1.2自的及意义本白皮书从法律法规、政策、标准及产业应用等角度,勾画出大数据安全的整体轮廓,从国家安全、社会公共利益,保护公民、法人和其他组织的合法利益的角度,综合分析大数据安全标准化需求,从而为我国后续的大数据安全标准化工作提供指导。本白皮书从多维度阐述大数据安全的重要性,分析大数据面临的安全风险和挑战,梳理国内外的大数据安全法规政策和标准化工作现状,制定大数据安全标准体系框架,提出开展大数据安全标准化工作的建议。本白皮书旨在全面、客观的反映国内外大数据安全标准化相关工作基础和进展,根据业界最佳实践、认知水平,分享大数据安全标准特别工作组在大数据安全标准化领域的研究成果和实践经验,呼吁社会各界共同关注大数据安全的法规政策、技术创新和标准建设,为大数据产业的健康、安全、有序发展奠定坚实基础。3
3 1.2 目的及意义 本白皮书从法律法规、政策、标准及产业应用等角度,勾画出大数据安全 的整体轮廓,从国家安全、社会公共利益,保护公民、法人和其他组织的合法 利益的角度,综合分析大数据安全标准化需求,从而为我国后续的大数据安全 标准化工作提供指导。 本白皮书从多维度阐述大数据安全的重要性,分析大数据面临的安全风险 和挑战,梳理国内外的大数据安全法规政策和标准化工作现状,制定大数据安 全标准体系框架,提出开展大数据安全标准化工作的建议。 本白皮书旨在全面、客观的反映国内外大数据安全标准化相关工作基础和 进展,根据业界最佳实践、认知水平,分享大数据安全标准特别工作组在大数 据安全标准化领域的研究成果和实践经验,呼吁社会各界共同关注大数据安全 的法规政策、技术创新和标准建设,为大数据产业的健康、安全、有序发展奠 定坚实基础
第2章大数据安全本章从保障大数据安全和利用大数据保障网络空间安全两个方面介绍了大数据安全的含义,阐述了我国大数据安全发展状况和大数据安全的重要意义。2.1大数据安全含义2.1.1保障大数据安全当今社会进入大数据时代,越来越多的数据共享开放,交叉使用。针对关键信息基础设施缺乏保护、敏感数据泄露严重、智能终端危险化、信息访问权限混乱、个人敏感信息滥用等问题,急需通过加强网络空间安全保障、做好关键信息基础设施保护、强化数据加密、加固智能终端、保护个人敏感信息等手段,保障大数据背景下的数据安全。大数据应用涉及海量数据的分散获取、集中存储和分析处理,表现出数据容量大、数据变化快等特征。同时,大数据所面临的安全威胁和攻击种类多,且攻击行为具有一定的隐蔽性、攻击特征变化快,单纯依赖传统信息安全防护技术来防范大数据攻击存在一定局限性。大数据环境下,虽然很多传统安全技术手段和管理措施可以在大数据环境下提供一定安全保障能力。但与此同时,大数据环境下,数据量巨大、数据变化快等特征导致大数据分析及应用场景更为复杂,这就需要我们对传统信息安全技术优化改进基础之上进行创新,从而改善海量数据分析场景下的应用和数据安全问题。大数据安全主要是保障数据不被窃取、破坏和滥用,以及确保大数据系统的安全可靠运行。需要构建包括系统层面、数据层面和服务层面的大数据安全框架,从技术保障、管理保障、过程保障和运行保障多维度保障大数据应用和数据安全。从系统层面来看,保障大数据应用和数据安全需要构建立体纵深的安全防护体系,通过系统性、全局性地采取安全防护措施,保障大数据系统正确、安全可靠的运行,防止大数据被泄密、篡改或滥用。主流大数据系统是由通用的云计算、云存储、数据采集终端、应用软件、网络通信等部分组成,保障大数据应用和数据安全的前提是要保障大数据系统中各组成部分的安全,是大数据安全保障的重要内容。从数据层面来看,大数据应用涉及到采集、传输、存储、处理、交换、销毁等各个环节,每个环节都面临不同的安全威胁,需要采取不同的安全防护措施,确保数据在各个环节的保密性、完整性、可用性,并且要采取分级分类、去标识化、脱敏等方法保护用户个人信息安全。从服务层面来看,大数据应用在各行业得到了蓬勃发展,为用户提供数据驱动的信息技术服务,因此,需要在服务层面加强大数据的安全运营管理、风险管理,做好数据资产保护,确保大数据服务安全可靠运行,从而充分挖掘大数据的价值,提高生产效率,同时又防范针对大数据应用的各种安全隐患。4
4 第 2 章 大数据安全 本章从保障大数据安全和利用大数据保障网络空间安全两个方面介绍了大 数据安全的含义,阐述了我国大数据安全发展状况和大数据安全的重要意义。 2.1 大数据安全含义 2.1.1 保障大数据安全 当今社会进入大数据时代,越来越多的数据共享开放,交叉使用。针对关 键信息基础设施缺乏保护、敏感数据泄露严重、智能终端危险化、信息访问权 限混乱、个人敏感信息滥用等问题,急需通过加强网络空间安全保障、做好关 键信息基础设施保护、强化数据加密、加固智能终端、保护个人敏感信息等手 段,保障大数据背景下的数据安全。 大数据应用涉及海量数据的分散获取、集中存储和分析处理,表现出数据 容量大、数据变化快等特征。同时,大数据所面临的安全威胁和攻击种类多, 且攻击行为具有一定的隐蔽性、攻击特征变化快,单纯依赖传统信息安全防护 技术来防范大数据攻击存在一定局限性。大数据环境下,虽然很多传统安全技 术手段和管理措施可以在大数据环境下提供一定安全保障能力。但与此同时, 大数据环境下,数据量巨大、数据变化快等特征导致大数据分析及应用场景更 为复杂,这就需要我们对传统信息安全技术优化改进基础之上进行创新,从而 改善海量数据分析场景下的应用和数据安全问题。 大数据安全主要是保障数据不被窃取、破坏和滥用,以及确保大数据系统 的安全可靠运行。需要构建包括系统层面、数据层面和服务层面的大数据安全 框架,从技术保障、管理保障、过程保障和运行保障多维度保障大数据应用和 数据安全。 从系统层面来看,保障大数据应用和数据安全需要构建立体纵深的安全防 护体系,通过系统性、全局性地采取安全防护措施,保障大数据系统正确、安 全可靠的运行,防止大数据被泄密、篡改或滥用。主流大数据系统是由通用的 云计算、云存储、数据采集终端、应用软件、网络通信等部分组成,保障大数 据应用和数据安全的前提是要保障大数据系统中各组成部分的安全,是大数据 安全保障的重要内容。 从数据层面来看,大数据应用涉及到采集、传输、存储、处理、交换、销 毁等各个环节,每个环节都面临不同的安全威胁,需要采取不同的安全防护措 施,确保数据在各个环节的保密性、完整性、可用性,并且要采取分级分类、 去标识化、脱敏等方法保护用户个人信息安全。 从服务层面来看,大数据应用在各行业得到了蓬勃发展,为用户提供数据 驱动的信息技术服务,因此,需要在服务层面加强大数据的安全运营管理、风 险管理,做好数据资产保护,确保大数据服务安全可靠运行,从而充分挖掘大 数据的价值,提高生产效率,同时又防范针对大数据应用的各种安全隐患
2.1.2利用大数据保障网络空间安全国家互联网信息办公室2016年发布的《国家网络空间安全战略》指出:网络空间安全事关人类共同利益,事关世界和平与发展,事关各国国家安全,并提出要实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用,为保障国家网络安全夯实产业基础,大数据安全已成为国家网络空间安全的核心组成。随着大数据应用的蓬勃发展,安全行业正发生重大转变,利用大数据来保障网络空间安全成为一种趋势。网络空间安全涉及到网络空间中电磁设备、信息通信系统、运行数据、系统应用所面临的安全威胁防护,既要防止包括互联网、电信网与通信系统、传播系统与广电网、计算机系统、工业控制网络系统及其所承载的数据免遭破坏,也要防止对这些网络基础设施和重要信息系统的攻击或滥用波及到政治安全、经济安全、文化安全、社会安全和国防安全。针对上述安全风险,需要采取法律、管理、技术等综合手段来进行积极应对,确保网络基础设施、重要信息系统及其所承载数据的保密性、完整性、可鉴别性、可用性、可靠性、可控性得到保障。目前,大数据技术已经广泛应用到网络空间安全中的网络安全态势感知、高级持续威胁(APT)检测、伪基站发现与追踪、反钓鱼攻击、金融反欺诈等领域,并不断有新的应用场景出现。大数据是实现网络空间安全保障的重要技术。综合考虑当前大数据应用的特点,利用大数据技术构建网络空间安全防护体系,建设以数据为核心的安全防护系统,集成态势感知、人工智能综合分析等功能,利用大数据技术工具,将传统的事中检测和事后响应防御体系转变为包括事前评估预防、事中检测和事后响应恢复的全面安全防护体系,为网络空间安全带来新的管理理念和技术创新,从而大幅提升网络空间安全治理能力。2.2我国大数据安全发展状况为了保障大数据安全和网络空间安全,我国网络安全企业近年来发展迅速,网络安全初创企业不断涌现,各种先进的安全技术也被及时引入到国内。中国信息通信研究院于2017年9月19日发布的《2017网络安全产业白皮书》表明,我国网络安全产业在近几年步入快速发展的新阶段:网络安全领域创新活跃;网络安全企业实力有较大提高,出现了一批具有整合能力的龙头企业。我国网络安全企业的业务类型基本覆盖了大数据安全涉及的各方面,包括基础设施安全、应用安全、数据安全、身份与访问管理、云安全、安全管理、安全服务等领域,这些企业是我国大数据安全市场的主力军。据赛迪顾问统计,2016年我国信息安全市场(包括大数据安全市场)整体规模达到336.2亿元,比2015年增长21.5%;其中信息安全硬件仍为主力,占比达到50.7%,信息安全软件与服务分别占37.7%、11.6%。经统计,截止2017年6月,我国在主板上市的网络安全企业共有12家,总市值1171.49亿元,营业收入148.18亿元。在新三板上市的网络安全企业共有36家,营业收入共计23.54亿元。作为企业发展的聚集区和孵化区,大数据安全产业园区建设也已逐步展开。5
5 2.1.2 利用大数据保障网络空间安全 国家互联网信息办公室 2016 年发布的《国家网络空间安全战略》指出:网 络空间安全事关人类共同利益,事关世界和平与发展,事关各国国家安全,并 提出要实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算 等新一代信息技术创新和应用,为保障国家网络安全夯实产业基础,大数据安 全已成为国家网络空间安全的核心组成。 随着大数据应用的蓬勃发展,安全行业正发生重大转变,利用大数据来保 障网络空间安全成为一种趋势。网络空间安全涉及到网络空间中电磁设备、信 息通信系统、运行数据、系统应用所面临的安全威胁防护,既要防止包括互联 网、电信网与通信系统、传播系统与广电网、计算机系统、工业控制网络系统 及其所承载的数据免遭破坏,也要防止对这些网络基础设施和重要信息系统的 攻击或滥用波及到政治安全、经济安全、文化安全、社会安全和国防安全。针 对上述安全风险,需要采取法律、管理、技术等综合手段来进行积极应对,确 保网络基础设施、重要信息系统及其所承载数据的保密性、完整性、可鉴别性、 可用性、可靠性、可控性得到保障。 目前,大数据技术已经广泛应用到网络空间安全中的网络安全态势感知、 高级持续威胁(APT)检测、伪基站发现与追踪、反钓鱼攻击、金融反欺诈等领 域,并不断有新的应用场景出现。 大数据是实现网络空间安全保障的重要技术。综合考虑当前大数据应用的 特点,利用大数据技术构建网络空间安全防护体系,建设以数据为核心的安全 防护系统,集成态势感知、人工智能综合分析等功能,利用大数据技术工具, 将传统的事中检测和事后响应防御体系转变为包括事前评估预防、事中检测和 事后响应恢复的全面安全防护体系,为网络空间安全带来新的管理理念和技术 创新,从而大幅提升网络空间安全治理能力。 2.2 我国大数据安全发展状况 为了保障大数据安全和网络空间安全,我国网络安全企业近年来发展迅速, 网络安全初创企业不断涌现,各种先进的安全技术也被及时引入到国内。中国 信息通信研究院于2017年9月19日发布的《2017网络安全产业白皮书》表明, 我国网络安全产业在近几年步入快速发展的新阶段;网络安全领域创新活跃; 网络安全企业实力有较大提高,出现了一批具有整合能力的龙头企业。我国网 络安全企业的业务类型基本覆盖了大数据安全涉及的各方面,包括基础设施安 全、应用安全、数据安全、身份与访问管理、云安全、安全管理、安全服务等 领域,这些企业是我国大数据安全市场的主力军。 据赛迪顾问统计,2016 年我国信息安全市场(包括大数据安全市场)整体 规模达到 336.2 亿元,比 2015 年增长 21.5%;其中信息安全硬件仍为主力,占 比达到 50.7%,信息安全软件与服务分别占 37.7%、11.6%。经统计,截止 2017 年 6 月,我国在主板上市的网络安全企业共有 12 家,总市值 1171.49 亿元,营 业收入 148.18 亿元。在新三板上市的网络安全企业共有 36 家,营业收入共计 23.54 亿元。 作为企业发展的聚集区和孵化区,大数据安全产业园区建设也已逐步展开
例如,2017年5月26日,贵阳市被授牌成为全国首个大数据安全示范试点城市,《贵阳市大数据安全保障体系及产业规划》提出了“1+1+3+N”的大数据安全发展总体思路。其中,第一个“1”,“大数据安全示范试点城市”已实现落地,成为推动大数据安全发展的载体;而第二个“1”,1个大数据安全靶场也正在着力建设中:“3”表示构建“城市安全态势感知中心”、“城市安全监管中心”“大数据安全创新中心”3个中心;“N”表示在不同领域、不同行业,围绕数据安全以及网络安全构建N个不同的平台。目前,已经启动建设占地一千多亩的大数据安全产业示范区,预计到“十三五”末期,贵阳大数据安全产业园将成为国内大数据安全产业的重要聚集区和大数据安全产业地标。大数据安全市场蓬勃发展,市场预期良好,但问题也不断暴露。由于缺乏相应的监管措施、配套的安全标准以及相应的产品检测机制,一些不具备相关资质和能力的企业看到商机后趁机涌入,导致安全市场的从业企业鱼龙混杂、良募不齐,呈现出“野蛮发展”的态势,市场乱象频出,驱待规范和引导。随着国家对大数据安全的高度重视,一批大数据安全相关的国家标准将陆续出台,将对规范市场秩序、扶持优质企业起到重要作用。2.3大数据安全的重要意义大数据已经逐步应用于产业发展、政府治理、民生改善等领域,大幅度提高了人们的生产效率和生活水平。适应、把握、引领大数据,将成为时代潮流。在大数据时代,数据是重要的战略资源,但数据资源的价值只有在流通和应用过程中才能够充分体现出来。这就要求打破传统垂直应用中所形成的数据孤岛,形成适应大数据时代的数据湖,并需要数据在不同应用之间流动,这难免会出现数据泄露和滥用问题。在发展大数据的同时,也容易出现政府重要数据、法人和其他组织商业机密、个人敏感数据泄露,给国家安全、社会秩序、公共利益以及个人安全造成威胁。没有安全,发展就是空谈。大数据安全是发展大数据的前提,必须将它摆在更加重要的位置。大数据系统自身安全防护具有重要意义。大数据的数据量大且相互关联,黑客一次成功的攻击就能够获得大量的数据,可以从大数据中快速捕捉到有价值的信息,尤其是个人敏感信息。因此,蕴含着海量数据和潜在价值的大数据成为网络攻击的显著目标。另一方面,传统网络安全防御技术以及现有网络安全行政监管手段与大数据安全保护的需求之间还存在较大差距:Hadoop对数据的聚合增加了数据泄露的风险:NoSQL技术在维护数据安全方面缺之严格的访问控制和隐私管理:复杂多样的数据存储在一起,在数据管理和使用环节也容易形成安全隐患;安全防护手段的更新升级速度无法跟上数据量指数级增长的步伐等。因此,需要各层面、各环节保障大数据的安全。从数据的层面来看,大数据自身安全涉及到采集、传输、存储、处理、交换、销毁等各个环节,每个环节都面临不同的威胁,需要采取不同的安全保障措施,这些工作都是保障大数据安全的重要内容。从系统的层面来看,保障大数据自身安全需要从大数据系统的各部分采取措施,建立坚固、密、健壮的防护体系,保障大数据系统正确、安全、可靠的运行,防止大数据系统被破坏、被渗透或被非法使用。从服务的层面来看,规范大数据安全服务内容,提高对大数据安全的风险识别能力,建立健全的大数据安全保障体系,降低大数据安全隐患和安全事件发生6
6 例如,2017 年 5 月 26 日,贵阳市被授牌成为全国首个大数据安全示范试点城 市,《贵阳市大数据安全保障体系及产业规划》提出了“1+1+3+N”的大数据安 全发展总体思路。其中,第一个“1”,“大数据安全示范试点城市”已实现落地, 成为推动大数据安全发展的载体;而第二个“1”,1 个大数据安全靶场也正在 着力建设中;“3”表示构建“城市安全态势感知中心”、“城市安全监管中心”、 “大数据安全创新中心”3 个中心;“N”表示在不同领域、不同行业,围绕数 据安全以及网络安全构建 N 个不同的平台。目前,已经启动建设占地一千多亩 的大数据安全产业示范区,预计到“十三五”末期,贵阳大数据安全产业园将 成为国内大数据安全产业的重要聚集区和大数据安全产业地标。 大数据安全市场蓬勃发展,市场预期良好,但问题也不断暴露。由于缺乏 相应的监管措施、配套的安全标准以及相应的产品检测机制,一些不具备相关 资质和能力的企业看到商机后趁机涌入,导致安全市场的从业企业鱼龙混杂、 良莠不齐,呈现出“野蛮发展”的态势,市场乱象频出,亟待规范和引导。 随着国家对大数据安全的高度重视,一批大数据安全相关的国家标准将陆 续出台,将对规范市场秩序、扶持优质企业起到重要作用。 2.3 大数据安全的重要意义 大数据已经逐步应用于产业发展、政府治理、民生改善等领域,大幅度提 高了人们的生产效率和生活水平。适应、把握、引领大数据,将成为时代潮流。 在大数据时代,数据是重要的战略资源,但数据资源的价值只有在流通和应用 过程中才能够充分体现出来。这就要求打破传统垂直应用中所形成的数据孤岛, 形成适应大数据时代的数据湖,并需要数据在不同应用之间流动,这难免会出 现数据泄露和滥用问题。在发展大数据的同时,也容易出现政府重要数据、法 人和其他组织商业机密、个人敏感数据泄露,给国家安全、社会秩序、公共利 益以及个人安全造成威胁。没有安全,发展就是空谈。大数据安全是发展大数 据的前提,必须将它摆在更加重要的位置。 大数据系统自身安全防护具有重要意义。大数据的数据量大且相互关联, 黑客一次成功的攻击就能够获得大量的数据,可以从大数据中快速捕捉到有价 值的信息,尤其是个人敏感信息。因此,蕴含着海量数据和潜在价值的大数据 成为网络攻击的显著目标。另一方面,传统网络安全防御技术以及现有网络安 全行政监管手段与大数据安全保护的需求之间还存在较大差距:Hadoop 对数据 的聚合增加了数据泄露的风险;NoSQL 技术在维护数据安全方面缺乏严格的访 问控制和隐私管理;复杂多样的数据存储在一起,在数据管理和使用环节也容 易形成安全隐患;安全防护手段的更新升级速度无法跟上数据量指数级增长的 步伐等。因此,需要各层面、各环节保障大数据的安全。从数据的层面来看, 大数据自身安全涉及到采集、传输、存储、处理、交换、销毁等各个环节,每 个环节都面临不同的威胁,需要采取不同的安全保障措施,这些工作都是保障 大数据安全的重要内容。从系统的层面来看,保障大数据自身安全需要从大数 据系统的各部分采取措施,建立坚固、缜密、健壮的防护体系,保障大数据系 统正确、安全、可靠的运行,防止大数据系统被破坏、被渗透或被非法使用。 从服务的层面来看,规范大数据安全服务内容,提高对大数据安全的风险识别 能力,建立健全的大数据安全保障体系,降低大数据安全隐患和安全事件发生
频率。大数据在保障网络安全方面也具有重要作用。当前,各种网络攻击频发,攻击过程越来越复杂,网络攻击手段变得越来越隐散,传统的入侵检测、防御等网络安全产品往往难以奏效,采用大数据技术来检测高级网络攻击成为一种趋势。当前,为了利用大数据来加强企业信息安全能力,包括采用大数据技术来实现网络安全威胁信息分析,采用基于大数据的深度学习方法来替代传统入侵检测方法中的攻击特征模式提取,采用大数据技术来实现网络安全态势感知,以及对多步复杂网络攻击的检测、溯源和场景重现,都已开始应用。可以说,大数据技术将重塑未来的网络安全技术和产业发展趋势。未来,在大数据应用的飞速发展过程中,大数据安全问题将始终伴随左右。针对大数据安全问题和安全风险,必须加大大数据安全技术的研究力度,必须以现有安全技术为依托,深入研究新型的大数据安全技术,比如同态加密技术等。确保大数据在存储、处理、传输等过程的安全性,在充分挖掘数据价值的同时保护用户隐私,从而避免因大数据安全问题而给用户的利益造成损失。需要进一步完善大数据安全相关法律体系建设,对数据权属界定、数据流动管理、个人信息保护等各种问题,给出明确规定。需要创新研制和推广大数据安全保护的产品和服务,基于大数据研制网络安全产品和服务,推动大数据安全市场发展,保障大数据时代的信息安全。7
7 频率。 大数据在保障网络安全方面也具有重要作用。当前,各种网络攻击频发, 攻击过程越来越复杂,网络攻击手段变得越来越隐蔽,传统的入侵检测、防御 等网络安全产品往往难以奏效,采用大数据技术来检测高级网络攻击成为一种 趋势。当前,为了利用大数据来加强企业信息安全能力,包括采用大数据技术 来实现网络安全威胁信息分析,采用基于大数据的深度学习方法来替代传统入 侵检测方法中的攻击特征模式提取,采用大数据技术来实现网络安全态势感知, 以及对多步复杂网络攻击的检测、溯源和场景重现,都已开始应用。可以说, 大数据技术将重塑未来的网络安全技术和产业发展趋势。 未来,在大数据应用的飞速发展过程中,大数据安全问题将始终伴随左右。 针对大数据安全问题和安全风险,必须加大大数据安全技术的研究力度,必须 以现有安全技术为依托,深入研究新型的大数据安全技术,比如同态加密技术 等。确保大数据在存储、处理、传输等过程的安全性,在充分挖掘数据价值的 同时保护用户隐私,从而避免因大数据安全问题而给用户的利益造成损失。需 要进一步完善大数据安全相关法律体系建设,对数据权属界定、数据流动管理、 个人信息保护等各种问题,给出明确规定。需要创新研制和推广大数据安全保 护的产品和服务,基于大数据研制网络安全产品和服务,推动大数据安全市场 发展,保障大数据时代的信息安全