亮报:探索大数据|数据安全 远离大数据的陷阱
《亮报》在4月22日8版刊发《数据安全 远离大数据的陷阱》大数据专题科普内容,并对中心员工进行了专访,原文如下:
在我国,数据安全已引起国家、企业和个人的广泛关注。自2016年以来,我国相继发布法律法规,加强数据安全监管,同时,不断加大对数据和个人信息安全的监管和处罚力度。美国、欧盟等国家和组织相继发布了相关法规条例,推进数据安全治理。
数据面临的威胁
据《法制日报》报道,2月9日起,全国许多地区陆续复工复产。为做好疫情联防联控工作,基层单位广泛落实人员申报登记制度。与此同时,个人信息泄露现象在各地频现。如何在疫情防控与个人信息保护之间求得平衡,成为目前亟须解决的问题。
中央网络安全和信息化委员会办公室2月9日发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》强调,收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。
据外媒报道,4月7日,美国国家航空航天局(NASA)发现,在新冠肺炎COVID-19大流行期间,黑客针对美国宇航局系统和在家工作人员的恶意活动显著增加。越来越多的威胁行为者发送恶意电子邮件,最终目的是用恶意软件和网络钓鱼敏感信息感染员工,这些信息随后可能被用来访问关键的NASA系统和敏感数据。近年来,数据发挥出越来越重要的价值,逐渐成为攻击者重点攻击的目标。通过网络攻击获取大量数据、用户隐私、个人信息,进而谋取高额利润,已成为非法个人、组织常用的手段,给企业和个人带来巨大损失。
数据安全法律法规
2016年以来,我国相继发布了《中华人民共和国网络安全法》《信息安全技术 网络安全等级保护基本要求》等法律、标准,加强数据安全监管,指导数据安全建设。下一步,国家将制定《数据安全法》《个人信息保护法》等,以及数据出境安全评估、重要数据识别等配套标准,为企业数据安全工作提出更深入的要求和指引。
同时,我国不断加大对数据和个人信息安全的监管和处罚力度。2019年8月以来,多家数据公司由于侵犯公民隐私、非法使用数据等相继被调查。
根据《大数据白皮书(2019年)》,数据安全的概念来源于传统信息安全的概念。在传统信息安全中,信息安全的主要内容是通过安全技术保障数据的秘密性、完整性和可用性。
在数据采集阶段、存储阶段、处理阶段、删除阶段等不同的数据生命周期,有着不同的数据安全技术。当前,我国数据安全法律法规重点关注个人信息的保护,大数据行业整体合规也必然将以此作为核心。
美国、欧盟等国家和组织相继发布了相关法规条例,推进数据安全的治理工作。欧盟发布《通用数据保护条例》(GDPR,2018),美国发布《2018年加州消费者隐私法案》(CCPA)。其中,欧盟《通用数据保护条例》(GDPR)明确了个人信息保护的七项原则,其中包括:合法透明原则、目的限制原则、最小必要原则、准确性原则、存储限制原则、完整性和保密性原则、责任原则等。
电力大数据面临的挑战
国家电网有限公司数据呈现数据量多、用户规模大和覆盖面广等特点,与政府等第三方合作伙伴存在大量共享需求,数据安全防护措施不足,管控难度持续加大。
数据中心是海量数据的集中分析、处理、共享、运营中心,为公司内外部提供数据服务,确保企业数据、用户隐私以及个人信息安全责任重大。
网络和数据安全技防体系
国网大数据中心高度重视网络和数据安全工作,按照国家电网有限公司数据业务发展需要,坚持做好数据安全顶层设计,严格落实“三同步”原则,第一时间建立数据安全合规管理体系,打造科学合理、技术先进的数据安全技防能力。
【专访】
围绕国家电网有限公司数据安全工作,近日,本报记者对国网大数据中心安全质量与合规部大数据安全处副处长刘圣龙进行了专访。
《亮报》:面对国家电网有限公司的海量大数据,截至目前,国网大数据中心在安全合规保障方面,主要有哪些方面的进展?还存在哪些困难?
刘圣龙:国家电网有限公司是国家关键信息基础设施运营单位,公司的网络和数据安全受到国家高度关注,大数据安全工作新,也是关注的热点。国网大数据中心作为国家电网有限公司专业的数据管理机构,高度重视数据安全合规,开展了一系列工作,为数据业务发展提供安全合规保障。一是分析解读《网络安全法》等法律法规,制定数据安全红线要求与合规指引;二是建立中心网络和数据安全制度,明确职责和安全要求;三是重点强化内部数据接触人员安全管理,防范由于人员管理不到位导致的数据泄露事件,通过安全宣传、事件教育等提升数据安全合规风险意识;四是加强流程管控,针对各数据使用场景制定数据审批流程;五是按照国家法律法规要求,保障数据业务、数据产品生命周期全过程的安全性和规范性,针对数据产品和数据服务明确通用合规要求,制定合规指南;六是强化安全运营,针对数据中台制定总部数据中台安全运营方案,常态开展总部数据中台安全运营工作。
存在的困难包括:1.数据安全法律法规正在快速建设,企业实践需要探索。我国数据安全专业领域的《数据安全法》《个人信息保护法》等还在筹备阶段,这给企业数据安全建设带来了不确定因素,数据安全策略、管理机制、安全措施、人才队伍还有待落实,企业数据安全工作任重道远。2.数据的保护是动态的防御,与传统安全工作不同。系统、业务、组织边界将进一步模糊,数据产生、流动、处理等过程比以往更加多样,使数据在保密性、完整性、可用性等方面面临更严峻的挑战。同时,数据开放共享以及频繁流动使安全防范更加困难。3.数据安全是新问题,面临新挑战,需要很多的技术创新来支撑和保障。
内容来源:亮报