安全威胁泛化倒逼数据保护技术革新

伴随新技术新业务的创新发展和应用普及，数据安全面临着来自多方全新挑战。我国的数据保护已经起步且发展迅速，但与国际相比仍有追赶空间。建立完善的数据保护体系，为我国的数据资源和公民信息提供全方位的保护，将是未来数据安全工作，乃至网络安全工作需要解决的重要问题。

新技术伴生新威胁

由于网络数据价值不断凸显、数据使用主体日渐多元、数据破坏动机复杂多样，数据安全面临着多方面严峻的挑战。

网络基础设施频受攻击，数据丢失及泄露风险加大。存储海量数据的IDC、云平台、重要业务系统成为网络攻击重点目标，导致用户信息泄露事件连接不断：2014年苹果公司iCloud平台众多好莱坞明星照片被盗外泄，小米论坛800万用户数据泄露，智联招聘86万用户简历泄露;2015年12306网站13万用户的账号、明文密码、身份证与手机号码等信息遭到泄露。

新兴业态融合导致威胁蔓延，数据安全威胁全面泛化。“互联网+”时代不断催生新产品、新服务、新业态，诸如工业物联网等新兴领域中聚集了大量的数据资源。万物互联下网络攻击正逐步向各类新型网络、业务系统及联网终端渗透，安全威胁的范围和内容不断扩大与演化，伴生性安全威胁和传统的安全威胁持续交织显现。

新型攻击和高危漏洞层出不穷，倒逼数据保护技术革新。ATP等新型网络攻击不断出现，攻击频率日趋密集，威胁范围不断扩大，导致现有数据安全保护策略已无法有效应对。全球性高危漏洞事件时有发生且危害严重，Bash漏洞影响范围遍及全球约5亿台服务器及其他网络设备，心脏流血漏洞威胁我国境内约3.3万网站服务器。

数据跨境流动成为关注热点，开放共享与安全保护矛盾凸显。随着数据价值的体现和科技的发展，数据跨境流动日趋频繁，以经济和民生需求为导向的数据开放共享需求日益强烈，但各国针对数据跨境流动监管态度各异，博弈激烈，数据开放共享带来的隐私保护等安全问题已成为长期存在并有待解决的难题。

各国数据安全工作

当今各国对于数据安全重要性的认识不断加深，积极开展数据安全保障实践。

——全球各国数据保护立法进程加快

美国修订《对外情报监听法》，为监听项目的开展提供法律依据;积极推动《网络安全信息共享法案》的出台。欧盟通过新版《数据保护法》，强调本地存储和禁止跨国分享，并拟于2015年制定实施在欧洲大陆通用的数据保护法规。俄罗斯2015年起实行新法，规定收集俄公民信息的互联网公司都应将这些数据存储在俄罗斯国内。

——全球各国纷纷出台涉及数据安全的国家战略及政策，重点聚焦法令实施及数据跨境流动监管

印度在2014年3月出台的国家电信安全政策指导意见草案中，对移动数据的管控和保护作出了规定。日本在2013年“创建最尖端IT战略”中，阐述了开放公共数据和大数据保护的国家战略。法国在“未来投资计划”落实云计算数据安全保护政策。英国“Data.Gov.uk”数据开放网站项目实测开放政府数据保护政策的应用效果。

——发达国家数据安全的行政监管体制以政府主导和行业自律为主

政府主导型保护体制指专门特设保护机关负责个人信息保护，如英国信息委员会办公室、法国国家信息和自由委员会、德国联邦数据保护委员会。美国对商业领域私营企业和社会的个人信息保护主要由行业协会通过自律公约进行管理，其“TRUSTe组织”已发展为美国著名的隐私权保护第三方认证机构之一。

——全球各国加紧标准的研制与完善，充分发挥标准与安全评估对数据安全保障策略的规范和促进作用

为应对新技术与新业务安全需求，各国标准制定机构和国际标准组织纷纷在原有标准的基础上，进行补充和完善，形成有针对性的、细化的保障方法和相关要求。同时，各国以评估作为监管抓手，应用相关标准度量新技术新业务场景下的安全性，如美国要求被纳入政府采购范围的云服务商通过FedRAMP评估，内容涉及注重隐私权要求与底层基础架构安全等。

新形势下的应对思路

为有效应对新形势下的数据安全挑战，应从当前面临的数据安全挑战出发，不断完善管理制度，多管齐下，多措并举，构建全面的数据安全保护体系。

——以法律法规为准绳，推进数据安全保护立法进程

通过立法明确数据保护的对象、范畴和违法责任等，制定关于数据开放共享和跨境流动监管的法律条款，防止国家重要数据资源的流失。将云计算、工业互联网等新技术新应用场景下的数据保护纳入法律调整范畴。

——以战略政策为方向，出台国家数据安全保护战略

出台国家层面的网络安全综合战略，并为数据安全单独设章，从国家安全的高度定位数据安全。制定通信、金融等重点行业的关键数据和用户信息的跨境流动监管政策，推动我国公民个人信息的境内存储。积极参与国际数据保护规则的制定，提升我国在数据保护领域的话语权，为我国开展数据安全保护营造良好的国际环境。

——以行政体制为保障，强化数据安全监管体系建设

国家层面设置数据保护管理机构，对数据保护进行统筹协调;各行业设数据保护的接口单位，负责开展行业内数据保护工作。完善数据保护行政监管体系，确立数据保护的行业监管模式，建立覆盖备案、评估、举报、处罚等各个环节的数据保护行政监管机制，加强针对数据泄露、跨境流动、攻击防范等重点安全问题的行政监管。

——以标准评估为支撑，推动检测评估体系不断健全

构建我国数据安全标准体系，制定和实施通用与专用的数据安全标准。引导行业内第三方机构开展数据安全相关的检测和评估，提高企业的数据保护意识和社会责任感。开展针对数据跨境流动的安全评估，有效规范数据跨境流动。

作者：张彦超 丰诗朵 赵爽

来源：51CTO