大数据环境下信息安全交织特征及其政策路径选择
2015-11-02上海社会科学院信息研究所研究员王世伟
上海社会科学院信息研究所研究员 王世伟
在万物互联、智能移动的环境下,各类数据正在呈现爆发性的海量增长,随之带来的信息安全也形成了诸多“交织”的形态特征:如显性安全与隐性安全相交织、线上安全与线下安全相交织、信息硬实力威胁与信息软实力威胁相交织、传统安全威胁与非传统安全威胁相交织、可以预测的安全风险与不可预测的安全风险相交织,如此等等。这些交织的特征,反映了大数据环境下信息安全的复杂性、关联性、动态性、跨域性、综合性的特点,需要我们从综合安全观和抢占信息化战略制高点的战略高度来积极应对,精准施策,关口前移,统筹兼顾,综合把控,将我国在大数据环境下的信息安全风险降到最低程度,为实现两个中国梦保驾护航。
显性安全与隐性安全相交织
的这批数据交易,卖方为深圳市腾讯计算机系统有限公司、广东省数字广东研究院,买方为京东云平台、中金数据系统有限公司。尽管交易的数据是基于底层数据,是通过了数据的清洗、分析、建模、可视化后的结果,但这一事实本身从一个侧面反映出大数据的战略价值以及信息安全目前尚存在的法律模糊地段。巨量数据中可能的信息安全隐患需要通过隐性数据的深度挖掘和富有智慧的登高望远和细致观察才能预先发现其中的风险。
2014年3月由全球移动通信协会召开的世界移动通信大会发布了《移动经济2015报告》,预测未来五年全球移动通信用户将新增10亿,即从2014年末的36亿增加到2020年的46亿。据工信部2015年3月17日发布的通信业经济运行情况报告显示,截至2015年3月,我国移动电话用户规模将近13亿,移动互联网用户规模近9亿。移动互联网所带来的物物相联、人物相联、人人相联的大数据,将使“一切皆有可能”的偶发性现象成为一种常态。这种动态互动、瞬间飞传、巨量爆发、独体群对的大数据新形态,将带来较之以往显性安全更多的隐性安全。同时,数据越多越大,单一数据的特点将会被深埋于数据的海洋之中,人们一般看到的往往是“类型”的数据,千姿百态的单个数据被类型化了,需要我们透过表层的显性类型数据,去发现隐性的单个数据所呈现的特征。
无论是巨量数据中的隐性安全,还是巨量移动用户中的隐性安全以及海量类型数据表层下的单个数据特征,都需要我们具有信息安全的战略眼光,具有情报分析研判的智慧方法,具有于大数据的细微处中发现战略情报的超强“情报眼”能力,具有基于对隐性数据安全性重要认识基础上的制度安排,并通过大数据的实战演练和加大培养数据挖掘和分析的专门人才来积
事物的数量发展到一定程度就会引发质量的提升,大数据也是如此。以往的信息安全多注重显性的数据监测,这对于信息安全而言是十分必要的;但随着大数据的发展,原本公开的、普通的和一般的非涉密信息在云端集聚之后,原本的小数据、中数据在规模上发展至大数据之后,就有可能形成巨量数据的新战略价值。2015年4月14日,全国首个大数据交易所——贵阳大数据交易所正式挂牌运营并完成首批大数据交易。完成极应对,从而化解大数据可能带来的隐性安全风险的新挑战。
线上安全与线下安全相交织
2015年全国两会《政府工作报告》提出了“互联网+”行动计划的创新驱动发展新战略。在数字化和网络化发展的基础上,我国互联网正在形成新一轮更为广泛、更为深入的向传统行业拓展、延伸和渗透的发展高潮,“互联网+”已成为新一轮经济社会和文化创新转型的重要载体和抓手。这一行动计划所形成的大数据、宽领域、多层次、广覆盖、深融合的信息化升级版,形成了信息安全向全社会、全方位、全视角、全链条渗透的特点,由此也带来了信息安全前所未有的挑战。除了线上信息安全风险会不断加剧外,线上的信息安全正在向线下全面延伸渗透,各互联网与传统行业的融合、智慧城市的深化发展以及农业现代化进一步步入信息化的快车道,这些网络化的发展都将带来信息安全的巨大风险。如果说,以往信息化、数字化和网络化的发展是在行业的某一领域或某一方面推进的话,“互联网+”则是信息化和数字化基础上的网络化、智能化、互联化、融合化的全局解放方案,其安全风险和安全威胁正在从以往的点状、线状、条状演变为圈状、面状、块状,信息安全从线上漫延到了线下,又将从线下延伸到线上,信息安全风险正在面临全面性的威胁。这就需要我们在“互联网+”行动计划实施之前或实施过程中,进行信息安全的评估,根据各行业的特点预先制订信息安全防范的相关措施,已有的措施要结合“互联网+”的新环境进行修订和完善。将“互联网+”行动计划成为我国快速、包容、有活力、网络安全和可持续的社会经济发展新模式。
以智慧城市建设为例。2015年的《政府工作报告》中提出了“发展智慧城市”的新要求。2012年11月,国家科技部就组织开展了智慧城市示范工作。2013年初,住建部公布了首批90个试点城市,2013年8月又公布了第二批103个试点城市。国家测绘地理信息局2013年8月也公布了9个试点城市计划,2014年8月,经国务院同意,国家发改委、工信部、科技部、公安部、财政部、国土部、住建部、交通部等八部委联合印发《关于促进智慧城市健康发展的指导意见》,2015年4月7日,住建部和科技部公布了第三批84个城市(区、县、镇)国家智慧城市2014年度新增试点名单,同时公布了另外13个城市(区、县)为扩大范围试点,这样,截至目前,由科技部、住建部和国家测绘地理信息局等国家部委所主持的我国的智慧城市试点已超过300个。智慧城市建设中将与国内外的诸多企业发生联系,将产生存量和增量的大数据,并形成以块状为主的大数据信息体,其中将涉及国家与城市的信息安全与数据安全。在各部委共同管理的现状下,需要尽快尽早地明确信息安全的主体责任和协同责任,做到未雨绸缪,关口前移,在国家信息安全领导小组的统一指导下,通过国家各部委的统筹协调,建立智慧城市建设信息安全前评估机制,在信息公开政策的实施过程中,注重数据收集、管理与使用中的信息主权的保护,细化并明确智慧城市建设中涉及国家秘密、商业秘密或个人隐私的数据范围及相应的信息安全保障措施,建立起保障智慧城市建设中的信息安全产业支撑体系,有针对性地积极发展信息安全产业,把信息安全的管控纳入智慧城市建设中的全过程。
信息硬实力威胁与信息软实力挑战相交织
在大数据环境下,信息安全的威胁既受到信息硬实力威胁,也受到信息软实力的挑战,两者互相交织,需要我们硬软并举,综合施策。信息硬实力要求我们加快信息基础设施的建设,改变宽带和网速的落后的状态;尽快突破芯片、整机、操作系统等核心技术,在信息技术的关键领域逐步实现自主可控,改变受制于人和信息主权受到侵犯的被动局面;建立智能互联和开放共享的信息平台,改变各自为政的信息割据和数据封闭的信息垄断;有序汇集并深度挖掘海量的大数据,改变数据研究和信息服务相对薄弱的现状。信息软实力要求我们从各个层面提高对信息安全和信息化战略重要意义、重要价值和重要功能的认知,从原本单一的信息意识或局限于信息技术拓展至信息意识、网络技能、数据素养、安全防范的全方位和综合性的信息安全意识和信息安全素养,大力加强网络信息安全技术能力体系建设,充分运用大数据给我们带来的信息红利和情报资源,形成全天候和动态型的信息安全数据观察的情报眼和顺风耳,以提升国家和企业以及个人的信息安全防范能力,避免在实施“一带一路”等战略中发生信息误判和情报短腿,为“走出去”战略保驾护航。还需要建设一批具有中国特色高端信息安全智库,为国家的综合安全观和抢占全球信息化战略制高点提供决策咨询。
传统安全威胁与非传统安全威胁相交织
自20世纪70年代有学者发出非传统安全预警以来,非传统安全领域的恐怖主义、网络安全、粮食安全、公共卫生安全、海洋安全、能源安全、生态安全等与传统安全的国家政治安全、军事安全、外交安全相互影响和相互渗透,形成了初步的交织状。而21世纪以来的大数据的发展,特别是近年来的大数据与云计算在各行业的应用和实践,这种交织的程度正在不断加强。如美国于2011年先后发布了《网络空间可信身份国家战略》、《网络空间国际战略》、《网络空间行动战略》;2013年5月,美国政府宣布了“大数据的研究和发展计划”,同年11月,美国信息技术与创新基金会又发布了《支持数据驱动型创新的技术与政策》的报告。这些非传统安全和经济发展的战略打上了传统安全的政治、军事和外交的印记,需要我们将传统安全和非传统安全结合以来加以综合分析和综合应对。不仅如此,信息安全作为非传统安全的领域,也出现了一些新的发展特点。进入21世纪后,“信息安全”成为各国安全领域聚焦的重点,包括理论研究,国家秘密、商业秘密和个人隐私保护的探讨,国家战略的谋划,信息安全内容的管理,信息安全技术标准的制定,国际行为准则起草等,信息安全已成为全球总体安全和综合安全的最重要的非传统安全领域之一。随着全球社会信息化的深入发展和持续推进,相比较物理的现实社会,网络空间的数字社会在各个领域所占的比重越来越大,原来传统的信息安全主要体现于现实物理社会的情况发生了变化,信息安全已更多地体现在网络安全领域,反映在跨越时空的网络系统和网络空间之中,反映在全球化的互联互通之中和社会化的万物互联之中。在20世纪90年代广泛使用的“信息安全”一词,在进入21世纪的十多年中,已逐步与“网络安全”和“网络空间安全”并用,而网络安全与网络空间安全使用的频度不断增强,“网络安全”和“网络空间安全”开始成为较之“信息安全”更为社会和业界所聚焦和关注的概念,在理论研究和实践运行中也使用得更加频繁。我们在制定信息安全的相关政策法规中,应当适时地反映出这种全球的发展变化,改变我们在网络安全和网络空间安全的理念、战略、政策、规制和技术方面相对滞后的状况。
2015年4月20日,提请十二届全国人大常委会第十四次会议进行二次审议的国家安全法草案,明确了总体国家安全观的内涵,即国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。这一草案对总体国家安全观的表述,正是体现了传统安全与非传统安全的交织的国家安全新特点。
可以预测的安全风险与不可预测的安全风险相交织
大数据为网络社会带来了全新的信息和数据生态,这种生态表现为积极的和消极的两个方面。从积极的方面看,大数据能够为我们带来全数据基础上的更加精准的预测和防范;从消极的方面分析,大数据又带来了一定程度的混杂性和模糊性,产生了诸多可变性、动态化、或然性和难以预测的情况。伴随着云计算、物联网和移动互联网的大数据,将给人们带来一切皆有可能的未来的不可预测性,需要我们扬长避短,把握大数据环境下信息安全的新特点。
大数据将为城市安全的科学管理插上智慧的翅膀。在城市化的进程中,我国常住人口过千万的超大城市和500万以上的特大型城市不断增加,而长假制度的实施,也使数以亿计的人流在短时间内集中流动,城市公共场所瞬间人潮涌动和有序聚散的压力急剧上升,给城市安全防控带来巨大挑战。2014年“12·31”上海外滩踩踏事件就是一个典型的案例。据统计,从1983年至2004年,我国在大型群众性活动中共发生伤亡事故37起,686人死亡,1376人受伤。其中发生最多的是观众数量失控,组织工作疏忽等造成拥挤踩踏事故,占了近一半;其次是建筑设施坍塌和因疏散通道、灯光照明等不符合要求引发的事故。而这些安全事故的发生,都与信息安全直接相关,在相当程度上,是信息安全防范措施没有到位所造成的。因此,需要运用大数据的技术和方法,建立并完善城市安全数据的跨部门互联互通共享机制,适时的安全信息广而告之和立体传播的预警机制,即时数据分析和安全隐患发现的预测决策机制,让大数据成为城市人群密集场所安全风险管控的科学管理的有效利器。
不仅如此,在大数据环境下,局域安全与广域安全之间、个人安全与国家安全之间,蓄意攻击与无意传播之间,都有相互交织的情况,需要我们在新环境下不断发现,主动应对,积极施策、及时完善,与时俱进,因大数据之势而谋,应“互联网+”之势而动,顺万物互联之势而为,在大数据时代为国家和民众提供信息安全的有效保障。
几点政策建议
针对以上所分析的大数据环境下信息安全交织的五大特征,提出如下五点政策路径的建议:
1、组织专门队伍对国家隐性信息安全问题进行定期和跟踪的专题分析研判。对大数据中涉及国家信息主权、涉及国家政治安全、经济安全、军事安全、能源安全、生态安全等传统安全和非传统安全的潜在信息进行深度挖掘和分析,并提出预告预警和防范的政策建议。
2、建立智慧城市信息安全预评估和大数据信息安全管理演习机制。在国家网络安全和信息化领导小组的指导下,由工信部、住建部、科技部、国家测绘地理信息局等部委建立智慧城市信息安全协调指导小组,在全国智慧城市建设过程中,特别是对中外合作协议、存量和增量大数据的安全问题及时进行分析评审并采取相应对策措施,实施智慧城市建设信息安全的全过程管控。对已建立起的巨量“块数据”,进行信息安全的管理演练和实战培训,改变弱口令的技术短板,强化相关人员的技术培训与信息安全意识的培养,对漏洞出现后不在第一时间采取措施的责任人员进行问责,改变进入大数据时代以来我国信息大泄漏事件频发的现状,把大数据环境下的信息大泄漏威胁降到最低程度,以保障人民安全和城市安全。
3、在“互联网+”行动计划的“快推进”中嵌入信息安全的“慢开关”。在“互联网+”拓展延伸和渗透的相应行业、领域和城市中设立信息安全主管,凡是“互联网+”行动计划的重大举措必须经由信息安全主管的预审核,把“互联网+”环境下的信息安全风险降到最低程度。
4、加大网络安全和网络空间安全在信息安全中的权重。在国家安全战略、法律制定和信息安全的技术路线中,顺应全球信息安全的发展新趋势,更加注重网络安全与网络空间安全,加强相关技术的研制和应用,改变我国目前在这方面与美欧等国家相对相对滞后的状况。
5、建立并完善城市安全的中的信息安全智慧管理机制。要运用大数据的技术和方法,建立并完善城市安全的中的信息安全智慧管理机制,这一机制主要包括三个方面:一是数据的跨部门互联互通共享机制,二是适时的安全信息广而告之和立体传播的预警机制,三是即时数据分析和安全隐患发现的预测决策机制。让大数据成为城市人群密集场所安全风险管控的科学管理的有效利器。