2019年4月8日上午,据美国科技媒体ZDNet报道,有研究人员发现中国企业2019年前3个月出现数起简历信息泄露事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。
关键词:中国 企业 简历 数据库 信息泄露。
请结合该热点事件,谈谈我国国内数据安全现状及未来趋势,我国数据安全主要政策出台及制定情况。
要求:在分析过程中应使用科学的专业术语;支撑分析的数据来源合理;分析内容可借鉴官方网站或核心期刊文章;引用的安全与法律影响分析文字应来源于权威著名网站或核心期刊文章;格式按照学校作业要求。
数据安全的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 要保证数据处理的全过程安全,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。[1]
保密性(secrecy),又称机密性,是指个人或团体的信息不为其他不应获得者获得。在电脑中,许多软件包括邮件软件、网络浏览器等,都有保密性相关的设定,用以维护用户资讯的保密性,另外间谍档案或黑客有可能会造成保密性的问题。
数据完整性是信息安全的三个基本要点之一,指在传输、存储信息或数据的过程中,确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。在信息安全领域使用过程中,常常和保密性边界混淆。以普通RSA对数值信息加密为例,黑客或恶意用户在没有获得密钥破解密文的情况下,可以通过对密文进行线性运算,相应改变数值信息的值。例如交易金额为X元,通过对密文乘2,可以使交易金额成为2X。也称为可延展性(malleably)。为解决以上问题,通常使用数字签名或散列函数对密文进行保护。
数据可用性是一种以使用者为中心的设计概念,易用性设计的重点在于让产品的设计能够符合使用者的习惯与需求。以互联网网站的设计为例,希望让使用者在浏览的过程中不会产生压力或感到挫折,并能让使用者在使用网站功能时,能用最少的努力发挥最大的效能。基于这个原因,任何有违信息的“可用性”都算是违反信息安全的规定。因此,世上不少国家,不论是美国还是中国都有要求保持信息可以不受规限地流通的运动举行。
数据安全问题已成为当下基础的安全问题,数据安全治理也逐渐被提升到国家安全治理的战略高度。
数据安全问题已成为当下基础的安全问题,数据安全治理也逐渐被提升到国家安全治理的战略高度。近年来,国家多次发布相关法规法案,将保障数据安全放到了重点突出的位置。据不完全统计,近5年来国家、地方省市以及各行业监管部门关于数据安全、网络安全已至少颁布52部相关法律法规。从国家治理层面来看,2015年颁布的《国家安全法》将数据安全纳入国家安全的范畴。2016年发布,于2017年正式实施的《网络安全法》引入了网络数据的概念。
2020年6月,12部委联合发布《网络安全审查办法》,推动建立国家网络安全审查工作机制,以确保关键信息基础设施供应链安全,维护国家安全。而国家此次对滴滴出行等平台的网络安全审查,正是我国《网络安全法》《网络安全审查办法》生效之后首次公开进行的网络安全审查程序。
2020年8月,《数据安全法(草案)》公开发布,从法律层面清晰定义了数据活动、数据安全,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等,明确了在我国境内依法开展数据活动。《数据安全法》将于2021年9月1日正式实施,其将是数据要素国家战略的基本法,强调了数据安全是数字中国重要战略举措的根本保障,体现了国家对保障数字经济安全的决心与信心。
目前我国已出台《网络安全法》、《民法典》、《数据安全法(草案)》和《个人信息保护法(草案)》四部数据安全保护基本法律框架,而围绕基本法制定的配套法规制度与相关国家规定也在加快制定出台,包括数据跨境流动、个人信息保护、新技术新应用数据安全等多个方面。
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。[3]
总的来说,目前我国的数据安全相关的法律规定是基于《国家安全法》、《网络安全法》以及《民典法》建立起的,并且各省市针对地方情况会出台地方相应法律,对目前数据安全、数据跨境问题做积极探索。应对于数据应用的广泛性,各行业监管部门各司其职,对行业内数据进行管理和保护。
从宏观层面来看,我国在数据安全的治理,除了已出台的法规政策,以及监管机制的不断完善,数据安全产业生态建设也正在稳步推进。[4]
一是政府积极促进企业数据安全产品和解决方案在行业场景和新基建中的应用落地。在政务、金融、交通、医疗等各行各业数据安全防护都在逐渐得到广泛应用。以专注数据安全的高新技术企业闪捷信息为例,其数据安全产品和解决方案已获取保密局、国家信息中心、公安部等权威机构认证,在商密、涉密领域均有建树,目前已与国内 1000 多家重要单位持续开展合作。
二是数据安全人才队伍正逐渐得到扩张。 我国各部门组织针对数据安全问题,正通过设立相关学科与研究院、设立培训考核等方式,大力加强数据安全人才队伍建设。例如,中国信息安全测评中心成立中国网络空间安全协会大数据安全人才培养基地,并选拔国家级合作支撑单位,并开展的 CISP 数据安全治理、注册个人信息保护专业人员(CISP-PIP)认证,共同推动国家互联网网络安全大数据人才体系建设。
三是国家正大力发展数据安全示范区。 数据安全产业示范区的建立会使数据安全企业与人才快速聚集,并能够对其他地区形成指导效应。2018 年,在国家认证认可监督管理委员会的支持下,贵阳经济技术开发区创建了全国首个“大数据安全认证示范区”,截止 2020 年,贵阳大数据安全示范区已聚集了大数据安全企业和相关机构约 120 家,初步形成大数据安全产业发展的生态体系,产业产值突破 18 亿元。
这个趋势是指从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。近年来计算机安全问题愈演愈烈,传统安全理念很非常难有所突破,人们试图利用可信计算的理念来解决计算机安全问题,其主要思想是在硬件平台上引入安全芯片,从而将一点或几个计算平台变为“可信”的计算平台。目前还有很非常多问题需要研究跟探索,就像如基于TCP的访问控制、基于TCP的安全操作系统、基于TCP的安全中件、基于TCP的安全应用等。[5]
由网络应用、普及引发的技术与应用模式的变革,正在进一步推动信息安全关键技术的创新开展,并诱发新技术与应用模式的发现。就像如安全中间件,安全管理与安全监控都是网络化开展的带来的必然的开展方向;网络病毒与垃圾信息防范都是网络化带来的一些安全性问题;网络可生存性;网络信任都是要继续研究的领域。
发达国家地区高度重视标准化的趋势,现在逐步渗透到发展中国家都应重视标准化问题。逐步体现专利标准化、标准专利化的观点。安全技术也要走向国际,也要走向应用。我国政府、产业界、学术界等必将更加高度重视信息安全标准的研究与制定工作的进一步深化与细化,就像如密码算法类标准(加密算法、签名算法、密码算法接口)、安全认证与授权类标准(PKI、PMI、生物认证)、安全评估类标准(安全评估准则、方法、规范)、系统与网络类安全标准(安全体系结构、安全操作系统、安全数据库、安全路由器、可信计算平台)、安全管理类标准(防信息泄漏、质量保证、机房设计)等。
即从单一功能信息安全技术与产品,向多种功能融于某一个产品,或者是几个功能相结合的集成化产品,不再以单一的形式发现,否则产品太多了,也不利于产品的推广跟应用。安全产品呈硬件化芯片化发展趋势,这将带来更高安全度与更高运算速率,也需要开展更灵活的安全芯片实现技术,特别是密码芯片的物理防护机制。
网络数据安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。在信息时代,网络数据安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。没有网络数据安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。
5G、人工智能、大数据、移动互联网、物联网和云计算的协同融合,点燃了新的引擎,为消费互联网向纵深发展提供了新动能。我们要抓住技术发展机遇,强化驱动,发展数字经济,建设网络强国。[6]
[1] 李瑞轩, 董新华, 辜希武,等. 移动云服务的数据安全与隐私保护综述[J]. 通信学报, 2013, 34(12):158-166.
[2] 林学练, 刘旭东, 怀进鹏. XML数据安全系统的研究与实现[J]. 北京航空航天大学学报, 2003, 29(4):362-365.
[3] (受权发布)中华人民共和国数据安全法
[4]王倩, 朱宏峰, 刘天华. 大数据安全的现状与发展[J]. 计算机与网络, 2013, 39(16):66-69.
[5]张欢. 解析大数据环境下的安全现状和未来展望[J]. 中国新通信, 2015(12):20-20.
[6]罗力. 论中美未来网络安全保护发展趋势——以欧盟法院安全港协议裁决为例[J]. 2021(2016-5):53-54.