國家信息中心：大數(shù)據(jù)標(biāo)準(zhǔn)化政策、組織、體系及進(jìn)展（30頁P(yáng)PT/全文）

來源：THU數(shù)據(jù)派 時(shí)間：2017-11-23 15:10:10 作者：

　　數(shù)據(jù)觀導(dǎo)讀：11月12日，在第二屆中國數(shù)據(jù)標(biāo)準(zhǔn)化與治理大會(huì)上，國家信息中心首席工程師、全國信息安全標(biāo)準(zhǔn)技術(shù)化委員會(huì)WG4組副組長李新友發(fā)表了《大數(shù)據(jù)安全標(biāo)準(zhǔn)化工作進(jìn)展》的主題匯報(bào)。經(jīng)整理，以下數(shù)據(jù)觀小編獲得授權(quán)發(fā)布，將附上匯報(bào)演講及PPT全文，僅供參看！

?

　　一、大數(shù)據(jù)安全面臨的挑戰(zhàn)

　　1.大數(shù)據(jù)安全相比傳統(tǒng)數(shù)據(jù)安全的特殊性

　　大數(shù)據(jù)安全雖仍繼承傳統(tǒng)數(shù)據(jù)安全保密性、完整性和可用性三個(gè)特性，但也有其特殊性，主要表現(xiàn)在以下兩方面：

　　個(gè)人隱私保護(hù)

　　以前數(shù)據(jù)是企業(yè)的資產(chǎn)，是在企業(yè)內(nèi)部、局部的環(huán)境里使用，流動(dòng)性不強(qiáng)，所以，數(shù)據(jù)的個(gè)人隱私表現(xiàn)不突出。但是到了互聯(lián)網(wǎng)+時(shí)代，數(shù)據(jù)無處不在，各種數(shù)據(jù)積累起來后形成了多元數(shù)據(jù)關(guān)聯(lián)，不法分子和別有用心的人可通過多元數(shù)據(jù)關(guān)聯(lián)分析導(dǎo)致個(gè)人隱私信息泄露。怎樣有效保護(hù)個(gè)人隱私是大數(shù)據(jù)安全面臨的第一個(gè)重要問題。

　　跨境數(shù)據(jù)流動(dòng)

　　在現(xiàn)在這個(gè)時(shí)代，數(shù)據(jù)的流動(dòng)很重要。雙十一活動(dòng)多個(gè)國家都參與其中，數(shù)據(jù)的跨境流動(dòng)是大數(shù)據(jù)的一個(gè)特殊屬性。在法律制度、數(shù)據(jù)服務(wù)外包、打擊網(wǎng)絡(luò)犯罪方面保護(hù)跨境數(shù)據(jù)的安全是很重要的。

　　所以，建立大數(shù)據(jù)安全標(biāo)準(zhǔn)體系框架時(shí)要對傳統(tǒng)數(shù)據(jù)的采集、組織、存儲(chǔ)、處理等生命周期各方面安全標(biāo)準(zhǔn)進(jìn)行適用性分析,適合的接著采用，不適合的要修訂，缺項(xiàng)的必須增加。

　　2.大數(shù)據(jù)安全技術(shù)平臺(tái)分析

　　傳統(tǒng)安全措施難以適配

　　大數(shù)據(jù)海量、多源、異構(gòu)、動(dòng)態(tài)的特征導(dǎo)致大數(shù)據(jù)系統(tǒng)存儲(chǔ)結(jié)構(gòu)復(fù)雜、開放性、分布式計(jì)算和高效精準(zhǔn)的服務(wù)，這些特殊需求傳統(tǒng)安全措施解決不了。

　　平臺(tái)安全機(jī)制亟待改進(jìn)

　　以前我們用ORACLE數(shù)據(jù)庫，到了大數(shù)據(jù)時(shí)代，大家基于hadoop體系結(jié)構(gòu)。在hadoop體系結(jié)構(gòu)里，用戶的身份鑒別和授權(quán)訪問等安全保障能力比較薄弱。同時(shí)開源hadoop的一些組件在使用時(shí)沒有測試，里面可能存在漏洞和惡意代碼，存在人家開的后門。

　　應(yīng)用訪問控制愈加復(fù)雜

　　在數(shù)據(jù)庫時(shí)代應(yīng)用訪問控制通過數(shù)據(jù)庫的訪問機(jī)制解決。每一個(gè)用戶都要注冊，注冊完才能訪問到數(shù)據(jù)庫。但是到了大數(shù)據(jù)時(shí)代，存在大量未知的用戶和大量未知的數(shù)據(jù)，有很多的用戶不知道他的身份，雖然他注冊了也不知道他是誰，所以預(yù)先設(shè)置角色和預(yù)先設(shè)置角色的權(quán)限都做不到。

　　3.大數(shù)據(jù)安全數(shù)據(jù)應(yīng)用分析

　　數(shù)據(jù)安全保護(hù)難度加大

　　在數(shù)據(jù)應(yīng)用的平臺(tái)上數(shù)據(jù)安全保護(hù)的難度加大。大數(shù)據(jù)的應(yīng)用環(huán)境不同，是開放的網(wǎng)絡(luò)；系統(tǒng)的部署方式不同，是分布式的；數(shù)據(jù)的復(fù)雜度和用戶訪問方式也不同，這些都是面臨的新問題。

　　個(gè)人信息泄露風(fēng)險(xiǎn)加重

　　關(guān)聯(lián)分析易挖掘出更多的個(gè)人信息，易發(fā)生數(shù)據(jù)濫用、內(nèi)部偷竊、網(wǎng)絡(luò)攻擊等安全事件。

　　數(shù)據(jù)真實(shí)性保證更加困難

　　大數(shù)據(jù)時(shí)代有的數(shù)據(jù)是造假的。雙十一的時(shí)候，賣了多少不知道，到底是不是買了不知道。有院士說大數(shù)據(jù)是垃圾，也有領(lǐng)導(dǎo)說大數(shù)據(jù)是金山銀山，我始終感覺大數(shù)據(jù)只有通過你的分析系統(tǒng)，找出來挖出來才是金子，不去挖的話大數(shù)據(jù)就是垃圾。所以大數(shù)據(jù)時(shí)代里的數(shù)據(jù)，是假數(shù)據(jù)和真數(shù)據(jù)混合的數(shù)據(jù)，一定要去偽存真，從里面找到你真正需要的東西，那很困難。

　　數(shù)據(jù)所有者權(quán)益難以保障

　　在數(shù)據(jù)應(yīng)用里所有者權(quán)益難以保證，這是數(shù)據(jù)治理中很關(guān)鍵的問題，是今天的主題。怎樣保障我的數(shù)據(jù)我做主？現(xiàn)在大數(shù)據(jù)和互聯(lián)網(wǎng)+經(jīng)常會(huì)產(chǎn)生數(shù)據(jù)交換，在數(shù)據(jù)交換的過程中怎樣能保證我的權(quán)益和我的隱私，這是很難的，是我們現(xiàn)在面臨的挑戰(zhàn)。

　　二、大數(shù)據(jù)安全法規(guī)政策

　　1. 國外大數(shù)據(jù)安全法規(guī)政策

　　政府?dāng)?shù)據(jù)開放相關(guān)法規(guī)和政策

　　大數(shù)據(jù)的安全來源于政府向公眾開放數(shù)據(jù)，我國也要求政務(wù)公開，把財(cái)政、資源、人口、公安等數(shù)據(jù)信息公開，大家都參與社會(huì)治理、政府治理，提高政府治理的水平，增加人民的參與感和幸福度。所以，為了讓數(shù)據(jù)能開放，各個(gè)國家都制定了很多相關(guān)的法規(guī)和政策。最早的是1966年美國的《信息自由法》，然后有2000年英國的《信息自由法》，我國出臺(tái)的是政府信息資源公開政策。

　　數(shù)據(jù)跨境流動(dòng)相關(guān)法規(guī)和政策

　　剛才是講要把信息公開，這里是講在公開時(shí)怎樣保證數(shù)據(jù)的安全。數(shù)據(jù)安全的第一件事是要防止數(shù)據(jù)流到國外，我們不是反對數(shù)據(jù)的跨境流動(dòng)，而是要保證數(shù)據(jù)在跨境流動(dòng)時(shí)的安全性，這里列了一些相關(guān)國家和組織的法律文件政策。

　　個(gè)人數(shù)據(jù)保護(hù)相關(guān)法規(guī)和政策

　　在信息公開的大數(shù)據(jù)時(shí)代進(jìn)行數(shù)據(jù)分析時(shí)，怎樣保障個(gè)人的信息和個(gè)人的隱私包括四個(gè)方面。一是隱私權(quán)；二是數(shù)據(jù)的安全權(quán)，所謂安全權(quán)是我拿了你的數(shù)據(jù)不會(huì)被別人盜竊走；三是個(gè)人怎么控制自己的數(shù)據(jù)；四是數(shù)據(jù)泄露以后怎樣獲得通知。比如12360有一年被人家撞庫，大家知道你的信息泄露了嗎？所以我們應(yīng)該要知道我的信息是不是被泄露了。如果信息被泄露了，我就得趕緊改我的密碼或者把這條信息刪掉等。這方面歐美和其他國家有很多標(biāo)準(zhǔn)。

　　2. 我國大數(shù)據(jù)安全法規(guī)政策

　　▊我國數(shù)據(jù)和大數(shù)據(jù)方面的政策法規(guī)：

　　 最早的是2012年《全國人大常委會(huì)加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》；

　　 2013年工信部發(fā)的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)的規(guī)定》；

　　 2014年《消費(fèi)者權(quán)益保護(hù)法》里有關(guān)“個(gè)人信息保護(hù)”的規(guī)定；

　　 2015年國務(wù)院發(fā)的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》里有“在發(fā)展大數(shù)據(jù)的時(shí)候要保障個(gè)人隱私和信息安全”；2016年《“十三五”規(guī)劃》里也提出了“實(shí)施國家大數(shù)據(jù)戰(zhàn)略”，大數(shù)據(jù)變成一個(gè)國家的發(fā)展戰(zhàn)略是很重要的一件事情，全國各地都在成立大數(shù)據(jù)管理局，說明國家非常重視大數(shù)據(jù)的安全和大數(shù)據(jù)的發(fā)展；

　　 2016年《網(wǎng)絡(luò)安全法》里對數(shù)據(jù)安全提的最多；最近網(wǎng)信辦的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》里面也提到了“數(shù)據(jù)的跨境流動(dòng)、個(gè)人信息的保護(hù)和大數(shù)據(jù)的發(fā)展”。

　　三、大數(shù)據(jù)標(biāo)準(zhǔn)化組織

　　1. ISO/IEC JTC1:信息技術(shù)聯(lián)合委員會(huì)WG5組

　　國際標(biāo)準(zhǔn)化組織和國際電信聯(lián)盟下有一個(gè)技術(shù)聯(lián)合委員會(huì)JTC1，其下有SC27安全技術(shù)分委員會(huì)，下設(shè)WG5身份管理與隱私保護(hù)技術(shù)工作組。它跟我國WG4有一定對口關(guān)系，主要工作是身份管理和隱私保護(hù)，我們主要是身份鑒別和責(zé)任認(rèn)定工作。這是它已經(jīng)發(fā)布和即將發(fā)布的有關(guān)大數(shù)據(jù)的安全框架和標(biāo)準(zhǔn)。

　　2. ISO/IEC JTC1:信息技術(shù)聯(lián)合委員會(huì)WG9組

　　信息技術(shù)聯(lián)合委員會(huì)下設(shè)的WG9委員會(huì)是2014年剛剛成立的大數(shù)據(jù)工作組。這是在編的幾個(gè)標(biāo)準(zhǔn)，《大數(shù)據(jù)的概述和詞匯》、《大數(shù)據(jù)的參考框架》。《大數(shù)據(jù)的參考框架》里有五個(gè)分冊，其中一個(gè)安全與隱私保護(hù)方面的非常重要，是我們中國的專家擔(dān)任項(xiàng)目編輯的，這是我國標(biāo)準(zhǔn)化委員會(huì)對國際標(biāo)準(zhǔn)的貢獻(xiàn)。

　　3. ITU-T國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門

　　第三個(gè)國際標(biāo)準(zhǔn)化組是國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門ITU-T。在編的標(biāo)準(zhǔn)很多，都跟大數(shù)據(jù)有關(guān)系。左邊是大數(shù)據(jù)標(biāo)準(zhǔn)，右邊是大數(shù)據(jù)安全標(biāo)準(zhǔn)。特別感興趣的有移動(dòng)互聯(lián)網(wǎng)標(biāo)準(zhǔn)，大數(shù)據(jù)即服務(wù)的安全標(biāo)準(zhǔn)，還有電商業(yè)務(wù)生命周期管理安全參考框架?！稊?shù)據(jù)保全的概述和要求》，數(shù)據(jù)保全是說你和我在進(jìn)行交易時(shí)，我不太信任你，你也不太信任我，我的名字不一定是實(shí)名，你的服務(wù)商什么樣我也不太清楚，但是我們倆這筆交易可以到數(shù)據(jù)保全中心做一下保全，將來如果真的打了官司，保全的數(shù)據(jù)可以拿到法庭上做證據(jù)的這個(gè)概念。兩年前我們國家信息中心成立了一個(gè)數(shù)據(jù)保全公司，專門做互聯(lián)網(wǎng)的數(shù)據(jù)保全業(yè)務(wù)。

　　4. NIST美國國家標(biāo)準(zhǔn)與技術(shù)研究院

　　美國的國家標(biāo)準(zhǔn)與技術(shù)研究院NIST在大數(shù)據(jù)標(biāo)準(zhǔn)方面也做了很多工作。SP 1500《大數(shù)據(jù)互操作框架》把大數(shù)據(jù)的標(biāo)準(zhǔn)做了梳理。

　　5. TC28全國信息技術(shù)標(biāo)準(zhǔn)化委員會(huì)

　　我國的TC28全國信息技術(shù)標(biāo)準(zhǔn)化委員會(huì)，對口的是WG4工作組。

　　6. TC260全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

　　TC260標(biāo)準(zhǔn)工作組2016年成立，只一年多時(shí)間，已經(jīng)做了很多標(biāo)準(zhǔn)，包括《個(gè)人信息安全規(guī)范》、《大數(shù)據(jù)服務(wù)安全能力要求》、《大數(shù)據(jù)安全管理指南》。2017年4月又做了一些工作。我們國家剛剛派出去一個(gè)標(biāo)準(zhǔn)工作組參加國際標(biāo)準(zhǔn)化會(huì)議，安全標(biāo)準(zhǔn)有SM2和SM4兩個(gè)加密算法已經(jīng)列進(jìn)國際標(biāo)準(zhǔn)，而且今年共有十幾個(gè)標(biāo)準(zhǔn)是我們國家專家和組織在承擔(dān)國際化標(biāo)準(zhǔn)工作。BDWG標(biāo)準(zhǔn)工作組由清華大學(xué)老師擔(dān)任組長。

　　四、大數(shù)據(jù)安全標(biāo)準(zhǔn)體系

　　1. 大數(shù)據(jù)安全標(biāo)準(zhǔn)

　　大數(shù)據(jù)安全標(biāo)準(zhǔn)共分為五類：基礎(chǔ)標(biāo)準(zhǔn)、平臺(tái)和技術(shù)、數(shù)據(jù)安全、服務(wù)安全、行業(yè)標(biāo)準(zhǔn)。最后那欄有深色和淺色的，深色的標(biāo)準(zhǔn)有的到送審稿階段馬上報(bào)批了。

　　2. 數(shù)據(jù)安全能力成熟度模型

　　3. 大數(shù)據(jù)服務(wù)安全能力要求

　　4. 大數(shù)據(jù)交易服務(wù)安全要求

　　5. 大數(shù)據(jù)出境安全評估指南

　　我國非常重視數(shù)據(jù)出入境安全評估。怎么樣表述數(shù)據(jù)的屬性和安全的方法，如果是合適的數(shù)據(jù)就可以出去，不合適數(shù)據(jù)不能出去。數(shù)據(jù)出去是必須的。比如銀行數(shù)據(jù)如果不出去，我們怎么在國外辦銀行？如果京東和淘寶的數(shù)據(jù)不出去，我們怎么到國外做生意？怎么能跨境買國外東西？所以出境是必須的。但是出境以后怎么保證數(shù)據(jù)安全，那是我們的責(zé)任，所以要進(jìn)行評估。

　　6. 個(gè)人信息安全影響評估指南

　　個(gè)人信息安全影響評估關(guān)系到大家的切身利益。這個(gè)標(biāo)準(zhǔn)對個(gè)人互聯(lián)網(wǎng)上數(shù)據(jù)的知情權(quán)、控制權(quán)、刪除權(quán)利等都要做合適的規(guī)定。

　　7. 個(gè)人信息去標(biāo)識化指南

　　個(gè)人信息去標(biāo)識化，是說我的信息被服務(wù)方利用，他記了我的身份證和名字，如果要訂機(jī)票，我不給他身份證就訂不到。如果他想把我的信息拿去分析，在分析的時(shí)候必須要把我的標(biāo)識去掉，不能讓人家一分析就分析出來這是我。所以信息可以拿去分析，但是不能被分析出我個(gè)人的標(biāo)識，也就是說可以分析我一個(gè)月在淘寶上買了多少次，但是不能讓人家知道我是誰。

　　五、典型行業(yè)大數(shù)據(jù)應(yīng)用和安全風(fēng)險(xiǎn)

　　1. 電商行業(yè)

　　電商大數(shù)據(jù)有四個(gè)優(yōu)勢：提高業(yè)務(wù)的效率、改善消費(fèi)體驗(yàn)、保證生態(tài)圈良性發(fā)展、精細(xì)化運(yùn)營和管理。

　　電商數(shù)據(jù)存在的風(fēng)險(xiǎn)：數(shù)據(jù)存儲(chǔ)不清楚、版權(quán)保護(hù)能力、數(shù)據(jù)的跨境安全等。個(gè)人的信息保護(hù)和跨境安全這兩方面在大數(shù)據(jù)時(shí)代特別重要。

　　2. 電子政務(wù)

　　互聯(lián)網(wǎng)+政務(wù)服務(wù)

　　互聯(lián)網(wǎng)+政務(wù)服務(wù)是國務(wù)院正在抓的比較大的項(xiàng)目?；ヂ?lián)網(wǎng)+服務(wù)是2016年55號文推出的，從電子政務(wù)變成互聯(lián)網(wǎng)+政務(wù)服務(wù)是一個(gè)質(zhì)的轉(zhuǎn)變。原來政府只是圈在自己那里叫電子政務(wù)，現(xiàn)在政府要為社會(huì)服務(wù)那叫互聯(lián)網(wǎng)+政務(wù)服務(wù)，整個(gè)把政府跟互聯(lián)網(wǎng)打通，這是一個(gè)大的工程。

　　政務(wù)信息系統(tǒng)整合共享

　　第二個(gè)是政務(wù)信息系統(tǒng)整合共享的工程，今年剛剛發(fā)的27號文，必須要2017年的年底完成。不光要對政務(wù)信息進(jìn)行整合共享，還要對政務(wù)的信息系統(tǒng)進(jìn)行整合共享。

　　以前做的很多電子政務(wù)系統(tǒng)，有的已變成僵尸，那些系統(tǒng)不應(yīng)該放在機(jī)房里面浪費(fèi)電要整合掉，還有一些系統(tǒng)功能跟別的系統(tǒng)一樣或者差不多，也要合并。所以這次整合共享工作量很大，尤其是系統(tǒng)里面的數(shù)據(jù)，我們要進(jìn)行綜合的整理、治理、應(yīng)用。這個(gè)工程是比較重要的，這是總理親自抓的一個(gè)工作。我希望大家能夠積極的參與進(jìn)來。

　　六、大數(shù)據(jù)安全標(biāo)準(zhǔn)化工作建議

　　▊最后我想提四個(gè)建議：

　　盡快制定個(gè)人信息安全相關(guān)標(biāo)準(zhǔn)；

　　盡快制定數(shù)據(jù)共享的安全標(biāo)準(zhǔn)；

　　制定數(shù)據(jù)出境的安全標(biāo)準(zhǔn)；

　　制定大數(shù)據(jù)安全審查的標(biāo)準(zhǔn)。

　　希望同志們能夠積極的參與到大數(shù)據(jù)安全標(biāo)準(zhǔn)工作里來，謝謝大家！

　　注：本文系「THU數(shù)據(jù)派」授權(quán)數(shù)據(jù)觀微信發(fā)布，整理：莫天，校對：朱江華峰，編輯：Fynlch（王培），未經(jīng)授權(quán)，禁止二次轉(zhuǎn)載。數(shù)據(jù)觀微信公眾號（ID:cbdioreview），欲了解更多大數(shù)據(jù)行業(yè)相關(guān)資訊，可搜索數(shù)據(jù)觀（中國大數(shù)據(jù)產(chǎn)業(yè)觀察網(wǎng)www.21jieyan.cn）進(jìn)入查看。

責(zé)任編輯：王培