当下数据安全面临的挑战与安全防护策略
中科至善 2024-04-11
伴随数据要素化进程的高速发展,数据正逐渐成为国家和企业的核心战略资源。数据在广泛释放价值的同时,也面临着被泄露、篡改、破坏,滥用的巨大威胁,新形势下的数据安全风险形态也呈现多样化、复杂化特点,造成对个人、组织、社会公共利益甚至国家安全的严重威胁和损害。
针对数据安全威胁与监管合规要求,需要面对越来越多严峻和紧迫的数据安全挑战:如何在数据资产的开发利用、价值实现与安全保护、履行合规义务之间进行恰当平衡。如何在数据安全方面编制合理的制度策略和选取适宜的技术措施。
一、数据安全当前面临的8大挑战:
1、跨境数据流动带来国家安全隐患:在国家博弈持续加剧的背景下,数据作为国家重要的生产要素和战略资源,其日益频繁的跨境流动带来了潜在的国家安全隐患。具体来说,流转到境外的情报数据更易被外国政府获取;我国战略动作易被预测,陷入政策被动;我国以数据为驱动的新兴技术领域竞争优势将被削弱。
2、互联网平台企业滥采滥用个人信息并实施数据垄断:由于互联网平台企业的业务大都由数据驱动,数据成为了平台企业发展和盈利的核心引擎。基于数据收集使用创新商业营收模式,成为了各个平台企业追求的商业目标,由此也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。
3、数据贩卖严重侵害个人隐私:国内数据黑市猖獗,外部攻击者利用爬虫等技术窃取并倒卖个人数据,内部人员也常成为非法数据交易链源头,平台之间也通过暗箱操作进行数据兜售,这些都给个人隐私带来了极大危害。
4、大数据杀熟与价格歧视:平台企业利用所掌握的数据以及大数据技术,对消费者的消费行为进行精准刻画,进而在用户不知情的情况下,对不同用户采取不同的价格机制与定价策略,从而最大程度上攫取利益。
5、高价值特殊敏感数据泄露风险加剧:近年来,除电子商务、社交等领域的用户数据发生大规模泄漏之外,政务、医疗及生物识别信息等高价值特殊敏感数据也逐渐成为了数据泄露的重灾区。这些数据一旦泄露,会对社会和经济造成巨大影响。
6、重要数据安全面临外来攻击威胁加大:具有政治背景的境外黑客逐渐加大对我国关键信息基础设施攻击力度,试图获取我国机密重要数据,这对我国的数据安全构成了严重威胁。
7、新技术新应用催生新型数据安全风险:随着新技术的不断发展,如人工智能、云计算、物联网等,数据的产生、存储和应用方式也在不断变化,这也给数据安全带来了新的挑战。例如,新技术可以帮助攻击者绕过安全防护措施,窃取或篡改数据;同时,新技术应用也会使得数据的收集、存储和使用变得更加复杂,增加了数据泄露的风险。人工智能技术面临的双重安全风险:一方面模型算法攻击挑战严峻。人工智能算法安全挑战,模型算法被攻击、修政、窃取。另一方面,基于人工智能的新型攻击。基于人工智能具备的机器学习特性,开展新型攻击。
8、信息茧房与视野窄化:智能推送技术导致推送内容过于单调,它不仅让受众个体的视野被同化,会在公众当中形成分区,扩大了不同群体之间的知识鸿沟,甚至导致群体极化事件发生。
9、国际数据规则制定话语权与我国互联网应用领先地位严重不匹配:部分国家在数据安全领域形成对我国的“包围圈”,例如以安全为由限制TikTok的使用发展。因此,我国在互联网应用的领先地位与其在国际数据规则制定的话语权之间存在明显的不匹配。
二、数据安全防护的六大策略:
1、建立清晰的数据保护政策和程序。组织应明确数据保护的责任和义务,并制定数据保护政策,包括数据的收集、存储、使用、传输和删除等各个环节。同时,应建立数据保护的专门机构,明确其职责和权限,并确保与有关法律法规做好制度衔接。
2、强化数据安全技术保障。组织应加快大数据环境下网络安全技术手段的突破,建设网络安全信息汇聚共享和关联分析平台,促进网络安全相关数据的融合和资源合理分配,提升重大安全事件应急处理能力。同时,指导网络运营商加强大数据环境下防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设。
3、提升用户的数据安全意识。组织可以通过媒体宣传增强公民对数据保护的重要性和紧迫性的认识,普及和深化用户个人信息保护意识。同时,可以通过公益性培训活动传播相关技术原理和应对措施,如隐私权限设置、信息更改和删除措施等,提升用户信息保护能力。
4、加强数据安全的监管。组织应制定相应的标准和规范,约束和规范数据的收集、存储和使用行为。同时,应设立专门的监管部门,负责审查运行的代码是否带有病毒,确保信息数据的安全。
5、创新数据安全保护模式。组织可以采取新的数据安全技术和管理模式,例如采用零信任安全模型,将所有用户都视为潜在的威胁,对所有访问请求进行验证和过滤,防止未经授权的访问和数据泄露。
6、实施全面的数据安全管理。组织应实施全面的数据安全管理,涵盖数据的全生命周期,从数据的产生、存储、使用到删除的各个环节。同时,应制定和完善数据管理流程,确保数据的准确性、完整性和隐私性。
综上所述,持续保护数据安全需要在多个层面采取策略和措施,包括建立清晰的数据保护政策和程序、强化数据安全技术保障、提升用户的数据安全意识、加强数据安全的监管、创新数据安全保护模式以及实施全面的数据安全管理等。这样才能在不断创新的数据应用场景中持续保护数据安全。
数据安全已成为我国总体国家安全观的重要组成部分。发展数据安全产业, 对于提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放,夯实数字中国建设和数字经济发展基础有着重要意义。