数据已成为国家基础性战略资源,建立健全大数据安全保障体系,对大数据平台及大数据服务进行安全评估是推进我国大数据产业化工作的重要基础任务。
已刊发的《大数据安全标准现状和思考》对大数据安全标准的现状进行了总结,探讨了当下大数据安全的内涵、挑战与目标,针对大数据安全技术与机制存在的问题,以及潜在的解决方案进行了分析和讨论,并对未来我国大数据安全标准的建设提出了展望。
背景
在大数据时代下,人们对多种数据源进行汇聚存储,并采用分布式处理技术及各种机器学习技术对数据进行分析和处理,目的是为了从海量数据中挖掘潜在应用,驱动组织业务价值实现,实现组织的各种使命。
因此现代数据管理具有分布式、无中心、多组织协调等特点,无边界、跨组织数据共享与交换给大数据管理带来新的安全挑战。
随着中国《网络安全法》《网络产品和服务安全审查办法(试行)》《数据安全管理办法(征求意见稿)》等法律法规的陆续实施,对大数据运营商提出了诸多合规要求。如何应对大数据时代日益显著的数据安全风险,确保其符合网络安全法律法规政策,成为亟需解决的问题。
大数据安全标准现状及展望
大数据管理具有分布式、无中心、多组织协调等特点。因此有必要从数据语义、生命周期和信息技术(IT)三个维度去分析和理解现代数据管理技术涉及的数据内涵,分析和理解数据管理过程中需要采用的IT安全技术及其管控措施和机制。
大数据时代下的数据管理维度
在网络空间安全语境下,大数据安全属性不同于传统信息安全领域的保密性、完整性和可用性。
这是因为大数据生态系统中的保密性必须同时考虑主体个人隐私和客体数据保密性;完整性必须同时考虑数据传输、分布式存储和处理一致性、主体对数据分析算法真实性及数据生命周期中的数据可信性;可用性也需要考虑大数据生态系统的健康运行安全目标,以确保数据生命周期内的数据活动始终满足数据和主体保密性和真实性要求。
从大数据运营者的角度看,大数据生态系统应提供包括大数据应用安全管理、身份鉴别和访问控制、数据业务安全管理、大数据基础设施安全管理和大数据系统应急响应管理等业务安全功能,因此大数据业务目标应包括大数据应用安全管理、身份鉴别和访问控制、数据业务安全管理、大数据基础设施安全管理、大数据系统应急响应管理5个方面。
《大数据安全标准化白皮书(2018版)》中,指出了3项目前大数据产业化发展面临的安全挑战,包括法律法规与相关标准的挑战、数据安全和个人信息保护的挑战、大数据技术和平台安全的挑战。
针对这些挑战,我国已经在大数据安全指引、国家标准及法律法规建设方面取得阶段性成果,但大数据运营过程中的大数据平台安全机制不足、传统安全措施难以适应大数据平台和大数据应用、大数据应用访问控制困难、基础密码技术及密钥操作性等信息技术安全问题亟待解决。
早期大数据平台安全主要借助传统的网络安全及物理或逻辑隔离来得到保证,有关用户数据安全性主要大数据应用中解决或借助第三方数据加固安全组件等数据中台(中间件)的安全能力来实现用户数据安全,因此业界希望大数据平台具有内生安全功能以实现大数据安全目标。
考虑到大数据平台一般是基于分布式处理技术,多采用云计算和多租户架构,以及大数据平台的安全持续运行、大数据平台应提供以下安全技术和机制:
保密性技术与机制;
真实性技术与机制;
可用性技术与机制;
应用安全支持技术与机制;
IT空间用户身份鉴别技术与机制;
数据业务安全技术与机制;
大数据基础设施安全技术与机制;
大数据系统合规性和应急响应技术与机制。
近年来,在大数据安全技术和安全最佳实践方面,云安全联盟(CSA),包括阿里、腾讯等中国大数据服务企业相继给出了相关的解决方案。在标准制定方面,全国信息安全标准化技术委员会已经发布了《信息安全技术 个人信息安全规范》《信息安全技术 大数据安全服务能力要求》《信息安全技术 大数据安全管理指南》等通用大数据安全标准,并在制定《信息安全技术 健康医疗数据安全指南》《信息安全技术 电信领域大数据安全防护实现指南》等面向大数据应用领域的指南类标准。
笔者认为,中国在数据安全管理和个人信息安全保护方面已经有了一批符合法律法规的大数据安全标准,但相对于大数据平台和大数据服务急需的核心安全技术与机制标准还需要加强研究,以便形成一批面向大数据平台和大数据应用的技术标准,特别是支撑大数据系统建设和大数据平台及其服务组件评估的大数据安全架构需要尽快提出,以推动中国大数据生态系统的产业化应用。
同时,建议加强大数据技术在大数据生态系统功能安全和网络安全防护方面的研究,以利用大数据技术抵御针对大数据生态系统的网络攻击威胁。
目前,这些面向组织层面促进大数据产业化发展的安全技术与机制还没有形成统一的共识,需要借助行业或团队标准等对国家标准进行丰富。
全文详见《大数据安全标准现状和思考》,论文发表在《科技导报》2020年第3期。
作者简介:
叶晓俊,大数据系统软件国家工程实验室,清华大学软件学院教授,主要从事数据组织与管理相关研究工作,包括数据安全与隐私保护、数据库测试技术、数据库优化技术等。
金涛,大数据系统软件国家工程实验室,清华大学软件学院助理研究员,主要从事业务流程管理,工作流技术,云计算,医疗大数据等领域的研究。
刘璘,大数据系统软件国家工程实验室,清华大学软件学院副教授,主要从事需求工程与知识工程领域的研究工作,包括需求建模与分析,医疗数据的分析与处理,新型网络应用软件开发等。
声明:本文来自科技导报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。