今日頭條
官方微信
官方抖音
資訊頻道數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源,建立健全大數(shù)據(jù)安全保障體系,對(duì)大數(shù)據(jù)平臺(tái)及大數(shù)據(jù)服務(wù)進(jìn)行安全評(píng)估是推進(jìn)我國(guó)大數(shù)據(jù)產(chǎn)業(yè)化工作的重要基礎(chǔ)任務(wù)。
已刊發(fā)的《大數(shù)據(jù)安全標(biāo)準(zhǔn)現(xiàn)狀和思考》對(duì)大數(shù)據(jù)安全標(biāo)準(zhǔn)的現(xiàn)狀進(jìn)行了總結(jié),探討了當(dāng)下大數(shù)據(jù)安全的內(nèi)涵、挑戰(zhàn)與目標(biāo),針對(duì)大數(shù)據(jù)安全技術(shù)與機(jī)制存在的問(wèn)題,以及潛在的解決方案進(jìn)行了分析和討論,并對(duì)未來(lái)我國(guó)大數(shù)據(jù)安全標(biāo)準(zhǔn)的建設(shè)提出了展望。
背景
在大數(shù)據(jù)時(shí)代下,人們對(duì)多種數(shù)據(jù)源進(jìn)行匯聚存儲(chǔ),并采用分布式處理技術(shù)及各種機(jī)器學(xué)習(xí)技術(shù)對(duì)數(shù)據(jù)進(jìn)行分析和處理,目的是為了從海量數(shù)據(jù)中挖掘潛在應(yīng)用,驅(qū)動(dòng)組織業(yè)務(wù)價(jià)值實(shí)現(xiàn),實(shí)現(xiàn)組織的各種使命。
因此現(xiàn)代數(shù)據(jù)管理具有分布式、無(wú)中心、多組織協(xié)調(diào)等特點(diǎn),無(wú)邊界、跨組織數(shù)據(jù)共享與交換給大數(shù)據(jù)管理帶來(lái)新的安全挑戰(zhàn)。
隨著中國(guó)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》《數(shù)據(jù)安全管理辦法(征求意見稿)》等法律法規(guī)的陸續(xù)實(shí)施,對(duì)大數(shù)據(jù)運(yùn)營(yíng)商提出了諸多合規(guī)要求。如何應(yīng)對(duì)大數(shù)據(jù)時(shí)代日益顯著的數(shù)據(jù)安全風(fēng)險(xiǎn),確保其符合網(wǎng)絡(luò)安全法律法規(guī)政策,成為亟需解決的問(wèn)題。
大數(shù)據(jù)安全標(biāo)準(zhǔn)現(xiàn)狀及展望
大數(shù)據(jù)管理具有分布式、無(wú)中心、多組織協(xié)調(diào)等特點(diǎn)。因此有必要從數(shù)據(jù)語(yǔ)義、生命周期和信息技術(shù)(IT)三個(gè)維度去分析和理解現(xiàn)代數(shù)據(jù)管理技術(shù)涉及的數(shù)據(jù)內(nèi)涵,分析和理解數(shù)據(jù)管理過(guò)程中需要采用的IT安全技術(shù)及其管控措施和機(jī)制。
在網(wǎng)絡(luò)空間安全語(yǔ)境下,大數(shù)據(jù)安全屬性不同于傳統(tǒng)信息安全領(lǐng)域的保密性、完整性和可用性。
這是因?yàn)榇髷?shù)據(jù)生態(tài)系統(tǒng)中的保密性必須同時(shí)考慮主體個(gè)人隱私和客體數(shù)據(jù)保密性;完整性必須同時(shí)考慮數(shù)據(jù)傳輸、分布式存儲(chǔ)和處理一致性、主體對(duì)數(shù)據(jù)分析算法真實(shí)性及數(shù)據(jù)生命周期中的數(shù)據(jù)可信性;可用性也需要考慮大數(shù)據(jù)生態(tài)系統(tǒng)的健康運(yùn)行安全目標(biāo),以確保數(shù)據(jù)生命周期內(nèi)的數(shù)據(jù)活動(dòng)始終滿足數(shù)據(jù)和主體保密性和真實(shí)性要求。
從大數(shù)據(jù)運(yùn)營(yíng)者的角度看,大數(shù)據(jù)生態(tài)系統(tǒng)應(yīng)提供包括大數(shù)據(jù)應(yīng)用安全管理、身份鑒別和訪問(wèn)控制、數(shù)據(jù)業(yè)務(wù)安全管理、大數(shù)據(jù)基礎(chǔ)設(shè)施安全管理和大數(shù)據(jù)系統(tǒng)應(yīng)急響應(yīng)管理等業(yè)務(wù)安全功能,因此大數(shù)據(jù)業(yè)務(wù)目標(biāo)應(yīng)包括大數(shù)據(jù)應(yīng)用安全管理、身份鑒別和訪問(wèn)控制、數(shù)據(jù)業(yè)務(wù)安全管理、大數(shù)據(jù)基礎(chǔ)設(shè)施安全管理、大數(shù)據(jù)系統(tǒng)應(yīng)急響應(yīng)管理5個(gè)方面。
《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書(2018版)》中,指出了3項(xiàng)目前大數(shù)據(jù)產(chǎn)業(yè)化發(fā)展面臨的安全挑戰(zhàn),包括法律法規(guī)與相關(guān)標(biāo)準(zhǔn)的挑戰(zhàn)、數(shù)據(jù)安全和個(gè)人信息保護(hù)的挑戰(zhàn)、大數(shù)據(jù)技術(shù)和平臺(tái)安全的挑戰(zhàn)。
針對(duì)這些挑戰(zhàn),我國(guó)已經(jīng)在大數(shù)據(jù)安全指引、國(guó)家標(biāo)準(zhǔn)及法律法規(guī)建設(shè)方面取得階段性成果,但大數(shù)據(jù)運(yùn)營(yíng)過(guò)程中的大數(shù)據(jù)平臺(tái)安全機(jī)制不足、傳統(tǒng)安全措施難以適應(yīng)大數(shù)據(jù)平臺(tái)和大數(shù)據(jù)應(yīng)用、大數(shù)據(jù)應(yīng)用訪問(wèn)控制困難、基礎(chǔ)密碼技術(shù)及密鑰操作性等信息技術(shù)安全問(wèn)題亟待解決。
早期大數(shù)據(jù)平臺(tái)安全主要借助傳統(tǒng)的網(wǎng)絡(luò)安全及物理或邏輯隔離來(lái)得到保證,有關(guān)用戶數(shù)據(jù)安全性主要大數(shù)據(jù)應(yīng)用中解決或借助第三方數(shù)據(jù)加固安全組件等數(shù)據(jù)中臺(tái)(中間件)的安全能力來(lái)實(shí)現(xiàn)用戶數(shù)據(jù)安全,因此業(yè)界希望大數(shù)據(jù)平臺(tái)具有內(nèi)生安全功能以實(shí)現(xiàn)大數(shù)據(jù)安全目標(biāo)。
考慮到大數(shù)據(jù)平臺(tái)一般是基于分布式處理技術(shù),多采用云計(jì)算和多租戶架構(gòu),以及大數(shù)據(jù)平臺(tái)的安全持續(xù)運(yùn)行、大數(shù)據(jù)平臺(tái)應(yīng)提供以下安全技術(shù)和機(jī)制:
保密性技術(shù)與機(jī)制;
真實(shí)性技術(shù)與機(jī)制;
可用性技術(shù)與機(jī)制;
應(yīng)用安全支持技術(shù)與機(jī)制;
IT空間用戶身份鑒別技術(shù)與機(jī)制;
數(shù)據(jù)業(yè)務(wù)安全技術(shù)與機(jī)制;
大數(shù)據(jù)基礎(chǔ)設(shè)施安全技術(shù)與機(jī)制;
大數(shù)據(jù)系統(tǒng)合規(guī)性和應(yīng)急響應(yīng)技術(shù)與機(jī)制。
近年來(lái),在大數(shù)據(jù)安全技術(shù)和安全最佳實(shí)踐方面,云安全聯(lián)盟(CSA),包括阿里、騰訊等中國(guó)大數(shù)據(jù)服務(wù)企業(yè)相繼給出了相關(guān)的解決方案。在標(biāo)準(zhǔn)制定方面,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)已經(jīng)發(fā)布了《信息安全技術(shù) 個(gè)人信息安全規(guī)范》《信息安全技術(shù) 大數(shù)據(jù)安全服務(wù)能力要求》《信息安全技術(shù) 大數(shù)據(jù)安全管理指南》等通用大數(shù)據(jù)安全標(biāo)準(zhǔn),并在制定《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》《信息安全技術(shù) 電信領(lǐng)域大數(shù)據(jù)安全防護(hù)實(shí)現(xiàn)指南》等面向大數(shù)據(jù)應(yīng)用領(lǐng)域的指南類標(biāo)準(zhǔn)。
筆者認(rèn)為,中國(guó)在數(shù)據(jù)安全管理和個(gè)人信息安全保護(hù)方面已經(jīng)有了一批符合法律法規(guī)的大數(shù)據(jù)安全標(biāo)準(zhǔn),但相對(duì)于大數(shù)據(jù)平臺(tái)和大數(shù)據(jù)服務(wù)急需的核心安全技術(shù)與機(jī)制標(biāo)準(zhǔn)還需要加強(qiáng)研究,以便形成一批面向大數(shù)據(jù)平臺(tái)和大數(shù)據(jù)應(yīng)用的技術(shù)標(biāo)準(zhǔn),特別是支撐大數(shù)據(jù)系統(tǒng)建設(shè)和大數(shù)據(jù)平臺(tái)及其服務(wù)組件評(píng)估的大數(shù)據(jù)安全架構(gòu)需要盡快提出,以推動(dòng)中國(guó)大數(shù)據(jù)生態(tài)系統(tǒng)的產(chǎn)業(yè)化應(yīng)用。
同時(shí),建議加強(qiáng)大數(shù)據(jù)技術(shù)在大數(shù)據(jù)生態(tài)系統(tǒng)功能安全和網(wǎng)絡(luò)安全防護(hù)方面的研究,以利用大數(shù)據(jù)技術(shù)抵御針對(duì)大數(shù)據(jù)生態(tài)系統(tǒng)的網(wǎng)絡(luò)攻擊威脅。
目前,這些面向組織層面促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)化發(fā)展的安全技術(shù)與機(jī)制還沒有形成統(tǒng)一的共識(shí),需要借助行業(yè)或團(tuán)隊(duì)標(biāo)準(zhǔn)等對(duì)國(guó)家標(biāo)準(zhǔn)進(jìn)行豐富。
來(lái)源:科技導(dǎo)報(bào)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)