前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全戰(zhàn)略報告主題范文,僅供參考,歡迎閱讀并收藏。
為深入貫徹落實黨的十精神和國家教育發(fā)展規(guī)劃綱要,加強對高等學校信息安全專業(yè)教學改革的研究、咨詢、指導和評估,進一步促進信息安全人才培養(yǎng),新一屆(2013-2017)教育部高等學校信息安全專業(yè)教學指導委員會(簡稱信息安全教指委)日前在北京宣布成立。
會上,教育部高等教育司理工科教育處副處長侯永峰代表教育部對新一屆信息安全教指委的工作提出了要求;新一屆信息安全教指委主任、工信部信息安全協(xié)調(diào)司司長趙澤良,新一屆信息安全教指委名譽主任、中國工程院院士沈昌祥做了主旨講話。電子工業(yè)出版社副社長兼總編輯劉九如代表信息安全教指委支撐機構也在會上致辭。工信部信息安全協(xié)調(diào)司綜合處處長胡嘯以及來自全國各相關高校、企業(yè)和軍隊等機構的新一屆信息安全教指委成員參加了成立大會。
與會的新一屆信息安全教指委成員側(cè)重就新一屆教指委的工作目標和主要任務進行了深入討論,大家期望新一屆教指委充分發(fā)揮“研究、咨詢、指導、評估和服務”的職能,真正成為“教育部管理教學的依靠力量、指導高校教學工作和教學改革的骨干力量、實現(xiàn)高校規(guī)范教學管理的推動力量、加強高校教師隊伍建設的引導力量”,要在上屆信息安全教指委工作的基礎上,著力宣傳和推行《信息安全專業(yè)指導性專業(yè)規(guī)范》,著重開展信息安全專業(yè)規(guī)范建設的實踐與完善;著手研究制訂《信息安全專業(yè)國家教育標準》,為開展信息安全專業(yè)認證評估工作做好準備;并建議編制《信息安全專業(yè)發(fā)展戰(zhàn)略報告》和《信息安全學科發(fā)展報告》,為信息安全專業(yè)和學科建設奠定堅實基礎。
新一屆信息安全教指委主任趙澤良在成立大會上強調(diào),信息安全是國家安全的重要組成部分,而且目前是國家安全的薄弱環(huán)節(jié),要從根本上提高我國信息安全水平,健全信息安全保障體系,必須培養(yǎng)高素質(zhì)的信息安全專業(yè)人才,因此加強信息安全學科、專業(yè)的體系化建設刻不容緩。本屆教指委要主動適應國家信息安全戰(zhàn)略和經(jīng)濟社會發(fā)展需要,通過研究、咨詢、指導、培訓等工作,推進信息安全專業(yè)教育教學質(zhì)量和科研水平的提高。新一屆信息安全教指委名譽主任沈昌祥院士指出,經(jīng)過多年的努力,我國的信息安全教育教學體系已經(jīng)初步建立,為信息安全人才培養(yǎng)做出了貢獻。但目前信息安全學科建設仍然面臨諸多問題,由于信息安全未能進入一級學科,導致基礎不同、方向各異,教學內(nèi)容混亂,造成人才總量和結(jié)構遠遠不能滿足需求,復合性人才和專業(yè)化人才嚴重缺乏。同時,由于沒有設立一級學科,致使一些高校信息安全專業(yè)發(fā)展方向不明,教師隊伍出現(xiàn)流失,必將嚴重影響我國信息安全自主創(chuàng)新能力和信息安全保障體系建設。希望新一屆教指委在這方面繼續(xù)做好推進工作,爭取將信息安全專業(yè)盡快列入一級學科。
一、搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來信息化戰(zhàn)爭將在陸、海、空、天、電多維空間展開,網(wǎng)絡空間的爭奪尤其激烈。如果信息安全防護工作跟不上,在戰(zhàn)爭中就可能造成信息被竊、網(wǎng)絡被毀、指揮系統(tǒng)癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是贏得未來戰(zhàn)爭勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程。據(jù)有關報道披露,海灣戰(zhàn)爭前,美國特工曾在伊拉克從法國購買的打印機的引導程序中預埋了病毒,海灣戰(zhàn)爭一開始,美國就通過衛(wèi)星激活病毒,導致后來伊軍防空指揮通信系統(tǒng)陷入癱瘓。戰(zhàn)爭和軍事領域是這樣,政治、經(jīng)濟、文化、科技等領域也不例外。根據(jù)美國加利弗尼亞州銀行協(xié)會的一份報告,如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡“黑客”的破壞,3天就會影響加州的經(jīng)濟,5天就能波及全美經(jīng)濟,7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在初的《國家安全戰(zhàn)備報告》里就強調(diào):執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于6月討論通過的《國家信息安全學說》,首次把信息安全正式作為一種戰(zhàn)略問題加以考慮,并從理論上和實踐上加強準備。
二、我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現(xiàn)在軍事信息安全上,同時也涉及到政治、經(jīng)濟、文化等各方面。當今社會,由于國家活動對信息和信息網(wǎng)絡的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞,就可能導致整個國家能源供應的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。而令人擔憂的是,由于我國信息化起步較晚,目前信息化系統(tǒng)大多數(shù)還處在“不設防”的狀態(tài)下,國防信息安全的形勢十分嚴峻。具體體現(xiàn)在以下幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應用系統(tǒng)處在不設防狀態(tài),具有極大的風險性和危險性。其次,我國的信息化系統(tǒng)還嚴重依賴進口,大量進口的信息技術及設備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統(tǒng)的國產(chǎn)率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網(wǎng)絡泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協(xié)調(diào)不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國家有關法規(guī)的貫徹執(zhí)行。
三、積極采取措施加強信息安全防護
為了應付信息安全所面臨的嚴峻挑戰(zhàn),我們有必要從以下幾個方面著手,加強國防信息安全建設。
第一,要加強宣傳教育,切實增強全民的國防信息安全意識。在全社會范圍內(nèi)普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境。各級領導要充分認識自己在信息安全防護工作中的重大責任,一方面要經(jīng)常分析新形勢下信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié),采取各種措施,把這項工作做好;另一方面要結(jié)合工作實際,進行以安全防護知識、理論、技術以及有關法規(guī)為內(nèi)容的自我學習和教育。
第二,要建立完備的信息安全法律法規(guī)。信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國信息安全法規(guī)建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規(guī)的研究,及早建立我國信息安全法律法規(guī)體系。
一、引言
信息時代為國家和個人提供了全新的發(fā)展機遇和生活空間,但也帶來了新的安全威脅。信息安全的威脅可能來自內(nèi)部的破壞、外部的攻擊、內(nèi)外勾結(jié)的破壞和信息系統(tǒng)自身的意外事故等,因此我們應按照風險管理的思想,對可能的威脅和需要保護的信息資源進行風險分析,以便采取安全措施,妥善應對可能發(fā)生的安全風險。信息安全風險評估是依據(jù)國家信息安全風險評估有關管理要求和技術標準,對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。根據(jù)ISO27001的管理思想,信息安全風險評估在信息安全管理的PDCA環(huán)中是一個很重要的過程,如何處理信息安全風險評估所產(chǎn)生的數(shù)據(jù),是每一個信息安全管理者都非常迫切需要解決的一個問題。最好的解決方法是開發(fā)出一套實用性強、可操作性高的系統(tǒng)安全風險評估管理工具。
二、風險評估過程
信息安全風險評估系統(tǒng)的設計是針對組織開展信息安全風險評估的過程。這個過程包括對信息系統(tǒng)中的安全風險識別、信息收集、評估和報告等。風險評估的實施過程如下頁圖1。
1.評估前準備。在風險評估實施前,需要對以下工作進行確定:確定風險評估的目標、確定風險評估的范圍、組建風險評估團隊、進行系統(tǒng)調(diào)研、確定評估依據(jù)和方法、制定評估計劃和評估方案、獲得最高管理者對工作的支持。
2.資產(chǎn)識別。資產(chǎn)識別過程分為資產(chǎn)分類和資產(chǎn)評價兩個階段。資產(chǎn)分類是將單位的信息資產(chǎn)分為實物資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、服務資產(chǎn)和無形資產(chǎn)六類資產(chǎn)進行識別;資產(chǎn)評價是對資產(chǎn)的三個安全屬性保密性、可用性及完整性分別等級評價及賦值,經(jīng)綜合評定后,得出資產(chǎn)的價值。
3.威脅識別。威脅識別主要工作是評估者需要從每項識別出的資產(chǎn)出發(fā),找到可能遭受的威脅。識別威脅之后,還需要確定威脅發(fā)生的可能性。
4.脆弱性識別。評估者需要從每項識別出的資產(chǎn)和對應的威脅出發(fā),找到可能被利用的脆弱性。識別脆弱性之后,還需要確定弱點可被利用的嚴重性。
5.已有安全措施確認。在識別脆弱性的同時,評估人員將對已采取的安全措施的有效性進行確認,評估其是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅。
6.風險分析。風險評估中完成資產(chǎn)賦值、威脅評估、脆弱性評估后,在考慮已有安全措施的情況下,利用恰當?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風險。
三、系統(tǒng)設計
1.用角色設計。系統(tǒng)角色分為三種類型,各用戶在登錄后自動轉(zhuǎn)入各自的操作頁面。A.超級管理員:擁有系統(tǒng)所有權限;B.評估項目管理員:可以對所負責的評估項目進行管理,對評估人員進行分工和權限管理;C.評估人員:負責由項目管理員分配的測評工作,將評估數(shù)據(jù)導入系統(tǒng)。
2.系統(tǒng)模型。根據(jù)信息安全風險評估管理的業(yè)務需求,我們構建了以安全知識庫為支撐,以風險評估流程為系統(tǒng)主要業(yè)務流,以受測業(yè)務系統(tǒng)及其相關信息資產(chǎn)的風險評估要素為對象的信息安全風險評估綜合管理系統(tǒng)模型,系統(tǒng)模型如圖2所示。
3.系統(tǒng)功能設計。信息安全風險評估綜合管理系統(tǒng)的功能模塊包括:①風險評估項目管理:評估項目管理模塊包括評估項目的建立、項目列表、項目設置等功能。主要輸入項:項目名稱、評估時間、評估對象等;主要輸出項:項目計劃書。②信息安全需求調(diào)研管理:該模塊用于用戶填寫安全調(diào)研問卷,為安全評估提供數(shù)據(jù)支持。主要輸入項:用戶ID、調(diào)查答案;主要輸出項:問卷標題、調(diào)查題內(nèi)容。③資產(chǎn)識別。系統(tǒng)提供的資產(chǎn)識別,包括:硬件、軟件、數(shù)據(jù)等,根據(jù)業(yè)務系統(tǒng)對組織戰(zhàn)略的影響程度,對相關資產(chǎn)的重要性進行評價;主要輸入項:評估對象(信息資產(chǎn))、賦值規(guī)則;主要輸出項:資產(chǎn)識別匯總表、資產(chǎn)識別報告。④威脅識別。威脅識別:系統(tǒng)提供多種網(wǎng)絡環(huán)境的威脅模板,支持和幫助用戶進行威脅識別和分析,并提供資產(chǎn)、脆弱性、威脅自動關聯(lián)功能:主要輸入項:評估對象、賦值規(guī)則;主要輸出項:威脅識別匯總表、威脅識別報告。⑤脆弱性識別。脆弱性識別:系統(tǒng)可提供多種系統(tǒng)的脆弱性識別功能,包括:主機、數(shù)據(jù)庫、網(wǎng)絡設備等對象的脆弱性識別。系統(tǒng)支持常用漏洞掃描軟件掃描結(jié)果的導入,目前支持的掃描系統(tǒng)有:Nessus、NMap等,主機系統(tǒng)支持:Windows、Linux、Unix等,數(shù)據(jù)庫支持:MSSQL、Oracle等:主要輸入項:評估對象、漏洞掃描結(jié)果、賦值規(guī)則;主要輸出項:漏洞掃描報告、脆弱性識別匯總表、脆弱性識別報告。⑥安全措施識別。安全措施識別:系統(tǒng)提供基于技術、管理等方面的安全措施檢查功能,幫助用戶了解目前的安全狀況,找到安全管理問題,確定安全措施的有效性:主要輸出項:安全措施識別匯總表、安全措施識別報告。⑦風險分析。系統(tǒng)通過資產(chǎn)評價、脆弱性評價、威脅評價、安全措施有效性評價、風險分析等工作,可自動生成安全風險評估分析報告。主要輸入項:評估對象、資產(chǎn)值、脆弱性值、威脅值、安全措施值、計算規(guī)則;主要輸出項:風險計算匯總表、風險分析報告。⑧評估結(jié)果管理。主要功能是對歷史記錄查詢與分析。匯總所有的安全評估結(jié)果進行綜合分析,并生成各階段風險評估工作報告,主要包括如下:《資產(chǎn)識別報告》、《漏洞掃描報告》、《威脅識別報告》、《脆弱性識別報告》、《控制措施識別報告》、《風險分析報告》。并可對當期風險評估結(jié)果和原始數(shù)據(jù)進行轉(zhuǎn)存或備份。在有需要時能調(diào)出評估歷史數(shù)據(jù)進行查詢及風險趨勢分析。⑨信息安全知識庫更新維護。信息安全知識庫的更新維護主要對象有:系統(tǒng)漏洞庫、安全威脅庫、安全脆弱點庫、控制措施庫。為避免造成數(shù)據(jù)的冗余,系統(tǒng)將在各評估項目中需要反復使用的數(shù)據(jù)歸入基礎數(shù)據(jù)庫進行管理,在進行評估活動時再從基礎庫提取有關數(shù)據(jù),這樣也能減少重復的輸入工作。⑩數(shù)據(jù)接口。導入數(shù)據(jù)接口:資產(chǎn)庫、脆弱點庫、威脅庫、控制措施庫。支持以下常用的格式:如EXCEL文件等;常用的漏洞掃描工具:如綠盟、啟明星辰、NESSUS、NMAP等。
四、結(jié)束語
該系統(tǒng)設計是以信息安全風險評估工作流程為基礎,進行信息安全評估項目管理、風險要素數(shù)據(jù)收集與輔助風險分析的系統(tǒng),在實際風險管理過程中,可引入了質(zhì)量管理理念——PDCA循環(huán),即通過監(jiān)控每一階段的信息系統(tǒng)風險情況,及時發(fā)現(xiàn)問題,不斷調(diào)險控制工作計劃,從而實現(xiàn)信息安全風險管理的工作目標。
計算機軟件產(chǎn)品成為世界的核心和靈魂
(一)計算機軟件產(chǎn)業(yè)成為戰(zhàn)略性新興產(chǎn)業(yè)工信部軟件服務業(yè)司司長陳偉表示:“今天,很多人提出了SDN(軟件定義網(wǎng)絡)、SDD(軟件定義數(shù)據(jù)中心)、SDS(軟件定義系統(tǒng)),而我認為,軟件可以定義世界(SDW),軟件應該成為世界的核心和靈魂,成為信息消費的引擎和重要內(nèi)容?!盵1]軟件產(chǎn)業(yè)在我國國民經(jīng)濟中具有重要的戰(zhàn)略地位,隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的興起與廣泛運用,軟件產(chǎn)品已經(jīng)覆蓋人民生產(chǎn)、生活的各個領域,逐漸成為重要的民生物品。軟件產(chǎn)業(yè)個人信息保護不僅關系到本產(chǎn)業(yè)的發(fā)展,關系到國民高品質(zhì)智能化生活,而且對于整個信息產(chǎn)業(yè)的長遠發(fā)展,對于信息消費市場的培育與推動,對于“寬帶中國”戰(zhàn)略的實施,對于國家信息安全的保障具有重要的戰(zhàn)略意義。
(二)計算機軟件產(chǎn)品的界定
技術業(yè)已變革,整個社會都在地動山搖發(fā)生著巨大的變化,如果法律制度仍然固守兩千年前的傳統(tǒng)理論,秉持“祖宗之法不可變”的陳詞濫調(diào),那么法律制度必定束縛生產(chǎn)力的發(fā)展,并必然地被技術的迅猛發(fā)展而沖破。從物和產(chǎn)品的發(fā)展趨勢來看,隨著社會經(jīng)濟高速發(fā)展,物與產(chǎn)品的觀念均有擴展之勢[7]。世界各國出于對消費者權益的保護,不再對已經(jīng)以“產(chǎn)品”的形式流通的計算機軟件“視而不見”,紛紛以“計算機軟件產(chǎn)品”稱呼之,并開展相關立法規(guī)范。
TRUSTe認證工作主要涵蓋以下幾個方面。
1.初始認證
當網(wǎng)站為獲得TRUSTe 的認證而提交了正式的申請表后,TRUSTe 將檢查申請網(wǎng)站,看它是否符合程序原則(Program Principles)。其目的是為了確保該網(wǎng)站的隱私政策,明確指出哪類個人信息被收集、誰在收集、為何目的收集、如何使用以及與誰共享等。如果網(wǎng)站符合TRUSTe關于隱私保護的認證要求,TRUSTe就會授予該網(wǎng)站隱私圖章,允許在其網(wǎng)站主頁上張貼TRUSTe的隱私圖章標志。
2.后續(xù)監(jiān)督
當申請網(wǎng)站成為會員后,TRUSTe就會定期檢查網(wǎng)站,確保網(wǎng)站的行為符合它公布的隱私聲明,并且檢查網(wǎng)站隱私聲明的變動。初始認證和后續(xù)監(jiān)督都是在網(wǎng)站事先不知道的情況下,通過提交特定標志符到網(wǎng)站來跟蹤該站點個人信息的使用,并監(jiān)控結(jié)果,以此來確定其信息收集使用行為是否與該站點的隱私聲明相符合。
3.爭端解決
當消費者認為網(wǎng)站侵犯其隱私權,而就隱私侵權問題不能得到會員網(wǎng)站恰當處理時,TRUSTe為其提供一種在線的爭端解決服務,即所謂的看門狗爭端解決方法(Watchdog Dispute Resolution Process)。一旦TRUSTe針對涉嫌侵犯隱私而被消費者投訴的網(wǎng)站作出最終決定,網(wǎng)站必須執(zhí)行,否則其所獲得的隱私圖章將被取消,并被列入“不守規(guī)矩的網(wǎng)站”的名單中,TRUSTe甚至通過適當?shù)耐緩较蛳嚓P的法律權威部門提起訴訟,如美國貿(mào)易委員會或者消費保護機構等。這樣的爭端解決程序逐漸為TRUSTe 樹立了一定的威信。
(二)日本個人信息保護評價制度評析
日本早在1998年由非官方第三方機構日本情報處理開發(fā)協(xié)會(Japan Information Processing Development Corporation,JIPDEC)建立了Pmark認證制度,2005年日本《個人信息保護法》的實施,極大地推進了企業(yè)參與個人信息保護認證。
軟件及信息服務業(yè)個人信息保護評價體系(PIPA)評價的對象主要是企業(yè),其初衷在于幫助以軟件和信息服務業(yè)為主的企業(yè)建立個人信息保護制度,使得企業(yè)有能力在2005年日本《個人信息保護法》實施后繼續(xù)承接日本軟件外包業(yè)務。通過PIPA評價的企業(yè)可以得到個人信息保護合格證書和PIPA標志使用權。具體而言,大連個人信息保護評價制度包括以下幾個方面。
1.評價機構
軟件及信息服務業(yè)個人信息保護評價機構為大連軟件行業(yè)協(xié)會,下設個人信息保護工作委員會、PIPA辦公室和評價專家組。
PIPA辦公室主要負責PIPA文件管理和事務性工作,負責PIPA受理及投訴,負責評價員的聘任及管理工作,PIPA辦公室下設培訓教育部門,負責個人信息保護企業(yè)培訓和評價員培訓、考核。
個人信息保護工作委員會主要負責標準和PIPA體系相關文件的制定、修改和完善,負責PIPA申批、投訴及事故處理結(jié)果的審批,負責對PIPA的監(jiān)督及聘任評價員的審批等工作。工作委員會下設:標準組、仲裁組、宣傳推廣組、國際交流組和教育培訓組。標準組主要負責標準的研究和制定;仲裁組負責投訴及事故的調(diào)查及處理;宣傳推廣組負責PIPA宣傳推廣;國際交流組負責國際間的交流與合作;教育培訓組負責個人信息保護人才的教育、培養(yǎng)研究及試點,開展個人信息保護人才培養(yǎng)工作。
2.評價依據(jù)
大連軟件行業(yè)協(xié)會在全國率先開始制定軟件及信息服務業(yè)的個人信息保護標準,即《規(guī)范》,經(jīng)過多年的實踐,在大連市的地方標準的基礎上,形成了遼寧省的個人信息保護“省標”《遼寧省軟件與信息服務業(yè)個人信息保護規(guī)范》DB21/T 15222007、《個人信息保護規(guī)范》DB21/T 16282008和遼寧省地方標準《信息安全個人信息保護規(guī)范》DB21/T 1628.12012。目前大連軟件行業(yè)協(xié)會已經(jīng)通知自2014年6月1日起正式實施《信息安全個人信息保護規(guī)范》,即2012版標準替代目前實施的2008版標準[10]。
3.評價流程
個人信息保護評價流程包括申請、受理、文件審查(前期審查)、現(xiàn)場審核、公示15天、審批、頒發(fā)合格證和標志等幾個環(huán)節(jié)[11]。個人信息保護評價申請的前提是申請評價的企業(yè)按照《規(guī)范》的要求建立企業(yè)個人信息保護制度,經(jīng)過三個月運行的檢驗,在這期間沒有發(fā)生任何涉及個人信息保護的重大事故,方得以開展評價申請。
4.評價監(jiān)督管理
通過個人信息保護認證的企業(yè)并非一勞永逸,大連軟件行業(yè)協(xié)會對于通過認證的企業(yè)具有監(jiān)督管理的權利。大連軟件行業(yè)協(xié)會對于通過認證的企業(yè)可以采取抽查的方式進行監(jiān)督管理,對于抽查不合格的企業(yè),將限期整改,整改后仍然無法達到相關標準的企業(yè),則取消其使用個人信息保護合格證書和PIPA標志的資格。同時,大連軟件行業(yè)協(xié)會在接到重要舉報和投訴時,可對認證企業(yè)進行復審,復審不合格的企業(yè)同樣取消其使用個人信息保護合格證書和PIPA標志的資格。
5.證書與標志
通過個人信息保護認證的企業(yè),由大連軟件行業(yè)協(xié)會頒發(fā)個人信息保護合格證書、PIPA標志,證書和標志在兩年內(nèi)有效。
值得一提的是,由于大連行業(yè)協(xié)會與日本情報處理開發(fā)協(xié)會簽署了互認合作協(xié)議,即通過大連PIPA認證的企業(yè)受到日本情報處理開發(fā)協(xié)會的個人信息認證體系Pmark認可,無需再另行申請日本Pmark認證,因此,通過大連行業(yè)協(xié)會個人信息保護認證的企業(yè)還可以獲得PIPAmark互認標志。
(四)中美日個人信息保護評價制度比較及啟示中美日的個人信息保護評價制度各具特色,三者的共同點在于均是出于對用戶個人信息和隱私的保護而構建的一整套認證制度,均是以非官方組織為主導開展的評價認證,三者的差別在于:
從評價的地域范圍來看,由于互聯(lián)網(wǎng)的無國界性,以TRUSTe為代表的美國個人信息評價制度目前已經(jīng)發(fā)展成為一個全球性的認證體系,并不局限于僅對美國的網(wǎng)站開展認證業(yè)務;日本的Pmark個人信息評價體系則是針對日本的企業(yè)開展認證服務,是日本國家級的認證體系,但不針對國外的企業(yè)開展認證;大連的PIPA評價體系最初僅僅局限于針對大連市的企業(yè),而且是對軟件和信息服務業(yè)的企業(yè)開展評價,現(xiàn)在逐步向全國范圍內(nèi)擴大。
(一)軟件產(chǎn)品個人信息安全認證標準
軟件產(chǎn)品個人信息安全認證標準是軟件產(chǎn)品個人信息安全認證最基本的依據(jù),放眼全球,目前尚無一個針對軟件產(chǎn)品個人信息安全認證的標準,只有類似針對整個企業(yè)的個人信息保護管理系統(tǒng)的標準、針對軟件和信息服務業(yè)整個行業(yè)的個人信息保護規(guī)范、針對網(wǎng)站的隱私認證標準,而缺乏針對最直接收集個人信息的計算機軟件產(chǎn)品的個人信息安全認證標準。
(二)軟件產(chǎn)品個人信息安全認證流程
建立軟件產(chǎn)品申請個人信息保護認證流程,對于符合個人信息保護法律收集、利用和處理的軟件產(chǎn)品,經(jīng)審查合格的,頒發(fā)軟件產(chǎn)品個人信息保護合格證書與標志。該軟件產(chǎn)品的開發(fā)者和利用者可以在其上注明個人信息保護合格標志,以告知用戶,增加用戶對其的信賴感。軟件產(chǎn)品個人信息安全認證流程與軟件企業(yè)的個人信息保護認證并不相同,前者注重的是軟件產(chǎn)品是否合法收集利用用戶個人信息、是否保障用戶個人信息安全,而后者強調(diào)的是企業(yè)個人信息保護管理體系的建立以及對于個人信息保護的政策。
本研究結(jié)合國內(nèi)外隱私認證和企業(yè)個人信息保護評價的流程,對軟件產(chǎn)品個人信息安全認證流程初步設計如下。
1.申報
欲進行個人信息保護認證的軟件產(chǎn)品開發(fā)者或生產(chǎn)者、經(jīng)營者作為申請單位需填寫《軟件產(chǎn)品個人信息安全認證申請書》及相關附件材料呈交評價機構。
2.資料審查
由評價機構對申請單位提交的《軟件產(chǎn)品個人信息安全認證申請書》及相關附件材料進行審查,審查合格者制作審查合格報告,并進入軟件信息保護評估階段,不合格者返回補正。
3.軟件信息保護評估
資料審查合格的單位向評價機構提交軟件產(chǎn)品樣品一份,由評價機構利用技術手段針對軟件的安全性進行測試,包括軟件產(chǎn)品的信息安全、軟件產(chǎn)品的運行機制、軟件產(chǎn)品對于用戶個人信息的收集利用情況等方面,并由專家組進行評估,最終形成評價報告。通過者進入審核階段;未通過者,申報單位按照專家組的評價意見進行一次改進完善,改進完善后重新進行評估,如仍不能通過,則出具評估不合格報告,若未進行實質(zhì)性修改完善,不得再申請進行個人信息安全評價。
4.審核
依據(jù)專家組形成的評價報告,評價機構進行審核,而后簽署最終審核意見。評價機構對通過審核者公示10個工作日,其間如沒有實質(zhì)性異議,則正式通過審核并予以公告,頒發(fā)“軟件產(chǎn)品個人信息安全合格證書”及認證標志。
通過軟件產(chǎn)品個人信息安全認證機制的構建,有助于培育一批品質(zhì)優(yōu)良、注重用戶權益、服務經(jīng)濟社會發(fā)展需要的軟件產(chǎn)品,從而肅清我國軟件產(chǎn)品市場魚目混珠的亂象,引領軟件產(chǎn)業(yè)的發(fā)展,為信息產(chǎn)業(yè)的長遠發(fā)展奠定基礎。
關鍵詞:大數(shù)據(jù);個人信息安全;表現(xiàn);措施
中圖分類號:G206 文獻標識碼:A 文章編號:1672-8122(2014)08-0033-02
伴隨著科技進步,互聯(lián)網(wǎng)及移動互聯(lián)網(wǎng)的快速發(fā)展,云計算大數(shù)據(jù)時代的到來,人們的生活正在被數(shù)字化,被記錄,被跟蹤,被傳播,大量數(shù)據(jù)產(chǎn)生的背后隱藏著巨大的經(jīng)濟和政治利益。大數(shù)據(jù)猶如一把雙刃劍,它給予我們社會及個人的利益是不可估量的,但同時其帶來個人信息安全及隱私保護方面的問題也正成為社會關注的熱點。今年兩會期間,維護網(wǎng)絡安全被首次寫入政府工作報告。全國政協(xié)委員、聯(lián)想集團董事長兼CEO楊元慶也在會議上呼吁“政府對個人信息安全立法,加強監(jiān)管,并在整個社會中樹立起誠信文化”。大數(shù)據(jù)時代下維護個人安全成為重中之重。
一、大數(shù)據(jù)時代下個人信息受到侵犯的表現(xiàn)
(一)數(shù)據(jù)采集過程中對隱私的侵犯
大數(shù)據(jù)這一概念是伴隨著互聯(lián)網(wǎng)技術發(fā)展而產(chǎn)生的,其數(shù)據(jù)采集手段主要是通過計算機網(wǎng)絡。用戶在上網(wǎng)過程中的每一次點擊,錄入行為都會在云端服務器上留下相應的記錄,特別是在現(xiàn)今移動互聯(lián)網(wǎng)智能手機大發(fā)展的背景下,我們每時每刻都與網(wǎng)絡連通,同時我們也每時每刻都在被網(wǎng)絡所記錄,這些記錄被儲存就形成了龐大的數(shù)據(jù)庫。從整個過程中我們不難發(fā)現(xiàn),大數(shù)據(jù)的采集并沒有經(jīng)過用戶許可而是私自的行為。很多用戶并不希望自己行為所產(chǎn)生的數(shù)據(jù)被互聯(lián)網(wǎng)運營服務商采集,但又無法阻止。因此,這種不經(jīng)用戶同意私自采集用戶數(shù)據(jù)的行為本身就是對個人隱私的侵犯。
(二)數(shù)據(jù)存儲過程中對隱私的侵犯
互聯(lián)網(wǎng)運營服務商往往把他們所采集的數(shù)據(jù)放到云端服務器上,并運用大量的信息技術對這些數(shù)據(jù)進行保護。但同時由于基礎設施的脆弱和加密措施的失效會產(chǎn)生新的風險。大規(guī)模的數(shù)據(jù)存儲需要嚴格的訪問控制和身份認證的管理,但云端服務器與互聯(lián)網(wǎng)相連使得這種管理的難度加大,賬戶劫持、攻擊、身份偽造、認證失效、密匙丟失等都可能威脅用戶數(shù)據(jù)安全。近些年來,受到大數(shù)據(jù)經(jīng)濟利益的驅(qū)使,眾多網(wǎng)絡黑客對準了互聯(lián)網(wǎng)運營服務商,使得用戶數(shù)據(jù)泄露事件時有發(fā)生,大量的數(shù)據(jù)被黑客通過技術手段竊取,給用戶帶來巨大損失,并且極大地威脅到了個人信息安全。
(三)數(shù)據(jù)使用過程中對隱私的侵犯
互聯(lián)網(wǎng)運營服務商采集用戶行為數(shù)據(jù)的目的是為了其自身利益,因此基于對這些數(shù)據(jù)分析使用在一定程度上也會侵犯用戶的權益。近些年來,由于網(wǎng)購在我國的迅速崛起,用戶通過網(wǎng)絡購物成為新時尚也成為了眾多人的選擇。但同時由于網(wǎng)絡購物涉及到的很多用戶隱私信息,比如真實姓名、身份證號、收貨地址、聯(lián)系電話,甚至用戶購物的清單本身都被存儲在電商云服務器中,因此電商成為大數(shù)據(jù)的最大儲存者同時也是最大的受益者。電商通過對用戶過往的消費記錄以及有相似消費記錄用戶的交叉分析能夠相對準確預測你的興趣愛好,或者你下次準備購買的物品,從而把這些物品的廣告推送到用戶面前促成用戶的購買,難怪有網(wǎng)友戲稱“現(xiàn)在最了解你的不是你自己,而是電商”。當然我們不能否認大數(shù)據(jù)的使用為生活所帶來的益處,但同時也不得不承認在電商面前普通用戶已經(jīng)沒有隱私。當用戶希望保護自己的隱私,行使自己的隱私權時會發(fā)現(xiàn)這已經(jīng)相當困難。
(四)數(shù)據(jù)銷毀過程中對隱私的侵犯
由于數(shù)字化信息低成本易復制的特點,導致大數(shù)據(jù)一旦產(chǎn)生很難通過單純的刪除操作徹底銷毀,它對用戶隱私的侵犯將是一個長期的過程。大數(shù)據(jù)之父維克托?邁爾-舍恩伯格(Viktor Mayer-Schonberger)認為“數(shù)字技術已經(jīng)讓社會喪失了遺忘的能力,取而代之的則是完美的記憶”[1]。當用戶的行為被數(shù)字化并被存儲,即便互聯(lián)網(wǎng)運營服務商承諾在某個特定的時段之后會對這些數(shù)據(jù)進行銷毀,但實際是這種銷毀是不徹底的,而且為滿足協(xié)助執(zhí)法等要求,各國法律通常會規(guī)定大數(shù)據(jù)保存的期限,并強制要求互聯(lián)網(wǎng)運營服務商提供其所需要的數(shù)據(jù),公權力與隱私權的沖突也威脅到個人信息的安全。
二、大數(shù)據(jù)時代下個人信息安全保護的措施
(一)將個人信息保護納入國家戰(zhàn)略資源的保護和規(guī)范范疇
大數(shù)據(jù)時代個人信息是構成現(xiàn)代商業(yè)服務以及網(wǎng)絡社會管理的基礎,對任何國家而言由眾多個人信息組成的大數(shù)據(jù)都是研究社會,了解民情的重要戰(zhàn)略資源。近年來大數(shù)據(jù)運用已經(jīng)不再局限于商業(yè)領域而逐步擴展到政治生活等方方面面。國家也越來越重視通過對大數(shù)據(jù)的分析運用從而了解這個社會的變化以及人民的想法,甚至從中能夠發(fā)現(xiàn)很多社會發(fā)展過程中的問題和現(xiàn)象,這比過去僅僅依靠國家統(tǒng)計部門的數(shù)據(jù)來的更真實全面,成本也相對較小,比如淘寶公布的收貨地址變更數(shù)據(jù)在一定程度上揭示了我國人口的遷移,這些信息對于我國的發(fā)展都是至關重要的。
因此將個人信息保護納入國家戰(zhàn)略資源的保護和規(guī)劃范疇具有重要的意義。2014年政府工作報告首次提出了“維護網(wǎng)絡安全”這一表述意味著網(wǎng)絡安全已上升國家戰(zhàn)略。這是我國在大數(shù)據(jù)時代下對個人信息保護的重要事件,也具有里程碑的意義。
(二)加強個人信息安全的立法工作
大數(shù)據(jù)時代對個人信息安全保護僅僅依靠技術是遠遠不夠的,關鍵在于建立維護個人信息安全的法律法規(guī)和基本原則。這方面立法的缺失目前在我國是非常嚴重,需要積極推動關于個人信息安全的法律法規(guī)的建立,加大打擊侵犯個人信息安全的行為。2014年兩會期間全國政協(xié)委員、聯(lián)想集團董事長兼CEO楊元慶呼吁政府加強對個人信息安全的立法和監(jiān)督,引起了社會各界廣泛關注和重視,這充分說明這個問題已經(jīng)成為一個重要的社會問題。我本人對個人信息安全立法工作有以下幾點建議:第一,必須在立法上明確個人信息安全的法律地位。個人信息安全與隱私權“考慮到法律在一般隱私權上的缺乏,要對網(wǎng)絡隱私權加以規(guī)范就有必要先完善一般隱私權的規(guī)定,因此首先應通過憲法明確規(guī)定公民享有隱私權。[2]”第二,必須從法律上明確采集數(shù)據(jù)的權利依據(jù)。由于在數(shù)據(jù)采集過程中經(jīng)常發(fā)生對個人信息的侵害,因此無論是政府還是互聯(lián)網(wǎng)運營服務商都必須遵循一定的原則和依據(jù)。政府采集數(shù)據(jù)的行為應該符合憲法的要求,而互聯(lián)網(wǎng)運營服務商采集數(shù)據(jù)必須要經(jīng)過當事人同意。第三,制定關于個人信息安全的專門法律。2003年國務院信息辦就委托中國社科院法學所個人數(shù)據(jù)保護法研究課題組承擔《個人數(shù)據(jù)保護法》比較研究課題及草擬一份專家建議稿。2005年,最終形成了近8萬字的《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》。但到目前為止我國的個人信息保護法仍沒有立法,因此加快這個立法過程是當務之急。
(三)加強對個人信息的行政監(jiān)管
大數(shù)據(jù)時代下個人信息及隱私都具有很高的經(jīng)濟價值,許多商業(yè)機構利用這些都能夠謀取很高的商業(yè)利益,因此政府對于個人信息的監(jiān)管就顯得尤為重要,具體來說就是應該制定關于大數(shù)據(jù)的個人信息安全標準。
我國已于2013年2月1日起實施首個個人信息保護國家標準――《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》。該標準最顯著的特點是規(guī)定個人敏感信息在收集和利用之前,必須首先獲得個人信息主體明確授權。這充分標志著我國對個人信息行政監(jiān)管上了一個新臺階。
(四)加強對個人信息的技術保護
技術手段是對個人信息最直接的保護方式,也是法律手段的重要補充。在法律法規(guī)還沒有完善的情況下,技術保護成為個人信息保護最主要的方式。但是我們看到現(xiàn)代技術發(fā)展非常迅速,侵權者們的水平也迅速提高,過去的許多技術保護手段都已被一一破解,這給我國的信息產(chǎn)業(yè)界提出了很高的要求。為此國家和社會各界應該充分重視信息技術的創(chuàng)新開發(fā),培養(yǎng)技術人才,提高我國信息技術水平從而為個人信息保護提供保障。
(五)加強行業(yè)自律與監(jiān)管
行業(yè)自身的相互監(jiān)管監(jiān)督是個人信息安全保護最有效也是成本最低的方法。因此相關部門應該組織涉及大數(shù)據(jù)的企業(yè)成立相關的行業(yè)組織了,并制定行業(yè)內(nèi)部的標準或公約,以及相互監(jiān)督的權利和義務,并為這些行業(yè)組織提供相應的資金和政策的支持。
大數(shù)據(jù)時代的到來極大地促進整個社會的發(fā)展。大數(shù)據(jù)在各行各業(yè)中的運用,使我們精確地了解到過去通過抽樣調(diào)查很難了解的許多東西,讓我們更深刻地認識了這個社會,從而更進一步改善這個社會。我們不應該否認大數(shù)據(jù)帶來的益處,同樣我們應該使這種益處最大化。但大數(shù)據(jù)帶來的對個人信息安全的威脅我們也應該有著充分的認識。保護個人信息不僅是對社會每個成員的保護,更是對國家安全以及社會長期持續(xù)健康發(fā)展的保護。
參考文獻:
[1] (英)維克托?邁爾-舍恩伯格著.袁杰譯.刪除――大數(shù)據(jù)取舍之道[M].杭州:浙江人民出版社,2013.
[2] 李欲曉.云計算大數(shù)據(jù)時代個人隱私保護刻不容緩[J].理論導報,2013(7).
投資要點
網(wǎng)絡強國戰(zhàn)略加快信息建設速度,推進物聯(lián)網(wǎng)技術發(fā)展:綱要提出,牢牢把握信息技術變革趨勢,實施網(wǎng)絡強國戰(zhàn)略,加快建設數(shù)字中國,推動信息技術與經(jīng)濟社會發(fā)展深度融合,加快推動信息經(jīng)濟發(fā)展壯大。要構建泛在高效的信息網(wǎng)絡,加快構建高速、移動、安全、泛在的新一代信息基礎設施,推進信息網(wǎng)絡技術廣泛運用,形成萬物互聯(lián)、人機交互、天地一體的網(wǎng)絡空間。信息化建設加速以及傳輸成本下,是打造萬物互聯(lián)的網(wǎng)絡空間的重要基礎,物聯(lián)網(wǎng)技術的應用和發(fā)展空間不亞于互聯(lián)網(wǎng)技術,看好其在醫(yī)療、物流和交通等方面的行業(yè)化應用。
“互聯(lián)網(wǎng)+”促進多產(chǎn)業(yè)融合發(fā)展:綱要提出,要發(fā)展現(xiàn)代互聯(lián)網(wǎng)產(chǎn)業(yè)體系,實施“互聯(lián)網(wǎng)+”行動計劃,促進互聯(lián)網(wǎng)深度廣泛應用,帶動生產(chǎn)模式和組織方式變革,形成網(wǎng)絡化、智能化、服務化、協(xié)同化的產(chǎn)業(yè)發(fā)展新形態(tài)。夯實互聯(lián)網(wǎng)應用基礎,加快多領域互聯(lián)網(wǎng)融合發(fā)展。中國未來經(jīng)濟增速壓力加大,深層次原因是經(jīng)濟結(jié)構不合理,產(chǎn)業(yè)經(jīng)濟落后,產(chǎn)能過剩情況嚴重?!盎ヂ?lián)網(wǎng)+”戰(zhàn)略的實施,能促進產(chǎn)業(yè)智能化,去除中間環(huán)節(jié),極大提高生產(chǎn)效率,實現(xiàn)產(chǎn)業(yè)變革和提升。看好“互聯(lián)網(wǎng)+工業(yè)制造”的工業(yè)4.0和“互聯(lián)網(wǎng)+農(nóng)業(yè)“等領域的發(fā)展。
大數(shù)據(jù)上升至國家戰(zhàn)略,政府數(shù)據(jù)公開加快產(chǎn)業(yè)發(fā)展:綱要提出,要實施國家大數(shù)據(jù)戰(zhàn)略,把大數(shù)據(jù)作為基礎性戰(zhàn)略資源,全面實施促進大數(shù)據(jù)發(fā)展行動,加快推動數(shù)據(jù)資源共享開放和開發(fā)應用,助力產(chǎn)業(yè)轉(zhuǎn)型升級和社會治理創(chuàng)新。加快政府數(shù)據(jù)開放共享,促進大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展。數(shù)據(jù)源匱乏一直是制約大數(shù)據(jù)行業(yè)應用和發(fā)展的主要瓶頸。隨著大數(shù)據(jù)戰(zhàn)略的實施,以及政府數(shù)據(jù)的開放,未來看好大數(shù)據(jù)行業(yè)趨勢性發(fā)展機會,特別是智慧城市,政務大數(shù)據(jù)的應用。
網(wǎng)絡信息加速發(fā)展,網(wǎng)絡安全需求顯著提升:規(guī)劃綱要草案提出,要強化信息安全保障,統(tǒng)籌網(wǎng)絡安全和信息化發(fā)展,完善國家網(wǎng)絡安全保障體系,強化重要信息系統(tǒng)和數(shù)據(jù)資源保護,提高網(wǎng)絡治理能力,保障國家信息安全。加強數(shù)據(jù)資源安全保護,科學實施網(wǎng)絡空間治理,全面保障重要信息系統(tǒng)安全。信息化程度的提升,對網(wǎng)絡安全提出了更高的要,甚至關乎國家信息安全層面,網(wǎng)絡安全行業(yè)成為剛需,具備長期發(fā)展?jié)摿Α?/p>
推進軍民融合發(fā)展立法,網(wǎng)絡安全有望成為典范。我們在2.22號與機械組聯(lián)合深度報告《軍民融合行業(yè)深度報告:國家戰(zhàn)略,強國興軍》,提出軍民融合已成為主要發(fā)達國家的國家戰(zhàn)略,并成立最高層協(xié)調(diào)組織和建立完善的協(xié)調(diào)機制,軍民融合有望上升為我國的國家戰(zhàn)略,關注國家軍民融合的規(guī)劃進展和支持政策。根據(jù)解放軍報3.6號的最新報道,國家將建立軍民融合發(fā)展統(tǒng)一領導機制,建立健全領導決策、軍地協(xié)調(diào)、需求對接和資源共享等機制;形成全要素、多領域、高效益的軍民融合深度發(fā)展格局。同時,《十三五規(guī)劃綱要草案(全文)》提出推進軍民融合發(fā)展立法,深化國防動員領域改革,健全完善國防動員體制機。制統(tǒng)一領導機制的建立,將大大加速軍民融合的發(fā)展速度。陸??仗祀娋W(wǎng)一體化、軍工領域市場化和民品化是本輪軍改兩大反向,信息技術作為軍民融合的突破口和引領方向發(fā)展?jié)摿薮?,看好網(wǎng)絡信息安全、軍事物流等領域的發(fā)展前景,軍民融合推薦衛(wèi)士通(首選)、飛利信、啟明星辰、海蘭信。
把握云計算、大數(shù)據(jù)、網(wǎng)絡安全三大方向的龍頭:本次綱要繼續(xù)利好我們一直看好的大數(shù)據(jù)(模式升級)、云計算(技術變革)、信息安全(安全保障,必須要強調(diào)的是,安全已經(jīng)拓展到網(wǎng)絡空間整體的國防和安全,不僅僅是云安全這一細分領域可以概括,而且未來兩年來看云安全對網(wǎng)絡安全的貢獻還占不到主流,軍工將成為網(wǎng)安的主要驅(qū)動力)三大方向的投資機會。
云計算方面:相對來說彈性大于網(wǎng)絡安全,而整體業(yè)績落地兌現(xiàn)方面又好于大數(shù)據(jù)。我們建議關注:天璣科技(300245)(大數(shù)據(jù)一體機在2015年實現(xiàn)3000萬左右銷售,超融合架構云計算大勢所趨)、東方通(300379)(電子政務云PaaS平臺和移動辦公平臺雙龍頭)、飛利信(300287)(牽手火網(wǎng)科技、精圖信息布局消防云百億市場,京津冀示范奠定標桿,增發(fā)價格倒掛公司動力十足)、漢得信息(300170)(云計算重構軟件分銷渠道產(chǎn)業(yè),SaaS分銷業(yè)務模式獨特,漢得云mart有望打造云分銷領域的大眾點評)、太極股份(002368)(一體化電子政務云龍頭,增發(fā)倒掛)、華宇軟件(300271)(公檢法SaaS龍頭、切入其他電子政務領域)、華勝天成(600410)(業(yè)績有望迎來拐點,容器技術的顛覆影響利于Power云生態(tài)做大);
遠望電子已獲得浙江省“雙軟企業(yè)”認定及國家級高新技術企業(yè)認證,是國家創(chuàng)新基金支持單位、浙江省軟件服務業(yè)重點扶持企業(yè)、“國家863信息系統(tǒng)安全等級保護產(chǎn)業(yè)技術創(chuàng)新戰(zhàn)略聯(lián)盟”成員、浙江省計算機學會信息安全專業(yè)委員會委員》。
遠望電子是浙江省信息安全標準化技術委員會委員、公安部《公安綜合信息安全管理平臺技術規(guī)范》主要起草單位,同時還是浙江省治安監(jiān)控網(wǎng)絡綜合保障系統(tǒng)行業(yè)標準》、工業(yè)和信息化部《信息安全技術政府部門信息安全管理指南》(國家標準),及全國信息安全標準化委員會《信息系統(tǒng)安全管理平臺產(chǎn)品技術要求和測試評價方法》(國家標準)參與起草單位。
遠望電子本著誠信為本的經(jīng)營理念,連續(xù)多年均被評為AAA級信用等級單位。
遠望電子與公安部第一研究所、公安部安全與警用電子產(chǎn)品檢測中心、西北工業(yè)大學、杭州電子科技大學等科研院所建立了長期友好合作關系,從而提升了公司的軟件研發(fā)、人力資源開發(fā)、人才培養(yǎng)和儲備能力。
遠望電子自主研發(fā)的信息與網(wǎng)絡安全管理平臺及監(jiān)管系統(tǒng)等在國內(nèi)二十余個省市的公安、法院、政府、保密等領域及大型企事業(yè)單位得到了廣泛應用。近年來,遠望電子開發(fā)的信息與網(wǎng)絡安全平臺已在浙江省公安廳及所屬116個單位全面部署應用。浙江省公安廳借助該平臺建立了較完善的信息安全綜合保障體系,連續(xù)五年在全國公安信息安全綜合評比中名列第一。
遠望信息與網(wǎng)絡安全管理平臺及監(jiān)管系統(tǒng),融業(yè)務管理(規(guī)范、組織、培訓、服務)、工作流程、應急響應(預警、查處、通報、報告)和安全技術應用(監(jiān)測、發(fā)現(xiàn)、處置)為一體,集成了各類信息安全監(jiān)管、分析技術,實現(xiàn)了對網(wǎng)絡邊界安全、保密安全、網(wǎng)站安全、主機基礎安全,以及各類威脅信息安全的違規(guī)行為、資源占用行為等的有效監(jiān)測、處置和管理。
產(chǎn)品同時結(jié)合工作流技術,實現(xiàn)了監(jiān)測、警示、處置、反饋、考核五位一體安全管理工作模式,建立起長效的信息安全管理工作機制,并將其日?;⒊B(tài)化,實現(xiàn)了信息安全管理工作的信息化、網(wǎng)絡化。
遠望信息與網(wǎng)絡安全產(chǎn)品被列入“2010年度全國公安信息系統(tǒng)安全大檢查”指定檢查工具,并獲得公安部2011年科學技術獎。
遠望信息與網(wǎng)絡安全管理平臺及監(jiān)管系統(tǒng)針對安全風險產(chǎn)生的根源,對網(wǎng)絡中的安全事件和安全風險進行全程全網(wǎng)監(jiān)測、管控,在技術的層面上突破了網(wǎng)絡邊界的定位、信息的準確鑒別、網(wǎng)站的定位,以及應用分析和監(jiān)管等難題。
該平臺能對信息網(wǎng)絡進行全程全網(wǎng)實時監(jiān)管,全面、清晰掌握網(wǎng)絡系統(tǒng)狀況,及時發(fā)現(xiàn)并分析、處置各類安全事件和風險隱患。
關鍵詞:新時代;信息化;國家戰(zhàn)略;新要求
十報告明確把“信息化水平大幅提升”作為全面建成小康社會的目標之一,并提出走中國特色新型工業(yè)化、信息化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化道路,推動信息化與工業(yè)化深度融合,促進“四化”同步發(fā)展。
2014年2月27日,在中央網(wǎng)絡安全和信息化領導小組第一次會議上明確指出:“沒有網(wǎng)絡安全,就沒有國家安全;沒有信息化,就沒有現(xiàn)代化?!薄皼]有信息化,就沒有現(xiàn)代化”的論斷,體現(xiàn)了信息化與現(xiàn)代化的緊密內(nèi)在聯(lián)系,對于我國推進信息化建設具有重要意義。
1 制定國家信息化戰(zhàn)略的必要性
今年以來,一些國家或地區(qū)開始重新研究制定信息化相關的發(fā)展戰(zhàn)略。2014年1月,歐盟了《充分發(fā)揮ICT潛能:賦予歐洲更多能力》報告,呼吁歐洲制定戰(zhàn)略以促進移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代技術的發(fā)展。2014年4月6日,加拿大推出旨在幫助國民共享數(shù)字化時代機遇的《數(shù)字加拿大150計劃》,以此構建更為聯(lián)通的信息社會,并將“確?;ヂ?lián)互通、增強安全保護、增加經(jīng)濟機會、數(shù)字政府和強化新媒體內(nèi)容”定為五大關鍵領域。2014年5月13日,日本公布了《智能日本ICT戰(zhàn)略》,期望通過基于ICT的創(chuàng)新實現(xiàn)經(jīng)濟增長,從而將日本打造成為全球最具活力的國家。
放眼全球,世界各國普遍意識到信息化是促進經(jīng)濟社會發(fā)展的利器,其本身已不只是一種手段,而是成為經(jīng)濟社會發(fā)展的目標之一,以及實現(xiàn)發(fā)展目標的重要路徑。
(1)信息化是發(fā)展現(xiàn)代經(jīng)濟的神經(jīng)中樞
信息技術能夠跨時間、跨空間,瞬間傳送、處理或控制大量信息。隨著信息技術的發(fā)展,不僅人們的日常生活發(fā)生了改變,就連經(jīng)濟、工業(yè)、行政管理等社會系統(tǒng)的工作效率、透明度、便捷性都得以快速提升。可以說,信息化已經(jīng)成為現(xiàn)實社會與經(jīng)濟可持續(xù)發(fā)展的必要基礎。
同時,信息化還能起到“創(chuàng)新孵化器”的作用,推動生產(chǎn)力發(fā)展,促進經(jīng)濟增長,創(chuàng)造更多就業(yè)機會和提高個人就業(yè)能力,并改善民眾生活質(zhì)量。通過推出國家信息化戰(zhàn)略,能夠進一步加強信息技術的研發(fā)和應用,培育有利于提升綜合國力的新技術、新產(chǎn)業(yè)和新領域,搶占未來國際競爭的制高點。
(2)信息化是解決社會問題的重要渠道
隨著互聯(lián)網(wǎng)的進化,各種各樣的移動設備、信息相互聯(lián)接,產(chǎn)生了各種形式的應用,培育了許多新型服務與新興產(chǎn)業(yè),為經(jīng)濟社會發(fā)展貢獻價值。信息化應用有助于更好解決當今社會面臨的一些重大問題,如:通過信息化應用,能夠讓老齡化社會中的老年群體過得更為安逸健康;讓區(qū)域經(jīng)濟實現(xiàn)綠色發(fā)展,建成低碳社會;能夠讓政府有廣泛的渠道聽取民意,在公眾積極參與和監(jiān)督下健全行政與財政體系。
2 制定國家信息化戰(zhàn)略所需的出發(fā)點
通過信息化建設,既要推動經(jīng)濟增長與社會進步,又要確保信息安全和網(wǎng)絡安全。因此,制定國家信息化戰(zhàn)略,要立足于促進經(jīng)濟發(fā)展,同時兼顧應有的社會效益。
(1)充分利用信息技術,構建新的社會體系
21世紀是人口老齡化的時代。我國已于1999年進入老齡化社會,是較早進入老齡化社會的發(fā)展中國家之一。隨著人口老齡化加劇,社會結(jié)構將出現(xiàn)較大變化。國家信息化戰(zhàn)略應該更加關注老齡化社會所帶來的社會系統(tǒng)變革。
例如,充分應對老齡化社會??梢酝ㄟ^信息化應用,促進老年群體發(fā)揮自身價值,積極參與社會活動。政府的政策不應停留在化“不便”為“方便”的角度,今后的戰(zhàn)略應通過綜合使用信息化工具與手段,構建有效調(diào)動老齡群體能力的社會系統(tǒng)與機制。
新的信息化戰(zhàn)略應該立足于解決錯綜復雜的社會問題,營造宜居城市與和諧社會,需要將信息化戰(zhàn)略視為城市建設、人才培養(yǎng)、社會建設的重要環(huán)節(jié)。同時,有必要同步推進公共基礎設施建設與驗證、完善相關規(guī)章制度,改善業(yè)務與信息流程、提高公眾意識與參與度、培育新社會系統(tǒng)所需的人才、完善勞動就業(yè)法規(guī)等。
(2)培育新興產(chǎn)業(yè),創(chuàng)造就業(yè)環(huán)境
在錯綜復雜、相互依存的世界經(jīng)濟中,我國有必要結(jié)合自身實力,積極發(fā)揮自身優(yōu)勢、積極培育與未來國際社會發(fā)展密切相關的產(chǎn)業(yè),如節(jié)能環(huán)保產(chǎn)業(yè)。通過信息化應用,創(chuàng)造資源節(jié)約型、環(huán)境友好型社會,將目前所面臨的環(huán)境制約等瓶頸轉(zhuǎn)化為未來發(fā)展的機會,保障經(jīng)濟平穩(wěn)快速發(fā)展、增加勞動人口的就業(yè)機會。
(3)保障網(wǎng)絡安全和國家安全
信息化正快速融入各個領域,電子政務、電子商務、工業(yè)生產(chǎn)、遠程教育、網(wǎng)絡銀行……同時,也給各個領域帶來了網(wǎng)絡和信息安全問題。尤其是近年來,網(wǎng)絡核心設備安全漏洞或后門難以防控,病毒泛濫防不勝防,網(wǎng)絡攻擊此起彼伏。因此,保障網(wǎng)絡安全和國家安全也應成為國家信息化戰(zhàn)略的出發(fā)點之一。
3 國家信息化戰(zhàn)略應關注的落腳點
筆者認為,國家信息化戰(zhàn)略應將重點落在電子政務、綠色ICT、物聯(lián)網(wǎng)社會、信息安全、信息化人才等五個方面。
(1)電子政務建設應轉(zhuǎn)向云計算和大數(shù)據(jù)
與許多國家相比,我國電子政務的發(fā)展水平明顯落后。新的時代,推進電子政務建設工作的重點應該是從以往的“互聯(lián)互通、實現(xiàn)數(shù)據(jù)共享”轉(zhuǎn)移到“統(tǒng)一化的云計算平臺、增值化的開放數(shù)據(jù)”。
2014年2月4日,印度政府推出名為“GI Cloud”的國家云計算計劃,以優(yōu)化政府的電子政務投資,加速數(shù)字公共服務的提供。筆者認為,這項計劃或許會開啟國家電子政務建設的新思路,政府電子政務系統(tǒng)通過充分采用云計算應用,能避免重復開發(fā),也無需投資新的硬件或軟件系統(tǒng)。
通過大數(shù)據(jù)、開放數(shù)據(jù)來完善電子政務系統(tǒng),能夠提高行政機構的工作效率、透明度,促使其提供更為優(yōu)質(zhì)的公共服務。同時,政府部門開放的數(shù)據(jù)如能被企業(yè)用來進行二次開發(fā),就可以創(chuàng)造更多價值,帶動經(jīng)濟發(fā)展。
(2)通過綠色ICT解決環(huán)境與能源問題
氣候問題是全人類共同面對的最重要課題之一。我國正積極與世界其他國家相互合作,制定長期的、有效的措施以應對氣候變化。而通過信息化應用,能夠讓每個設備與建筑實現(xiàn)節(jié)能減排,還能利用網(wǎng)絡優(yōu)勢,實施整體的環(huán)保措施。
例如,通過BEMS/HEMS(家用/建筑物用能源管理系統(tǒng))使能源消費可視化,引導公眾的節(jié)能減排意識;通過應用傳感技術,能夠合理調(diào)整照明與空調(diào)的使用時機等。
另外,隨著信息化應用的發(fā)展,也必然會導致信息傳播、存儲、處理時的數(shù)據(jù)量膨脹,致使耗電量大幅增多。為此,有必要推進環(huán)保型數(shù)據(jù)中心、采用虛擬化技術等綠色信息化戰(zhàn)略。
所以,綠色ICT應包含兩個層面。一是指電子設備本身的節(jié)能,即“Green Of ICT”;二是指通過ICT技術實現(xiàn)節(jié)能,被稱為“Green By ICT”。
(3)通過物聯(lián)網(wǎng)技術營造安全、便利的社會系統(tǒng)
應對快速步入老齡化社會、城市人口過度集中等我國經(jīng)濟社會發(fā)展面臨的難題,除了發(fā)展環(huán)境與能源技術之外,應用信息化也不可或缺。例如,靈活應用信息技術,推廣應用車間/車路通信技術、基于衛(wèi)星定位的駕駛輔助系統(tǒng),能夠讓包括兒童、老年群體等在內(nèi)的所有人安全、舒適、便捷出行;通過傳感器,能夠感知并監(jiān)測橋梁與道路的老化程度,提高對自然災害的預警能力,以及災害發(fā)生時應急處理的響應能力。以信息化作為支撐的物聯(lián)網(wǎng),將是未來建設智慧城市的重要領域。
2013年,美國的產(chǎn)學聯(lián)合會議“萬億傳感器峰會(TSensors Summit)”提出“萬億個傳感器覆蓋地球(Trillion Sensors Universe)”計劃,旨在推動城市基礎設施和公共服務中每年使用1萬億個傳感器。可以預見,不久的將來,我們身邊將到處布滿傳感器。
2013年,日本也啟動了“傳感器技術在社會公共服務中的應用開發(fā)項目”,項目內(nèi)容涉及對建造使用10年以上的橋梁及道路等進行維護管理、改善農(nóng)作物栽培環(huán)境、通過測量人類體征信息及時發(fā)現(xiàn)疾病等。
傳感器部署于城市各個角落,能夠采集大量的監(jiān)測數(shù)據(jù)信息。這些數(shù)據(jù)具有時間與空間屬性,可以將城市現(xiàn)實活動反映到網(wǎng)絡虛擬空間上,將這些信息匯集,通過數(shù)據(jù)分析,可以挖掘出新的價值。
(4)通過源代碼審查,確保信息安全和網(wǎng)絡安全
當前,我國對網(wǎng)絡信息安全的保護得到了空前的重視。筆者認為,我國網(wǎng)絡安全和信息化管理過程中最缺少的就是源代碼審查。
筆者曾經(jīng)為日本開發(fā)過10多年的計算機軟件系統(tǒng)與互聯(lián)網(wǎng)網(wǎng)站,所有的項目,作為成果來提交的不是安裝程序,而是源代碼。日本客戶通常會基于信息安全的考慮,在安裝/上線交付使用之前,會對源代碼進行審查。
對比下來,我國的軟件開發(fā)過程中,交付用戶的大多是安裝程序,用戶很有可能在不知不覺中安裝了帶有后門的軟件應用。國家信息化戰(zhàn)略中,為確保信息安全和網(wǎng)絡安全,應明確所有的硬件驅(qū)動、軟件應用和互聯(lián)網(wǎng)應用都要實施代碼審查,以防后門程序和安全漏洞。
(5)培育各個領域的信息化人才
實施信息化戰(zhàn)略,少不了對“人才”的需求。如果不能持續(xù)培育高級信息化人才,信息化戰(zhàn)略將形同虛設。高級信息化人才能夠引領未來10年、20年后信息化戰(zhàn)略深度發(fā)展,探尋新的信息化發(fā)展方向,推動經(jīng)濟發(fā)展,帶動社會進步。
目前,從各國制定國家信息化戰(zhàn)略來看,都明確提及了對高級信息化人才的培養(yǎng)規(guī)劃。
應該看到,培育高級信息化人才不僅僅是為了滿足企業(yè)的需求,中央部委、地方政府、醫(yī)療機構、教育機構等公共領域也需要大量錄用深入了解信息技術的專業(yè)化人才,以加快電子政務、醫(yī)療信息化、教育信息化建設,使公共機構的辦公效率、透明度得以提升。
4 國家信息化戰(zhàn)略也要與時俱進
筆者認為,國家信息化戰(zhàn)略中首先應明確發(fā)展目標、具體規(guī)劃、執(zhí)行責任。特別是何人、何時、何地負責什么,要有一個明確的執(zhí)行工作進度表。同時,規(guī)劃及進展情況,有必要定期以簡單明了的方式向公眾公開,廣泛聽取第三方對戰(zhàn)略規(guī)劃進展狀況、評價指標實現(xiàn)程度所進行的客觀評價,并基于評價不斷加以改進,按照PDCA(Plan、Do、Check、Action,計劃、實施、檢查、處理)的科學程序進行戰(zhàn)略的管理實施。
構建深度融合信息技術的新型社會系統(tǒng),至少需要5~10年時間。因此,信息化戰(zhàn)略應該作為國家中長期建設規(guī)劃加以實施。同時,信息技術日新月異,不斷發(fā)展。通過云計算、大數(shù)據(jù)等新技術的有效應用,甚至有可能短期內(nèi)在很大程度上影響經(jīng)濟與社會發(fā)展。為有效落實信息化戰(zhàn)略,還要靈活地根據(jù)技術發(fā)展的趨勢,適時調(diào)整發(fā)展規(guī)劃。
【關鍵詞】大數(shù)據(jù);信息安全;機遇與挑戰(zhàn);應對策略
大數(shù)據(jù)本身并不是一種產(chǎn)品,也不是一種新的技術,而是科學技術發(fā)展到今天在信息領域所出現(xiàn)的一種必然的現(xiàn)象。大數(shù)據(jù)熱潮的到來主要歸功于互聯(lián)網(wǎng)、云技術、物聯(lián)網(wǎng)等科學技術網(wǎng)絡的迅猛發(fā)展。大數(shù)據(jù)(bigdata)中的“大”只是一個相對的概念,它不單單指信息量的巨大,還包括在數(shù)量、質(zhì)量、傳播速度、涉及的領域、種類等方面的特點。下面,筆者將從大數(shù)據(jù)以及大數(shù)據(jù)時代的簡介出發(fā),進而分析大數(shù)據(jù)以及大數(shù)據(jù)時代的特點,由此挖掘出大數(shù)據(jù)對信息安全的機遇和挑戰(zhàn),并提出一些建設性的建議和意見。
1大數(shù)據(jù)及其特點
1.1大數(shù)據(jù)的定義麥肯錫(全球知名的咨詢公司)將大數(shù)據(jù)的概念確定為:無法用傳統(tǒng)的數(shù)據(jù)處理軟件對其內(nèi)容進行抓取、處理、發(fā)送等的數(shù)據(jù)信息。1.2大數(shù)據(jù)的特點1.2.1數(shù)據(jù)量(volumes)大大數(shù)據(jù)的數(shù)據(jù)量巨大,從傳統(tǒng)的TB級別,躍升至PB級別。1.2.2數(shù)據(jù)種類(variety)繁多數(shù)據(jù)的來源通道多,互聯(lián)網(wǎng)、云技術、物聯(lián)網(wǎng)、平板電腦、手機、PC以及遍布世界每一個角落的客戶端和傳感器都是大數(shù)據(jù)的來源。數(shù)據(jù)的格式和種類已經(jīng)突破了以往傳統(tǒng)的結(jié)構化的數(shù)據(jù)格式,呈現(xiàn)了半結(jié)構化的數(shù)據(jù)格式和非結(jié)構化的數(shù)據(jù)格式,。例如:網(wǎng)絡日志、通訊中的聊天記錄、圖片、視頻、地理位置、軍事偵察、醫(yī)療記錄、攝影視頻檔案、天文學等信息。1.2.3數(shù)據(jù)價值量(value)低由于大數(shù)據(jù)數(shù)據(jù)量的巨大,所以有價值的信息就相對較少。以視頻這種信息格式為例,不間斷的視頻播放,可能具有價值的信息就僅僅兩秒鐘而已。1.2.4數(shù)據(jù)處理速度(velocity)快大數(shù)據(jù)中包含有大量的在線和實時的數(shù)據(jù)信息分析處理。
2大數(shù)據(jù)時代的來臨
最早提出大數(shù)據(jù)時代已經(jīng)到來的機構也是全球最大的咨詢公司麥肯錫。麥肯錫在相關的研究報告中表示,數(shù)據(jù)已經(jīng)滲透到我們生活的各個領域、各個行業(yè),它已經(jīng)與我們的生活息息相關了,并且已經(jīng)成為了一種生產(chǎn)要素。人們對海量數(shù)據(jù)的生產(chǎn)與需求,必然會帶來新的一輪生產(chǎn)率增長和消費盈余的浪潮。大數(shù)據(jù)也已成為互聯(lián)網(wǎng)領域的熱詞,也已經(jīng)被金融領域高度重視。隨著科技、網(wǎng)絡的不斷進步和發(fā)展,數(shù)據(jù)成為一種資產(chǎn)已經(jīng)是不爭的事實。如果說云技術為數(shù)據(jù)的保管、傳播、訪問等提供渠道,那么如何運用數(shù)據(jù)這份資產(chǎn),并且讓它成為國家治理、企業(yè)運營、個人生活服務,就是大數(shù)據(jù)的核心和靈魂,也是云技術的發(fā)展方向和核心所在。現(xiàn)如今,全球各大互聯(lián)網(wǎng)的商業(yè)巨頭都已經(jīng)認識到了大數(shù)據(jù)這一新興資產(chǎn)的價值。惠普、IBM、微軟、EMC等全球的IT巨頭都在加緊收購與大數(shù)據(jù)相關的廠商來實現(xiàn)技術合作與整合。
3大數(shù)據(jù)給信息安全帶來的機遇與挑戰(zhàn)
3.1大數(shù)據(jù)給信息安全帶來的機遇
大數(shù)據(jù)實現(xiàn)了對傳統(tǒng)數(shù)據(jù)信息結(jié)構的解體,與傳統(tǒng)數(shù)據(jù)結(jié)構相比成為了一個具有流動性、信息共享與連接的數(shù)據(jù)池。通過這種靈活的大數(shù)據(jù)技術,人們可以在最大程度上利用人們以為無法有效利用的數(shù)據(jù)信息形式來實現(xiàn)對企業(yè)的高效運營,為企業(yè)的發(fā)展也帶來了更大的機遇。大數(shù)據(jù)信息技術的提高也使得數(shù)據(jù)信息安全工具和技術有所發(fā)展,讓信息安全的監(jiān)督更為的精細、高效與及時。3.1.1對大數(shù)據(jù)的挖掘和應用將創(chuàng)造更多的價值在大數(shù)據(jù)時代,大數(shù)據(jù)的發(fā)展重點已經(jīng)從數(shù)據(jù)的存儲與傳輸發(fā)展到了數(shù)據(jù)的挖掘和應用,這將引起企業(yè)發(fā)展的商業(yè)模式的變化,并且能為企業(yè)帶來直接的利潤,也可以通過積極的反饋來增強企業(yè)的競爭力。3.1.2大數(shù)據(jù)的安全更為重要,為信息的安全帶來了發(fā)展機遇在大數(shù)據(jù)時代下,信息的安全事件發(fā)展的次數(shù)增多,信息安全事件所引發(fā)的數(shù)據(jù)泄露并由此帶來的經(jīng)濟損失也越來越大。隨著科學技術網(wǎng)絡的不斷進步,大數(shù)據(jù)安全不僅是企業(yè)需要面臨和維護的對象,也是個人消費者要面對的對象。大數(shù)據(jù)已然滲透到我們生活的方方面面,這一切使得信息安全越來越重要。大數(shù)據(jù)提高了數(shù)據(jù)信息的價值,但是數(shù)據(jù)信息安全意識薄弱以及信息安全事件頻發(fā),并且損失加大,這樣日益嚴峻的安全形式對信息安全技術和工具均提出了更高的要求。目前所使用的信息安全技術、工具、管理手段以及相關的不能解決這個問題的方法、方式都應該得到發(fā)展,而大數(shù)據(jù)的發(fā)展為這一發(fā)展提供了巨大的可能性。所有這些,都為信息安全的發(fā)展提供新的機遇。3.1.3大數(shù)據(jù)時代下,加快了信息安全的發(fā)展速度,云技術擁有巨大潛力在大數(shù)據(jù)這條巨大的產(chǎn)業(yè)鏈中,參與者眾多,面積也十分廣泛。如果按照產(chǎn)品的基本形態(tài)來進行劃分,可分為硬件、應用軟件和基礎軟件三大類。云技術和信息安全縱貫這三大領域??v觀各個領域的國內(nèi)外的發(fā)展情況,信息安全和商業(yè)智能的發(fā)展速度最快,尤其是云技術,它將有更大的發(fā)展?jié)撃堋_@三者將成為大數(shù)據(jù)產(chǎn)業(yè)鏈的三大主要推動力。
3.2大數(shù)據(jù)給信息安全帶來的挑戰(zhàn)
任何事物的發(fā)展都具有兩面性。大數(shù)據(jù)的快速發(fā)展在為信息安全帶來發(fā)展機遇的同時,也帶來了一些挑戰(zhàn)。下面,筆者將從信息安全、技術、人才、國家等方面來對這一挑戰(zhàn)進行分析。3.2.1信息安全在大數(shù)據(jù)時代下,數(shù)據(jù)的收集、存儲、傳播、共享、分析、管理海量涌現(xiàn),面對這樣巨量的信息,傳統(tǒng)的網(wǎng)絡信息安全面臨著很多新的問題,安全成為今天的要務。這里具有兩個層面的意義,一方面,大量的數(shù)據(jù)信息必然包含著大量的個人隱私,以及各種行為的具體細節(jié)的記錄。這些數(shù)據(jù)的有效保護和不被濫用成為人身安全的重要保障;另一方面,大數(shù)據(jù)給數(shù)據(jù)的存儲、保護帶來了許多技術上的難題,很多信息安全技術和工具問題等待著我們?nèi)テD苦攻關,傳統(tǒng)的信息安全和技術已經(jīng)基本失去效用。3.2.2對數(shù)據(jù)的不正當?shù)脑鰟h和篡改與傳統(tǒng)上的數(shù)據(jù)技術理念不同,大數(shù)據(jù)技術是從海量的非結(jié)構化的數(shù)據(jù)信息中提取具有實際價值的信息,所以這要求大數(shù)據(jù)的信息必須是可靠的。舉一個例子,如果黑客入侵了大數(shù)據(jù)的系統(tǒng),并惡意的增刪和篡改了其中的數(shù)據(jù)信息,這必將對企業(yè)的運營和國家的決策以及個人的發(fā)展產(chǎn)生不良的影響。保證大數(shù)據(jù)信息的可靠性以及分析結(jié)果準確性是信息安全面臨的新課題。3.2.3對數(shù)據(jù)的盜取大數(shù)據(jù)技術所處理的數(shù)據(jù)量非常巨大,所以,通常采用的是云端存儲。因此,數(shù)據(jù)管理分數(shù)、用戶進行數(shù)據(jù)處理的場所也具有不確定性、非法用戶和合法用戶難以區(qū)分,容易讓非法用戶入侵,盜取重要的數(shù)據(jù)信息。3.2.4個人隱私的泄露在大數(shù)據(jù)時代下,個人隱私等安全信息問題已經(jīng)不是傳統(tǒng)上的信息安全問題,應該樹立新的安全觀。所確立的新的安全觀需要在為大數(shù)據(jù)的利用找到保護與開發(fā)的支點。3.2.5對國家決策的影響大數(shù)據(jù)時代下,信息量的迅速增長不僅僅要在存儲等設備上加大資金的投入,同時也需要國家更新信息化的戰(zhàn)略布局。如果國家的信息化戰(zhàn)略不及時的調(diào)整更新,保持原來的信息安全觀念不變,將很有可能失去發(fā)展的機會,減弱國家的競爭力。
4面對大數(shù)據(jù)給信息安全的挑戰(zhàn)的應對策略
技術的進步確為數(shù)據(jù)的處理、分析、存儲解決了技術和工具的難題,但對大數(shù)據(jù)的利用主要應該放在信息安全上。保證大數(shù)據(jù)信息安全,應該做到以下幾點:4.1發(fā)展科技、利用科技做支撐加大對大數(shù)據(jù)信息安全技術和工具的研發(fā)投入力度,要不斷取得技術上的突破,解決新問題,例如:檢測技術、監(jiān)測分析技術、云技術、加密技術等等。與此同時,還要關注世界信息安全技術的發(fā)展方向,發(fā)展機遇大數(shù)據(jù)挖掘的預測能力分析,提高我國的信息安全的戰(zhàn)略技術水平。4.2政策規(guī)范和引導國家應該及時調(diào)整信息安全策略,制定相關的政策,通過政策規(guī)范的引導和第三方的監(jiān)測,切實實施大數(shù)據(jù)的安全戰(zhàn)略。4.3積極學習,借鑒國外經(jīng)驗我們應該積極的借鑒國外的先進經(jīng)驗,加強頂層設計。加大力度研究信息防護的技術和產(chǎn)品,走出一條適合我國信息安全國情的、具有競爭力的和管理模式和技術的規(guī)范。
5結(jié)語
事物的發(fā)展都是具有雙面性,大數(shù)據(jù)在給信息的安全帶來機遇的同時,也帶來了前所未有的挑戰(zhàn)。本文通過對大數(shù)據(jù)以及大數(shù)據(jù)時代的特點的分析,結(jié)合目前的信息安全狀況,對大數(shù)據(jù)時代下,信息安全所面臨的機遇和挑戰(zhàn)以及面對挑戰(zhàn)的應對策略做了研究和探索,希望對增強我們國家的信息安全有建設性的作用。
參考文獻
[1]張有春.大數(shù)據(jù)對信息安全相關問題的初步認識[J].科技促進發(fā)展,2014(11).
[2]聶俊.面向云技術教育大數(shù)據(jù)的信息安全策略研究[J].科學與財富,2015(15).
[3]張旭.大數(shù)據(jù)時代面臨的數(shù)據(jù)安全與挑戰(zhàn)[J].中國科技縱橫,2015(12).
[4]沈慧,李鑫.大數(shù)據(jù)帶來的安全思考[J].電子世界,2015(15).