李克强总理在2016年的《政府工作报告》中也指出,“加大依法监管力度,维护网络和信息安全”。全国人大常委会委员长张德江在2016年3月9日所作的全国人大常委会工作报告中强调,今年将制定《网络安全法》等多部法律。这证明网络和信息安全已上升到国家战略高度。
我国目前面临着哪些网络安全问题?这些问题怎么解决?2016年两会,多位代表对网络安全提出许多建议。
全方位多层次关注网络安全
中国信息通信研究院发布的《2015年中国大数据发展调查报告》显示,受访的国内企业中,已有超过55%的企业部署了大数据应用。2014年中国大数据市场规模约为84亿元,2015年达到115.9亿元,增速达38%,预计2016年—2018年中国大数据市场规模将维持40%左右的高速增长。业内分析,在未来5年—10年,中国大数据产业将迎来黄金增长期。
全国人大代表廖仁斌认为,大数据安全是制约大数据产业发展的主要障碍,若大数据安全不能保障,公民将不愿贡献个人数据,各个行业将会减少大数据平台和应用的部署和共享,一个原本快速增长的大数据产业,将会在数据安全的威胁中失去活力,国家也会失去发展大数据的机会,从而直接影响国家经济与社会发展。
大数据时代的到来,使得网络安全问题更加凸显,主要表现在以下三个方面:
首先是公民个人信息和隐私安全问题。大数据的汇集不可避免地加大了公民个人信息和隐私数据信息被泄露的风险。大数据时代,想完全屏蔽外部数据商挖掘个人信息非常困难。目前,电子邮件、微信、微博、视频发布、电子商务、科学计算、社交网络等已成为人们日常数据交流发布的平台。而通过数据中大量的个人信息,可以关联分析和挖掘出公民个人身份、账户、位置、轨迹等敏感或隐私信息,使得对大数据的采集和利用很容易侵犯公民的个人信息和隐私,恶意利用的技术门槛大大降低。
其次是行业和企业数据安全问题。各个行业和企业在利用大数据获得信息价值的同时,也在不断累积风险。大数据通过分布式云化计算,在系统中进行上传、下载、交换的同时,极易成为黑客与病毒攻击的对象,大数据平台和各类应用服务系统一旦被入侵并产生泄密,则会对行业和相关企业的信誉、研发、销售、服务和品牌等多方面带来严重冲击,并带来难以估量的损失。
再次是国家安全问题。各个国家在信息设施和重要机构以及能源、交通、金融、商业等重要基础设施与军事设备等都依赖信息网络,海量数据的采集、传输、存储、处理过程,都存在遭受攻击的可能性,信息设施和重要机构等都可能成为攻击目标,国家安全甚至可能受到信息战的威胁。若数据管理和技术防范不当,大数据还可能成为网络恐怖主义利用的新资源,网络恐怖主义可通过分析工具窃取无所不在的数据资源,获取情报,进而威胁国家安全。
全国人大代表马化腾重点关注了信息诈骗犯罪等社会问题。中国互联网协会《中国网民权益保护调查报告(2015)》显示,我国网民近一年来因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失约805亿元。他认为,没有一个安全健康的网络环境,没有了生存的土壤,再好的互联网产品和服务都没有意义。
构建网络安全新生态
建立安全的量子互联网
全国政协委员、中国科学技术大学常务副校长潘建伟院士从技术角度切入,表示未来要形成天地一体的全球化量子通信基础设施,形成完整的量子通信产业链和下一代国家主权信息安全生态系统,构建基于量子通信安全保障的未来互联网,即“量子互联网”。
“从原理上来说,量子通信是无条件安全的通信方式。”潘建伟说,“由于作为信息载体的单光子不可分割、量子状态不可克隆,所以可以抵御任何窃听的密钥分发,进而能保证用其加密的内容不可破译。”
潘建伟、陆朝阳等不久前在国际上首次实现基于半导体量子点的高效率和高全同性的单光子源,综合性能达到国际最优,为实现基于固态体系的大规模光子纠缠和量子信息处理技术奠定了科学基础。
潘建伟介绍量子通信的发展路线时表示,可以通过光纤实现城域量子通信网络、通过中继器连接实现城际量子网络、通过卫星中转实现远距离量子通信,最终构成广域量子通信网络。
2016年下半年,“京沪干线”大尺度光纤量子通信骨干网即将建成。“这条量子干线连接北京与上海,贯穿山东济南、安徽合肥等地,是千公里级高可信、可扩展的广域光纤量子通信网络,属世界首例。建成后将广泛用于金融、政务等领域信息的安全传输。”潘建伟说。
加强行业自律为大数据安全立法
为防止信息泄露带来的危害,保障个人、行业和国家的数据安全,全国人大代表、天津市工业和信息化委主任李朝兴建议,“我国大数据法治建设已迫在眉睫,需要尽快提上议程。”。
廖仁斌也为大数据安全立法建议:“由于运用大数据的主体是现实中的产业链参与者,建议明确各方权利义务,让数据资产归属者的主权受到法律保障。”
但李朝兴认为,由于大数据发展领域新、涉及面广、专业性强,目前立法时机还较不成熟。可按照“急用先立,成熟先立”的原则,由国务院出台大数据发展促进条例,之后在实践中修改完善,待条件成熟后再上升为国家法律。
廖仁斌也提出大数据安全立法有一定的滞后性,建议首先重点构建政府监管和行业自律机制,构建大数据安全政府监管和行业自律机制。
首先建议在中央网络安全和信息化领导小组的统筹领导下,构建国家部委行业监管和行政区域监管的矩阵式监管体系。其次,实施大数据等级保护制度。再次,要充分发挥行业自律作用,鼓励和引导各行业组织积极制定大数据安全行规行约,建立行业内互相监督机制,实现自律约束、自律管理、自律惩戒。
健全大数据安全标准和认证机制
数据安全还必须从标准入手,健全大数据安全技术标准和认证机制。未来几年,大数据基础平台和数据应用的数量将爆炸性增长,迫切需要健全完善大数据安全技术标准和认证机制。
廖仁斌建议,一是国家尽快制定统一的大数据安全技术标准,综合行业和区域的共性特点,针对信息保密、权限控制、可信性甄别、安全防护、攻击溯源、数据灾备和应急处置等方面形成基本安全规范。
二是在国家统一大数据技术标准上,深入制定行业和区域的技术规范和防护标准,进一步保证本行业和本区域大数据的规范应用。
三是建立健全我国大数据安全认证体系,成立专门认证机构,任何单位、企业和个人要建立运营大数据业务必须要先通过本行业、本区域指定的大数据安全认证组织的评估认证。
推动大数据人才管理加强安全宣传教育
廖仁斌还提出要推动大数据安全产业和人才培养同步蓬勃发展。
一是通过加大资金投入、设立国家大数据安全基金等方式推动大数据安全技术研发,鼓励国内机构参与制定国际大数据安全标准。
二是助推大数据安全产品和服务产业创新发展,政府部门搭好平台促进安全企业、数据运营单位、科研机构和高等院校合作开展大数据安全产品研发,支持有条件的地区设立大数据安全创业科技园。对于国产化的大数据安全产品和服务,各级政府部门要实施首购制度,尤其是对实现国产自主化的软硬件设备要进行全面替代推广。
三是国家实施大数据安全人才战略,通过培养、引进高层次大数据安全创新创业人才等方式,形成人才梯队,为我国大数据安全发展提供强大的人才支撑和保障。
同时,廖仁斌认为要加强大数据安全保护的宣传教育,比如通过各种渠道对公众开展个人信息安全和隐私保护教育,设立大数据安全日等,鼓励和动员公民个人、新闻媒体、认证服务机构等社会各界监督和曝光数据安全违法行为,形成共享共治、齐抓共管的良好社会氛围。