大数据安全标准化白皮书(2018版)0LOLOLOOLOOOLO全国信息安全标准化技术委员会大数据安全标准特别工作组2018年4月
大数据安全标准化白皮书 (2018 版) 全国信息安全标准化技术委员会 大数据安全标准特别工作组 2018 年 4 月
《大数据安全标准化白皮书》(2018版)顾问指导组赵泽良高林胡啸杜巍顾建国杜虹杨建军陈吉学全国信息安全标准化技术委员会大数据安全标准特别工作组组长:王建民副组长:陈兴蜀秘书:金涛1
I 《大数据安全标准化白皮书》(2018 版) 顾问指导组 赵泽良 高 林 胡 啸 杜 巍 顾建国 杜 虹 杨建军 陈吉学 全国信息安全标准化技术委员会大数据安全标准特别工作组 组 长:王建民 副组长:陈兴蜀 秘 书:金 涛
编写单位清华大学中国电子技术标准化研究院大唐电信科技产业集团启明星辰信息技术集团股份有限公司中国信息通信研究院北京奇安信科技有限公司(360企业安全集团)西北大学浙江蚂蚁小微金融服务集团股份有限公司阿里巴巴(北京)软件服务有限公司中电长城网际系统应用有限公司深信服科技股份有限公司公安部第三研究所北京中测安华科技有限公司勤智数码科技股份有限公司联想集团四川大学北京天融信科技股份有限公司陕西省网络与信息安全测评中心成都秦川物联网科技股份有限公司天津南大通用数据技术股份有限公司国际商业机器(中国)有限公司北京奇虎科技有限公司中国信息安全测评中心中国移动通信集团有限公司北京三未信安科技发展有限公司西安电子科技大学国家信息中心中国信息安全认证中心CSA云安全联盟新华三技术有限公司湖南科创信息技术股份有限公司山西智杰软件工程有限公司普华永道上海数据交易中心有限公司医渡云(北京)技术有限公司海信集团有限公司腾讯云计算(北京)有限责任公司西安未来国际信息股份有限公司贵州国卫信安科技有限公司深圳市腾讯计算机系统有限公司甲骨文(中国)软件系统有限公司编写人员王建民刘贤刚金涛谢安明汪坤韩晓露郑新华孙骞叶晓俊唐迪李正王昕李克鹏闵京华叶润国刘伯仲陈世武李小丁赵泰孙卡阮树骅徐雨晴吴少华杨帆张磊程海旭鲍旭华都婧陈活江为强任兰芳鹿淑煜詹阳吴迪吕欣叶思海方明张伟桂丽孙晓军石在辉叶荣伟张丽萍赵元勋张敏胡影梁文韬李怡苗光胜王永霞孙茵茵陈先来宋好好钱晓斌金丹代威II
II 编写单位 清华大学 中国电子技术标准化研究院 大唐电信科技产业集团 启明星辰信息技术集团股份有限公司 中国信息通信研究院 北京奇安信科技有限公司(360 企业安全集团) 西北大学 浙江蚂蚁小微金融服务集团股份有限公司 阿里巴巴(北京)软件服务有限公司 中电长城网际系统应用有限公司 深信服科技股份有限公司 公安部第三研究所 北京中测安华科技有限公司 勤智数码科技股份有限公司 联想集团 四川大学 北京天融信科技股份有限公司 陕西省网络与信息安全测评中心 成都秦川物联网科技股份有限公司 天津南大通用数据技术股份有限公司 国际商业机器(中国)有限公司 北京奇虎科技有限公司 中国信息安全测评中心 中国移动通信集团有限公司 北京三未信安科技发展有限公司 西安电子科技大学 中国信息安全认证中心 国家信息中心 CSA 云安全联盟 新华三技术有限公司 湖南科创信息技术股份有限公司 山西智杰软件工程有限公司 普华永道 上海数据交易中心有限公司 医渡云(北京)技术有限公司 海信集团有限公司 腾讯云计算(北京)有限责任公司 西安未来国际信息股份有限公司 贵州国卫信安科技有限公司 深圳市腾讯计算机系统有限公司 甲骨文(中国)软件系统有限公司 编写人员 王建民 刘贤刚 金 涛 谢安明 汪 坤 韩晓露 郑新华 孙 骞 叶晓俊 王 昕 李克鹏 闵京华 叶润国 刘伯仲 唐 迪 陈世武 李 正 李小丁 赵 泰 阮树骅 徐雨晴 吴少华 杨 帆 张 磊 孙 卡 程海旭 鲍旭华 都 婧 陈 湉 江为强 任兰芳 鹿淑煜 詹 阳 吴 迪 吕 欣 叶思海 孙晓军 方 明 石在辉 叶荣伟 张丽萍 赵元勋 张 伟 桂 丽 张敏翀 梁文韬 胡 影 李 怡 苗光胜 王永霞 孙茵茵 陈先来 宋好好 钱晓斌 代 威 金 丹
前言中共中央总书记习近平2017年12月8日下午在主持中共中央政治局就实施国家大数据战略学习时强调,大数据发展日新月异,我们应该审时度势、精心谋划、超前布局、力争主动,深入了解大数据发展现状和趋势及其对经济社会发展的影响,分析我国大数据发展取得的成绩和存在的问题,推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整合和开放共享,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活改善。大数据已经上升为国家战略,数据被视为国家基础性战略资源,各行各业的大数据应用风起云涌,大数据在国民经济发展中发挥的作用越来越大。伴随着大数据的广泛应用,大数据安全问题也日益凸显,大数据安全标准作为大数据安全保障的重要抓手越来越被重视。随着大数据安全标准化工作的开展,由于缺乏项层设计和统筹规划,大数据安全标准之间的交叉重复开始出现。为了更好的引导未来大数据安全标准化工作有序开展,全国信息安全标准化技术委员会大数据安全标准特别工作组集众多成员单位之合力,联合大数据系统软件国家工程实验室、大数据流通与交易技术国家工程实验室、大数据协同安全技术国家工程实验室、医疗大数据应用技术国家工程实验室,梳理了大数据应用中面临的安全风险和挑战,研究了国内外大数据安全相关的法律法规,分析了大数据安全标准化需求和目前已有的相关标准,建立了大数据安全标准体系,并给出了大数据安全标准化工作建议,最终形成本版白皮书。全书组织如下:第1章介绍了本书的背景、目的及意义。第2章从保障大数据安全和利用大数据保障网络空间安全两个方面对本书中的大数据安全进行了范围界定,阐述了大数据安全的发展状况和重要意义。第3章从大数据平台与技术、数据安全和个人信息保护、国家社会安全和法规标准三方面分析了大数据安全面临的挑战。第4章介绍了国内外大数据安全相关的法律法规、相关的标准化组织及相应大数据安全标准化工作情况,并介绍了国内外大数据安全相关标准。第5章首先汇总了大数据安全标准化的需求,给出了大数据安全标准的分类,基于分类制定了大数据安全标准图谱,并介绍了大数据安全标准特别工作组已经开展的大数据安全标准工作,指出了急需开展的标准化重点工作。第6章给出了大数据安全标准化工作建议。附录A由各参编成员单位介绍了相关领域大数据应用的特点、安全风险、安全需求以及大数据安全标准化需求。附录B由各参编成员单位介绍了各自在大数据应用中的安全标准应用实践情况,包括使用了哪些标准,成效如何以及基于实践的大数据安全标准化需求。附录C介绍了大数据安全相关的其它网络资源。附录D摘录了大数据安全标准相关的术语定义。附录E介绍了信安标委标准工作程序。附录F给出了缩略语。参考文献部分列出了本白皮书编写过程中参考的相关文献。由于时间仓促,水平有限,错误疏漏在所难免,针对此版白皮书如有任何意见或建议,敬请联系jintaol6@mail.tsinghua.edu.cn。II
III 前言 中共中央总书记习近平 2017 年 12 月 8 日下午在主持中共中央政治局就实施国家大数据 战略学习时强调,大数据发展日新月异,我们应该审时度势、精心谋划、超前布局、力争主 动,深入了解大数据发展现状和趋势及其对经济社会发展的影响,分析我国大数据发展取得 的成绩和存在的问题,推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整 合和开放共享,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活 改善。 大数据已经上升为国家战略,数据被视为国家基础性战略资源,各行各业的大数据应用 风起云涌,大数据在国民经济发展中发挥的作用越来越大。伴随着大数据的广泛应用,大数 据安全问题也日益凸显,大数据安全标准作为大数据安全保障的重要抓手越来越被重视。随 着大数据安全标准化工作的开展,由于缺乏顶层设计和统筹规划,大数据安全标准之间的交 叉重复开始出现。为了更好的引导未来大数据安全标准化工作有序开展,全国信息安全标准 化技术委员会大数据安全标准特别工作组集众多成员单位之合力,联合大数据系统软件国家 工程实验室、大数据流通与交易技术国家工程实验室、大数据协同安全技术国家工程实验 室、医疗大数据应用技术国家工程实验室,梳理了大数据应用中面临的安全风险和挑战,研 究了国内外大数据安全相关的法律法规,分析了大数据安全标准化需求和目前已有的相关标 准,建立了大数据安全标准体系,并给出了大数据安全标准化工作建议,最终形成本版白皮 书。 全书组织如下: 第 1 章介绍了本书的背景、目的及意义。 第 2 章从保障大数据安全和利用大数据保障网络空间安全两个方面对本书中的大数据安 全进行了范围界定,阐述了大数据安全的发展状况和重要意义。 第 3 章从大数据平台与技术、数据安全和个人信息保护、国家社会安全和法规标准三方 面分析了大数据安全面临的挑战。 第 4 章介绍了国内外大数据安全相关的法律法规、相关的标准化组织及相应大数据安全 标准化工作情况,并介绍了国内外大数据安全相关标准。 第 5 章首先汇总了大数据安全标准化的需求,给出了大数据安全标准的分类,基于分类 制定了大数据安全标准图谱,并介绍了大数据安全标准特别工作组已经开展的大数据安全标 准工作,指出了急需开展的标准化重点工作。 第 6 章给出了大数据安全标准化工作建议。 附录 A 由各参编成员单位介绍了相关领域大数据应用的特点、安全风险、安全需求以及 大数据安全标准化需求。 附录 B 由各参编成员单位介绍了各自在大数据应用中的安全标准应用实践情况,包括使 用了哪些标准,成效如何以及基于实践的大数据安全标准化需求。 附录 C 介绍了大数据安全相关的其它网络资源。 附录 D 摘录了大数据安全标准相关的术语定义。 附录 E 介绍了信安标委标准工作程序。 附录 F 给出了缩略语。 参考文献部分列出了本白皮书编写过程中参考的相关文献。 由于时间仓促,水平有限,错误疏漏在所难免,针对此版白皮书如有任何意见或建议, 敬请联系 jintao16@mail.tsinghua.edu.cn
目录前言山第1章导论1.1背景1.2目的及意义,3第2章大数据安全,42.1大数据安全含义.2.1.1保障大数据安全,2.1.2利用大数据保障网络空间安全.2.2我国大数据安全发展状况2.3大数据安全的重要意义第3章大数据安全挑战..83.1大数据技术和平台安全挑战83.1.1传统安全措施难以适配83.1.2平台安全机制严重不足93.1.3应用访问控制愈加困难..93.1.4基础密码技术驱待突破..103.2数据安全和个人信息保护挑战...103.2.1数据安全保护难度加大...103.2.2个人信息泄露风险加剧...113.2.3数据真实性保障更困难..113.2.4数据所有者权益难保障...123.3国家社会安全和法规标准挑战...123.3.1国家安全深受大数据影响.133.3.2社会治理面临大数据挑战...133.3.3大数据安全法规标准尚需完善.14第4章大数据安全法规政策和标准化现状.154.1大数据安全法规政策现状..15...154.1.1国外数据安全法律法规和政策4.1.2国内数据安全法律法规和政策..224.1.3国内数据安全标准化相关政策..284.2主要标准化组织...294.2.1ISO/IECJTC1..304.2.2 NIST.....314.2.3 ITU-T.....314.2.4 SACTC28......324.2.5 SACTC260...32.324.3大数据安全相关标准现状4.3.1数据安全相关标准334.3.2个人信息安全标准...394.3.3其它大数据安全标准..41IV
IV 目录 前言 .III 第 1 章 导论.1 1.1 背景.1 1.2 目的及意义.3 第 2 章 大数据安全.4 2.1 大数据安全含义.4 2.1.1 保障大数据安全.4 2.1.2 利用大数据保障网络空间安全.5 2.2 我国大数据安全发展状况.5 2.3 大数据安全的重要意义.6 第 3 章 大数据安全挑战.8 3.1 大数据技术和平台安全挑战.8 3.1.1 传统安全措施难以适配.8 3.1.2 平台安全机制严重不足.9 3.1.3 应用访问控制愈加困难.9 3.1.4 基础密码技术亟待突破.10 3.2 数据安全和个人信息保护挑战.10 3.2.1 数据安全保护难度加大.10 3.2.2 个人信息泄露风险加剧.11 3.2.3 数据真实性保障更困难.11 3.2.4 数据所有者权益难保障.12 3.3 国家社会安全和法规标准挑战.12 3.3.1 国家安全深受大数据影响.13 3.3.2 社会治理面临大数据挑战.13 3.3.3 大数据安全法规标准尚需完善.14 第 4 章 大数据安全法规政策和标准化现状 .15 4.1 大数据安全法规政策现状.15 4.1.1 国外数据安全法律法规和政策.15 4.1.2 国内数据安全法律法规和政策.22 4.1.3 国内数据安全标准化相关政策.28 4.2 主要标准化组织.29 4.2.1 ISO/IEC JTC1.30 4.2.2 NIST.31 4.2.3 ITU-T.31 4.2.4 SAC TC28.32 4.2.5 SAC TC260.32 4.3 大数据安全相关标准现状.32 4.3.1 数据安全相关标准.33 4.3.2 个人信息安全标准.39 4.3.3 其它大数据安全标准.41