内容摘要:习近平总书记在全国网信工作会议讲话中指出,没有网络安全就没有国家安全,就没有经济社会稳定运行。要推动互联网、大数据、人工智能和实体经济深度融合。“十二五”以来,内蒙古把大数据作为产业转型升级、转变经济发展方式的重大举措,统筹推进,取得积极成效。但同时也应看到,自治区在保障大数据安全方面还存在诸多问题,面临着一些挑战。贯彻落实国家、自治区对网信安全和信息化新要求,迫切需要从管理、体制机制、基础设施、监测预警等方面加强建设,全面提升内蒙古大数据安全保障能力。
随着大数据技术的日益成熟,大数据在各行各业中的应用范围不断扩大。当前,掌握和运用大数据的能力正日益成为衡量一个国家和地区经济社会发展程度的重要标志。
一、内蒙古大数据安全面临的挑战
(一)大数据安全平台建设滞后
目前,自治区已初步建成环保、卫生、社保、质检、税务、信用等大数据应用平台,气象、消防、林业等大数据平台有序推进。但针对网络安全信息汇聚共享和关联分析的平台尚未建成,在一定程度上影响了我区对数据风险因素的感知、预测和防范能力。
(二)数据标准尚不统一
当前我区大数据硬件建设发展较快,但数据开放共享进展缓慢,信息孤岛、数据碎片化问题突出。从自治区政务信息系统看,41个部门766套信息系统使用了11个品牌数据库,致使数据结构不规范,数据标准不统一,数据库管理软件兼容性差,使数据整合、安全管理难度加大。
(三)数据开放共享程度不高
信息共享包括政府部门间、跨行政区域间、政府与企业间数据共享。目前,自治区数据开放共享主要存在三方面的问题:一是由于条块分割等原因,各单位把数据资源当做自己的权利,过分强调数据安全、保密或出于部门利益,致使公共信息资源不能共享和交换,数据孤岛还大量存在;二是数据开放共享的制度体系还不够完善,使信息资源共享进展缓慢;三是共享开放渠道不畅,数据资源共享平台建设滞后。
(四)大数据安全认识不到位
网络信息安全的投入不完全是安全产品和工具的投入,还包括操作流程应急处理机制的投入,需配套与安全产品相适应的的过程管理机制。从我区看,大多数单位完成了信息系统安全等级保护工作,制定了网络安全应急预案等信息安全管理制度,但还有部分单位对安全认识还不到位,存在着重安全产品投入、轻安全管理投入等问题。
(五)相关政策法规不完善
根据大数据安全管理的需要,我区发改、财政、科技、人社、组织等相关部门都分别制定了相应的促进举措,但相关措施还存在着针对性不强、政策支持分散等问题。个别政策存在有指导意见、没有落地的实施细则等问题,致使实际操作过程中政策落实难度加大。我区大数据安全保护等方面的法律法规尚不完善,全面系统的大数据应用安全保障机制、安全评估机制尚未建立,相关的大数据立法工作有待加快。
(六)产业生态较弱
产业健康可持续发展的一个重要特征就是形成了完整的产业链条和多层次的生态体系。以自治区大数据产业为例。目前,各领域大数据企业分工不明确、交流合作不足、协同力度不够;大数据行业协会、产业联盟发展还较滞后,这些问题增加了大数据统一管理的难度,加大了数据安全风险。二是软件业发展滞后。2017年,我区软件业营业性收入仅为25.4亿元,而北京为7983.3亿元、浙江为6113.48亿元、山东为5803.24亿元。三是专业技术人才匮乏。自治区由于成熟的大数据人才培训体系尚未建立,这种复合型人才明显短缺。
二、提升内蒙古大数据安全保障能力的思路和举措
深入贯彻全国网络安全和信息化工作会议精神,全面落实自治区对全区网络安全和信息化工作的部署要求,基于目前我区大数据安全存在的问题和面临的挑战,迫切需要从大数据管理、体制机制、基础设施、监测预警等方面加强建设,全面提升内蒙古大数据安全保障能力。
(一)高度重视大数据安全管理
1.加强大数据安全顶层设计
一是加强大数据安全的组织领导。大数据安全同其它安全一样,三分靠技术,七分靠管理。在自治区大数据发展领导小组领导下,各地区各部门要加快建立健全大数据发展管理机制,制定实施方案和配套措施,完善大数据发展管理规章制度,确保各项工作任务落实。二是加快大数据安全的总体谋划。基于国家战略的大数据顶层设计,以《内蒙古自治区大数据发展总体规划》为指导,在数据安全管理、敏感数据管控、平台安全防护、数据安全评估等方面总体规划,明确数据资源保护近期、远期工作重点。三是把数据资源视为国家战略资源。将大数据资源保护纳入到国家网络空间安全战略框架中,构建大数据环境下的信息安全体系,开展大数据安全风险评估工作,提高应急处置能力和安全防范能力,提升服务能力和运作效率。
2.健全大数据安全政策法规
一是完善相关政策。基于数据安全,制定覆盖大数据产业生态可执行的规章制度和实施细则,指导大数据产业生态安全保障工作的开展。同时,对已出台的相关政策,加快出台配套的指导意见、实施细则等政策文件,完善结构性政策、功能性政策、鼓励性政策等文件。二是健全大数据法律法规。在《内蒙古自治区大数据发展总体规划(2017-2020年)》的基础上,制定出台自治区政务信息资源共享管理暂行办法和政府信息资源、公共信息资源开发目录。拓宽现有法律法规的调整范围,将工业互联网、农牧业互联网、云计算等信息技术应用场景下的数据保护纳入法律法规调整范畴。
3.强化大数据人才队伍建设
一是发挥本土人才优势。自改革开放以来,自治区已先后培养出几十万计算机、数学、统计等相关专业大学生。其中,有不少已成为行业高端人才。围绕打造本土人才经济,加快对本科以上大学毕业生进行摸底,纳入自治区人才信息库。通过举办“资智回内蒙古”专场会、座谈会、创业政策等方式,鼓励本土人才回乡投资创业发展。二是创新人才培养模式。与京津冀地区合作,联合培育大数据应用型人才,合作建立大数据实训基地。推进区内高校与国内外知名院校、科研机构、企业联合办学,共同建设人才培养基地。支持企业与高等院校、职业院校合作,创建“政、企、产、学、研”一体的人才培养平台,为企业培养定向人才。三是创新人才引进模式。加强高层次人才团队的引进。依托“草原英才”工程和大数据项目,着力提升各类人才平台和产业平台对创新创业人才的承载能力,推进科研工作站建设,吸引创新人才团队来我区,推动大数据产业发展。出台人才“转移支付”政策,扩大盟市人才引进规模,实现区域人才协调发展。
(二)加强大数据安全体制机制建设
1.建立数据安全责任分工制度
一是加强数据分类分级管理。制定大数据安全管理责任分工制度,明确云平台运营商、各应用单位、网信办等部门在云平台的物理安全、网络安全和数据库安全的职责划分。实施大数据等级保护制度,按照行业领域、数据价值、数据特征等属性进行分类管理,严格实施大数据基础平台建设和数据应用的“事前”审批制度。二是健全大数据保护的考核机制。针对不同单位和不同岗位的职责、工作特点,设计量化考核指标和标准,建立部门主要领导负责的大数据安全绩效考评机制。同时,配套建立激励机制和督办机制,将数据采集、存储、分析、挖掘、使用、传输、开放等全生命周期的关键环节纳入监督范围,对各单位大数据安全工作的落实情况进行评估。
2.加快大数据安全标准制定
充分发挥标准的指导和引领作用,开展自治区标准与国际标准、国家标准和行业标准的配套衔接工作,出台《内蒙古自治区大数据标准体系》等标准规范。推进政务数据采集、开放、共享、分类、质量、安全管理及流通等关键共性标准制定,建立完善的信息资源目录分类、采集、共享交换、平台对接、网络安全保障等方面的标准,形成完善的信息资源共享标准体系,提升数据保护能力和水平。
3.完善信息共享机制
一是推进政务信息资源整合共享。以共享信息管理、信息共享交换、目录管理服务为核心,加强政务数据资源管理,建立数据资源全生命周期管理的操作规程和工作机制,推进医疗、社保、教育、科技、生态、环境等公共服务信息资源库建设,逐步建设形成一体化的信息共享交换平台。二是培育交叉融合的大数据新业态。编制公共数据资源开放目录,形成统一的数据查询检索、资源管理、权限管理、安全脱敏等功能,促进政府部门、事业单位、行业企业间的数据交易流通,有序向社会开放公共数据资源。加快建立大数据市场交易标准体系,支持大数据企业与传统行业的技术和数据对接,形成多元化合作运营模式。加强信息资源从采集、共享到使用的全过程网络安全保障工作。
(三)提升大数据安全基础保障能力
1.加强信息基础设施建设
一是加强信息网络设施建设。进一步完善全区互联网骨干网、城市和农村牧区宽带网络,推进4G网络优化和无线局域网建设,加快布局建设空间信息基础设施,扩容互联网出口宽带,提升区内、省际网络宽带和流量的衔接能力。完善国际、省际干线光缆,提升网络骨干传输和交换能力,拓展互联网出区带宽。 二是加强信息安全系统建设。加快互联网舆情应急指挥平台和网络安全态势感知平台建设,推进自治区级、企业等网络个人信息保护态势感知、监控预警、测评认证平台建设,加强大数据环境下防攻击、防篡改、防泄露、防窃取、防病毒的监测、预警、控制和处置能力建设,形成统一、可管控的安全系统。
2.加强大数据安全关键技术开发
一是加强数据安全关键技术的研发。加快建立激励机制,设立自治区大数据安全基金,通过科研和专项经费支持,推进可信计算和加密算法等安全技术研究。加强与国内外科研机构和企业的合作,联合开展技术攻关,开展数据接口、传输、存储、脱敏、溯源和审计等数据应用的安全技术研发。 二是强化大数据安全产品研发和服务。积极搭建合作平台,推进安全企业、数据运营单位、科研机构和高等院校合作开展大数据安全产品研发。创新大数据技术服务模式,支持有条件的盟市设立大数据安全创业科技园,推动传统网络安全服务企业向大数据安全服务转型。
(四)强化大数据安全监测预警能力
1.健全数据安全监测预警机制
一是完善大数据安全管理制度。落实网络安全检查、等级保护、风险评估、应急处置等网络安全制度,推进数据安全保护测评体系建设,提高测评机构的技术检测能力。开展大数据平台及服务商的可靠性及安全性评测、应用安全评测、监测预警和风险评估。二是加快信息安全通报制度建设。建立自治区数据安全监测预警和通报处置工作机制,建立覆盖自治区、盟市、旗县三级立体数据安全监测预警和信息通报处置体系。定期对数据存储、交易、使用的具体情况进行安全检查,对发现的问题进行及时通报并整改。三是建立行业监督机制。充分发挥行业自律作用,鼓励和引导各行业组织积极制定大数据安全行规行约,成立行业或区域性的大数据安全联盟等组织,建立行业内互相监督机制,实现政府监管和行业自律相互协同形成合力。
2.加快大数据安全预警平台建设
大数据安全预警平台是以等级保护云技术安全要求为标准,通过对业务安全和系统安全所面临的安全风险进行定制化模型分析,对整体安全态势进行多维度展现,实现信息安全整体态势感知以及发展趋势的有效预警。预警平台主要实现系统安全事件分析、安全趋势预测等功能。