摘要:本文介绍了我国在大数据安全、隐私保护领域的国家标准化工作情况,以及重点标准的应用实践情况。
胡影 中国电子技术标准化研究院信息安全研究中心 数据安全部主任
一、大数据安全标准化背景
大数据产业日益红火,各种生态日益完善。传统数据安全一直都在,大数据安全是在大数据环境下的数据安全。大数据环境下的数据安全与传统数据安全相比面临着不一样的风险和挑战。
一是它成为网络攻击的目标和手段,大家对数据越来越重视,数据是国家的基础性战略资源。利用大数据技术可以挖掘国家的重要数据,增加了国家关键信息基础设施被攻击的可能性。
二是加大了用户隐私泄漏的风险。上午的主论坛上有演讲者分享了隐私保护的相关问题,大家越来越重视。对于传统的APP超范围收集数据、用一揽子协议打包授权、内部员工窃取数据、易被滥用、地下灰黑产都是隐私保护的常见问题。
三是安全防御边界和难度扩展。我们现在说数据是流动的,发挥大数据的价值就得让数据流动起来,存在泛在的接入、数据的共享、交易和跨境传输、本地化存储。
四是技术实现难度和自身脆弱性。
我国高度重视大数据安全标准化工作。顶层设计层面有法律、战略。总书记在中央政治局第二次集体学习时强调要切实保障我国数据安全。以及《促进大数据发展行动纲要》《网络安全法》都提到了网络安全标准体系,《网络安全法》提到数据的有16处,数据安全、个人信息保护、跨境数据流动、国家层面的数据安全都有提及。《“十三五”规划》里也有讲到。标准在国家的顶层设计处于什么样的位置。最上层是法律战略,中间是部门规章和制度,再下一层是标准规范。大数据安全标准是大数据保障体系的重要组成部分和主要抓手之一。
二、我国大数据安全标准进展
我国的网络安全标准是在全国信安标委TC260的组织下制定的。TC260成立于2002年,它是国家标准化管理委员会的直属标委会,业务上直接接受中央网信办的指导。国际对口组织是JTC1、SC27。它的工作范围是与网络安全相关的国家标准工作都在TC260进行统一的归口、统一申报。目前TC260秘书处设在中国电子技术标准化研究院。TC260下设了一些工作组。
TC260委员会的主任委员是中央网信办副主任。副主任委员包括网信办、工信部、公安部、国测、密码管理局等等国家部委的领导。秘书长是我们院的杨建军副院长。副秘书长是网信办的副巡视员和我们中心的主任。
委员会下设秘书处和工作组,WG1、WG2、WG3、WG4、WG5、WG6、WG7、SGW-BDS(大数据安全特别工作组)。大数据安全标准化工作组的主要工作是围绕着云计算、大数据安全、人工智能安全等等新技术、新应用的标准化工作。
大数据安全标准化研究的边界。(PPT)这是NIST的大数据参考架构,它给出了大数据的框架和应用角色。大数据应用标准的框架和边界,要解决大数据安全问题要从两个角度,一个是数据安全,一个是个人信息保护。
怎么解决数据安全问题呢?与以往不同的是数据的生命周期的采集、存储、使用、流转、销毁等等过程中怎么保护数据的安全。还有一个是从传统的系统平台层面保护数据安全,再有就是基础管理的制度、组织、人员。
对于个人信息保护,从标准的角度,更多的是强调两个方面,一个是安全,一个是可控。现在有很多个人信息保护更多的是强调用户的权益,用户对自己个人信息的可控性。个人信息作为特殊的数据,它还有数据安全方面的问题。
从数据的类型来说,有个人信息、重要数据、业务数据。重要数据就是《网安法》提到的,这个重要数据是对国家而言重要的。对企业来说重要的是业务数据。
TC260做了很多工作,2017年4月发布了《大数据安全标准化白皮书(2017)》。2018年4月份发布了《大数据安全标准化白皮书(2018)》。
信安标委上半年、下半年会举办会议周,会议周成为网络安全界非常重要的会议活动之一,有500多人参加。在会议周上,成员单位会对相关的标准进行讨论。2017年的白皮书提出了大数据标准的标准体系,从服务安全、行业应用等等角度进行了规划。
我们国家现有的TC260大数据安全国家标准情况。这些都是制定项目。2018年的以最后的发布为主。TC260当前已经发布了两项大数据安全国家标准,GB/T 35273是个人信息安全规范,也可以说是目前的网红标准,受到很多关注。大数据服务的安全能力要求GB/T 35274,主要是针对大数据服务的提供商的安全能力需要保障哪些点;大数据安全管理指南是从大数据的周期、不同的角色出发,比较概要性的标准。数据安全能力成熟度模型,跟大数据服务能力是配套的,提出了成熟度,能力怎么衡量呢?利用成熟度的方法来衡量,能力和成熟度达到了多少级,用这种方法给出成熟度的评估模型。因为这个标准比较细化,也可以作为能力实现标准的参考;数据交易服务安全要求主要是针对大数据交易服务机构;数据出境安全评估指南,配套《网络安法》写到了数据出境,除了相应的办法和政策要求之外,这个标准会予以解答;个人信息去标识化指南是偏向于技术类的标准,告诉大家个人信息去标识的技术、模型;个人信息安全影响评估指南;个人信息安全工程指南是今年新立的项目,主要针对系统设计阶段,个人信息安全规范的要求在系统设计阶段,包括系统的采购供应阶段,怎么落地实践;健康医疗信息安全指南;政务信息共享、数据安全规范。
以上是制定的标准项目。
此外还有一些研究的标准项目,现在有11个项目在研究。大数据基础软件安全技术要求是从系统安全的角度,大家都讲到了大数据平台、大数据框架,作为产品来说,它的技术要求怎么样,这是这个研究项目回答的问题;大数据业务安全风险控制实施指南,利用大数据做风控,解决薅羊毛等等问题;数据安全分类分级实施指南是研究数据有没有统一的分类、分级的方法,配套政务数据分类分级,会继续研究;个人信息告知同意指南,对个人信息的权益越来越强调告知用户,要让客户同意;网络安全态势感知数据规范,利用大数据做安全,安全态势感知是常见的应用,在这个业务场景下的数据规范是怎么样的;大数据服务安全可控评价指标;大数据安全参考框架;重要数据业务运营安全规范,这个研究项目主要是从重要数据的角度。我们讲到了数据有几个维度,除了个人信息,还有国家层面如何保护重要数据;云服务数据安全指南,针对云计算环境下的数据安全有没有特殊的指南;能源企业大数据应用安全防护指南;政务信息资源共享安全标准体系及关键标准研究。
TC260是直接对口国际ISO/SC27,SC27出版了著名的27000系列标准。SC27网络安全标准化工作会议刚在武汉召开,当时有来自30多个国家成员体、约280位外国专家和70余位国内专家参加了会议,TC260主办了这次会议。我国专家在大数据安全国际标准化工作取得的效果是非常显著的。SC27大数据安全标准都是由中国主导提出的。ISO/IEC 20547-4第4部分的标准和编辑就是我国专家承担的;我们提出的标准研究项目《大数据安全的过程能力评估模型》已成功转为新标准立项阶段;我国提出的《数据安全》研究项目成功立项,将研究数据安全国际标准体系;我国提出的标准研究项目《大数据安全实现指南》是大数据基础软件国内项目配套的国际项目。目前SC27大数据安全标准都是由中国提出并主导的。
除了国际化标准化工作之外,TC260不断的进行技术研究工作。从今年开始陆续发布了网络安全实践指南的系列文件。2018年1月份,针对CPU熔断漏洞,发布了《CPU熔断和幽灵漏洞防范指引》,被网信办引用;2月份,发布了《应对接获短信验证码实施网络身份假冒攻击的技术指引》,针对伪基站的;发布了《网络安全实践指南—欧盟GDPR关注点》;即将发布《信息安全技术 个人信息实践标准》。
三、个人信息保护标准应用实践
现在标准化的工作思路在不断的变化,更加重视标准的应用。网信办作为网络安全标准的业务指导单位,一直把标准作为工作的抓手,越来越注重如何应用重点标准。
个人信息保护标准的应用实践最明显的就是去年的隐私条款专项工作。初衷是为了落实《网络安全法》的对个人信息保护的要求,提升网络运营者的个人信息保护水平。由网信办、工信部、公安部、国家标准委指导全国信安标委员会开展个人信息保护个人隐私条款相关工作。比如,隐私条款笼统不清,对收集、使用个人信息的目的、方式、范围、保存期限和地点等没有明确说明。征求用户授权同意时,仅通过默认勾选、一揽子打包收钱等形式,没有为用户提供访问、更正、删除其个人信息的途径。从隐私条款这个角度入手来解决这些问题。
工作的目的是践行“网络安全为人民、网络安全靠人民”的具体举措,推动企业更加重视个人信息保护,实现社会引导和示范效应,带动行业个人信息保护水平的提升。
依据《网络安全法》的个人信息保护要求。但是,《网络安全法》的个人信息保护要求比较抽象,有些条款继承了人大的法律,条款还需要细化,需要参考《个人信息安全规范》的内容。《个人信息安全规范》针对的对象是一个组织机构,涉及到个人信息处理活动的各类组织机构。什么是个人信息处理活动?包括采集个人信息、保存个人信息、使用、共享、转让、公开披露等等都是属于个人信息的处理活动。首先是给出了个人信息处理活动中要遵循的原则,以及从采集、保存、使用、流转、安全上有没有要求,适用于规范相关活动,也适用于进行合规评估。个人信息保护的七大原则是它的创新。也是借鉴了国内的原则,并结合国内的特点,提出了七大原则。
专项工作是基于《个人信息规范》和《网络安全法》,进行分析研究。整体工作是由信安标委秘书处负责具体组织。首批对象选择了十款与大家的生活息息相关,包括电商、支付、地图、出行等等方面。
首先由我们院根据《网络安全法》的要求和《个人信息规范》制定测评的要点,测评条款要做到哪些方面。我们会从几个方面入手。一是条款内容,文本要讲到哪些方面。因为条款作为企业向用户告知的承诺,具有一定的法律效力;二是隐私条款的展示形态。是弹窗,还是使用过程中出现,以及什么时候出现;三是征求用户同意的方式。四部委推荐专家成立了专家组,参评企业主动按照相关评审要点进行修改修改不仅是隐私条款文字的修改。大家注意到,8月份那段时间,这十款产品陆续上线,对产品的功能和展现方式进行了修改。8月份组织了封闭评审。
十款产品服务在隐私政策方面都有不同程度的提升,参评的十家互联网企业主动发起了个人信息保护倡议。我们跟踪了100款衣食住行方面的APP,发现有60款APP按照之前评审的要点进行了修改。这次行动达到了示范目的。
四、大数据安全能力标准应用实践
我们经常讲到大数据安全问题,怎么建立大数据安全保障能力呢?有两个标准给出了答案,一个是《大数据服务安全能力要求》,一个是《数据安全能力成熟度模型》。《成熟度模型》适用于对组织机构和数据安全能力进行评估,供组织机构开展数据安全能力建设时参考。目前它是一个报批稿的状态。成熟度模型是三维的,组织建设怎么样、制度流程优越性、技术工具有没有、人员能力怎么样。把数据安全能力分为五个等级。根据数据的生命周期和基础管理安全给出了40个过程域,过程域就是有哪些控制点、控制域。
因为这个标准最早是来自于阿里内部的数据安全实践,后来推成了国家标准,有非常多的企业参与,我们一直是深度参与。这个标准在制定的过程中已经在推广、实践和验证。目前的推广,有30多家企业在应用。在成都、贵阳、武汉三地进行了推广和验证。
今年,信安标委要对这个标准开展全国的试点工作。下半年,全国的试点工作即将开展,基于前期的基础,会征集一些单位进行标准的应用试点验证,帮助这个标准更符合我国大数据安全能力。
以上就是我国大数据安全标准的进展和应用实践情况。TC260秘书处一直在信息安全、个人信息保护、人工智能安全方面做了很多相关工作,欢迎各位跟我们一起继续深化我国的数据安全标准工作。
上一篇:崔晶炜:安全的最后一公里