今日頭條
官方微信
官方抖音
資訊頻道數據已成為國家基礎性戰略資源,建立健全大數據安全保障體系,對大數據平臺及大數據服務進行安全評估是推進我國大數據產業化工作的重要基礎任務。
已刊發的《大數據安全標準現狀和思考》對大數據安全標準的現狀進行了總結,探討了當下大數據安全的內涵、挑戰與目標,針對大數據安全技術與機制存在的問題,以及潛在的解決方案進行了分析和討論,并對未來我國大數據安全標準的建設提出了展望。
背景
在大數據時代下,人們對多種數據源進行匯聚存儲,并采用分布式處理技術及各種機器學習技術對數據進行分析和處理,目的是為了從海量數據中挖掘潛在應用,驅動組織業務價值實現,實現組織的各種使命。
因此現代數據管理具有分布式、無中心、多組織協調等特點,無邊界、跨組織數據共享與交換給大數據管理帶來新的安全挑戰。
隨著中國《網絡安全法》《網絡產品和服務安全審查辦法(試行)》《數據安全管理辦法(征求意見稿)》等法律法規的陸續實施,對大數據運營商提出了諸多合規要求。如何應對大數據時代日益顯著的數據安全風險,確保其符合網絡安全法律法規政策,成為亟需解決的問題。
大數據安全標準現狀及展望
大數據管理具有分布式、無中心、多組織協調等特點。因此有必要從數據語義、生命周期和信息技術(IT)三個維度去分析和理解現代數據管理技術涉及的數據內涵,分析和理解數據管理過程中需要采用的IT安全技術及其管控措施和機制。
在網絡空間安全語境下,大數據安全屬性不同于傳統信息安全領域的保密性、完整性和可用性。
這是因為大數據生態系統中的保密性必須同時考慮主體個人隱私和客體數據保密性;完整性必須同時考慮數據傳輸、分布式存儲和處理一致性、主體對數據分析算法真實性及數據生命周期中的數據可信性;可用性也需要考慮大數據生態系統的健康運行安全目標,以確保數據生命周期內的數據活動始終滿足數據和主體保密性和真實性要求。
從大數據運營者的角度看,大數據生態系統應提供包括大數據應用安全管理、身份鑒別和訪問控制、數據業務安全管理、大數據基礎設施安全管理和大數據系統應急響應管理等業務安全功能,因此大數據業務目標應包括大數據應用安全管理、身份鑒別和訪問控制、數據業務安全管理、大數據基礎設施安全管理、大數據系統應急響應管理5個方面。
《大數據安全標準化白皮書(2018版)》中,指出了3項目前大數據產業化發展面臨的安全挑戰,包括法律法規與相關標準的挑戰、數據安全和個人信息保護的挑戰、大數據技術和平臺安全的挑戰。
針對這些挑戰,我國已經在大數據安全指引、國家標準及法律法規建設方面取得階段性成果,但大數據運營過程中的大數據平臺安全機制不足、傳統安全措施難以適應大數據平臺和大數據應用、大數據應用訪問控制困難、基礎密碼技術及密鑰操作性等信息技術安全問題亟待解決。
早期大數據平臺安全主要借助傳統的網絡安全及物理或邏輯隔離來得到保證,有關用戶數據安全性主要大數據應用中解決或借助第三方數據加固安全組件等數據中臺(中間件)的安全能力來實現用戶數據安全,因此業界希望大數據平臺具有內生安全功能以實現大數據安全目標。
考慮到大數據平臺一般是基于分布式處理技術,多采用云計算和多租戶架構,以及大數據平臺的安全持續運行、大數據平臺應提供以下安全技術和機制:
保密性技術與機制;
真實性技術與機制;
可用性技術與機制;
應用安全支持技術與機制;
IT空間用戶身份鑒別技術與機制;
數據業務安全技術與機制;
大數據基礎設施安全技術與機制;
大數據系統合規性和應急響應技術與機制。
近年來,在大數據安全技術和安全最佳實踐方面,云安全聯盟(CSA),包括阿里、騰訊等中國大數據服務企業相繼給出了相關的解決方案。在標準制定方面,全國信息安全標準化技術委員會已經發布了《信息安全技術 個人信息安全規范》《信息安全技術 大數據安全服務能力要求》《信息安全技術 大數據安全管理指南》等通用大數據安全標準,并在制定《信息安全技術 健康醫療數據安全指南》《信息安全技術 電信領域大數據安全防護實現指南》等面向大數據應用領域的指南類標準。
筆者認為,中國在數據安全管理和個人信息安全保護方面已經有了一批符合法律法規的大數據安全標準,但相對于大數據平臺和大數據服務急需的核心安全技術與機制標準還需要加強研究,以便形成一批面向大數據平臺和大數據應用的技術標準,特別是支撐大數據系統建設和大數據平臺及其服務組件評估的大數據安全架構需要盡快提出,以推動中國大數據生態系統的產業化應用。
同時,建議加強大數據技術在大數據生態系統功能安全和網絡安全防護方面的研究,以利用大數據技術抵御針對大數據生態系統的網絡攻擊威脅。
目前,這些面向組織層面促進大數據產業化發展的安全技術與機制還沒有形成統一的共識,需要借助行業或團隊標準等對國家標準進行豐富。
來源:科技導報
北京市公安局海淀分局備案號:11010802023656號