11月12日,第二届中国数据标准化与治理大会成功召开。本届会议旨在持续汇集专家人才和经验,促进领域发展和提升业界实践水平。大会由工业和信息化部信息化和软件服务业司、国家标准化管理委员会工业二部指导,中国电子技术标准化研究院、中国科学技术部高技术研究发展中心、中国行政体制改革研究会、清华大学、国际数据管理协会中国分会(DAMA China)联合主办。
国家信息中心首席工程师、全国信息安全标准技术化委员会WG4组副组长李新友在会上做了题为《大数据安全标准化工作进展》的汇报。以下内容经数据派THU整理而成:
后台回复关键词“标准化”,下载完整版PPT。
国家信息中心首席工程师、全国信息安全标准技术化委员会WG4组副组长 李新友
一、大数据安全面临的挑战
1.大数据安全相比传统数据安全的特殊性
大数据安全虽仍继承传统数据安全保密性、完整性和可用性三个特性,但也有其特殊性,主要表现在以下两方面:
个人隐私保护
以前数据是企业的资产,是在企业内部、局部的环境里使用,流动性不强,所以,数据的个人隐私表现不突出。但是到了互联网+时代,数据无处不在,各种数据积累起来后形成了多元数据关联,不法分子和别有用心的人可通过多元数据关联分析导致个人隐私信息泄露。怎样有效保护个人隐私是大数据安全面临的第一个重要问题。
跨境数据流动
在现在这个时代,数据的流动很重要。双十一活动多个国家都参与其中,数据的跨境流动是大数据的一个特殊属性。在法律制度、数据服务外包、打击网络犯罪方面保护跨境数据的安全是很重要的。
所以,建立大数据安全标准体系框架时要对传统数据的采集、组织、存储、处理等生命周期各方面安全标准进行适用性分析,适合的接着采用,不适合的要修订,缺项的必须增加。
2.大数据安全技术平台分析
传统安全措施难以适配
大数据海量、多源、异构、动态的特征导致大数据系统存储结构复杂、开放性、分布式计算和高效精准的服务,这些特殊需求传统安全措施解决不了。
平台安全机制亟待改进
以前我们用ORACLE数据库,到了大数据时代,大家基于hadoop体系结构。在hadoop体系结构里,用户的身份鉴别和授权访问等安全保障能力比较薄弱。同时开源hadoop的一些组件在使用时没有测试,里面可能存在漏洞和恶意代码,存在人家开的后门。
应用访问控制愈加复杂
在数据库时代应用访问控制通过数据库的访问机制解决。每一个用户都要注册,注册完才能访问到数据库。但是到了大数据时代,存在大量未知的用户和大量未知的数据,有很多的用户不知道他的身份,虽然他注册了也不知道他是谁,所以预先设置角色和预先设置角色的权限都做不到。
3.大数据安全数据应用分析
数据安全保护难度加大
在数据应用的平台上数据安全保护的难度加大。大数据的应用环境不同,是开放的网络;系统的部署方式不同,是分布式的;数据的复杂度和用户访问方式也不同,这些都是面临的新问题。
个人信息泄露风险加重
关联分析易挖掘出更多的个人信息,易发生数据滥用、内部偷窃、网络攻击等安全事件。
数据真实性保证更加困难
大数据时代有的数据是造假的。双十一的时候,卖了多少不知道,到底是不是买了不知道。有院士说大数据是垃圾,也有领导说大数据是金山银山,我始终感觉大数据只有通过你的分析系统,找出来挖出来才是金子,不去挖的话大数据就是垃圾。所以大数据时代里的数据,是假数据和真数据混合的数据,一定要去伪存真,从里面找到你真正需要的东西,那很困难。
数据所有者权益难以保障
在数据应用里所有者权益难以保证,这是数据治理中很关键的问题,是今天的主题。怎样保障我的数据我做主?现在大数据和互联网+经常会产生数据交换,在数据交换的过程中怎样能保证我的权益和我的隐私,这是很难的,是我们现在面临的挑战。
二、大数据安全法规政策
1. 国外大数据安全法规政策
政府数据开放相关法规和政策
大数据的安全来源于政府向公众开放数据,我国也要求政务公开,把财政、资源、人口、公安等数据信息公开,大家都参与社会治理、政府治理,提高政府治理的水平,增加人民的参与感和幸福度。所以,为了让数据能开放,各个国家都制定了很多相关的法规和政策。最早的是1966年美国的《信息自由法》,然后有2000年英国的《信息自由法》,我国出台的是政府信息资源公开政策。
数据跨境流动相关法规和政策
刚才是讲要把信息公开,这里是讲在公开时怎样保证数据的安全。数据安全的第一件事是要防止数据流到国外,我们不是反对数据的跨境流动,而是要保证数据在跨境流动时的安全性,这里列了一些相关国家和组织的法律文件政策。
个人数据保护相关法规和政策
在信息公开的大数据时代进行数据分析时,怎样保障个人的信息和个人的隐私包括四个方面。一是隐私权;二是数据的安全权,所谓安全权是我拿了你的数据不会被别人盗窃走;三是个人怎么控制自己的数据;四是数据泄露以后怎样获得通知。比如12360有一年被人家撞库,大家知道你的信息泄露了吗?所以我们应该要知道我的信息是不是被泄露了。如果信息被泄露了,我就得赶紧改我的密码或者把这条信息删掉等。这方面欧美和其他国家有很多标准。
2. 我国大数据安全法规政策
我国数据和大数据方面的政策法规:最早的是2012年《全国人大常委会加强网络信息保护的决定》;2013年工信部发的《电信和互联网用户个人信息保护的规定》;2014年《消费者权益保护法》里有关“个人信息保护”的规定;2015年国务院发的《促进大数据发展行动纲要》里有“在发展大数据的时候要保障个人隐私和信息安全”;2016年《“十三五”规划》里也提出了“实施国家大数据战略”,大数据变成一个国家的发展战略是很重要的一件事情,全国各地都在成立大数据管理局,说明国家非常重视大数据的安全和大数据的发展;2016年《网络安全法》里对数据安全提的最多;最近网信办的《国家网络空间安全战略》里面也提到了“数据的跨境流动、个人信息的保护和大数据的发展”。
三、大数据标准化组织
1. ISO/IEC JTC1:信息技术联合委员会WG5组
国际标准化组织和国际电信联盟下有一个技术联合委员会JTC1,其下有SC27安全技术分委员会,下设WG5身份管理与隐私保护技术工作组。它跟我国WG4有一定对口关系,主要工作是身份管理和隐私保护,我们主要是身份鉴别和责任认定工作。这是它已经发布和即将发布的有关大数据的安全框架和标准。
2. ISO/IEC JTC1:信息技术联合委员会WG9组
信息技术联合委员会下设的WG9委员会是2014年刚刚成立的大数据工作组。这是在编的几个标准,《大数据的概述和词汇》、《大数据的参考框架》。《大数据的参考框架》里有五个分册,其中一个安全与隐私保护方面的非常重要,是我们中国的专家担任项目编辑的,这是我国标准化委员会对国际标准的贡献。
3. ITU-T国际电信联盟电信标准化部门
第三个国际标准化组是国际电信联盟电信标准化部门ITU-T。在编的标准很多,都跟大数据有关系。左边是大数据标准,右边是大数据安全标准。特别感兴趣的有移动互联网标准,大数据即服务的安全标准,还有电商业务生命周期管理安全参考框架。《数据保全的概述和要求》,数据保全是说你和我在进行交易时,我不太信任你,你也不太信任我,我的名字不一定是实名,你的服务商什么样我也不太清楚,但是我们俩这笔交易可以到数据保全中心做一下保全,将来如果真的打了官司,保全的数据可以拿到法庭上做证据的这个概念。两年前我们国家信息中心成立了一个数据保全公司,专门做互联网的数据保全业务。
4. NIST美国国家标准与技术研究院
美国的国家标准与技术研究院NIST在大数据标准方面也做了很多工作。SP 1500《大数据互操作框架》把大数据的标准做了梳理。
5. TC28全国信息技术标准化委员会
我国的TC28全国信息技术标准化委员会,对口的是WG4工作组。
6. TC260全国信息安全标准化技术委员会
TC260标准工作组2016年成立,只一年多时间,已经做了很多标准,包括《个人信息安全规范》、《大数据服务安全能力要求》、《大数据安全管理指南》。2017年4月又做了一些工作。我们国家刚刚派出去一个标准工作组参加国际标准化会议,安全标准有SM2和SM4两个加密算法已经列进国际标准,而且今年共有十几个标准是我们国家专家和组织在承担国际化标准工作。BDWG标准工作组由清华大学老师担任组长。
四、大数据安全标准体系
1. 大数据安全标准
大数据安全标准共分为五类:基础标准、平台和技术、数据安全、服务安全、行业标准。最后那栏有深色和浅色的,深色的标准有的到送审稿阶段马上报批了。
2. 数据安全能力成熟度模型
3. 大数据服务安全能力要求
4. 大数据交易服务安全要求
5. 大数据出境安全评估指南
我国非常重视数据出入境安全评估。怎么样表述数据的属性和安全的方法,如果是合适的数据就可以出去,不合适数据不能出去。数据出去是必须的。比如银行数据如果不出去,我们怎么在国外办银行?如果京东和淘宝的数据不出去,我们怎么到国外做生意?怎么能跨境买国外东西?所以出境是必须的。但是出境以后怎么保证数据安全,那是我们的责任,所以要进行评估。
6. 个人信息安全影响评估指南
个人信息安全影响评估关系到大家的切身利益。这个标准对个人互联网上数据的知情权、控制权、删除权利等都要做合适的规定。
7. 个人信息去标识化指南
个人信息去标识化,是说我的信息被服务方利用,他记了我的身份证和名字,如果要订机票,我不给他身份证就订不到。如果他想把我的信息拿去分析,在分析的时候必须要把我的标识去掉,不能让人家一分析就分析出来这是我。所以信息可以拿去分析,但是不能被分析出我个人的标识,也就是说可以分析我一个月在淘宝上买了多少次,但是不能让人家知道我是谁。
五、典型行业大数据应用和安全风险
1. 电商行业
电商大数据有四个优势:提高业务的效率、改善消费体验、保证生态圈良性发展、精细化运营和管理。
电商数据存在的风险:数据存储不清楚、版权保护能力、数据的跨境安全等。个人的信息保护和跨境安全这两方面在大数据时代特别重要。
2. 电子政务
互联网+政务服务
互联网+政务服务是国务院正在抓的比较大的项目。互联网+服务是2016年55号文推出的,从电子政务变成互联网+政务服务是一个质的转变。原来政府只是圈在自己那里叫电子政务,现在政府要为社会服务那叫互联网+政务服务,整个把政府跟互联网打通,这是一个大的工程。
政务信息系统整合共享
第二个是政务信息系统整合共享的工程,今年刚刚发的27号文,必须要2017年的年底完成。不光要对政务信息进行整合共享,还要对政务的信息系统进行整合共享。以前做的很多电子政务系统,有的已变成僵尸,那些系统不应该放在机房里面浪费电要整合掉,还有一些系统功能跟别的系统一样或者差不多,也要合并。所以这次整合共享工作量很大,尤其是系统里面的数据,我们要进行综合的整理、治理、应用。这个工程是比较重要的,这是总理亲自抓的一个工作。我希望大家能够积极的参与进来。
六、大数据安全标准化工作建议
最后我想提四个建议:
尽快制定个人信息安全相关标准;
尽快制定数据共享的安全标准;
制定数据出境的安全标准;
制定大数据安全审查的标准。
希望同志们能够积极的参与到大数据安全标准工作里来,谢谢大家。
后台回复关键词“标准化”,下载完整版PPT。
整理:莫 天
校对:朱江华峰
为保证发文质量、树立口碑,数据派现设立“错别字基金”,鼓励读者积极纠错。
若您在阅读文章过程中发现任何错误,请在文末留言,或到后台反馈,经小编确认后,数据派将向检举读者发8.8元红包。
同一位读者指出同一篇文章多处错误,奖金不变。不同读者指出同一处错误,奖励第一位读者。
感谢一直以来您的关注和支持,希望您能够监督数据派产出更加高质的内容。