压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：本文介紹了我國在大數(shù)據(jù)安全、隱私保護領(lǐng)域的國家標準化工作情況，以及重點標準的應(yīng)用實踐情況。

胡影????中國電子技術(shù)標準化研究院信息安全研究中心 數(shù)據(jù)安全部主任

一、大數(shù)據(jù)安全標準化背景

大數(shù)據(jù)產(chǎn)業(yè)日益紅火，各種生態(tài)日益完善。傳統(tǒng)數(shù)據(jù)安全一直都在，大數(shù)據(jù)安全是在大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全。大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全與傳統(tǒng)數(shù)據(jù)安全相比面臨著不一樣的風險和挑戰(zhàn)。

一是它成為網(wǎng)絡(luò)攻擊的目標和手段，大家對數(shù)據(jù)越來越重視，數(shù)據(jù)是國家的基礎(chǔ)性戰(zhàn)略資源。利用大數(shù)據(jù)技術(shù)可以挖掘國家的重要數(shù)據(jù)，增加了國家關(guān)鍵信息基礎(chǔ)設(shè)施被攻擊的可能性。

二是加大了用戶隱私泄漏的風險。上午的主論壇上有演講者分享了隱私保護的相關(guān)問題，大家越來越重視。對于傳統(tǒng)的APP超范圍收集數(shù)據(jù)、用一攬子協(xié)議打包授權(quán)、內(nèi)部員工竊取數(shù)據(jù)、易被濫用、地下灰黑產(chǎn)都是隱私保護的常見問題。

三是安全防御邊界和難度擴展。我們現(xiàn)在說數(shù)據(jù)是流動的，發(fā)揮大數(shù)據(jù)的價值就得讓數(shù)據(jù)流動起來，存在泛在的接入、數(shù)據(jù)的共享、交易和跨境傳輸、本地化存儲。

四是技術(shù)實現(xiàn)難度和自身脆弱性。

我國高度重視大數(shù)據(jù)安全標準化工作。頂層設(shè)計層面有法律、戰(zhàn)略?？倳浽谥醒胝尉值诙渭w學(xué)習(xí)時強調(diào)要切實保障我國數(shù)據(jù)安全。以及《促進大數(shù)據(jù)發(fā)展行動綱要》《網(wǎng)絡(luò)安全法》都提到了網(wǎng)絡(luò)安全標準體系，《網(wǎng)絡(luò)安全法》提到數(shù)據(jù)的有16處，數(shù)據(jù)安全、個人信息保護、跨境數(shù)據(jù)流動、國家層面的數(shù)據(jù)安全都有提及。《“十三五”規(guī)劃》里也有講到。標準在國家的頂層設(shè)計處于什么樣的位置。最上層是法律戰(zhàn)略，中間是部門規(guī)章和制度，再下一層是標準規(guī)范。大數(shù)據(jù)安全標準是大數(shù)據(jù)保障體系的重要組成部分和主要抓手之一。

二、我國大數(shù)據(jù)安全標準進展

我國的網(wǎng)絡(luò)安全標準是在全國信安標委TC260的組織下制定的。TC260成立于2002年，它是國家標準化管理委員會的直屬標委會，業(yè)務(wù)上直接接受中央網(wǎng)信辦的指導(dǎo)。國際對口組織是JTC1、SC27。它的工作范圍是與網(wǎng)絡(luò)安全相關(guān)的國家標準工作都在TC260進行統(tǒng)一的歸口、統(tǒng)一申報。目前TC260秘書處設(shè)在中國電子技術(shù)標準化研究院。TC260下設(shè)了一些工作組。

TC260委員會的主任委員是中央網(wǎng)信辦副主任。副主任委員包括網(wǎng)信辦、工信部、公安部、國測、密碼管理局等等國家部委的領(lǐng)導(dǎo)。秘書長是我們院的楊建軍副院長。副秘書長是網(wǎng)信辦的副巡視員和我們中心的主任。

委員會下設(shè)秘書處和工作組，WG1、WG2、WG3、WG4、WG5、WG6、WG7、SGW-BDS（大數(shù)據(jù)安全特別工作組）。大數(shù)據(jù)安全標準化工作組的主要工作是圍繞著云計算、大數(shù)據(jù)安全、人工智能安全等等新技術(shù)、新應(yīng)用的標準化工作。

大數(shù)據(jù)安全標準化研究的邊界。（PPT）這是NIST的大數(shù)據(jù)參考架構(gòu)，它給出了大數(shù)據(jù)的框架和應(yīng)用角色。大數(shù)據(jù)應(yīng)用標準的框架和邊界，要解決大數(shù)據(jù)安全問題要從兩個角度，一個是數(shù)據(jù)安全，一個是個人信息保護。

怎么解決數(shù)據(jù)安全問題呢？與以往不同的是數(shù)據(jù)的生命周期的采集、存儲、使用、流轉(zhuǎn)、銷毀等等過程中怎么保護數(shù)據(jù)的安全。還有一個是從傳統(tǒng)的系統(tǒng)平臺層面保護數(shù)據(jù)安全，再有就是基礎(chǔ)管理的制度、組織、人員。

對于個人信息保護，從標準的角度，更多的是強調(diào)兩個方面，一個是安全，一個是可控?，F(xiàn)在有很多個人信息保護更多的是強調(diào)用戶的權(quán)益，用戶對自己個人信息的可控性。個人信息作為特殊的數(shù)據(jù)，它還有數(shù)據(jù)安全方面的問題。

從數(shù)據(jù)的類型來說，有個人信息、重要數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)。重要數(shù)據(jù)就是《網(wǎng)安法》提到的，這個重要數(shù)據(jù)是對國家而言重要的。對企業(yè)來說重要的是業(yè)務(wù)數(shù)據(jù)。

TC260做了很多工作，2017年4月發(fā)布了《大數(shù)據(jù)安全標準化白皮書（2017）》。2018年4月份發(fā)布了《大數(shù)據(jù)安全標準化白皮書（2018）》。

信安標委上半年、下半年會舉辦會議周，會議周成為網(wǎng)絡(luò)安全界非常重要的會議活動之一，有500多人參加。在會議周上，成員單位會對相關(guān)的標準進行討論。2017年的白皮書提出了大數(shù)據(jù)標準的標準體系，從服務(wù)安全、行業(yè)應(yīng)用等等角度進行了規(guī)劃。

我們國家現(xiàn)有的TC260大數(shù)據(jù)安全國家標準情況。這些都是制定項目。2018年的以最后的發(fā)布為主。TC260當前已經(jīng)發(fā)布了兩項大數(shù)據(jù)安全國家標準，GB/T 35273是個人信息安全規(guī)范，也可以說是目前的網(wǎng)紅標準，受到很多關(guān)注。大數(shù)據(jù)服務(wù)的安全能力要求GB/T 35274，主要是針對大數(shù)據(jù)服務(wù)的提供商的安全能力需要保障哪些點；大數(shù)據(jù)安全管理指南是從大數(shù)據(jù)的周期、不同的角色出發(fā)，比較概要性的標準。數(shù)據(jù)安全能力成熟度模型，跟大數(shù)據(jù)服務(wù)能力是配套的，提出了成熟度，能力怎么衡量呢？利用成熟度的方法來衡量，能力和成熟度達到了多少級，用這種方法給出成熟度的評估模型。因為這個標準比較細化，也可以作為能力實現(xiàn)標準的參考；數(shù)據(jù)交易服務(wù)安全要求主要是針對大數(shù)據(jù)交易服務(wù)機構(gòu)；數(shù)據(jù)出境安全評估指南，配套《網(wǎng)絡(luò)安法》寫到了數(shù)據(jù)出境，除了相應(yīng)的辦法和政策要求之外，這個標準會予以解答；個人信息去標識化指南是偏向于技術(shù)類的標準，告訴大家個人信息去標識的技術(shù)、模型；個人信息安全影響評估指南；個人信息安全工程指南是今年新立的項目，主要針對系統(tǒng)設(shè)計階段，個人信息安全規(guī)范的要求在系統(tǒng)設(shè)計階段，包括系統(tǒng)的采購供應(yīng)階段，怎么落地實踐；健康醫(yī)療信息安全指南；政務(wù)信息共享、數(shù)據(jù)安全規(guī)范。

以上是制定的標準項目。

此外還有一些研究的標準項目，現(xiàn)在有11個項目在研究。大數(shù)據(jù)基礎(chǔ)軟件安全技術(shù)要求是從系統(tǒng)安全的角度，大家都講到了大數(shù)據(jù)平臺、大數(shù)據(jù)框架，作為產(chǎn)品來說，它的技術(shù)要求怎么樣，這是這個研究項目回答的問題；大數(shù)據(jù)業(yè)務(wù)安全風險控制實施指南，利用大數(shù)據(jù)做風控，解決薅羊毛等等問題；數(shù)據(jù)安全分類分級實施指南是研究數(shù)據(jù)有沒有統(tǒng)一的分類、分級的方法，配套政務(wù)數(shù)據(jù)分類分級，會繼續(xù)研究；個人信息告知同意指南，對個人信息的權(quán)益越來越強調(diào)告知用戶，要讓客戶同意；網(wǎng)絡(luò)安全態(tài)勢感知數(shù)據(jù)規(guī)范，利用大數(shù)據(jù)做安全，安全態(tài)勢感知是常見的應(yīng)用，在這個業(yè)務(wù)場景下的數(shù)據(jù)規(guī)范是怎么樣的；大數(shù)據(jù)服務(wù)安全可控評價指標；大數(shù)據(jù)安全參考框架；重要數(shù)據(jù)業(yè)務(wù)運營安全規(guī)范，這個研究項目主要是從重要數(shù)據(jù)的角度。我們講到了數(shù)據(jù)有幾個維度，除了個人信息，還有國家層面如何保護重要數(shù)據(jù)；云服務(wù)數(shù)據(jù)安全指南，針對云計算環(huán)境下的數(shù)據(jù)安全有沒有特殊的指南；能源企業(yè)大數(shù)據(jù)應(yīng)用安全防護指南；政務(wù)信息資源共享安全標準體系及關(guān)鍵標準研究。

TC260是直接對口國際ISO/SC27，SC27出版了著名的27000系列標準。SC27網(wǎng)絡(luò)安全標準化工作會議剛在武漢召開，當時有來自30多個國家成員體、約280位外國專家和70余位國內(nèi)專家參加了會議，TC260主辦了這次會議。我國專家在大數(shù)據(jù)安全國際標準化工作取得的效果是非常顯著的。SC27大數(shù)據(jù)安全標準都是由中國主導(dǎo)提出的。ISO/IEC 20547-4第4部分的標準和編輯就是我國專家承擔的；我們提出的標準研究項目《大數(shù)據(jù)安全的過程能力評估模型》已成功轉(zhuǎn)為新標準立項階段；我國提出的《數(shù)據(jù)安全》研究項目成功立項，將研究數(shù)據(jù)安全國際標準體系；我國提出的標準研究項目《大數(shù)據(jù)安全實現(xiàn)指南》是大數(shù)據(jù)基礎(chǔ)軟件國內(nèi)項目配套的國際項目。目前SC27大數(shù)據(jù)安全標準都是由中國提出并主導(dǎo)的。

除了國際化標準化工作之外，TC260不斷的進行技術(shù)研究工作。從今年開始陸續(xù)發(fā)布了網(wǎng)絡(luò)安全實踐指南的系列文件。2018年1月份，針對CPU熔斷漏洞，發(fā)布了《CPU熔斷和幽靈漏洞防范指引》，被網(wǎng)信辦引用；2月份，發(fā)布了《應(yīng)對接獲短信驗證碼實施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》，針對偽基站的；發(fā)布了《網(wǎng)絡(luò)安全實踐指南—歐盟GDPR關(guān)注點》；即將發(fā)布《信息安全技術(shù) 個人信息實踐標準》。

三、個人信息保護標準應(yīng)用實踐

現(xiàn)在標準化的工作思路在不斷的變化，更加重視標準的應(yīng)用。網(wǎng)信辦作為網(wǎng)絡(luò)安全標準的業(yè)務(wù)指導(dǎo)單位，一直把標準作為工作的抓手，越來越注重如何應(yīng)用重點標準。

個人信息保護標準的應(yīng)用實踐最明顯的就是去年的隱私條款專項工作。初衷是為了落實《網(wǎng)絡(luò)安全法》的對個人信息保護的要求，提升網(wǎng)絡(luò)運營者的個人信息保護水平。由網(wǎng)信辦、工信部、公安部、國家標準委指導(dǎo)全國信安標委員會開展個人信息保護個人隱私條款相關(guān)工作。比如，隱私條款籠統(tǒng)不清，對收集、使用個人信息的目的、方式、范圍、保存期限和地點等沒有明確說明。征求用戶授權(quán)同意時，僅通過默認勾選、一攬子打包收錢等形式，沒有為用戶提供訪問、更正、刪除其個人信息的途徑。從隱私條款這個角度入手來解決這些問題。

工作的目的是踐行“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”的具體舉措，推動企業(yè)更加重視個人信息保護，實現(xiàn)社會引導(dǎo)和示范效應(yīng)，帶動行業(yè)個人信息保護水平的提升。

依據(jù)《網(wǎng)絡(luò)安全法》的個人信息保護要求。但是，《網(wǎng)絡(luò)安全法》的個人信息保護要求比較抽象，有些條款繼承了人大的法律，條款還需要細化，需要參考《個人信息安全規(guī)范》的內(nèi)容?！秱€人信息安全規(guī)范》針對的對象是一個組織機構(gòu)，涉及到個人信息處理活動的各類組織機構(gòu)。什么是個人信息處理活動？包括采集個人信息、保存?zhèn)€人信息、使用、共享、轉(zhuǎn)讓、公開披露等等都是屬于個人信息的處理活動。首先是給出了個人信息處理活動中要遵循的原則，以及從采集、保存、使用、流轉(zhuǎn)、安全上有沒有要求，適用于規(guī)范相關(guān)活動，也適用于進行合規(guī)評估。個人信息保護的七大原則是它的創(chuàng)新。也是借鑒了國內(nèi)的原則，并結(jié)合國內(nèi)的特點，提出了七大原則。

專項工作是基于《個人信息規(guī)范》和《網(wǎng)絡(luò)安全法》，進行分析研究。整體工作是由信安標委秘書處負責具體組織。首批對象選擇了十款與大家的生活息息相關(guān)，包括電商、支付、地圖、出行等等方面。

首先由我們院根據(jù)《網(wǎng)絡(luò)安全法》的要求和《個人信息規(guī)范》制定測評的要點，測評條款要做到哪些方面。我們會從幾個方面入手。一是條款內(nèi)容，文本要講到哪些方面。因為條款作為企業(yè)向用戶告知的承諾，具有一定的法律效力；二是隱私條款的展示形態(tài)。是彈窗，還是使用過程中出現(xiàn)，以及什么時候出現(xiàn)；三是征求用戶同意的方式。四部委推薦專家成立了專家組，參評企業(yè)主動按照相關(guān)評審要點進行修改修改不僅是隱私條款文字的修改。大家注意到，8月份那段時間，這十款產(chǎn)品陸續(xù)上線，對產(chǎn)品的功能和展現(xiàn)方式進行了修改。8月份組織了封閉評審。

十款產(chǎn)品服務(wù)在隱私政策方面都有不同程度的提升，參評的十家互聯(lián)網(wǎng)企業(yè)主動發(fā)起了個人信息保護倡議。我們跟蹤了100款衣食住行方面的APP，發(fā)現(xiàn)有60款A(yù)PP按照之前評審的要點進行了修改。這次行動達到了示范目的。

四、大數(shù)據(jù)安全能力標準應(yīng)用實踐

我們經(jīng)常講到大數(shù)據(jù)安全問題，怎么建立大數(shù)據(jù)安全保障能力呢？有兩個標準給出了答案，一個是《大數(shù)據(jù)服務(wù)安全能力要求》，一個是《數(shù)據(jù)安全能力成熟度模型》?！冻墒於饶Ｐ汀愤m用于對組織機構(gòu)和數(shù)據(jù)安全能力進行評估，供組織機構(gòu)開展數(shù)據(jù)安全能力建設(shè)時參考。目前它是一個報批稿的狀態(tài)。成熟度模型是三維的，組織建設(shè)怎么樣、制度流程優(yōu)越性、技術(shù)工具有沒有、人員能力怎么樣。把數(shù)據(jù)安全能力分為五個等級。根據(jù)數(shù)據(jù)的生命周期和基礎(chǔ)管理安全給出了40個過程域，過程域就是有哪些控制點、控制域。

因為這個標準最早是來自于阿里內(nèi)部的數(shù)據(jù)安全實踐，后來推成了國家標準，有非常多的企業(yè)參與，我們一直是深度參與。這個標準在制定的過程中已經(jīng)在推廣、實踐和驗證。目前的推廣，有30多家企業(yè)在應(yīng)用。在成都、貴陽、武漢三地進行了推廣和驗證。

今年，信安標委要對這個標準開展全國的試點工作。下半年，全國的試點工作即將開展，基于前期的基礎(chǔ)，會征集一些單位進行標準的應(yīng)用試點驗證，幫助這個標準更符合我國大數(shù)據(jù)安全能力。

以上就是我國大數(shù)據(jù)安全標準的進展和應(yīng)用實踐情況。TC260秘書處一直在信息安全、個人信息保護、人工智能安全方面做了很多相關(guān)工作，歡迎各位跟我們一起繼續(xù)深化我國的數(shù)據(jù)安全標準工作。