大数据安全标准现状和思考
随着中国《网络安全法》《网络产品和服务安全审查办法(试行)》《数据安全管理办法(征求意见稿)》等法律法规的陆续实施,对大数据运营商提出了诸多合规要求。如何应对大数据时代日益显著的数据安全风险,确保其符合网络安全法律法规政策,成为亟需解决的问题。
在网络空间安全语境下,大数据安全属性不同于传统信息安全领域的保密性、完整性和可用性。
这是因为大数据生态系统中的保密性必须同时考虑主体个人隐私和客体数据保密性;完整性必须同时考虑数据传输、分布式存储和处理一致性、主体对数据分析算法真实性及数据生命周期中的数据可信性;可用性也需要考虑大数据生态系统的健康运行安全目标,以确保数据生命周期内的数据活动始终满足数据和主体保密性和真实性要求。
从大数据运营者的角度看,大数据生态系统应提供包括大数据应用安全管理、身份鉴别和访问控制、数据业务安全管理、大数据基础设施安全管理和大数据系统应急响应管理等业务安全功能,因此大数据业务目标应包括大数据应用安全管理、身份鉴别和访问控制、数据业务安全管理、大数据基础设施安全管理、大数据系统应急响应管理5个方面。
《大数据安全标准化白皮书(2018版)》中,指出了3项目前大数据产业化发展面临的安全挑战,包括法律法规与相关标准的挑战、数据安全和个人信息保护的挑战、大数据技术和平台安全的挑战。
针对这些挑战,我国已经在大数据安全指引、国家标准及法律法规建设方面取得阶段性成果,但大数据运营过程中的大数据平台安全机制不足、传统安全措施难以适应大数据平台和大数据应用、大数据应用访问控制困难、基础密码技术及密钥操作性等信息技术安全问题亟待解决。
早期大数据平台安全主要借助传统的网络安全及物理或逻辑隔离来得到保证,有关用户数据安全性主要大数据应用中解决或借助第三方数据加固安全组件等数据中台(中间件)的安全能力来实现用户数据安全,因此业界希望大数据平台具有内生安全功能以实现大数据安全目标。
考虑到大数据平台一般是基于分布式处理技术,多采用云计算和多租户架构,以及大数据平台的安全持续运行、大数据平台应提供以下安全技术和机制:
-
保密性技术与机制; 真实性技术与机制;
可用性技术与机制;
应用安全支持技术与机制;
IT空间用户身份鉴别技术与机制;
数据业务安全技术与机制;
大数据基础设施安全技术与机制;
大数据系统合规性和应急响应技术与机制。
近年来,在大数据安全技术和安全最佳实践方面,云安全联盟(CSA),包括阿里、腾讯等中国大数据服务企业相继给出了相关的解决方案。在标准制定方面,全国信息安全标准化技术委员会已经发布了《信息安全技术 个人信息安全规范》《信息安全技术 大数据安全服务能力要求》《信息安全技术 大数据安全管理指南》等通用大数据安全标准,并在制定《信息安全技术 健康医疗数据安全指南》《信息安全技术 电信领域大数据安全防护实现指南》等面向大数据应用领域的指南类标准。
笔者认为,中国在数据安全管理和个人信息安全保护方面已经有了一批符合法律法规的大数据安全标准,但相对于大数据平台和大数据服务急需的核心安全技术与机制标准还需要加强研究,以便形成一批面向大数据平台和大数据应用的技术标准,特别是支撑大数据系统建设和大数据平台及其服务组件评估的大数据安全架构需要尽快提出,以推动中国大数据生态系统的产业化应用。
同时,建议加强大数据技术在大数据生态系统功能安全和网络安全防护方面的研究,以利用大数据技术抵御针对大数据生态系统的网络攻击威胁。
目前,这些面向组织层面促进大数据产业化发展的安全技术与机制还没有形成统一的共识,需要借助行业或团队标准等对国家标准进行丰富。
叶晓俊,大数据系统软件国家工程实验室,清华大学软件学院教授,主要从事数据组织与管理相关研究工作,包括数据安全与隐私保护、数据库测试技术、数据库优化技术等。
金涛,大数据系统软件国家工程实验室,清华大学软件学院助理研究员,主要从事业务流程管理,工作流技术,云计算,医疗大数据等领域的研究。
刘璘,大数据系统软件国家工程实验室,清华大学软件学院副教授,主要从事需求工程与知识工程领域的研究工作,包括需求建模与分析,医疗数据的分析与处理,新型网络应用软件开发等。
点击“阅读原文”下载期刊文章