近日，工業(yè)和信息化部正式印發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡數(shù)據(jù)安全保護能力專項行動方案》(以下簡稱《行動方案》)，將在行業(yè)內(nèi)部署開展為期一年的提升網(wǎng)絡數(shù)據(jù)安全保護能力專項行動，并明確提出在今年10月底前，完成全部基礎電信企業(yè)、50家重點互聯(lián)網(wǎng)企業(yè)以及200款主流APP的數(shù)據(jù)安全檢查。

那么，此次政策出臺的背景是什么?本次行動又主要涉及哪些方面?對于相關行業(yè)將產(chǎn)生哪些影響?近日，科技日報記者走訪了業(yè)內(nèi)專家。

數(shù)據(jù)安全不是孤立的問題

“數(shù)據(jù)和數(shù)據(jù)安全一直伴隨著人類的生活。從古至今，個人、家庭、團體、政府對于自己感興趣的數(shù)據(jù)都有收集和記錄，對于數(shù)據(jù)安全也有自己的分級認定。”常州信息職業(yè)技術學院院長周勇說，各國政府都有相關的數(shù)據(jù)安全和網(wǎng)絡安全保護法，我國也早就出臺了《網(wǎng)絡安全法》《互聯(lián)網(wǎng)信息服務管理辦法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)。

無錫永中軟件有限公司總經(jīng)理談輝認為，“在大數(shù)據(jù)時代，數(shù)據(jù)已經(jīng)成為了資產(chǎn)和金礦，企業(yè)通過大量收集數(shù)據(jù)，建立模型，進行分析和預測。數(shù)據(jù)過度采集和濫用的情況普遍存在，個人信息泄露現(xiàn)象嚴重，特別是隨著4G的使用和手機應用的極大普及，個人變成透明人的趨勢越來越明顯，從姓名電話到食衣住行等生活和消費軌跡在網(wǎng)絡中均有跡可循”。

“我們國家歷來高度重視數(shù)據(jù)安全問題，在《網(wǎng)絡安全法》立法中就有相關的內(nèi)容，今年新推出的等級保護2.0標準中也明確了個人信息保護的內(nèi)容;中央網(wǎng)信辦出臺了《數(shù)據(jù)安全管理辦法(征求意見稿)》，各地方政府也陸續(xù)出臺了一些相應的管理規(guī)范，例如天津市互聯(lián)網(wǎng)信息辦公室發(fā)布了《天津市數(shù)據(jù)安全管理辦法(暫行)》。”談輝說。

在周勇看來，數(shù)據(jù)安全不是孤立的問題，數(shù)據(jù)安全也涉及到網(wǎng)絡安全、軟件安全、數(shù)據(jù)庫安全、電腦操作系統(tǒng)安全，以及容災備份等。這次工信部頒布的《行動方案》，是對以往網(wǎng)絡數(shù)據(jù)安全保護法律法規(guī)的升級、執(zhí)行力度的加強、以及數(shù)據(jù)安全保護技術創(chuàng)新的推進。具體講，就是從法律法規(guī)、技術手段、流程制度、政府監(jiān)管、社會意識等方面加強和提升數(shù)據(jù)安全的保護。

數(shù)據(jù)安全要有明確的標準和定義

記者了解到，此次《行動方案》中指出，2019年10月底前完成全部基礎電信企業(yè)、50家重點互聯(lián)網(wǎng)企業(yè)以及200款主流APP數(shù)據(jù)安全檢查。從這一舉措來看，目前主要覆蓋基礎電信通話和網(wǎng)絡接入數(shù)據(jù)、互聯(lián)網(wǎng)用戶行為數(shù)據(jù)、移動應用數(shù)據(jù)等，核心目標是保護消費者的網(wǎng)絡數(shù)據(jù)安全權益。

“這次《行動方案》可以解讀歸納為以下幾個方面：進一步完善網(wǎng)路數(shù)據(jù)安全制度標準，開展數(shù)據(jù)安全評估，強化數(shù)據(jù)安全保護管理制度和流程，創(chuàng)新推動數(shù)據(jù)安全技防能力的建設、監(jiān)督和宣傳。”周勇說。

什么才算數(shù)據(jù)安全?周勇認為，數(shù)據(jù)安全要有明確的標準和定義。當然數(shù)據(jù)安全不是絕對的，而是相對的。同樣的數(shù)據(jù)對于提供者和使用者可能具有截然不同的安全理解。數(shù)據(jù)安全應該有級別的定義，這項工作需要政府專業(yè)部門來做。所以本次《行動方案》明確將推動出臺行業(yè)《網(wǎng)絡數(shù)據(jù)安全標準體系建設指南》，加快完善行業(yè)網(wǎng)絡數(shù)據(jù)安全標準體系;制定出臺行業(yè)重要數(shù)據(jù)識別指南、網(wǎng)絡數(shù)據(jù)安全防護等重點標準，遴選企業(yè)開展貫標試點;指導中國通信標準化協(xié)會成立網(wǎng)絡數(shù)據(jù)安全標準專項工作組，加快推動網(wǎng)絡數(shù)據(jù)安全相關標準制定工作。

周勇說，數(shù)據(jù)保護是否合理合規(guī)等，需要企業(yè)自我評估，更需要專業(yè)的第三方機構評估、政府專管部門評估，甚至跨部門的聯(lián)合評估。這樣做的目的就是在法律法規(guī)的層面上對企業(yè)數(shù)據(jù)安全事故提前進行預判和防范，防止數(shù)據(jù)安全事故的發(fā)生。

周勇表示，數(shù)據(jù)安全管理必須要有“清單式”管理機制。要有專部門、專人、專職負責數(shù)據(jù)安全。數(shù)據(jù)訪問權限、數(shù)據(jù)訪問記錄、數(shù)據(jù)容災備份等安全技術需要全部落實到位。

除了標準建設，周勇提出，技術手段也是保護數(shù)據(jù)安全的關鍵，尤其是不斷推陳出新的技術手段。只有采用先進的技術手段，才能對數(shù)據(jù)安全漏洞進行定期的自動化監(jiān)測，并及時發(fā)現(xiàn)問題。技術手段防護也體現(xiàn)在數(shù)據(jù)防攻擊、防竊取、防泄漏、數(shù)據(jù)備份和恢復等方面。當然，要做好這方面的工作，一要大力加強數(shù)據(jù)安全保護技術的研究工作，二要培養(yǎng)這方面的專業(yè)技術人才。同時，數(shù)據(jù)安全保護需要政府監(jiān)管，也需要社會監(jiān)督。廣泛宣傳數(shù)據(jù)安全的重要性，喚起全社會對數(shù)據(jù)安全的認知，才能更好的堵塞數(shù)據(jù)安全漏洞，避免出現(xiàn)數(shù)據(jù)安全事故發(fā)生。

工業(yè)互聯(lián)網(wǎng)企業(yè)應足夠重視

專家介紹，本次《行動方案》將企業(yè)網(wǎng)絡數(shù)據(jù)安全責任落實情況、數(shù)據(jù)安全合規(guī)性評估落實情況作為重點內(nèi)容，納入2019年網(wǎng)絡信息安全“雙隨機一公開”檢查和基礎電信企業(yè)網(wǎng)絡與信息安全責任考核檢查，對違法違規(guī)行為及時采取約談、公開曝光、行政處罰等措施，將處罰結果納入電信業(yè)務經(jīng)營不良名單或失信名單。

因此，在瀚云工業(yè)互聯(lián)網(wǎng)研究院副院長鄔明罡看來，盡管本次專項行動關注的更多是消費互聯(lián)網(wǎng)，但隨著工業(yè)互聯(lián)網(wǎng)和產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展，越來越多的設備和機器數(shù)據(jù)上傳到云端，也會產(chǎn)生相應的安全問題。例如，數(shù)據(jù)泄露導致企業(yè)關鍵信息泄露，或者在沒有經(jīng)過用戶同意的情況下濫用設備的數(shù)據(jù)從事其他商業(yè)活動，其后果有可能比消費互聯(lián)網(wǎng)的網(wǎng)絡數(shù)據(jù)泄露更為嚴重。

鄔明罡認為，對于工業(yè)互聯(lián)網(wǎng)行業(yè)和企業(yè)來說，也要有相應的應對機制。尤其是要制定工業(yè)互聯(lián)網(wǎng)行業(yè)關鍵數(shù)據(jù)目錄，類似于《行動方案》的做法，對數(shù)據(jù)進行分級管理，例如要明確哪些數(shù)據(jù)不能上云，哪些數(shù)據(jù)可以在一定條件下上云，哪些數(shù)據(jù)可以直接上云，讓使用方也打消疑慮，通過制定相應的管理制度和認證規(guī)則，讓企業(yè)有標準可依。

同時，鄔明罡強調(diào)，還要建立工業(yè)互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全公共服務平臺，提供風險監(jiān)測、技術技能、測試認證、教育培訓等服務，幫助工業(yè)互聯(lián)網(wǎng)企業(yè)快速建立安全風險管控能力，以及加速完善企業(yè)內(nèi)部安全管理體系，包括指定專人負責數(shù)據(jù)安全，督促協(xié)調(diào)企業(yè)內(nèi)部各相關主體和環(huán)節(jié)嚴格落實操作權限管理、日志記錄和安全審計、數(shù)據(jù)加密、數(shù)據(jù)脫敏、訪問控制、數(shù)據(jù)容災備份等數(shù)據(jù)安全保護措施。

周勇還提醒，這次《行動方案》會影響到所有擁有用戶敏感信息的單位和企業(yè)，尤其會影響到擁有大量用戶信息的電信企業(yè)和互聯(lián)網(wǎng)企業(yè)。但是，這次行動會大大促進各個單位和企業(yè)對數(shù)據(jù)安全保護的認識，同時也給高校和科研機構提出了如何創(chuàng)新性研究數(shù)據(jù)安全技術的新課題，高校更需要培養(yǎng)出高質(zhì)量的數(shù)據(jù)安全應用型人才。

關鍵詞： 工業(yè) 互聯(lián)網(wǎng) 數(shù)據(jù)安全