胡影:我國大數據安全標準進展與應用實踐
責編:gltian |2018-06-20 14:25:16摘要:本文介紹了我國在大數據安全、隱私保護領域的國家標準化工作情況,以及重點標準的應用實踐情況。
胡影????中國電子技術標準化研究院信息安全研究中心 數據安全部主任
一、大數據安全標準化背景
大數據產業日益紅火,各種生態日益完善。傳統數據安全一直都在,大數據安全是在大數據環境下的數據安全。大數據環境下的數據安全與傳統數據安全相比面臨著不一樣的風險和挑戰。
一是它成為網絡攻擊的目標和手段,大家對數據越來越重視,數據是國家的基礎性戰略資源。利用大數據技術可以挖掘國家的重要數據,增加了國家關鍵信息基礎設施被攻擊的可能性。
二是加大了用戶隱私泄漏的風險。上午的主論壇上有演講者分享了隱私保護的相關問題,大家越來越重視。對于傳統的APP超范圍收集數據、用一攬子協議打包授權、內部員工竊取數據、易被濫用、地下灰黑產都是隱私保護的常見問題。
三是安全防御邊界和難度擴展。我們現在說數據是流動的,發揮大數據的價值就得讓數據流動起來,存在泛在的接入、數據的共享、交易和跨境傳輸、本地化存儲。
四是技術實現難度和自身脆弱性。
我國高度重視大數據安全標準化工作。頂層設計層面有法律、戰略。總書記在中央政治局第二次集體學習時強調要切實保障我國數據安全。以及《促進大數據發展行動綱要》《網絡安全法》都提到了網絡安全標準體系,《網絡安全法》提到數據的有16處,數據安全、個人信息保護、跨境數據流動、國家層面的數據安全都有提及。《“十三五”規劃》里也有講到。標準在國家的頂層設計處于什么樣的位置。最上層是法律戰略,中間是部門規章和制度,再下一層是標準規范。大數據安全標準是大數據保障體系的重要組成部分和主要抓手之一。
二、我國大數據安全標準進展
我國的網絡安全標準是在全國信安標委TC260的組織下制定的。TC260成立于2002年,它是國家標準化管理委員會的直屬標委會,業務上直接接受中央網信辦的指導。國際對口組織是JTC1、SC27。它的工作范圍是與網絡安全相關的國家標準工作都在TC260進行統一的歸口、統一申報。目前TC260秘書處設在中國電子技術標準化研究院。TC260下設了一些工作組。
TC260委員會的主任委員是中央網信辦副主任。副主任委員包括網信辦、工信部、公安部、國測、密碼管理局等等國家部委的領導。秘書長是我們院的楊建軍副院長。副秘書長是網信辦的副巡視員和我們中心的主任。
委員會下設秘書處和工作組,WG1、WG2、WG3、WG4、WG5、WG6、WG7、SGW-BDS(大數據安全特別工作組)。大數據安全標準化工作組的主要工作是圍繞著云計算、大數據安全、人工智能安全等等新技術、新應用的標準化工作。
大數據安全標準化研究的邊界。(PPT)這是NIST的大數據參考架構,它給出了大數據的框架和應用角色。大數據應用標準的框架和邊界,要解決大數據安全問題要從兩個角度,一個是數據安全,一個是個人信息保護。
怎么解決數據安全問題呢?與以往不同的是數據的生命周期的采集、存儲、使用、流轉、銷毀等等過程中怎么保護數據的安全。還有一個是從傳統的系統平臺層面保護數據安全,再有就是基礎管理的制度、組織、人員。
對于個人信息保護,從標準的角度,更多的是強調兩個方面,一個是安全,一個是可控。現在有很多個人信息保護更多的是強調用戶的權益,用戶對自己個人信息的可控性。個人信息作為特殊的數據,它還有數據安全方面的問題。
從數據的類型來說,有個人信息、重要數據、業務數據。重要數據就是《網安法》提到的,這個重要數據是對國家而言重要的。對企業來說重要的是業務數據。
TC260做了很多工作,2017年4月發布了《大數據安全標準化白皮書(2017)》。2018年4月份發布了《大數據安全標準化白皮書(2018)》。
信安標委上半年、下半年會舉辦會議周,會議周成為網絡安全界非常重要的會議活動之一,有500多人參加。在會議周上,成員單位會對相關的標準進行討論。2017年的白皮書提出了大數據標準的標準體系,從服務安全、行業應用等等角度進行了規劃。
我們國家現有的TC260大數據安全國家標準情況。這些都是制定項目。2018年的以最后的發布為主。TC260當前已經發布了兩項大數據安全國家標準,GB/T 35273是個人信息安全規范,也可以說是目前的網紅標準,受到很多關注。大數據服務的安全能力要求GB/T 35274,主要是針對大數據服務的提供商的安全能力需要保障哪些點;大數據安全管理指南是從大數據的周期、不同的角色出發,比較概要性的標準。數據安全能力成熟度模型,跟大數據服務能力是配套的,提出了成熟度,能力怎么衡量呢?利用成熟度的方法來衡量,能力和成熟度達到了多少級,用這種方法給出成熟度的評估模型。因為這個標準比較細化,也可以作為能力實現標準的參考;數據交易服務安全要求主要是針對大數據交易服務機構;數據出境安全評估指南,配套《網絡安法》寫到了數據出境,除了相應的辦法和政策要求之外,這個標準會予以解答;個人信息去標識化指南是偏向于技術類的標準,告訴大家個人信息去標識的技術、模型;個人信息安全影響評估指南;個人信息安全工程指南是今年新立的項目,主要針對系統設計階段,個人信息安全規范的要求在系統設計階段,包括系統的采購供應階段,怎么落地實踐;健康醫療信息安全指南;政務信息共享、數據安全規范。
以上是制定的標準項目。
此外還有一些研究的標準項目,現在有11個項目在研究。大數據基礎軟件安全技術要求是從系統安全的角度,大家都講到了大數據平臺、大數據框架,作為產品來說,它的技術要求怎么樣,這是這個研究項目回答的問題;大數據業務安全風險控制實施指南,利用大數據做風控,解決薅羊毛等等問題;數據安全分類分級實施指南是研究數據有沒有統一的分類、分級的方法,配套政務數據分類分級,會繼續研究;個人信息告知同意指南,對個人信息的權益越來越強調告知用戶,要讓客戶同意;網絡安全態勢感知數據規范,利用大數據做安全,安全態勢感知是常見的應用,在這個業務場景下的數據規范是怎么樣的;大數據服務安全可控評價指標;大數據安全參考框架;重要數據業務運營安全規范,這個研究項目主要是從重要數據的角度。我們講到了數據有幾個維度,除了個人信息,還有國家層面如何保護重要數據;云服務數據安全指南,針對云計算環境下的數據安全有沒有特殊的指南;能源企業大數據應用安全防護指南;政務信息資源共享安全標準體系及關鍵標準研究。
TC260是直接對口國際ISO/SC27,SC27出版了著名的27000系列標準。SC27網絡安全標準化工作會議剛在武漢召開,當時有來自30多個國家成員體、約280位外國專家和70余位國內專家參加了會議,TC260主辦了這次會議。我國專家在大數據安全國際標準化工作取得的效果是非常顯著的。SC27大數據安全標準都是由中國主導提出的。ISO/IEC 20547-4第4部分的標準和編輯就是我國專家承擔的;我們提出的標準研究項目《大數據安全的過程能力評估模型》已成功轉為新標準立項階段;我國提出的《數據安全》研究項目成功立項,將研究數據安全國際標準體系;我國提出的標準研究項目《大數據安全實現指南》是大數據基礎軟件國內項目配套的國際項目。目前SC27大數據安全標準都是由中國提出并主導的。
除了國際化標準化工作之外,TC260不斷的進行技術研究工作。從今年開始陸續發布了網絡安全實踐指南的系列文件。2018年1月份,針對CPU熔斷漏洞,發布了《CPU熔斷和幽靈漏洞防范指引》,被網信辦引用;2月份,發布了《應對接獲短信驗證碼實施網絡身份假冒攻擊的技術指引》,針對偽基站的;發布了《網絡安全實踐指南—歐盟GDPR關注點》;即將發布《信息安全技術 個人信息實踐標準》。
三、個人信息保護標準應用實踐
現在標準化的工作思路在不斷的變化,更加重視標準的應用。網信辦作為網絡安全標準的業務指導單位,一直把標準作為工作的抓手,越來越注重如何應用重點標準。
個人信息保護標準的應用實踐最明顯的就是去年的隱私條款專項工作。初衷是為了落實《網絡安全法》的對個人信息保護的要求,提升網絡運營者的個人信息保護水平。由網信辦、工信部、公安部、國家標準委指導全國信安標委員會開展個人信息保護個人隱私條款相關工作。比如,隱私條款籠統不清,對收集、使用個人信息的目的、方式、范圍、保存期限和地點等沒有明確說明。征求用戶授權同意時,僅通過默認勾選、一攬子打包收錢等形式,沒有為用戶提供訪問、更正、刪除其個人信息的途徑。從隱私條款這個角度入手來解決這些問題。
工作的目的是踐行“網絡安全為人民、網絡安全靠人民”的具體舉措,推動企業更加重視個人信息保護,實現社會引導和示范效應,帶動行業個人信息保護水平的提升。
依據《網絡安全法》的個人信息保護要求。但是,《網絡安全法》的個人信息保護要求比較抽象,有些條款繼承了人大的法律,條款還需要細化,需要參考《個人信息安全規范》的內容。《個人信息安全規范》針對的對象是一個組織機構,涉及到個人信息處理活動的各類組織機構。什么是個人信息處理活動?包括采集個人信息、保存個人信息、使用、共享、轉讓、公開披露等等都是屬于個人信息的處理活動。首先是給出了個人信息處理活動中要遵循的原則,以及從采集、保存、使用、流轉、安全上有沒有要求,適用于規范相關活動,也適用于進行合規評估。個人信息保護的七大原則是它的創新。也是借鑒了國內的原則,并結合國內的特點,提出了七大原則。
專項工作是基于《個人信息規范》和《網絡安全法》,進行分析研究。整體工作是由信安標委秘書處負責具體組織。首批對象選擇了十款與大家的生活息息相關,包括電商、支付、地圖、出行等等方面。
首先由我們院根據《網絡安全法》的要求和《個人信息規范》制定測評的要點,測評條款要做到哪些方面。我們會從幾個方面入手。一是條款內容,文本要講到哪些方面。因為條款作為企業向用戶告知的承諾,具有一定的法律效力;二是隱私條款的展示形態。是彈窗,還是使用過程中出現,以及什么時候出現;三是征求用戶同意的方式。四部委推薦專家成立了專家組,參評企業主動按照相關評審要點進行修改修改不僅是隱私條款文字的修改。大家注意到,8月份那段時間,這十款產品陸續上線,對產品的功能和展現方式進行了修改。8月份組織了封閉評審。
十款產品服務在隱私政策方面都有不同程度的提升,參評的十家互聯網企業主動發起了個人信息保護倡議。我們跟蹤了100款衣食住行方面的APP,發現有60款APP按照之前評審的要點進行了修改。這次行動達到了示范目的。
四、大數據安全能力標準應用實踐
我們經常講到大數據安全問題,怎么建立大數據安全保障能力呢?有兩個標準給出了答案,一個是《大數據服務安全能力要求》,一個是《數據安全能力成熟度模型》。《成熟度模型》適用于對組織機構和數據安全能力進行評估,供組織機構開展數據安全能力建設時參考。目前它是一個報批稿的狀態。成熟度模型是三維的,組織建設怎么樣、制度流程優越性、技術工具有沒有、人員能力怎么樣。把數據安全能力分為五個等級。根據數據的生命周期和基礎管理安全給出了40個過程域,過程域就是有哪些控制點、控制域。
因為這個標準最早是來自于阿里內部的數據安全實踐,后來推成了國家標準,有非常多的企業參與,我們一直是深度參與。這個標準在制定的過程中已經在推廣、實踐和驗證。目前的推廣,有30多家企業在應用。在成都、貴陽、武漢三地進行了推廣和驗證。
今年,信安標委要對這個標準開展全國的試點工作。下半年,全國的試點工作即將開展,基于前期的基礎,會征集一些單位進行標準的應用試點驗證,幫助這個標準更符合我國大數據安全能力。
以上就是我國大數據安全標準的進展和應用實踐情況。TC260秘書處一直在信息安全、個人信息保護、人工智能安全方面做了很多相關工作,歡迎各位跟我們一起繼續深化我國的數據安全標準工作。
上一篇:崔晶煒:安全的最后一公里