信息化觀察網(wǎng)

數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源，建立健全大數(shù)據(jù)安全保障體系，對大數(shù)據(jù)平臺及大數(shù)據(jù)服務(wù)進(jìn)行安全評估是推進(jìn)我國大數(shù)據(jù)產(chǎn)業(yè)化工作的重要基礎(chǔ)任務(wù)。

已刊發(fā)的《大數(shù)據(jù)安全標(biāo)準(zhǔn)現(xiàn)狀和思考》對大數(shù)據(jù)安全標(biāo)準(zhǔn)的現(xiàn)狀進(jìn)行了總結(jié)，探討了當(dāng)下大數(shù)據(jù)安全的內(nèi)涵、挑戰(zhàn)與目標(biāo)，針對大數(shù)據(jù)安全技術(shù)與機制存在的問題，以及潛在的解決方案進(jìn)行了分析和討論，并對未來我國大數(shù)據(jù)安全標(biāo)準(zhǔn)的建設(shè)提出了展望。

背景

在大數(shù)據(jù)時代下，人們對多種數(shù)據(jù)源進(jìn)行匯聚存儲，并采用分布式處理技術(shù)及各種機器學(xué)習(xí)技術(shù)對數(shù)據(jù)進(jìn)行分析和處理，目的是為了從海量數(shù)據(jù)中挖掘潛在應(yīng)用，驅(qū)動組織業(yè)務(wù)價值實現(xiàn)，實現(xiàn)組織的各種使命。

因此現(xiàn)代數(shù)據(jù)管理具有分布式、無中心、多組織協(xié)調(diào)等特點，無邊界、跨組織數(shù)據(jù)共享與交換給大數(shù)據(jù)管理帶來新的安全挑戰(zhàn)。

隨著中國《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》《數(shù)據(jù)安全管理辦法（征求意見稿）》等法律法規(guī)的陸續(xù)實施，對大數(shù)據(jù)運營商提出了諸多合規(guī)要求。如何應(yīng)對大數(shù)據(jù)時代日益顯著的數(shù)據(jù)安全風(fēng)險，確保其符合網(wǎng)絡(luò)安全法律法規(guī)政策，成為亟需解決的問題。

大數(shù)據(jù)安全標(biāo)準(zhǔn)現(xiàn)狀及展望

大數(shù)據(jù)管理具有分布式、無中心、多組織協(xié)調(diào)等特點。因此有必要從數(shù)據(jù)語義、生命周期和信息技術(shù)（IT）三個維度去分析和理解現(xiàn)代數(shù)據(jù)管理技術(shù)涉及的數(shù)據(jù)內(nèi)涵，分析和理解數(shù)據(jù)管理過程中需要采用的IT安全技術(shù)及其管控措施和機制。

大數(shù)據(jù)時代下的數(shù)據(jù)管理維度

在網(wǎng)絡(luò)空間安全語境下，大數(shù)據(jù)安全屬性不同于傳統(tǒng)信息安全領(lǐng)域的保密性、完整性和可用性。

這是因為大數(shù)據(jù)生態(tài)系統(tǒng)中的保密性必須同時考慮主體個人隱私和客體數(shù)據(jù)保密性；完整性必須同時考慮數(shù)據(jù)傳輸、分布式存儲和處理一致性、主體對數(shù)據(jù)分析算法真實性及數(shù)據(jù)生命周期中的數(shù)據(jù)可信性；可用性也需要考慮大數(shù)據(jù)生態(tài)系統(tǒng)的健康運行安全目標(biāo)，以確保數(shù)據(jù)生命周期內(nèi)的數(shù)據(jù)活動始終滿足數(shù)據(jù)和主體保密性和真實性要求。

從大數(shù)據(jù)運營者的角度看，大數(shù)據(jù)生態(tài)系統(tǒng)應(yīng)提供包括大數(shù)據(jù)應(yīng)用安全管理、身份鑒別和訪問控制、數(shù)據(jù)業(yè)務(wù)安全管理、大數(shù)據(jù)基礎(chǔ)設(shè)施安全管理和大數(shù)據(jù)系統(tǒng)應(yīng)急響應(yīng)管理等業(yè)務(wù)安全功能，因此大數(shù)據(jù)業(yè)務(wù)目標(biāo)應(yīng)包括大數(shù)據(jù)應(yīng)用安全管理、身份鑒別和訪問控制、數(shù)據(jù)業(yè)務(wù)安全管理、大數(shù)據(jù)基礎(chǔ)設(shè)施安全管理、大數(shù)據(jù)系統(tǒng)應(yīng)急響應(yīng)管理5個方面。

《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書（2018版）》中，指出了3項目前大數(shù)據(jù)產(chǎn)業(yè)化發(fā)展面臨的安全挑戰(zhàn)，包括法律法規(guī)與相關(guān)標(biāo)準(zhǔn)的挑戰(zhàn)、數(shù)據(jù)安全和個人信息保護(hù)的挑戰(zhàn)、大數(shù)據(jù)技術(shù)和平臺安全的挑戰(zhàn)。

針對這些挑戰(zhàn)，我國已經(jīng)在大數(shù)據(jù)安全指引、國家標(biāo)準(zhǔn)及法律法規(guī)建設(shè)方面取得階段性成果，但大數(shù)據(jù)運營過程中的大數(shù)據(jù)平臺安全機制不足、傳統(tǒng)安全措施難以適應(yīng)大數(shù)據(jù)平臺和大數(shù)據(jù)應(yīng)用、大數(shù)據(jù)應(yīng)用訪問控制困難、基礎(chǔ)密碼技術(shù)及密鑰操作性等信息技術(shù)安全問題亟待解決。

早期大數(shù)據(jù)平臺安全主要借助傳統(tǒng)的網(wǎng)絡(luò)安全及物理或邏輯隔離來得到保證，有關(guān)用戶數(shù)據(jù)安全性主要大數(shù)據(jù)應(yīng)用中解決或借助第三方數(shù)據(jù)加固安全組件等數(shù)據(jù)中臺（中間件）的安全能力來實現(xiàn)用戶數(shù)據(jù)安全，因此業(yè)界希望大數(shù)據(jù)平臺具有內(nèi)生安全功能以實現(xiàn)大數(shù)據(jù)安全目標(biāo)。

考慮到大數(shù)據(jù)平臺一般是基于分布式處理技術(shù)，多采用云計算和多租戶架構(gòu)，以及大數(shù)據(jù)平臺的安全持續(xù)運行、大數(shù)據(jù)平臺應(yīng)提供以下安全技術(shù)和機制：

●保密性技術(shù)與機制；

●真實性技術(shù)與機制；

●可用性技術(shù)與機制；

●應(yīng)用安全支持技術(shù)與機制；

●IT空間用戶身份鑒別技術(shù)與機制；

●數(shù)據(jù)業(yè)務(wù)安全技術(shù)與機制；

●大數(shù)據(jù)基礎(chǔ)設(shè)施安全技術(shù)與機制；

大數(shù)據(jù)系統(tǒng)合規(guī)性和應(yīng)急響應(yīng)技術(shù)與機制。

近年來，在大數(shù)據(jù)安全技術(shù)和安全最佳實踐方面，云安全聯(lián)盟（CSA），包括阿里、騰訊等中國大數(shù)據(jù)服務(wù)企業(yè)相繼給出了相關(guān)的解決方案。在標(biāo)準(zhǔn)制定方面，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會已經(jīng)發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范》《信息安全技術(shù)大數(shù)據(jù)安全服務(wù)能力要求》《信息安全技術(shù)大數(shù)據(jù)安全管理指南》等通用大數(shù)據(jù)安全標(biāo)準(zhǔn)，并在制定《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》《信息安全技術(shù)電信領(lǐng)域大數(shù)據(jù)安全防護(hù)實現(xiàn)指南》等面向大數(shù)據(jù)應(yīng)用領(lǐng)域的指南類標(biāo)準(zhǔn)。

筆者認(rèn)為，中國在數(shù)據(jù)安全管理和個人信息安全保護(hù)方面已經(jīng)有了一批符合法律法規(guī)的大數(shù)據(jù)安全標(biāo)準(zhǔn)，但相對于大數(shù)據(jù)平臺和大數(shù)據(jù)服務(wù)急需的核心安全技術(shù)與機制標(biāo)準(zhǔn)還需要加強研究，以便形成一批面向大數(shù)據(jù)平臺和大數(shù)據(jù)應(yīng)用的技術(shù)標(biāo)準(zhǔn)，特別是支撐大數(shù)據(jù)系統(tǒng)建設(shè)和大數(shù)據(jù)平臺及其服務(wù)組件評估的大數(shù)據(jù)安全架構(gòu)需要盡快提出，以推動中國大數(shù)據(jù)生態(tài)系統(tǒng)的產(chǎn)業(yè)化應(yīng)用。

同時，建議加強大數(shù)據(jù)技術(shù)在大數(shù)據(jù)生態(tài)系統(tǒng)功能安全和網(wǎng)絡(luò)安全防護(hù)方面的研究，以利用大數(shù)據(jù)技術(shù)抵御針對大數(shù)據(jù)生態(tài)系統(tǒng)的網(wǎng)絡(luò)攻擊威脅。

目前，這些面向組織層面促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)化發(fā)展的安全技術(shù)與機制還沒有形成統(tǒng)一的共識，需要借助行業(yè)或團(tuán)隊標(biāo)準(zhǔn)等對國家標(biāo)準(zhǔn)進(jìn)行豐富。