任卫红:大数据网络安全等级保护的思考

摘要:数据资产已经成为国家关键信息基础设施保护的对象,有别于传统的数据安全,大数据面临更新、更严重威胁和风险。任卫红结合关键信息基础设施保护的思路,介绍了对大数据及大数据系统落实网络安全等级保护技术和方法的当前研究情况。

任卫红

任卫红    公安部信息安全等级保护评估中心技术部主任

从总书记对我国的大数据的战略布局里面可以看出来,我们要做的事情是用大数据来推动经济的发展,来推动产业的创新,来提升国家的治理水平,还有要保障和改善我们的民生。这些作用的基础就是我们的数据要安全,没有安全上面都没有办法实现。但是最底下还有一个,领导干部要懂得大数据。从这张图我特意找了16年的信通院的一个图,看不清楚了,越看不清楚说明内容很多,有很多的行业和企业,金融、交通、医疗健康都在做大数据应用,说明这个产业是正在上升的大家密切关注的一个产业。

在这个产业里我做一个对比,现在给大家看到的一半内容是在关键信息基础设施网络安全保护的条例里面定出来的,我看到最近应该是上个月看到的,送审稿里面确定的有8类和17个领域和行业作为关键性基础设施领域。为什么要把这个拿出来?因为将来咱们的关键信息基础设施的保护是以行业管理为主,而且这些领域和行业如果没有列在条例里面的话,你认为你这个是关键基础设施的话要单独申请,单独划分。说明这个划分是一个比较有决定性意义的,在这里面包含了我们比较熟悉的像电信大数据,像金融大数据,交通、医疗等等,原来教育在上一稿的送审稿里面还没有,后来经过讨论加进来了,加进来的原因是因为教育大数据,教育大数据出的问题比较多,教育的数据确实多,跟每个人从幼儿园到中小学、大学的教育到最后的继续教育,以及老年大学教育等等,伴随我们一生,跟医疗其实是差不太多的。从另一个图上,这也是信通院,因为他是做信息产业汇总的,可以看出来在大数据的发展,在16年的时候有这样一个比例,金融、政务,这里面能对得上的金融、政务、电信、教育、公安、医疗等等,说明关键信息基础设施领域它既是信息安全发展的一个比较快的领域,同时也是数据沉淀比较多,同时也是大数据应用比较多的一个产业。

如果要按照网络安全法的要求,对关键信息基础设施在等级保护的基础上进行这样保护的话,显然这样的大数据应该纳入到等级保护的范畴里来,或者等级保护应该有办法去保护好我们的大数据安全。从这点出发,我们再看一下关保条例里面对关键信息基础设施的定义,这个定义和网络安全法不太一样,前半段差不多,本条例所称关键信息基础设施,是指支撑国家经济社会运行,一旦遭到破坏、丧失功能、数据泄露,会严重危害国家安全、国计民生和公共利益的,从这以后就不一样了,它定义是网络设施、信息系统和数字资产,过去等保大家比较熟悉的是第二部分,就是系统。其实等保最开始也有网络,但是现在的网络设施和原来的基础信息网络又不是一个概念了。这个网络设施按照网络安全法,网络是含系统,含基础网络,含信息系统,还含有所有的用网来提供服务这样一些对象,包括网络的使用者、运营者、管理者、服务提供者等等这些。除此以外,还有第三个就是数字资产,也将会作为关键基础设施。既然关键基础设施条例已经把网络设施、信息系统和数字资产都已经纳入到官价信息基础设施了,等保也应该有相应的定级对象的扩展。等保现在进入到2.0,2.0最关键的标志就是保护对象的重心引入到了关键信息基础设施,这是以前没有明确提的。还有它作为一个普适性的制度,不但是过去我们比较关注的像党政机关重要部门和央企国企等等这些重点企业,现在是所有的网络运营者都要落实等保制度,两个特点,一个是普适性更强了,一个是它的重点更突出了。

它的定级对象从一开始的147号令定下来,那时候还叫计算机信息系统,后来03年两办发的文件,确定出等保制度主要的对象叫做基础信息网络和重要信息系统,一个是网,一个是系统。现在它的内容扩展了,从信息系统的角度说,它也从原来的计算机信息系统增加了像公共系统,还有移动互联这样的系统,以及针对物联网应用的系统,我们把物联网和移动互联都当成是信息采集的一种方式,一个是无线网络采集过来的,一个是传感网采集过来,最后都有自己应用的,这是它的特点,这是业务系统的特点。第二是网络设施,除了电信网、广播电视网、互联网、行业专网以外,我们还增加了云计算服务、大数据服务两类,云大家听过今天上午的讲解,知道云国家在做管理。其实作为公共云服务的,首先公共云服务是电信服务的一种,是ITC下面的一个的子服务,它本身是要取得牌照的。第二个,如果你提供的是政府部门给政务系统进行公共的云服务的话,叫什么政务云,还要通过国家的安审,这是国家管理一个制度上的要求。大数据现在并没有这方面的门槛性的要求,但是我认为现在的互联网很多企业沉淀了很多数据,提供大数据服务,提供数据分析服务,没有一个门槛的话肯定会有问题的,所以才会出现前段时间大家看到的Facebook面临的问题。对数据服务就像对内容服务要有一定的管理一样,将来会出现这样的管管理。第三类对象就是数字资产或者大数据会成为等保的一个定级对象,逐步推演开来,大数据会成为等保的一个定级对象。

我现在给大家的一个图跟美国大数据参考框架是一样的,只不过现在它现在已经是国标了,国标35589,这里面给出的大数据参考框架主要是针对5个参与方,一个是数据提供者,数据的消费者和使用者,还有数据的协调者,另外就是大数据应用的提供者和大数据框架的提供者,这样五个相当于用过去的话说就是责任方。这五个责任方在这里面和大数据安全直接相关的,因为在数据进入之前,这个数据是归数据所有权,数据提供者来负责的。数据提供给消费者以后,数据之后的安全是由消费者来负责的。跟这个平台从我们定级对象上,关系应该是另一个系统去解决的问题。

我们可以看到大数据可以分成这样几个组件,分别有不同的责任主体。大家知道等保能够推行起来,最开始它定级的时候,定级的第一件事情,定级对象就要确定它的责任主体,是谁来负责。由这个责任主体去做定级备案,将来测评出现问题的时候,要求责任主体来整改。如果出现问题,执法的时候也是责任主体承担相关的法律责任。这个责任主体非常重要,从大数据的组件,可能有数据的所有权,对这个数据什么等级,达到什么样的保护,他自己心里有数,因为数据总有一个来源,数据提供者来负责这个。还有大数据的应用,对大数据进行挖掘,产生出它的效能就靠大数据应用,还有大数据服务的平台,这个平台就是前一个片子里面提到的,比如提供数据的组织和分工,现在也有大数据平台的软件标准正在起草过程中。

最底层还有基础设施,这个基础设施可能是云计算形式的基础设施,也可能是分布式的一些计算的平台或者存储的平台等等都有可能。这样一些组件怎么形成定级对象呢?它可能都是不同的责任主体,我们认为组件单独或组合都有可能构成定级对象。当涉及到不同责任主体的时候,尽管云计算有一个叫共担模型,但我一直提叫分担模型,不论你共担还是分担,你的责任就是你的,我的就是我的,不可能一处罚,处罚了同一件事情没有分出责任来,把两个一起打板子。如果是大数据的所有者,这个数据至少要存在一个地方,如果它不做大数据应用的话,这个数据是什么样的,来的时候原来那个系统是什么样的数据等级,原来系统要做等保,那个等保要对业务系统做了一个分级,是什么等级这个数据仍然用这样的等级。如果不同等级到一个平台上来就高,这是等保原来的原则。也有可能有一种形式,有一个做大数据应用的,他把大数据灌到一个平台上,只负责开发应用和数据访问的安全,它们可以构成一个定级对象,还有大数据和大数据平台和基础设施都在一起,尤其有一些大数据的交易平台,它自己就有一些数据。像党政的数据他自己拥有数据,也拥有平台,也拥有基础设施,这都是可以的,它可以不同的组合。这几种组合我们都把它叫成大数据系统,因为在这里面它不再是强调基础设施了,而是强调基础设施和上面的数据以及上面的应用结合,所以它正像一个系统。我后面对大数据作为等保的定级对象几种不同形式做一个介绍,比如如何定级,定级的原则。

首先大数据的这种定级对象,它的定级跟过去是不太一样的。大数据不太一样,是多系统汇聚进来,通过交换、交易或者汇聚等等方式汇聚起来,很多时候不是这个数据的原生系统。在这种时候这个平台服务的重要性决定于到底这个数据是多重要,在这时候等保的定级主要决定于数据的等级。这里面可能是包含它承载的数据,比如就一个基础设施,它处理的数据,或者最后产生出来的数据,很可能这种情况很多见,几个二级系统汇在一起,对于产生的数据就是三级重要性的数据。大家听到一个更极端的说法,沙里淘金,垃圾里面找出来金子甚至是钻石,把这个差别给扩大化了。我举一个简单例子,二级系统汇聚了以后,挖掘的数据可能有三级可能四级,根据你承载处理和产生的数据来确定这个大数据系统它的保护等级。

这样定完了以后还有一个层次结构的问题,有底层有中间平台,有上面应用,再有上面的数据。在这种情况下,怎么决定它的等级呢?按照等保,最终决定等级的是最顶层的数据,所以底层的这些服务的不管是应用的服务,不管是处理的服务还是平台的服务,或者底层做计算做存储的服务,这些服务的等级都不能低于上层的等级,云也是这样的。云服务平台的等级不能低于云上面用户的业务系统的安全保护等级,反过来说,一个三级的云平台可以支撑二级和三级的应用,一个三级的数据平台可以处理二级或三级的数据,但是不能处理四级的数据。对于大数据保护,在大数据组他们已经完成的一个标准就是35271,大数据服务安全能力要求,把这个要求分成两个要求,一般的要求和增强的要求。在大数据安全管理指南是针对大数据的管理,数据能力成熟度,原来叫大数据,后来改成叫数据了,是对数据管理的成熟性。这些标准我们都做了一些研究,发现对于从等保作为基础性的,作为关键基础设施保护的一个基础的话,还是不够用,还是应该按照等保分级的思路来提出大数据系统的安全保护的一个基线,至少做到什么程度。在这个基线基础上,根据这些标准,根据你自己的能力和你自己的需求达到什么样的要求,选择一些其他补充的。对于基础设施保护,只有基线是不够的。

我们看大数据系统安全的时候,我们会关注它的海量数据,汇聚速度非常快,多元造成各种问题。比如个人隐私信息的泄露,多元造成的处理时候的访问控制比较难以实现,这里有风险,有需求,没有特意去区别。多元异构,流动性大,不知道当初的用户是什么,不知道当初怎么来做的数据保护,包括访问控制,短时间内一段时间的访问控制,过了这段时间就没有权限了,访问控制也有一个时效性的问题,这些都是大数据用传统方法不好解决的一些问题。用原来的基本要求的通用要求和云计算基础平台的那些要求,还是不能完全解决问题,它必须提出一些针对新技术、新应用一些新的必须达到的基线。

大数据还有一个特点就是它的流动性,流动性体现在大家都在提大数据生命周期,每个参与方可能涉及到数据不同的阶段,可能有的数据收集和数据设计这一方提供数据,再经过数据集成和处理,就是大数据平台可能会涉及。根据咱们国标25000-24,不管你是大数据平台处在生命周期哪个阶段,可能都有不同的对数据安全的要求。我们要体现数据生命周期流动性的特点,这是我们对提出的要求。

还有一点大数据大家都在谈分类分级,我也谈一下我自己的思考。数据安全保护有三个特点,数据安全、服务安全和平台安全,这个平台包括基础设施。这三个方面的安全我们关注点不一样,数据安全,数据要分类分级,要标识,要脱敏,要加密,要有真实性的验证,服务安全可能接口的安全,服务的溯源和共享的监控等等,这是平台。平台安全有节点的认证,多复本一致,很多方面都是大数据安全需要关注的。其中数据分类分级,第一个我认为分级应该是从重要性分级,因为重要性分级才能够将来使保护强度不同。比如重要性高的,我们身份鉴别可以从普通的密码到复杂密码一直到双因素鉴别,这样的话,比如细粒度的,比如时效性这样的访问控制。数据备份也是,从数据级备份到灾备,强度越来越高,数据的重要性决定了它保护强度不同。这个思路和等保的思路是一致的,比如三级大数据系统里面,至少数据应该分成一级二级三级,过去等保比较粗放,如果所有数据就按三级去查,查的不是所有数据,主要查重点的数据。但是访问控制和身份鉴别都是按照统一来做的,身份鉴别是统一来做的,访问控制并没有做到那么细粒度。

数据分类我认为应该是按属性,比如你来自哪个行业,比如你是所有者还是使用者,他对数据的控制权是不一样的。另外处理方式,个人信息要脱敏,但它不决定等级,只是方式不同。分级决定的是重要性,是决定等级。我们建议是把数据分类分级和等保分级结合起来。按照等保现在标准体系,它是每个级别都有通用要求和几个方面的扩展要求,大数据也应该有它的扩展要求的地位,现在还没有出来。大家看不到,我们正在研究当中,也是跟大家可以共同探讨。大数据安全保护应该是基本要求和通用要求的部分和大数据扩展要求合起来,如果你底层用的是云平台,应该加上云扩展的要求。将来的等保保护从数据安全,针对大数据的平台,应该以数据为核心开展保护。系统保护是原有的,我们继承原来的,把数据要分类分级保护和贯穿全生命周期的做到数据的分类分级。刚才说到了,等保是做粗放的,通过区域来划分什么样的人可以进入到这个区域。对于大数据来讲,就应该以数据保护的需求出发,现在甚至可以做到对某一个数据项就可以单独进行授权这样的方式,这样才能做到更细粒度的控制。有一级二级三级数据,允许采用不同的数据保护的方式,如果是公共部分,比如我们的管理员的登录,肯定是统一就高的,就像网站,普通内容可以看内容,只有管理用户可以做全权的访问。将来等保也应该做到细粒度的管理。

在数据采集阶段就要做标识,要做数据源真实性的验证,在存储阶段也强调了数据中国的管理特色,本地化的管理。数据处理尤其是对输出,不管是凭险或者打印,都应该有脱敏,去隐私化或者能够追究责任的,能够溯源的技术。在传输过程中,尤其是从数据的上传接口到大数据平台等等,以及远程管理的传输,都需要有一定的保护。审计,过去等保的审计从网络主机应用,全都要做审计。大数据要关注到整个生命周期,从数据采集、存储、传输、使用、分析等等都要审计。对大数据的访问控制因为它有时效性的要求,细粒度的要求,所以也增添了一些特殊性的要求。安全监测,监测到数据平台包括处理器、内容、磁盘的输出输入,网络的输出输入端口都需要做统一的集中监测。这是我跟大家分享的内容,时间也到了,请大家批评指正。谢谢!

上一篇:崔传桢:主持人

下一篇:叶建良:全新开放的100G+架构,助力网络安全平台的部署和创新