1、 大数据安全标准化白皮书 ( 2018 版) 全国信息安全标准化技术委员会 大数据安全标准特别工作组 2018 年 4 月 I 大数据安全标准化白皮书( 2018 版) 顾问指导组 赵泽良 高 林 胡 啸 杜 巍 顾建国 杜 虹 杨建军 陈吉学 全国信息安全标准化技术委员会大数据安全标准特别工作组 组 长:王建民 副组长 :陈兴蜀 秘 书 :金 涛 II 编写单位 清华大学 中国电子技术标准化研究院 大唐电信科技产业集团 启明星辰信息技术集团股份有限公司 中国信息通信研究院 北京奇安信科技有限公司( 360 企业安全集团) 西北大学 浙江蚂蚁小微金融服务集团股份有限公司 阿里巴巴(北京)软件服
2、务有限公司 中电长城网际系统应用有限公司 深信服科技股份有限公司 公安部第三研究所 北京中测安华科技有限公司 勤智数码科技股份有限公司 联想集团 四川大学 北京天融信科技股份有限公司 陕西省网络与信息安全测评中心 成都秦川物联网科技股份有限公司 天津南大通用数据技术股份有限公司 国际商业机器(中国)有限公司 北京奇虎科技有限公司 中国信息安全测评中心 中国移动通信集团有限公司 北京三未信安科技发展有限公司 西安电子科技大学 中国信息安全认证中心 国家信息中心 CSA 云安全联盟 新华三技术有限公司 湖南科创信息技术股份有限公司 山西智杰软件工程有限公司 普华永道 上海数据交易中心有限公司 医渡
3、云(北京)技术有限公司 海信集团有限公司 腾讯云计算(北京)有限责任公司 西安未来国际信息股份有限公司 贵州国卫信安科技有限公司 深圳市腾讯计算机系统有限公司 甲骨文(中国)软件系统有限公司 编写人员 王建民 刘贤刚 金 涛 谢安明 汪 坤 韩晓露 郑新华 孙 骞 叶晓俊 王 昕 李克鹏 闵京华 叶润国 刘伯仲 唐 迪 陈世武 李 正 李小丁 赵 泰 阮树骅 徐雨晴 吴少华 杨 帆 张 磊 孙 卡 程海旭 鲍旭华 都 婧 陈 湉 江为强 任兰芳 鹿淑煜 詹 阳 吴 迪 吕 欣 叶思海 孙晓军 方 明 石在辉 叶荣伟 张丽萍 赵元勋 张 伟 桂 丽 张敏翀 梁文韬 胡 影 李 怡 苗光胜 王永霞
4、 孙茵茵 陈先来 宋好好 钱晓斌 代 威 金 丹 III 前言 中共中央总书记习近平 2017 年 12 月 8 日下午在主持中共中央政治局就实施国家大数据战略学习时强调,大数据发展日新月异,我们应该审时度势、精心谋划、超前布局、力争主动,深入了解大数据发展现状和趋势及其对经济社会发展的影响,分析我国大数据发展取得的成绩和存在的问题,推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整合和开放共享,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活改善。 大数据已经上升为国家战略 , 数据 被视为国家 基础性 战略资源 , 各行各业的大数据应用风起云涌 , 大数据在国民
5、经济发展中发挥的作用越来越大 。伴随着大数据的广泛应用,大数据安全问题也日益凸显,大数据安全标准作为大数据安全保障的重要抓手 越来越被重视。随着大数据安全标准化工作的开展,由于缺乏顶层设计和统筹规划,大数据安全标准之间 的交叉重复开始出现。为了更好的引导未来大数据安全标准化工作有序开 展,全国 信息安全标准化技术委员会 大数据安全标准特别工作组 集众多成员单位 之 合力 ,联合大数据系统软件国家工程实验室、大数据流通与交易技术国家工程实验室、大数据协同安全技术国家工程实验室、医疗大数据应用技术国家工程实验室 , 梳理了 大数据应用中面临的安全风险和挑战, 研究 了国内外大数据安全相关的法律法规
6、 ,分析了大数据安全标准化需求和目前已有的相关标准, 建立 了大数据安全标准体系,并给出了大数据安全标准化工作建议 ,最终形成本版白皮书。 全书 组织如下: 第 1 章介绍了本书的背景 、 目的 及 意义。 第 2 章从 保障大数据安全和利用大数据保障网络空间安全两个方面 对本书中的大数据安全进行了 范围界定 , 阐述了大数据安全的发展状况和重要 意义 。 第 3 章从大数据平台与技术、数据安全 和个人信息保护 、 国家社会安全和法规标准三 方面分析了大数据安全面临的挑战。 第 4 章介绍了国内外大数据安全相关的法律法规、相关的标准化组织及相应大数据安全标准化工作情况,并介绍了国内外大数据安全
7、相关标准。 第 5 章首先汇总了大数据安全标准化的需求,给出了大数据安全标准的分类,基于分类制定 了大数据安全标准图谱 ,并介绍了大数据安全标准特别工作组已经开展的大数据安全标准工作 ,指出了急需开展的标准化 重点 工作 。 第 6 章给出了大数据安全标准化工作建议。 附录 A 由各参编成员单位 介绍了 相关 领域大数据 应用 的 特点、安全风险 、 安全 需求以及大数据安全标准化需求。 附录 B 由各参编成员单位 介绍了 各自 在大数据应用中 的 安全标准应用实践 情况 , 包括使用了哪些标准 , 成效如何以及 基于实践的 大数据安全标准化 需求 。 附录 C 介绍了大数据安全相关的 其它
8、网络资源 。 附录 D 摘录 了大数据安全标准 相关 的术语定义 。 附录 E 介绍了信安标委标准工作程序。 附录 F 给出了缩略语 。 参考文献部分 列 出了本白皮书编写过程中参考的相关文献 。 由于时间仓促 , 水平有限 , 错误疏漏在所难免 , 针对此版白皮书如有任何意见或建议 ,敬请联系 。 IV 目录 前言 III 第 1 章 导论 1 1.1 背景 1 1.2 目的及意义 3 第 2 章 大数据安全 4 2.1 大数据安全含义 4 2.1.1 保障大数据安全 4 2.1.2 利用大数据保障网络空间安全 5 2.2 我国大数据安全发展状况 5 2.3 大数据安全的重要意义 6 第 3
9、 章 大数据安全挑战 8 3.1 大数据技术和平台安全挑战 8 3.1.1 传统安全措施难以适配 8 3.1.2 平台安全机制严重不足 9 3.1.3 应用访问控制愈加困难 9 3.1.4 基础密码技术亟待突破 10 3.2 数据安全和 个人信息保护挑战 10 3.2.1 数据安全保护难度加大 10 3.2.2 个人信 息泄露风险加剧 11 3.2.3 数据真实性保障更困难 11 3.2.4 数据所有者权益难保障 12 3.3 国家社会安全和法规标准挑战 12 3.3.1 国家安全深受大数据影响 13 3.3.2 社会治理面临大数据挑战 13 3.3.3 大数据安全法规标准尚需完善 14 第
10、4 章 大数据安全法规政策和标准化现状 . 15 4.1 大数据安全法规政策现状 15 4.1.1 国外数据安全法律法规和政策 15 4.1.2 国内数据安全法律法规和政策 22 4.1.3 国内数据安全标准化相关政策 28 4.2 主要标准化组织 29 4.2.1 ISO/IEC JTC1 30 4.2.2 NIST . 31 4.2.3 ITU-T . 31 4.2.4 SAC TC28 32 4.2.5 SAC TC260 32 4.3 大数据安全相关 标准现状 32 4.3.1 数据安全相关标准 33 4.3.2 个人信息安 全标准 39 4.3.3 其它大数据安全标准 41 V 第
11、5 章 大数据安全标准体系 . 43 5.1 大数据安全标准化需求 43 5.2 大数据安全标准分类 44 5.2.1 标准主题分类 45 5.2.2 标准类型分类 47 5.2.3 其它分类 48 5.3 大数据安全标准图谱 48 5.4 大数据安全标准特别工作组标准工作 49 5.4.1 标准制定项目 49 5.4.2 标准研究项目 53 5.5 近期重点工作方向 55 5.5.1 开展大数据安全参考框架研制 55 5.5.2 完 善个人信息安全相关标准研制 55 5.5.3 推进数据交换共享相关安全标准研制 55 5.5.4 加快数据出境安全相关标准研制 56 5.5.5 推动大数据安全
12、检测评估相关标准研制 56 5.5.6 启动重点领域大数据安全标准研制 56 第 6 章 大数据安全标准化工作建议 . 58 6.1 健全大数据安全法律法规体系 58 6.2 加强大数据安全核心技术研发 58 6.3 大力推广大数据安全标准示范应用 58 6.4 建立大数据安全标准体系研究长效机制 58 6.5 加强大数据安全标准化人才培养 59 6.6 深度参 与大数据安全国际标准化工作 59 附录 A 典型领域大数据安全标准需求 . 60 A.1 安全应用大数据 . 60 A.1.1 安全应用大数据特点 . 60 A.1.2 安全应用大 数据应用领域 . 60 A.1.3 安全应用大数据标
13、准需求 . 62 A.2 政务大数据 . 62 A.2.1 政务大数据特点 . 62 A.2.2 政务大数据安全 风险和需求 . 63 A.2.3 政务大数据安全标准需求 . 63 A.3 健康医疗大数据 . 64 A.3.1 健康医疗大数据特点 . 64 A.3.2 健康医疗大 数据安全风险和需求 . 65 A.3.3 健康医疗大数据安全标准需求 . 66 A.4 教育大数据 . 67 A.4.1 教育大数据特点 . 67 A.4.2 教育大数据安全 风险和需求 . 68 A.4.3 教育大数据安全标准需求 . 68 A.5 金融大数据 . 69 A.5.1 金融大数据特点 . 69 A.5
14、.2 金融大数据安全 风险和需求 . 70 VI A.5.3 金融大数据安全标准需求 . 71 A.6 互联网金融大数据 . 72 A.6.1 互联网金融大数据特点 . 72 A.6.2 互联网 金融大数据安全风险和需求 . 73 A.6.3 互联网金融大数据安全标准需求 . 74 A.7 电信大数据 . 75 A.7.1 电信大数据特点 . 75 A.7.2 电信大数据安全 风险和需求 . 75 A.7.3 电信大数据安全标准需求 . 76 A.8 能源大数据 . 77 A.8.1 能源大数据特点 . 77 A.8.2 能源大数据安全 风险和需求 . 77 A.8.3 能源大数据安全标准需求
15、 . 78 A.9 交通大数据 . 78 A.9.1 交通大数据特点 . 78 A.9.2 交通大数据安全 风险和需求 . 79 A.9.3 交通大数据安全标准需求 . 80 A.10 电商大数据 . 80 A.10.1 电商大数据特点 . 80 A.10.2 电商大数 据安全风险和需求 . 81 A.10.3 电商大数据安全标准需求 . 81 附录 B 大数据安全标准应用实践 83 B.1 360企业安全集团大数据安全标准应用实践 83 B.2 IBM大数据安全标准应用实践 84 B.3 阿里巴巴大数据安全标准应用实践 . 87 B.4 海信交通大数据安全标准应用实践 . 90 B.5 联想
16、大数据安全标准应用实践 . 92 B.6 蚂蚁金服大数据安全标准应用实践 . 94 B.7 南大通用大数据安全标准应用实践 . 96 B.8 启明星辰能源大数据安全标准应用实践 . 98 B.9 勤智数码互联网金融大数据安全标准应用实践 . 101 B.10 三未信安大数据安全标准应用实践 . 102 B.11 腾讯云大数据安全标准应用实践 . 104 B.12 医渡云大数据安全标准应用实践 . 107 B.13 中电长城网际大数据安全标准应用实践 . 111 B.14 中国移动大数据安全标准应用实践 . 113 附录 C 其它相关资源介绍 . 116 C.1 大数据安全报告 . 116 C.
17、2 安全管理及框架 . 116 C.3 数据分类 . 117 C.4 个人信息保护 . 117 C.5 数据驻留和跨境流动 . 118 C.6 行业数据安全 . 118 C.7 标准文本 . 118 VII 附录 D 大数据安全标准术语摘录 . 120 D.1 信息安全技术 个人信息安全规范术语 . 120 D.2 信息安全技术 大数据服务安全能力要求术语 . 121 D.3 信息安全技术 个人信息去标识化指南术语 . 122 D.4 信息安全技术 大数据安全管理指南术语 . 124 D.5 信息安全技术 数据安全能力成熟度模型术语 . 125 D.6 信息安全技术 数据交易服务安全要求术语
18、. 126 附录 E 信安标委标准工作程序 128 E.1 标准项目申请立项程序 . 128 E.2 标准项目制修订程序 . 128 附录 F 缩略语 130 参考文献 . 133 1 第 1 章 导论 1.1 背景 随着大数据时代 的到来,数据 已经 成为 与物质资产和人力资本同样重要的基础生产要素。 2013 年 7 月,习近平总书记指出:“大数据是工业社会的自由资源,谁掌握了数据,谁就掌握了主动权”。 2014 年 2 月 27 日,习近平总书记在中央网络安全和信息化领导小组第一次会议又进一步强调:“网络信息是跨国界流动的,信息流引领技术流、资金流、人才流,信息资源日益成为重要生产 要素
19、和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志 ” 。2017 年 10 月 18 日,习近平同志代表第十八届中央委员会向党的十九大作报告指出:“加快建设制造强国,加快发展先进制造业,推动互联网、大数据、人工智能和实体经济深度融合,在中 高端消费、创新引领、绿色低碳、共享经济、现代供应链、人力资本服务等领域培育新增长点、形成新动能。” 国家拥有的数据规模及运用能力已逐步成为综合国力的重要组成部分,对数据的占有权和控制权将成为陆权、海权、空权之外的国家核心权力。大数据正在重塑世界新格局,被誉为是“ 21 世纪的钻石矿”,更是国家基础性战略资源,正逐步对国家治理能力、经济运行机制、社会
20、生活方式产生深刻影响,国家竞争焦点也已经从资本、土地、人口、资源的争夺扩展到对大数据的竞争。 在 大数据时代 , 机遇与挑战并存, 大数据 开辟了国家治理的新路径,国家社会管理现 代化面临着由碎片型向整体型、由应急型向预防型、由管控型向参与型、由粗放型向精细型,以及由静态型向动态型转 变的五位一体的全面变革。大数据可以通过对海量、动态、高增长、多元化、多样化数据的高速处理,快速获得有价值信息,提高公共决策能力,从而逐步改变国家治理架构和模式。2016年 10月 9日,习近平同志主持中共中央政治局第三十六次集体学习指出,我们要深刻认识互联网在国家管理和社会治理中的作用,以推行电子政务、建设新型智
21、慧城市等为抓手,以数据集中和共享为途径,建设全国一体化的国家大数据中心,推进技术融合、业务融合、数 据融合,实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。要强化互联网思维,利用互联网扁平化、交互式、快捷性优势,推进政府决策科学化、社会治理精准化、公共服务高效化,用信息化手段更好感知社会态势、畅通沟通渠道、辅助决策施政。2016 年 12 月,国务院印发“十三五”国家信息化规划(以下称“十三五”规划)建议提出:“实施国家大数据战略,推进数据资源开放共享。”因此,必须要正视大数据安全对社会发展带来的挑战,在大数据应用推广过程中,坚持安全与发展并重的方针,既充分发挥大数据价值, 又避免
22、数据 泄露 和个人隐私暴露等带来的安全问题 ,从而构建大数据安全保障体系,完善大数据社会管理体制机制建设和大数据国家战略,促进大数据时代的社会发展 。 大数据 作为 产业发展的创新要素,不仅在数据科学与技术层 面 ,而且在商业模式、产业格局、生态价值与教育层面, 均 带来了 新理念和新思维。大数据与现有产业深度融合,在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展现出广阔的前景,使得生产更加绿色智能、生活更加便捷高2 效 。 大数据已经逐渐成为企业 升级转型 发展的有力引擎,在提升产业竞争力和推动商业模式创新方面发挥越来越重要的作 用。 为坚持技术创新与应用创新协同共进,国家
23、战略加快经济社会各领域的大数据开发与利用,催生 出 更多的新产业、新业态、新模式,推动国家、行业、企业 在 数据的应用需求和发展水平方面 进入新的阶段。在内部技术条件成熟、外部政策因素推动的激励下,我国涌现出一批从传统业务扩展甚至转型到大数据业务的企业,尤其是大数据细分市场,新应用新模式层出不穷,大数据产业呈现出蓬勃发展的 态势 。在此背景下,在跟踪研究大数据 ,提升对大数据的认知和理解的同时,也要充分意识到大数据安全与大数据应用是一体之两翼 、 驱动之双轮,必须从国家网络空间安全战略的高度认真研究与应对当前大数据安全面临的复杂问题。 大数据安全标准是大数据安全保障体系的基础组成部分,对 大数
24、据安全保障体系的 实施起到引领和指导作用 , 主要 体现在 如下方面 : 一是规范大数据系统所有者、建设者、运营者对大数据平台和应用的安全建设、运维和风险管理 ;二是指导数据控制者完善数据 采集、传输、存储、处理、交换、销毁 等 大 数据全 生命周期 的 管理,防控来自组织内外部的安全风险 ; 三是通过规范大数据服务组织的基础安全管理、数据安全管理、系统安全建设、安全运维,提升系统防范安全风险的能 力 ; 四是规范行业大数据安全 体系 。在构建大数据安全标准体系时, 须 统筹考虑数据在行业之间或组织之间的交换与共享问题, 以 指导各行业的大数据安全建设和运营,支撑行业大数据应用的快速发展。为此
25、,亟待从技术和产业发展角度加快推进大数据安全标准化工作,为我国大数据产业的健康发展提供有效支撑。 党中央、国务院高度重视大数据安全及其标准化工作,将其作为国家发展战略予以推动。 2015年 9月,国务院发布促进大数据发展行动纲要 (以下称纲要) ,要求“完善法规制度和标准体系” 并 “推进大数据产业标准体系建设”。 2016年 8月,中央网信办、国家质检总局、国家标准委联合印发 了 关于加 强国家网络安全标准化工作的若干意见, 其中 对加强网络安全标准化工作做出部署, 要求 围绕国家战略需求,开展关键信息基础设施保护、网络安全审查、工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等
26、领域标准研制工作 ,从而 提升标准信息服务能力和标准符合性测试能力, 并 在政策文件制定、相关工作部署时积极采用国家标准,积极参与制定相关国际标准并发挥作用。 2016年 11月,第十二届全国人民代表大会常务委员会通过了 中华人民共和国网络安全法,鼓励开发网络数据安全保护和利用技术。 2016 年 12 月,国家互联网信息办公室发布 了 国家网络空间安全战略,提出实施国家大数据战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系,相继出台了加强网络信息保护的决定、电信和互联网用户个人信息保护规定等一系列法规和部门规章制
27、度。与此同时, 相关标准研制机构 还发布了国家和行业的网络个人信息保护相关标准,开展以数据安全为重点的网络安全防护检查。 为了贯彻落实国 家大数据安全标准化工作 要求 ,全国信息安全标准化技术委员会(以下简称“全国信安标委”,委员会编号 TC260)下设了大数据安全标准特别工作组( SWG-BDS),并在 已 开展的大数据安全相关标准工作 的 基础上,启动了大数据安全标准化白皮书的编制工作。 3 1.2 目的及意义 本白皮书从 法律法规 、政策、标准 及产业应用等角度,勾画出大数据安全的整体轮廓, 从国家安全、社会公共利益,保护公民、法人和其他组织的合法利益的角度 ,综合分析大数据安全标准化需
28、求 , 从而 为我国后续的大数据安全标准化工作提供指导。 本白皮书从多维度阐述大数据安全的重要性,分析大数据面临的安全风险和挑战,梳理国内外的大数据安全法规政策和标准化工作现状,制定 大数据安全标准体系框架,提出 开展大数据安全标准化工作的建议 。 本白皮书旨在全面、客观 的 反映国内外大数据安全标准化相关工作基础和进展,根据业界最佳实践、认知水平,分享大数据安全标准特别工作组在大数据安全标准化领域的研究成果和实践经验,呼吁社会各界共同关注大数据安全的 法规政策、技术创新 和标准建设,为大数据产业的健康、安全、有序发展奠定坚实基础。 4 第 2 章 大数据安全 本章从 保障大数据安全和利用大数
29、据保障网络空间安全两个方面介绍了大数据安全的含义,阐述了我国大数据安全发展状况和大数据安全的重要意义。 2.1 大数据安全 含义 2.1.1 保障 大数据 安全 当今社会进入大数据时代,越来越多的数据共享开放,交叉使用。针对关键信息基础设施 缺乏 保护、敏感数据泄露严重、智能终端危险化、信息访问权限混乱、个人敏感信息滥用等问题, 急需 通过加强网络空间安全保障、做好关键信息基础设施保护、强化数据加密、 加固 智能终端、保护个人敏感信息等手段,保障大数据背景下的数据安全。 大数据应用涉及海量数据的 分散获取、 集中存储和分析处理,表现出数据容量大、数据变化快等特征。同时,大数据所面临的安全威胁和
30、攻击种类多,且攻击行为具有一定的隐蔽性、攻击特征变化快, 单纯依赖传统信息安全防护技术来防范大数据攻击存在一定局限性。 大数据环境 下,虽然很多传统安全技术手段和管理措施可以在大数据环境下提供一定安全保障能力。但与此同时,大数据环境下,数据量巨大、数据变化快等特征导致大数据分析及应用场景更为复杂,这就需要我们对传统信息安全技术优化改进基础之上进行创新,从而改善海量数据分析场景下的应用和数据安全问题。 大数据安全主要是保障数据不被窃取、破坏和 滥用 ,以及确保大数据系统的安全可靠运行。需要构建包括系统层面、数据层面和服务层面的大数据安全框架,从技术保障、管理保障、过程保障和运行保障多维度保障大数
31、据应用和数据安全。 从系统层面来看,保障大数据应用和数据安全需要构建立体纵深的安全防护体系,通过系统性、全局性地采取安全防护措施,保障大数据系统正确、安全可靠的运行,防止大数据被泄密、篡改或滥用。 主流 大数据系统是由通用的云计算、云存储、数据采集终端、应用软件、网络通信等部分组成,保障大数据应用和数据安全的前提是要保障大 数据系统中各组成部分的安全,是大数据安全保障的重要内容。 从数据层面来看,大数据应用涉及到采集、传输、存储、处理、交换、销毁等各个环节,每个环节都面临不同的安全威胁,需要采取不同的安全防护措施,确保数据在各个环节的 保密性 、完整性、可用性,并且要采取 分级分类 、去标识化
32、、脱敏等方法保护用户 个人信息安全 。 从服务层面来看,大数据应用在各行业得到了蓬勃发展,为用户提供数据驱动的信息技术服务,因此,需要在服务层面加强大数据的安全运营管理、风险管理,做好数据资产保护,确保大数据服务安全可靠运行,从而充分挖掘大数据的价值 ,提高生产效率,同时又防范针对大数据应用的各种安全隐患。 5 2.1.2 利用大数据保障 网络空间 安全 国家互联网信息办公室 2016 年 发布的国家网络空间安全战略指出 : 网络空间安全事关人类共同利益,事关世界和平与发展,事关各国国家安全,并提出要实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用,为保
33、障国家网络安全夯实产业基础,大数据安全已成为国家网络空间安全的核心组成。 随着大数据应用的蓬勃发展,安全行业正发生重大转变 ,利用大数据来保障网络空间安全成为一种趋势。网络空间安全涉及到网络空间中电磁设备、信息通信系统、运行数据、系统应用所面临的安全威胁防护,既要防止包括互联网、电信网与通信系统、传播系统与广电网、计算机系统、工业控制网络系统及其所承载的数据 免遭破坏 ,也要防止对这些网络基础设施和重要信息系统的攻击或滥用波及到政治安全、经济安全、文化安全、社会安全和国防安全。针对上述安全风险,需要采取法律、管理、技术等综合手段来进行积极应对,确保网络基础设施、重要信息系统及其所承载数据的 保
34、密性 、 完整性、 可鉴别性、可用性、可靠性、可 控性得到保障。 目前,大数据技术已经广泛应用到网络空间安全中的网络安全态势感知、高级持续威胁( APT)检测、伪基站发现与追踪、反钓鱼攻击、金融反欺诈等领域, 并不断有新的应用场景出现 。 大数据是实现网络空间安全保障的重要技术。综合考虑当前大数据应用的特点,利用大数据技术构建网络空间安全防护体系,建设以数据为核心的安全防护系统,集成态势感知、人工智能综合分析等功能,利用大数据技术工具,将传统的事中检测和事后响应防御体系转变为包括事前评估预防、事中检测和事后响应恢复的全面安全防护体系,为网络空间安全带来新的 管理理 念和技术创新 ,从而大幅提升
35、网络空间安全治理能力。 2.2 我国大数据安全发展状况 为了保障大数据安全和网络 空间 安全,我国网络安全企业近年来发展迅速,网络安全初创企业不断涌现,各种先进的安全技术也被及时引入到国内。中国信息通信研究院于 2017年 9月 19日发布的 2017网络安全产业白皮书表明,我国网络安全产业在近几年步入快速发展的新阶段;网络安全领域创新活跃;网络安全企业实力有较大提高,出现了一批具有整合能力的龙头企业。我国网络安全企业的业务类型基本覆盖了大数据安全涉及的各方面,包括基础设施安全、应用安全、数据安全、身份与访问管理、云安全、安全管理、安全服务等领域,这些企业是我国大数据安全市场的主力军。 据赛迪
36、 顾问统计, 2016 年 我国 信息安全市场 (包括大数据安全市场) 整体规模达到 336.2 亿元,比 2015 年增长 21.5%;其中 信息安全硬件仍为主力,占比达到 50.7%,信息安全软件与服务分别占 37.7%、 11.6%。 经统计,截止 2017年 6 月,我国在主板上市的网络安全企业共有 12 家,总市值 1171.49 亿元,营业收入 148.18 亿元。在新三板上市的网络安全企业共有 36 家,营业收入共计23.54 亿元。 作为企业发展的聚集区和孵化区,大数据安全产业园区建设也已逐步展开。6 例如, 2017 年 5 月 26 日,贵阳市被授牌成为全国首个大数据安全示
37、范试点城市,贵阳市大数据安全保障体系及产业规划提出了“ 1+1+3+N”的大数据安全发展总体思路 。 其中,第一个“ 1”,“大数据安全示范试点城市”已实现落地,成为推动大数据安全发展的载体;而第二个“ 1”, 1 个大数据安全靶场也正在着力建设中;“ 3”表示构建“城市安全态势感知中心”、“城市安全监管中心”、“大数据安全创新中心” 3 个中心;“ N”表示在不同领域、不同行业,围绕数据安全以及网络安全构建 N 个不同的平台。目前,已经启动建设占地一千多亩的大数据安全产 业示范区,预计到“十三五”末 期 ,贵阳大数据安全产业园将成为国内大数据安全产业的重要聚集区和大数据安全产业地标。 大数据
38、 安全市场蓬勃发展 , 市场预期良好, 但问题也不断暴露。由于缺乏相应的监管措施、配套的安全标准以及相应的产品检测机制, 一些 不 具备相关资质和能力的企业看到商机 后 趁机涌入, 导致 安全市场的 从业企业 鱼龙混杂 、良莠不齐, 呈现出 “ 野蛮 发展 ” 的态势 , 市场 乱象频出,亟待规范和引导。 随着 国家对大数据安全的高度重视, 一批 大数据安全相关的国家 标准 将陆续出台, 将对规范市场 秩序 、扶持优质企业起到重要作用 。 2.3 大数据安全 的重要意义 大数据已经逐步应用于产业发展、政府治理、民生改善等领域,大 幅度 提高了人们的生产 效率和 生活水平。适应、把握、引领大数据
39、,将成为时代潮流。在大数据时代,数据是重要的战略资源,但数据资源的价值只有在流通 和 应用过程中才能够充分体现出来。这就要求打破传统垂直应用中所形成的数据孤岛,形成适应大数据时代的数据湖, 并需要数据在不同应用之间流动 ,这难 免会出现数据泄露和滥用问题。在发展大数据的同时, 也容易出现政府重要数据、法人和其他组织商业机密、个人敏感数据泄露,给国家安全、社会秩序、公共利益以及个人安全造成威胁 。没有安全,发展就是空谈。大数据安全是发展大数据的前提,必须将它摆在更加重要的位置。 大数据系统自身安全防护具有重要意义。 大数据的数据量大且相互关联,黑客一次成功的攻击 就 能够获得 大量 的数据,可以
40、从大数据中快速捕捉到有价值的信息,尤其是个人敏感信息 。 因此,蕴含着海量数据和潜在价值的大数据成为网络攻击的显著目标。另一方面,传统网络安全防御技术以及现有网络安全行政监管手段 与 大数据安全 保护 的需求 之间 还 存在较大差距: Hadoop 对数据的聚合增加了数据泄露的风险 ; NoSQL 技术在维护数据安全方面缺乏严格的访问控制和隐私管理;复杂多样的数据存储在一起,在数据管理和使用环节也容易形成安全隐患;安全防护手段的更新升级速度无法跟上数据量 指数级 增长的步伐 等 。因此,需要各层面、各环节保障大数据的安全。从数据的层面来看,大数据自身安全涉及到采集、传输、存储、处理、交换、销毁
41、等各个 环节 ,每个环节都面临不同的威胁,需要采取不同的安全保障措施,这些工作都是保障大数据安全的重要内容。从系统的层面来看,保障大数据自身安全需要从大数据系统的各部分采取措施,建立坚固、缜密、健壮的防护体系,保障大数据系统正确、安全、可靠的运行,防止大数据系统被破坏、被渗透或被非法使用。从服务的层面来看,规范大数据安全服务内容,提高对大数据安全的风险识别能力,建立健全的大数据安全保障体系,降低大数据安全隐患和安全事件发生7 频率。 大数据在保障网络安全方面也具有重要作用。当前,各种网络攻击频发,攻击过程越来越复杂,网络攻击手段变得越来越隐蔽,传统的入侵检测、防御等网络安全产品 往往难以 奏效
42、 ,采用大数据技术来检测高级网络攻击成为一种趋势。当前,为了利用大数据来加强企业信息安全 能力 ,包括采用大数据技术来实现网络安全威胁信息分析,采用基于大数据的深度学习方法来替代传统入侵检测方法中的攻击特征模式提取,采用大数据技术来实现网络安全态势感知,以及对多步复杂网络攻击的检测、溯源和场景重现 ,都已开始 应用 。可以说,大数据技术将重塑未来的网络安全技术和产业发展趋势。 未来, 在 大数据应用的飞速发展过程中,大数据安全问题将始终伴随左右。针对大数据安全问题和安全风险,必须加大大数据安全技术的研究 力度 ,必须以现有安全 技术为依托,深入研究新型的大数据安全技术,比如同态加密技术等 。
43、确保大数据在存储、处理、传输 等 过程的安全性,在充分挖掘数据价值的同时保护用户隐私,从而避免因大数据安全问题而给用户的利益造成损失。 需要进一步完善大数据安全相关法律体系建设,对数据权属 界定、数据流动管理、个人信息保护等各种问题,给出明确规定。需 要创新研制和推广大数据安全保护的产品和服务,基于大数据研制网络安全产品和服务,推动大数据安全市场发展,保障大数据时代的信息安全。 8 第 3 章 大数据安全挑战 大数据安全风险伴随大数据应用而生。我们在享受大数据福祉的同时,也面临 着前所未有的安全挑战。随 着互联网、大数据应用的爆发,系统遭受攻击、数据丢失和个人信息泄露 的事件 时 有发生,而地
44、下数据交易黑灰产也导致了大量的数据滥用和网络诈骗事件。这些安全事件,有的造成个人的财产损失,有的引发恶性社会事件, 有的 甚至危及国家安全。可以说当前环境下,大数据平台与技术、大数据环境下的数据和个人信息、大数据应用等方面都面临着极大的安全挑战,这些挑战不仅对个人 有着 重大 影响,更直接威胁到社会的繁荣稳定和国家的安全利益。 3.1 大数据技术和平台 安全 挑战 伴随着大数据的 飞速 发展 , 各种 大数据 技术层出不穷 , 新 的技术架构、支撑平台和 大数据 软件不断 涌现,大数据安全技术和平台发展也面临着新 的挑战。 3.1.1 传统安全措施 难以适配 大数据的一个显著特点是数量巨大,即
45、“ Volume”,指的是要采集、存储和处理体量非常大的数据。同时,大数据还有另外一个特点是类型多,即“ Variety”,指的是数据种类和来源非常多,类型上包括结构化、半结构化和非结构化数据,来源上包括生产、财务等业务数据,也包括文本、音频、视频、图片、地理位置信息等。这些海量、多源、异构等大数据特征导致其与传统封闭环境下的数据 应用 安全环境有 很大 区别。 大数据技术架构复杂,大数据应用一般采用底层复杂、 开放的分布式计算和存储架构为其提供海量数据分布式存储和高效计算服务,这些新的 技术和架构使得大数据应用的 系统 边界 变得 模糊 ,传统基于 边界的 安全 保护措施将变得不再 有效 。
46、如在大数据系统中,数据一般都是分布式存储的,数据可能 动态 分散在很多个不同的存储设备、甚至不同的物理地点存储,这样导致难以准确划定传统意义上的每个数据集的“边界”,传统的基于网关模式的防护手段也就失去了安全防护效果。 同时, 大数据系统表现为系统的系统( System of System),其 分布式 计算安全问题也将显得更加突出。在分布式计算环境下,计算涉及的 软件 和 硬件 较多,任何一点遭受故障或攻击,都可能导致整体安全出现问题。攻击者也可以从防护能力最弱的节点 着手 进行突破,通过破坏计算节点、篡改传输数据和渗透攻击,最终达到破坏或控制整个分布式系统的目的。传统基于单点的认证鉴别、访
47、问控制和安全审计的手段将面临巨大的挑战。 此外,传统的安全检测技术能够将大量的日志数据集中到一起,进行整体性的安全分析,试图从中发现安全事件。然而,这些安全检测技术往往存在误报过多的问题,随着大数据系统建设,日志数据规模增大 , 数据的种类将更加丰富。过多的误判会造成安全检测系统失效,降低安全检测能力。 因此,在大数据环境下,大数据安全审计检测方面也面临着巨大的挑战。随着大数据技术的应用, 为了保证大数据安全,需 要进一步提高安全检测技术能力,提升安全9 检测技术在大数据时代的适用性。 3.1.2 平台安全机制 严重不足 现有大数据应用中多采用 开源 的大数据管理平台和技术,如基于 Hadoo
48、p 生态架构的 HBase/Hive、 Cassandra/Spark、 MongoDB 等。这些平台和 技术 在 设计之初,大部分考虑是在可信 的 内部网络 中 使用,对 大数据 应用 用户 的身份鉴别、授权 访问 以及安全审计 等安全功能需求考虑较少。近年来,随着更新发展,这些软件通过调用外部安全组件、修补安全补丁的方式逐步增加了一些安全措施,如调用外部 Kerberos 身份鉴别组件、扩展访问控制管理能力、允许使用存储加密以及增加安全审计功能等。即便如此,大部分 大数据软件仍然是围绕大容量、高速率的数据处理功能开发,而缺乏原生的安全特性,在整体安全规划方面考虑不足,甚至没有良好的安全实现
49、。 同时,大数据系统建设过程中,现有的基础软件和应用 多采用 第三方开源组件。这些开源系统本身功能复杂、模块众多、复杂性很高,因此对使用人员的技术要求较高 ,稍有不慎,可能导致系统崩溃或数据丢失。在开源软件开发和维护过程中,由于软件管理松散 、 开发人员混杂,软件 在发布前几乎都没有经过权威和严格的安全 测试,使得 这些软件大都缺乏有效的 漏洞管理和恶意后门防范 能力。如 2017年 6月, Hadoop的发行版本 被发现存在安全漏洞,由于该软件没有对输入进行严格的验证,导致攻击者可以利用该漏洞攻击系统,并获得最高管理员权限。 物联网技术的快速发展 ,使得当前设备连接和数据规模都达到了前所未有的程度,不仅手机、电脑、电视机等传统信息化设备 已 连入网络, 汽车、 家用电器和工厂设备、基础设施等也将逐步成为互联网的 终端 。而在这些新 终端 的安全防护上,现有的安全防护体系尚不成熟,有效的安全手段还不多,急需研发和应用更好的安全保护机制。 3.1.3 应用 访问控制愈加 困难 大数据应用的特点之一是数据类型复杂、应用范围广泛,它通常要为来自
