培训、考核。
个人信息保护工作委员会主要负责标准和PIPA体系相关文件的制定、修改和完善,负责PIPA申批、投诉及事故处理结果的审批,负责对PIPA的监督及聘任评价员的审批等工作。工作委员会下设:标准组、仲裁组、宣传推广组、国际交流组和教育培训组。标准组主要负责标准的研究和制定;仲裁组负责投诉及事故的调查及处理;宣传推广组负责PIPA宣传推广;国际交流组负责国际间的交流与合作;教育培训组负责个人信息保护人才的教育、培养研究及试点,开展个人信息保护人才培养工作。
2.评价依据
大连软件行业协会在全国率先开始制定软件及信息服务业的个人信息保护标准,即《规范》,经过多年的实践,在大连市的地方标准的基础上,形成了辽宁省的个人信息保护“省标”《辽宁省软件与信息服务业个人信息保护规范》DB21/T 15222007、《个人信息保护规范》DB21/T 16282008和辽宁省地方标准《信息安全个人信息保护规范》DB21/T 1628.12012。目前大连软件行业协会已经通知自2014年6月1日起正式实施《信息安全个人信息保护规范》,即2012版标准替代目前实施的2008版标准[10]。
3.评价流程
个人信息保护评价流程包括申请、受理、文件审查(前期审查)、现场审核、公示15天、审批、颁发合格证和标志等几个环节[11]。个人信息保护评价申请的前提是申请评价的企业按照《规范》的要求建立企业个人信息保护制度,经过三个月运行的检验,在这期间没有发生任何涉及个人信息保护的重大事故,方得以开展评价申请。
4.评价监督管理
通过个人信息保护认证的企业并非一劳永逸,大连软件行业协会对于通过认证的企业具有监督管理的权利。大连软件行业协会对于通过认证的企业可以采取抽查的方式进行监督管理,对于抽查不合格的企业,将限期整改,整改后仍然无法达到相关标准的企业,则取消其使用个人信息保护合格证书和PIPA标志的资格。同时,大连软件行业协会在接到重要举报和投诉时,可对认证企业进行复审,复审不合格的企业同样取消其使用个人信息保护合格证书和PIPA标志的资格。
5.证书与标志
通过个人信息保护认证的企业,由大连软件行业协会颁发个人信息保护合格证书、PIPA标志,证书和标志在两年内有效。
值得一提的是,由于大连行业协会与日本情报处理开发协会签署了互认合作协议,即通过大连PIPA认证的企业受到日本情报处理开发协会的个人信息认证体系Pmark认可,无需再另行申请日本Pmark认证,因此,通过大连行业协会个人信息保护认证的企业还可以获得PIPAmark互认标志。
(四)中美日个人信息保护评价制度比较及启示中美日的个人信息保护评价制度各具特色,三者的共同点在于均是出于对用户个人信息和隐私的保护而构建的一整套认证制度,均是以非官方组织为主导开展的评价认证,三者的差别在于:
从评价的地域范围来看,由于互联网的无国界性,以TRUSTe为代表的美国个人信息评价制度目前已经发展成为一个全球性的认证体系,并不局限于仅对美国的网站开展认证业务;日本的Pmark个人信息评价体系则是针对日本的企业开展认证服务,是日本国家级的认证体系,但不针对国外的企业开展认证;大连的PIPA评价体系最初仅仅局限于针对大连市的企业,而且是对软件和信息服务业的企业开展评价,现在逐步向全国范围内扩大。
(一)软件产品个人信息安全认证标准
软件产品个人信息安全认证标准是软件产品个人信息安全认证最基本的依据,放眼全球,目前尚无一个针对软件产品个人信息安全认证的标准,只有类似针对整个企业的个人信息保护管理系统的标准、针对软件和信息服务业整个行业的个人信息保护规范、针对网站的隐私认证标准,而缺乏针对最直接收集个人信息的计算机软件产品的个人信息安全认证标准。
(二)软件产品个人信息安全认证流程
建立软件产品申请个人信息保护认证流程,对于符合个人信息保护法律收集、利用和处理的软件产品,经审查合格的,颁发软件产品个人信息保护合格证书与标志。该软件产品的开发者和利用者可以在其上注明个人信息保护合格标志,以告知用户,增加用户对其的信赖感。软件产品个人信息安全认证流程与软件企业的个人信息保护认证并不相同,前者注重的是软件产品是否合法收集利用用户个人信息、是否保障用户个人信息安全,而后者强调的是企业个人信息保护管理体系的建立以及对于个人信息保护的政策。
本研究结合国内外隐私认证和企业个人信息保护评价的流程,对软件产品个人信息安全认证流程初步设计如下。
1.申报
欲进行个人信息保护认证的软件产品开发者或生产者、经营者作为申请单位需填写《软件产品个人信息安全认证申请书》及相关附件材料呈交评价机构。
2.资料审查
由评价机构对申请单位提交的《软件产品个人信息安全认证申请书》及相关附件材料进行审查,审查合格者制作审查合格报告,并进入软件信息保护评估阶段,不合格者返回补正。
3.软件信息保护评估
资料审查合格的单位向评价机构提交软件产品样品一份,由评价机构利用技术手段针对软件的安全性进行测试,包括软件产品的信息安全、软件产品的运行机制、软件产品对于用户个人信息的收集利用情况等方面,并由专家组进行评估,最终形成评价报告。通过者进入审核阶段;未通过者,申报单位按照专家组的评价意见进行一次改进完善,改进完善后重新进行评估,如仍不能通过,则出具评估不合格报告,若未进行实质性修改完善,不得再申请进行个人信息安全评价。
4.审核
依据专家组形成的评价报告,评价机构进行审核,而后签署最终审核意见。评价机构对通过审核者公示10个工作日,其间如没有实质性异议,则正式通过审核并予以公告,颁发“软件产品个人信息安全合格证书”及认证标志。
通过软件产品个人信息安全认证机制的构建,有助于培育一批品质优良、注重用户权益、服务经济社会发展需要的软件产品,从而肃清我国软件产品市场鱼目混珠的乱象,引领软件产业的发展,为信息产业的长远发展奠定基础。
关键词:大数据;个人信息安全;表现;措施
中图分类号:G206 文献标识码:A 文章编号:1672-8122(2014)08-0033-02
伴随着科技进步,互联网及移动互联网的快速发展,云计算大数据时代的到来,人们的生活正在被数字化,被记录,被跟踪,被传播,大量数据产生的背后隐藏着巨大的经济和政治利益。大数据犹如一把双刃剑,它给予我们社会及个人的利益是不可估量的,但同时其带来个人信息安全及隐私保护方面的问题也正成为社会关注的热点。今年两会期间,维护网络安全被首次写入政府工作报告。全国政协委员、联想集团董事长兼CEO杨元庆也在会议上呼吁“政府对个人信息安全立法,加强监管,并在整个社会中树立起诚信文化”。大数据时代下维护个人安全成为重中之重。
一、大数据时代下个人信息受到侵犯的表现
(一)数据采集过程中对隐私的侵犯
大数据这一概念是伴随着互联网技术发展而产生的,其数据采集手段主要是通过计算机网络。用户在上网过程中的每一次点击,录入行为都会在云端服务器上留下相应的记录,特别是在现今移动互联网智能手机大发展的背景下,我们每时每刻都与网络连通,同时我们也每时每刻都在被网络所记录,这些记录被储存就形成了庞大的数据库。从整个过程中我们不难发现,大数据的采集并没有经过用户许可而是私自的行为。很多用户并不希望自己行为所产生的数据被互联网运营服务商采集,但又无法阻止。因此,这种不经用户同意私自采集用户数据的行为本身就是对个人隐私的侵犯。
(二)数据存储过程中对隐私的侵犯
互联网运营服务商往往把他们所采集的数据放到云端服务器上,并运用大量的信息技术对这些数据进行保护。但同时由于基础设施的脆弱和加密措施的失效会产生新的风险。大规模的数据存储需要严格的访问控制和身份认证的管理,但云端服务器与互联网相连使得这种管理的难度加大,账户劫持、攻击、身份伪造、认证失效、密匙丢失等都可能威胁用户数据安全。近些年来,受到大数据经济利益的驱使,众多网络黑客对准了互联网运营服务商,使得用户数据泄露事件时有发生,大量的数据被黑客通过技术手段窃取,给用户带来巨大损失,并且极大地威胁到了个人信息安全。
(三)数据使用过程中对隐私的侵犯
互联网运营服务商采集用户行为数据的目的是为了其自身利益,因此基于对这些数据分析使用在一定程度上也会侵犯用户的权益。近些年来,由于网购在我国的迅速崛起,用户通过网络购物成为新时尚也成为了众多人的选择。但同时由于网络购物涉及到的很多用户隐私信息,比如真实姓名、身份证号、收货地址、联系电话,甚至用户购物的清单本身都被存储在电商云服务器中,因此电商成为大数据的最大储存者同时也是最大的受益者。电商通过对用户过往的消费记录以及有相似消费记录用户的交叉分析能够相对准确预测你的兴趣爱好,或者你下次准备购买的物品,从而把这些物品的广告推送到用户面前促成用户的购买,难怪有网友戏称“现在最了解你的不是你自己,而是电商”。当然我们不能否认大数据的使用为生活所带来的益处,但同时也不得不承认在电商面前普通用户已经没有隐私。当用户希望保护自己的隐私,行使自己的隐私权时会发现这已经相当困难。
(四)数据销毁过程中对隐私的侵犯
由于数字化信息低成本易复制的特点,导致大数据一旦产生很难通过单纯的删除操作彻底销毁,它对用户隐私的侵犯将是一个长期的过程。大数据之父维克托・迈尔-舍恩伯格(Viktor Mayer-Schonberger)认为“数字技术已经让社会丧失了遗忘的能力,取而代之的则是完美的记忆”[1]。当用户的行为被数字化并被存储,即便互联网运营服务商承诺在某个特定的时段之后会对这些数据进行销毁,但实际是这种销毁是不彻底的,而且为满足协助执法等要求,各国法律通常会规定大数据保存的期限,并强制要求互联网运营服务商提供其所需要的数据,公权力与隐私权的冲突也威胁到个人信息的安全。
二、大数据时代下个人信息安全保护的措施
(一)将个人信息保护纳入国家战略资源的保护和规范范畴
大数据时代个人信息是构成现代商业服务以及网络社会管理的基础,对任何国家而言由众多个人信息组成的大数据都是研究社会,了解民情的重要战略资源。近年来大数据运用已经不再局限于商业领域而逐步扩展到政治生活等方方面面。国家也越来越重视通过对大数据的分析运用从而了解这个社会的变化以及人民的想法,甚至从中能够发现很多社会发展过程中的问题和现象,这比过去仅仅依靠国家统计部门的数据来的更真实全面,成本也相对较小,比如淘宝公布的收货地址变更数据在一定程度上揭示了我国人口的迁移,这些信息对于我国的发展都是至关重要的。
因此将个人信息保护纳入国家战略资源的保护和规划范畴具有重要的意义。2014年政府工作报告首次提出了“维护网络安全”这一表述意味着网络安全已上升国家战略。这是我国在大数据时代下对个人信息保护的重要事件,也具有里程碑的意义。
(二)加强个人信息安全的立法工作
大数据时代对个人信息安全保护仅仅依靠技术是远远不够的,关键在于建立维护个人信息安全的法律法规和基本原则。这方面立法的缺失目前在我国是非常严重,需要积极推动关于个人信息安全的法律法规的建立,加大打击侵犯个人信息安全的行为。2014年两会期间全国政协委员、联想集团董事长兼CEO杨元庆呼吁政府加强对个人信息安全的立法和监督,引起了社会各界广泛关注和重视,这充分说明这个问题已经成为一个重要的社会问题。我本人对个人信息安全立法工作有以下几点建议:第一,必须在立法上明确个人信息安全的法律地位。个人信息安全与隐私权“考虑到法律在一般隐私权上的缺乏,要对网络隐私权加以规范就有必要先完善一般隐私权的规定,因此首先应通过宪法明确规定公民享有隐私权。[2]”第二,必须从法律上明确采集数据的权利依据。由于在数据采集过程中经常发生对个人信息的侵害,因此无论是政府还是互联网运营服务商都必须遵循一定的原则和依据。政府采集数据的行为应该符合宪法的要求,而互联网运营服务商采集数据必须要经过当事人同意。第三,制定关于个人信息安全的专门法律。2003年国务院信息办就委托中国社科院法学所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿。2005年,最终形成了近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。但到目前为止我国的个人信息保护法仍没有立法,因此加快这个立法过程是当务之急。
(三)加强对个人信息的行政监管
大数据时代下个人信息及隐私都具有很高的经济价值,许多商业机构利用这些都能够谋取很高的商业利益,因此政府对于个人信息的监管就显得尤为重要,具体来说就是应该制定关于大数据的个人信息安全标准。
我国已于2013年2月1日起实施首个个人信息保护国家标准――《信息安全技术公共及商用服务信息系统个人信息保护指南》。该标准最显著的特点是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。这充分标志着我国对个人信息行政监管上了一个新台阶。
(四)加强对个人信息的技术保护
技术手段是对个人信息最直接的保护方式,也是法律手段的重要补充。在法律法规还没有完善的情况下,技术保护成为个人信息保护最主要的方式。但是我们看到现代技术发展非常迅速,侵权者们的水平也迅速提高,过去的许多技术保护手段都已被一一破解,这给我国的信息产业界提出了很高的要求。为此国家和社会各界应该充分重视信息技术的创新开发,培养技术人才,提高我国信息技术水平从而为个人信息保护提供保障。
(五)加强行业自律与监管
行业自身的相互监管监督是个人信息安全保护最有效也是成本最低的方法。因此相关部门应该组织涉及大数据的企业成立相关的行业组织了,并制定行业内部的标准或公约,以及相互监督的权利和义务,并为这些行业组织提供相应的资金和政策的支持。
大数据时代的到来极大地促进整个社会的发展。大数据在各行各业中的运用,使我们精确地了解到过去通过抽样调查很难了解的许多东西,让我们更深刻地认识了这个社会,从而更进一步改善这个社会。我们不应该否认大数据带来的益处,同样我们应该使这种益处最大化。但大数据带来的对个人信息安全的威胁我们也应该有着充分的认识。保护个人信息不仅是对社会每个成员的保护,更是对国家安全以及社会长期持续健康发展的保护。
参考文献:
[1] (英)维克托・迈尔-舍恩伯格著.袁杰译.删除――大数据取舍之道[M].杭州:浙江人民出版社,2013.
[2] 李欲晓.云计算大数据时代个人隐私保护刻不容缓[J].理论导报,2013(7).
投资要点
网络强国战略加快信息建设速度,推进物联网技术发展:纲要提出,牢牢把握信息技术变革趋势,实施网络强国战略,加快建设数字中国,推动信息技术与经济社会发展深度融合,加快推动信息经济发展壮大。要构建泛在高效的信息网络,加快构建高速、移动、安全、泛在的新一代信息基础设施,推进信息网络技术广泛运用,形成万物互联、人机交互、天地一体的网络空间。信息化建设加速以及传输成本下,是打造万物互联的网络空间的重要基础,物联网技术的应用和发展空间不亚于互联网技术,看好其在医疗、物流和交通等方面的行业化应用。
“互联网+”促进多产业融合发展:纲要提出,要发展现代互联网产业体系,实施“互联网+”行动计划,促进互联网深度广泛应用,带动生产模式和组织方式变革,形成网络化、智能化、服务化、协同化的产业发展新形态。夯实互联网应用基础,加快多领域互联网融合发展。中国未来经济增速压力加大,深层次原因是经济结构不合理,产业经济落后,产能过剩情况严重。“互联网+”战略的实施,能促进产业智能化,去除中间环节,极大提高生产效率,实现产业变革和提升。看好“互联网+工业制造”的工业4.0和“互联网+农业“等领域的发展。
大数据上升至国家战略,政府数据公开加快产业发展:纲要提出,要实施国家大数据战略,把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。加快政府数据开放共享,促进大数据产业健康发展。数据源匮乏一直是制约大数据行业应用和发展的主要瓶颈。随着大数据战略的实施,以及政府数据的开放,未来看好大数据行业趋势性发展机会,特别是智慧城市,政务大数据的应用。
网络信息加速发展,网络安全需求显着提升:规划纲要草案提出,要强化信息安全保障,统筹网络安全和信息化发展,完善国家网络安全保障体系,强化重要信息系统和数据资源保护,提高网络治理能力,保障国家信息安全。加强数据资源安全保护,科学实施网络空间治理,全面保障重要信息系统安全。信息化程度的提升,对网络安全提出了更高的要,甚至关乎国家信息安全层面,网络安全行业成为刚需,具备长期发展潜力。
推进军民融合发展立法,网络安全有望成为典范。我们在2.22号与机械组联合深度报告《军民融合行业深度报告:国家战略,强国兴军》,提出军民融合已成为主要发达国家的国家战略,并成立最高层协调组织和建立完善的协调机制,军民融合有望上升为我国的国家战略,关注国家军民融合的规划进展和支持政策。根据解放军报3.6号的最新报道,国家将建立军民融合发展统一领导机制,建立健全领导决策、军地协调、需求对接和资源共享等机制;形成全要素、多领域、高效益的军民融合深度发展格局。同时,《十三五规划纲要草案(全文)》提出推进军民融合发展立法,深化国防动员领域改革,健全完善国防动员体制机。制统一领导机制的建立,将大大加速军民融合的发展速度。陆海空天电网一体化、军工领域市场化和民品化是本轮军改两大反向,信息技术作为军民融合的突破口和引领方向发展潜力巨大,看好网络信息安全、军事物流等领域的发展前景,军民融合推荐卫士通(首选)、飞利信、启明星辰、海兰信。
把握云计算、大数据、网络安全三大方向的龙头:本次纲要继续利好我们一直看好的大数据(模式升级)、云计算(技术变革)、信息安全(安全保障,必须要强调的是,安全已经拓展到网络空间整体的国防和安全,不仅仅是云安全这一细分领域可以概括,而且未来两年来看云安全对网络安全的贡献还占不到主流,军工将成为网安的主要驱动力)三大方向的投资机会。
云计算方面:相对来说弹性大于网络安全,而整体业绩落地兑现方面又好于大数据。我们建议关注:天玑科技(300245)(大数据一体机在2015年实现3000万左右销售,超融合架构云计算大势所趋)、东方通(300379)(电子政务云PaaS平台和移动办公平台双龙头)、飞利信(300287)(牵手火网科技、精图信息布局消防云百亿市场,京津冀示范奠定标杆,增发价格倒挂公司动力十足)、汉得信息(300170)(云计算重构软件分销渠道产业,SaaS分销业务模式独特,汉得云mart有望打造云分销领域的大众点评)、太极股份(002368)(一体化电子政务云龙头,增发倒挂)、华宇软件(300271)(公检法SaaS龙头、切入其他电子政务领域)、华胜天成(600410)(业绩有望迎来拐点,容器技术的颠覆影响利于Power云生态做大);
远望电子已获得浙江省“双软企业”认定及国家级高新技术企业认证,是国家创新基金支持单位、浙江省软件服务业重点扶持企业、“国家863信息系统安全等级保护产业技术创新战略联盟”成员、浙江省计算机学会信息安全专业委员会委员》。
远望电子是浙江省信息安全标准化技术委员会委员、公安部《公安综合信息安全管理平台技术规范》主要起草单位,同时还是浙江省治安监控网络综合保障系统行业标准》、工业和信息化部《信息安全技术政府部门信息安全管理指南》(国家标准),及全国信息安全标准化委员会《信息系统安全管理平台产品技术要求和测试评价方法》(国家标准)参与起草单位。
远望电子本着诚信为本的经营理念,连续多年均被评为AAA级信用等级单位。
远望电子与公安部第一研究所、公安部安全与警用电子产品检测中心、西北工业大学、杭州电子科技大学等科研院所建立了长期友好合作关系,从而提升了公司的软件研发、人力资源开发、人才培养和储备能力。
远望电子自主研发的信息与网络安全管理平台及监管系统等在国内二十余个省市的公安、法院、政府、保密等领域及大型企事业单位得到了广泛应用。近年来,远望电子开发的信息与网络安全平台已在浙江省公安厅及所属116个单位全面部署应用。浙江省公安厅借助该平台建立了较完善的信息安全综合保障体系,连续五年在全国公安信息安全综合评比中名列第一。
远望信息与网络安全管理平台及监管系统,融业务管理(规范、组织、培训、服务)、工作流程、应急响应(预警、查处、通报、报告)和安全技术应用(监测、发现、处置)为一体,集成了各类信息安全监管、分析技术,实现了对网络边界安全、保密安全、网站安全、主机基础安全,以及各类威胁信息安全的违规行为、资源占用行为等的有效监测、处置和管理。
产品同时结合工作流技术,实现了监测、警示、处置、反馈、考核五位一体安全管理工作模式,建立起长效的信息安全管理工作机制,并将其日常化、常态化,实现了信息安全管理工作的信息化、网络化。
远望信息与网络安全产品被列入“2010年度全国公安信息系统安全大检查”指定检查工具,并获得公安部2011年科学技术奖。
远望信息与网络安全管理平台及监管系统针对安全风险产生的根源,对网络中的安全事件和安全风险进行全程全网监测、管控,在技术的层面上突破了网络边界的定位、信息的准确鉴别、网站的定位,以及应用分析和监管等难题。
该平台能对信息网络进行全程全网实时监管,全面、清晰掌握网络系统状况,及时发现并分析、处置各类安全事件和风险隐患。
关键词:新时代;信息化;国家战略;新要求
十报告明确把“信息化水平大幅提升”作为全面建成小康社会的目标之一,并提出走中国特色新型工业化、信息化、城镇化、农业现代化道路,推动信息化与工业化深度融合,促进“四化”同步发展。
2014年2月27日,在中央网络安全和信息化领导小组第一次会议上明确指出:“没有网络安全,就没有国家安全;没有信息化,就没有现代化。”“没有信息化,就没有现代化”的论断,体现了信息化与现代化的紧密内在联系,对于我国推进信息化建设具有重要意义。
1 制定国家信息化战略的必要性
今年以来,一些国家或地区开始重新研究制定信息化相关的发展战略。2014年1月,欧盟了《充分发挥ICT潜能:赋予欧洲更多能力》报告,呼吁欧洲制定战略以促进移动互联网、云计算、大数据、物联网等新一代技术的发展。2014年4月6日,加拿大推出旨在帮助国民共享数字化时代机遇的《数字加拿大150计划》,以此构建更为联通的信息社会,并将“确保互联互通、增强安全保护、增加经济机会、数字政府和强化新媒体内容”定为五大关键领域。2014年5月13日,日本公布了《智能日本ICT战略》,期望通过基于ICT的创新实现经济增长,从而将日本打造成为全球最具活力的国家。
放眼全球,世界各国普遍意识到信息化是促进经济社会发展的利器,其本身已不只是一种手段,而是成为经济社会发展的目标之一,以及实现发展目标的重要路径。
(1)信息化是发展现代经济的神经中枢
信息技术能够跨时间、跨空间,瞬间传送、处理或控制大量信息。随着信息技术的发展,不仅人们的日常生活发生了改变,就连经济、工业、行政管理等社会系统的工作效率、透明度、便捷性都得以快速提升。可以说,信息化已经成为现实社会与经济可持续发展的必要基础。
同时,信息化还能起到“创新孵化器”的作用,推动生产力发展,促进经济增长,创造更多就业机会和提高个人就业能力,并改善民众生活质量。通过推出国家信息化战略,能够进一步加强信息技术的研发和应用,培育有利于提升综合国力的新技术、新产业和新领域,抢占未来国际竞争的制高点。
(2)信息化是解决社会问题的重要渠道
随着互联网的进化,各种各样的移动设备、信息相互联接,产生了各种形式的应用,培育了许多新型服务与新兴产业,为经济社会发展贡献价值。信息化应用有助于更好解决当今社会面临的一些重大问题,如:通过信息化应用,能够让老龄化社会中的老年群体过得更为安逸健康;让区域经济实现绿色发展,建成低碳社会;能够让政府有广泛的渠道听取民意,在公众积极参与和监督下健全行政与财政体系。
2 制定国家信息化战略所需的出发点
通过信息化建设,既要推动经济增长与社会进步,又要确保信息安全和网络安全。因此,制定国家信息化战略,要立足于促进经济发展,同时兼顾应有的社会效益。
(1)充分利用信息技术,构建新的社会体系
21世纪是人口老龄化的时代。我国已于1999年进入老龄化社会,是较早进入老龄化社会的发展中国家之一。随着人口老龄化加剧,社会结构将出现较大变化。国家信息化战略应该更加关注老龄化社会所带来的社会系统变革。
例如,充分应对老龄化社会。可以通过信息化应用,促进老年群体发挥自身价值,积极参与社会活动。政府的政策不应停留在化“不便”为“方便”的角度,今后的战略应通过综合使用信息化工具与手段,构建有效调动老龄群体能力的社会系统与机制。
新的信息化战略应该立足于解决错综复杂的社会问题,营造宜居城市与和谐社会,需要将信息化战略视为城市建设、人才培养、社会建设的重要环节。同时,有必要同步推进公共基础设施建设与验证、完善相关规章制度,改善业务与信息流程、提高公众意识与参与度、培育新社会系统所需的人才、完善劳动就业法规等。
(2)培育新兴产业,创造就业环境
在错综复杂、相互依存的世界经济中,我国有必要结合自身实力,积极发挥自身优势、积极培育与未来国际社会发展密切相关的产业,如节能环保产业。通过信息化应用,创造资源节约型、环境友好型社会,将目前所面临的环境制约等瓶颈转化为未来发展的机会,保障经济平稳快速发展、增加劳动人口的就业机会。
(3)保障网络安全和国家安全
信息化正快速融入各个领域,电子政务、电子商务、工业生产、远程教育、网络银行……同时,也给各个领域带来了网络和信息安全问题。尤其是近年来,网络核心设备安全漏洞或后门难以防控,病毒泛滥防不胜防,网络攻击此起彼伏。因此,保障网络安全和国家安全也应成为国家信息化战略的出发点之一。
3 国家信息化战略应关注的落脚点
笔者认为,国家信息化战略应将重点落在电子政务、绿色ICT、物联网社会、信息安全、信息化人才等五个方面。
(1)电子政务建设应转向云计算和大数据
与许多国家相比,我国电子政务的发展水平明显落后。新的时代,推进电子政务建设工作的重点应该是从以往的“互联互通、实现数据共享”转移到“统一化的云计算平台、增值化的开放数据”。
2014年2月4日,印度政府推出名为“GI Cloud”的国家云计算计划,以优化政府的电子政务投资,加速数字公共服务的提供。笔者认为,这项计划或许会开启国家电子政务建设的新思路,政府电子政务系统通过充分采用云计算应用,能避免重复开发,也无需投资新的硬件或软件系统。
通过大数据、开放数据来完善电子政务系统,能够提高行政机构的工作效率、透明度,促使其提供更为优质的公共服务。同时,政府部门开放的数据如能被企业用来进行二次开发,就可以创造更多价值,带动经济发展。
(2)通过绿色ICT解决环境与能源问题
气候问题是全人类共同面对的最重要课题之一。我国正积极与世界其他国家相互合作,制定长期的、有效的措施以应对气候变化。而通过信息化应用,能够让每个设备与建筑实现节能减排,还能利用网络优势,实施整体的环保措施。
例如,通过BEMS/HEMS(家用/建筑物用能源管理系统)使能源消费可视化,引导公众的节能减排意识;通过应用传感技术,能够合理调整照明与空调的使用时机等。
另外,随着信息化应用的发展,也必然会导致信息传播、存储、处理时的数据量膨胀,致使耗电量大幅增多。为此,有必要推进环保型数据中心、采用虚拟化技术等绿色信息化战略。
所以,绿色ICT应包含两个层面。一是指电子设备本身的节能,即“Green Of ICT”;二是指通过ICT技术实现节能,被称为“Green By ICT”。
(3)通过物联网技术营造安全、便利的社会系统
应对快速步入老龄化社会、城市人口过度集中等我国经济社会发展面临的难题,除了发展环境与能源技术之外,应用信息化也不可或缺。例如,灵活应用信息技术,推广应用车间/车路通信技术、基于卫星定位的驾驶辅助系统,能够让包括儿童、老年群体等在内的所有人安全、舒适、便捷出行;通过传感器,能够感知并监测桥梁与道路的老化程度,提高对自然灾害的预警能力,以及灾害发生时应急处理的响应能力。以信息化作为支撑的物联网,将是未来建设智慧城市的重要领域。
2013年,美国的产学联合会议“万亿传感器峰会(TSensors Summit)”提出“万亿个传感器覆盖地球(Trillion Sensors Universe)”计划,旨在推动城市基础设施和公共服务中每年使用1万亿个传感器。可以预见,不久的将来,我们身边将到处布满传感器。
2013年,日本也启动了“传感器技术在社会公共服务中的应用开发项目”,项目内容涉及对建造使用10年以上的桥梁及道路等进行维护管理、改善农作物栽培环境、通过测量人类体征信息及时发现疾病等。
传感器部署于城市各个角落,能够采集大量的监测数据信息。这些数据具有时间与空间属性,可以将城市现实活动反映到网络虚拟空间上,将这些信息汇集,通过数据分析,可以挖掘出新的价值。
(4)通过源代码审查,确保信息安全和网络安全
当前,我国对网络信息安全的保护得到了空前的重视。笔者认为,我国网络安全和信息化管理过程中最缺少的就是源代码审查。
笔者曾经为日本开发过10多年的计算机软件系统与互联网网站,所有的项目,作为成果来提交的不是安装程序,而是源代码。日本客户通常会基于信息安全的考虑,在安装/上线交付使用之前,会对源代码进行审查。
对比下来,我国的软件开发过程中,交付用户的大多是安装程序,用户很有可能在不知不觉中安装了带有后门的软件应用。国家信息化战略中,为确保信息安全和网络安全,应明确所有的硬件驱动、软件应用和互联网应用都要实施代码审查,以防后门程序和安全漏洞。
(5)培育各个领域的信息化人才
实施信息化战略,少不了对“人才”的需求。如果不能持续培育高级信息化人才,信息化战略将形同虚设。高级信息化人才能够引领未来10年、20年后信息化战略深度发展,探寻新的信息化发展方向,推动经济发展,带动社会进步。
目前,从各国制定国家信息化战略来看,都明确提及了对高级信息化人才的培养规划。
应该看到,培育高级信息化人才不仅仅是为了满足企业的需求,中央部委、地方政府、医疗机构、教育机构等公共领域也需要大量录用深入了解信息技术的专业化人才,以加快电子政务、医疗信息化、教育信息化建设,使公共机构的办公效率、透明度得以提升。
4 国家信息化战略也要与时俱进
笔者认为,国家信息化战略中首先应明确发展目标、具体规划、执行责任。特别是何人、何时、何地负责什么,要有一个明确的执行工作进度表。同时,规划及进展情况,有必要定期以简单明了的方式向公众公开,广泛听取第三方对战略规划进展状况、评价指标实现程度所进行的客观评价,并基于评价不断加以改进,按照PDCA(Plan、Do、Check、Action,计划、实施、检查、处理)的科学程序进行战略的管理实施。
构建深度融合信息技术的新型社会系统,至少需要5~10年时间。因此,信息化战略应该作为国家中长期建设规划加以实施。同时,信息技术日新月异,不断发展。通过云计算、大数据等新技术的有效应用,甚至有可能短期内在很大程度上影响经济与社会发展。为有效落实信息化战略,还要灵活地根据技术发展的趋势,适时调整发展规划。
【关键词】大数据;信息安全;机遇与挑战;应对策略
大数据本身并不是一种产品,也不是一种新的技术,而是科学技术发展到今天在信息领域所出现的一种必然的现象。大数据热潮的到来主要归功于互联网、云技术、物联网等科学技术网络的迅猛发展。大数据(bigdata)中的“大”只是一个相对的概念,它不单单指信息量的巨大,还包括在数量、质量、传播速度、涉及的领域、种类等方面的特点。下面,笔者将从大数据以及大数据时代的简介出发,进而分析大数据以及大数据时代的特点,由此挖掘出大数据对信息安全的机遇和挑战,并提出一些建设性的建议和意见。
1大数据及其特点
1.1大数据的定义麦肯锡(全球知名的咨询公司)将大数据的概念确定为:无法用传统的数据处理软件对其内容进行抓取、处理、发送等的数据信息。1.2大数据的特点1.2.1数据量(volumes)大大数据的数据量巨大,从传统的TB级别,跃升至PB级别。1.2.2数据种类(variety)繁多数据的来源通道多,互联网、云技术、物联网、平板电脑、手机、PC以及遍布世界每一个角落的客户端和传感器都是大数据的来源。数据的格式和种类已经突破了以往传统的结构化的数据格式,呈现了半结构化的数据格式和非结构化的数据格式,。例如:网络日志、通讯中的聊天记录、图片、视频、地理位置、军事侦察、医疗记录、摄影视频档案、天文学等信息。1.2.3数据价值量(value)低由于大数据数据量的巨大,所以有价值的信息就相对较少。以视频这种信息格式为例,不间断的视频播放,可能具有价值的信息就仅仅两秒钟而已。1.2.4数据处理速度(velocity)快大数据中包含有大量的在线和实时的数据信息分析处理。
2大数据时代的来临
最早提出大数据时代已经到来的机构也是全球最大的咨询公司麦肯锡。麦肯锡在相关的研究报告中表示,数据已经渗透到我们生活的各个领域、各个行业,它已经与我们的生活息息相关了,并且已经成为了一种生产要素。人们对海量数据的生产与需求,必然会带来新的一轮生产率增长和消费盈余的浪潮。大数据也已成为互联网领域的热词,也已经被金融领域高度重视。随着科技、网络的不断进步和发展,数据成为一种资产已经是不争的事实。如果说云技术为数据的保管、传播、访问等提供渠道,那么如何运用数据这份资产,并且让它成为国家治理、企业运营、个人生活服务,就是大数据的核心和灵魂,也是云技术的发展方向和核心所在。现如今,全球各大互联网的商业巨头都已经认识到了大数据这一新兴资产的价值。惠普、IBM、微软、EMC等全球的IT巨头都在加紧收购与大数据相关的厂商来实现技术合作与整合。
3大数据给信息安全带来的机遇与挑战
3.1大数据给信息安全带来的机遇
大数据实现了对传统数据信息结构的解体,与传统数据结构相比成为了一个具有流动性、信息共享与连接的数据池。通过这种灵活的大数据技术,人们可以在最大程度上利用人们以为无法有效利用的数据信息形式来实现对企业的高效运营,为企业的发展也带来了更大的机遇。大数据信息技术的提高也使得数据信息安全工具和技术有所发展,让信息安全的监督更为的精细、高效与及时。3.1.1对大数据的挖掘和应用将创造更多的价值在大数据时代,大数据的发展重点已经从数据的存储与传输发展到了数据的挖掘和应用,这将引起企业发展的商业模式的变化,并且能为企业带来直接的利润,也可以通过积极的反馈来增强企业的竞争力。3.1.2大数据的安全更为重要,为信息的安全带来了发展机遇在大数据时代下,信息的安全事件发展的次数增多,信息安全事件所引发的数据泄露并由此带来的经济损失也越来越大。随着科学技术网络的不断进步,大数据安全不仅是企业需要面临和维护的对象,也是个人消费者要面对的对象。大数据已然渗透到我们生活的方方面面,这一切使得信息安全越来越重要。大数据提高了数据信息的价值,但是数据信息安全意识薄弱以及信息安全事件频发,并且损失加大,这样日益严峻的安全形式对信息安全技术和工具均提出了更高的要求。目前所使用的信息安全技术、工具、管理手段以及相关的不能解决这个问题的方法、方式都应该得到发展,而大数据的发展为这一发展提供了巨大的可能性。所有这些,都为信息安全的发展提供新的机遇。3.1.3大数据时代下,加快了信息安全的发展速度,云技术拥有巨大潜力在大数据这条巨大的产业链中,参与者众多,面积也十分广泛。如果按照产品的基本形态来进行划分,可分为硬件、应用软件和基础软件三大类。云技术和信息安全纵贯这三大领域。纵观各个领域的国内外的发展情况,信息安全和商业智能的发展速度最快,尤其是云技术,它将有更大的发展潜能。这三者将成为大数据产业链的三大主要推动力。
3.2大数据给信息安全带来的挑战
任何事物的发展都具有两面性。大数据的快速发展在为信息安全带来发展机遇的同时,也带来了一些挑战。下面,笔者将从信息安全、技术、人才、国家等方面来对这一挑战进行分析。3.2.1信息安全在大数据时代下,数据的收集、存储、传播、共享、分析、管理海量涌现,面对这样巨量的信息,传统的网络信息安全面临着很多新的问题,安全成为今天的要务。这里具有两个层面的意义,一方面,大量的数据信息必然包含着大量的个人隐私,以及各种行为的具体细节的记录。这些数据的有效保护和不被滥用成为人身安全的重要保障;另一方面,大数据给数据的存储、保护带来了许多技术上的难题,很多信息安全技术和工具问题等待着我们去艰苦攻关,传统的信息安全和技术已经基本失去效用。3.2.2对数据的不正当的增删和篡改与传统上的数据技术理念不同,大数据技术是从海量的非结构化的数据信息中提取具有实际价值的信息,所以这要求大数据的信息必须是可靠的。举一个例子,如果黑客入侵了大数据的系统,并恶意的增删和篡改了其中的数据信息,这必将对企业的运营和国家的决策以及个人的发展产生不良的影响。保证大数据信息的可靠性以及分析结果准确性是信息安全面临的新课题。3.2.3对数据的盗取大数据技术所处理的数据量非常巨大,所以,通常采用的是云端存储。因此,数据管理分数、用户进行数据处理的场所也具有不确定性、非法用户和合法用户难以区分,容易让非法用户入侵,盗取重要的数据信息。3.2.4个人隐私的泄露在大数据时代下,个人隐私等安全信息问题已经不是传统上的信息安全问题,应该树立新的安全观。所确立的新的安全观需要在为大数据的利用找到保护与开发的支点。3.2.5对国家决策的影响大数据时代下,信息量的迅速增长不仅仅要在存储等设备上加大资金的投入,同时也需要国家更新信息化的战略布局。如果国家的信息化战略不及时的调整更新,保持原来的信息安全观念不变,将很有可能失去发展的机会,减弱国家的竞争力。
4面对大数据给信息安全的挑战的应对策略
技术的进步确为数据的处理、分析、存储解决了技术和工具的难题,但对大数据的利用主要应该放在信息安全上。保证大数据信息安全,应该做到以下几点:4.1发展科技、利用科技做支撑加大对大数据信息安全技术和工具的研发投入力度,要不断取得技术上的突破,解决新问题,例如:检测技术、监测分析技术、云技术、加密技术等等。与此同时,还要关注世界信息安全技术的发展方向,发展机遇大数据挖掘的预测能力分析,提高我国的信息安全的战略技术水平。4.2政策规范和引导国家应该及时调整信息安全策略,制定相关的政策,通过政策规范的引导和第三方的监测,切实实施大数据的安全战略。4.3积极学习,借鉴国外经验我们应该积极的借鉴国外的先进经验,加强顶层设计。加大力度研究信息防护的技术和产品,走出一条适合我国信息安全国情的、具有竞争力的和管理模式和技术的规范。
5结语
事物的发展都是具有双面性,大数据在给信息的安全带来机遇的同时,也带来了前所未有的挑战。本文通过对大数据以及大数据时代的特点的分析,结合目前的信息安全状况,对大数据时代下,信息安全所面临的机遇和挑战以及面对挑战的应对策略做了研究和探索,希望对增强我们国家的信息安全有建设性的作用。
参考文献
[1]张有春.大数据对信息安全相关问题的初步认识[J].科技促进发展,2014(11).
[2]聂俊.面向云技术教育大数据的信息安全策略研究[J].科学与财富,2015(15).
[3]张旭.大数据时代面临的数据安全与挑战[J].中国科技纵横,2015(12).
[4]沈慧,李鑫.大数据带来的安全思考[J].电子世界,2015(15).