任衛紅:大數據網絡安全等級保護的思考
責編:gltian |2018-06-20 15:45:41摘要:數據資產已經成為國家關鍵信息基礎設施保護的對象,有別于傳統的數據安全,大數據面臨更新、更嚴重威脅和風險。任衛紅結合關鍵信息基礎設施保護的思路,介紹了對大數據及大數據系統落實網絡安全等級保護技術和方法的當前研究情況。
任衛紅????公安部信息安全等級保護評估中心技術部主任
從總書記對我國的大數據的戰略布局里面可以看出來,我們要做的事情是用大數據來推動經濟的發展,來推動產業的創新,來提升國家的治理水平,還有要保障和改善我們的民生。這些作用的基礎就是我們的數據要安全,沒有安全上面都沒有辦法實現。但是最底下還有一個,領導干部要懂得大數據。從這張圖我特意找了16年的信通院的一個圖,看不清楚了,越看不清楚說明內容很多,有很多的行業和企業,金融、交通、醫療健康都在做大數據應用,說明這個產業是正在上升的大家密切關注的一個產業。
在這個產業里我做一個對比,現在給大家看到的一半內容是在關鍵信息基礎設施網絡安全保護的條例里面定出來的,我看到最近應該是上個月看到的,送審稿里面確定的有8類和17個領域和行業作為關鍵性基礎設施領域。為什么要把這個拿出來?因為將來咱們的關鍵信息基礎設施的保護是以行業管理為主,而且這些領域和行業如果沒有列在條例里面的話,你認為你這個是關鍵基礎設施的話要單獨申請,單獨劃分。說明這個劃分是一個比較有決定性意義的,在這里面包含了我們比較熟悉的像電信大數據,像金融大數據,交通、醫療等等,原來教育在上一稿的送審稿里面還沒有,后來經過討論加進來了,加進來的原因是因為教育大數據,教育大數據出的問題比較多,教育的數據確實多,跟每個人從幼兒園到中小學、大學的教育到最后的繼續教育,以及老年大學教育等等,伴隨我們一生,跟醫療其實是差不太多的。從另一個圖上,這也是信通院,因為他是做信息產業匯總的,可以看出來在大數據的發展,在16年的時候有這樣一個比例,金融、政務,這里面能對得上的金融、政務、電信、教育、公安、醫療等等,說明關鍵信息基礎設施領域它既是信息安全發展的一個比較快的領域,同時也是數據沉淀比較多,同時也是大數據應用比較多的一個產業。
如果要按照網絡安全法的要求,對關鍵信息基礎設施在等級保護的基礎上進行這樣保護的話,顯然這樣的大數據應該納入到等級保護的范疇里來,或者等級保護應該有辦法去保護好我們的大數據安全。從這點出發,我們再看一下關保條例里面對關鍵信息基礎設施的定義,這個定義和網絡安全法不太一樣,前半段差不多,本條例所稱關鍵信息基礎設施,是指支撐國家經濟社會運行,一旦遭到破壞、喪失功能、數據泄露,會嚴重危害國家安全、國計民生和公共利益的,從這以后就不一樣了,它定義是網絡設施、信息系統和數字資產,過去等保大家比較熟悉的是第二部分,就是系統。其實等保最開始也有網絡,但是現在的網絡設施和原來的基礎信息網絡又不是一個概念了。這個網絡設施按照網絡安全法,網絡是含系統,含基礎網絡,含信息系統,還含有所有的用網來提供服務這樣一些對象,包括網絡的使用者、運營者、管理者、服務提供者等等這些。除此以外,還有第三個就是數字資產,也將會作為關鍵基礎設施。既然關鍵基礎設施條例已經把網絡設施、信息系統和數字資產都已經納入到官價信息基礎設施了,等保也應該有相應的定級對象的擴展。等保現在進入到2.0,2.0最關鍵的標志就是保護對象的重心引入到了關鍵信息基礎設施,這是以前沒有明確提的。還有它作為一個普適性的制度,不但是過去我們比較關注的像黨政機關重要部門和央企國企等等這些重點企業,現在是所有的網絡運營者都要落實等保制度,兩個特點,一個是普適性更強了,一個是它的重點更突出了。
它的定級對象從一開始的147號令定下來,那時候還叫計算機信息系統,后來03年兩辦發的文件,確定出等保制度主要的對象叫做基礎信息網絡和重要信息系統,一個是網,一個是系統。現在它的內容擴展了,從信息系統的角度說,它也從原來的計算機信息系統增加了像公共系統,還有移動互聯這樣的系統,以及針對物聯網應用的系統,我們把物聯網和移動互聯都當成是信息采集的一種方式,一個是無線網絡采集過來的,一個是傳感網采集過來,最后都有自己應用的,這是它的特點,這是業務系統的特點。第二是網絡設施,除了電信網、廣播電視網、互聯網、行業專網以外,我們還增加了云計算服務、大數據服務兩類,云大家聽過今天上午的講解,知道云國家在做管理。其實作為公共云服務的,首先公共云服務是電信服務的一種,是ITC下面的一個的子服務,它本身是要取得牌照的。第二個,如果你提供的是政府部門給政務系統進行公共的云服務的話,叫什么政務云,還要通過國家的安審,這是國家管理一個制度上的要求。大數據現在并沒有這方面的門檻性的要求,但是我認為現在的互聯網很多企業沉淀了很多數據,提供大數據服務,提供數據分析服務,沒有一個門檻的話肯定會有問題的,所以才會出現前段時間大家看到的Facebook面臨的問題。對數據服務就像對內容服務要有一定的管理一樣,將來會出現這樣的管管理。第三類對象就是數字資產或者大數據會成為等保的一個定級對象,逐步推演開來,大數據會成為等保的一個定級對象。
我現在給大家的一個圖跟美國大數據參考框架是一樣的,只不過現在它現在已經是國標了,國標35589,這里面給出的大數據參考框架主要是針對5個參與方,一個是數據提供者,數據的消費者和使用者,還有數據的協調者,另外就是大數據應用的提供者和大數據框架的提供者,這樣五個相當于用過去的話說就是責任方。這五個責任方在這里面和大數據安全直接相關的,因為在數據進入之前,這個數據是歸數據所有權,數據提供者來負責的。數據提供給消費者以后,數據之后的安全是由消費者來負責的。跟這個平臺從我們定級對象上,關系應該是另一個系統去解決的問題。
我們可以看到大數據可以分成這樣幾個組件,分別有不同的責任主體。大家知道等保能夠推行起來,最開始它定級的時候,定級的第一件事情,定級對象就要確定它的責任主體,是誰來負責。由這個責任主體去做定級備案,將來測評出現問題的時候,要求責任主體來整改。如果出現問題,執法的時候也是責任主體承擔相關的法律責任。這個責任主體非常重要,從大數據的組件,可能有數據的所有權,對這個數據什么等級,達到什么樣的保護,他自己心里有數,因為數據總有一個來源,數據提供者來負責這個。還有大數據的應用,對大數據進行挖掘,產生出它的效能就靠大數據應用,還有大數據服務的平臺,這個平臺就是前一個片子里面提到的,比如提供數據的組織和分工,現在也有大數據平臺的軟件標準正在起草過程中。
最底層還有基礎設施,這個基礎設施可能是云計算形式的基礎設施,也可能是分布式的一些計算的平臺或者存儲的平臺等等都有可能。這樣一些組件怎么形成定級對象呢?它可能都是不同的責任主體,我們認為組件單獨或組合都有可能構成定級對象。當涉及到不同責任主體的時候,盡管云計算有一個叫共擔模型,但我一直提叫分擔模型,不論你共擔還是分擔,你的責任就是你的,我的就是我的,不可能一處罰,處罰了同一件事情沒有分出責任來,把兩個一起打板子。如果是大數據的所有者,這個數據至少要存在一個地方,如果它不做大數據應用的話,這個數據是什么樣的,來的時候原來那個系統是什么樣的數據等級,原來系統要做等保,那個等保要對業務系統做了一個分級,是什么等級這個數據仍然用這樣的等級。如果不同等級到一個平臺上來就高,這是等保原來的原則。也有可能有一種形式,有一個做大數據應用的,他把大數據灌到一個平臺上,只負責開發應用和數據訪問的安全,它們可以構成一個定級對象,還有大數據和大數據平臺和基礎設施都在一起,尤其有一些大數據的交易平臺,它自己就有一些數據。像黨政的數據他自己擁有數據,也擁有平臺,也擁有基礎設施,這都是可以的,它可以不同的組合。這幾種組合我們都把它叫成大數據系統,因為在這里面它不再是強調基礎設施了,而是強調基礎設施和上面的數據以及上面的應用結合,所以它正像一個系統。我后面對大數據作為等保的定級對象幾種不同形式做一個介紹,比如如何定級,定級的原則。
首先大數據的這種定級對象,它的定級跟過去是不太一樣的。大數據不太一樣,是多系統匯聚進來,通過交換、交易或者匯聚等等方式匯聚起來,很多時候不是這個數據的原生系統。在這種時候這個平臺服務的重要性決定于到底這個數據是多重要,在這時候等保的定級主要決定于數據的等級。這里面可能是包含它承載的數據,比如就一個基礎設施,它處理的數據,或者最后產生出來的數據,很可能這種情況很多見,幾個二級系統匯在一起,對于產生的數據就是三級重要性的數據。大家聽到一個更極端的說法,沙里淘金,垃圾里面找出來金子甚至是鉆石,把這個差別給擴大化了。我舉一個簡單例子,二級系統匯聚了以后,挖掘的數據可能有三級可能四級,根據你承載處理和產生的數據來確定這個大數據系統它的保護等級。
這樣定完了以后還有一個層次結構的問題,有底層有中間平臺,有上面應用,再有上面的數據。在這種情況下,怎么決定它的等級呢?按照等保,最終決定等級的是最頂層的數據,所以底層的這些服務的不管是應用的服務,不管是處理的服務還是平臺的服務,或者底層做計算做存儲的服務,這些服務的等級都不能低于上層的等級,云也是這樣的。云服務平臺的等級不能低于云上面用戶的業務系統的安全保護等級,反過來說,一個三級的云平臺可以支撐二級和三級的應用,一個三級的數據平臺可以處理二級或三級的數據,但是不能處理四級的數據。對于大數據保護,在大數據組他們已經完成的一個標準就是35271,大數據服務安全能力要求,把這個要求分成兩個要求,一般的要求和增強的要求。在大數據安全管理指南是針對大數據的管理,數據能力成熟度,原來叫大數據,后來改成叫數據了,是對數據管理的成熟性。這些標準我們都做了一些研究,發現對于從等保作為基礎性的,作為關鍵基礎設施保護的一個基礎的話,還是不夠用,還是應該按照等保分級的思路來提出大數據系統的安全保護的一個基線,至少做到什么程度。在這個基線基礎上,根據這些標準,根據你自己的能力和你自己的需求達到什么樣的要求,選擇一些其他補充的。對于基礎設施保護,只有基線是不夠的。
我們看大數據系統安全的時候,我們會關注它的海量數據,匯聚速度非常快,多元造成各種問題。比如個人隱私信息的泄露,多元造成的處理時候的訪問控制比較難以實現,這里有風險,有需求,沒有特意去區別。多元異構,流動性大,不知道當初的用戶是什么,不知道當初怎么來做的數據保護,包括訪問控制,短時間內一段時間的訪問控制,過了這段時間就沒有權限了,訪問控制也有一個時效性的問題,這些都是大數據用傳統方法不好解決的一些問題。用原來的基本要求的通用要求和云計算基礎平臺的那些要求,還是不能完全解決問題,它必須提出一些針對新技術、新應用一些新的必須達到的基線。
大數據還有一個特點就是它的流動性,流動性體現在大家都在提大數據生命周期,每個參與方可能涉及到數據不同的階段,可能有的數據收集和數據設計這一方提供數據,再經過數據集成和處理,就是大數據平臺可能會涉及。根據咱們國標25000-24,不管你是大數據平臺處在生命周期哪個階段,可能都有不同的對數據安全的要求。我們要體現數據生命周期流動性的特點,這是我們對提出的要求。
還有一點大數據大家都在談分類分級,我也談一下我自己的思考。數據安全保護有三個特點,數據安全、服務安全和平臺安全,這個平臺包括基礎設施。這三個方面的安全我們關注點不一樣,數據安全,數據要分類分級,要標識,要脫敏,要加密,要有真實性的驗證,服務安全可能接口的安全,服務的溯源和共享的監控等等,這是平臺。平臺安全有節點的認證,多復本一致,很多方面都是大數據安全需要關注的。其中數據分類分級,第一個我認為分級應該是從重要性分級,因為重要性分級才能夠將來使保護強度不同。比如重要性高的,我們身份鑒別可以從普通的密碼到復雜密碼一直到雙因素鑒別,這樣的話,比如細粒度的,比如時效性這樣的訪問控制。數據備份也是,從數據級備份到災備,強度越來越高,數據的重要性決定了它保護強度不同。這個思路和等保的思路是一致的,比如三級大數據系統里面,至少數據應該分成一級二級三級,過去等保比較粗放,如果所有數據就按三級去查,查的不是所有數據,主要查重點的數據。但是訪問控制和身份鑒別都是按照統一來做的,身份鑒別是統一來做的,訪問控制并沒有做到那么細粒度。
數據分類我認為應該是按屬性,比如你來自哪個行業,比如你是所有者還是使用者,他對數據的控制權是不一樣的。另外處理方式,個人信息要脫敏,但它不決定等級,只是方式不同。分級決定的是重要性,是決定等級。我們建議是把數據分類分級和等保分級結合起來。按照等保現在標準體系,它是每個級別都有通用要求和幾個方面的擴展要求,大數據也應該有它的擴展要求的地位,現在還沒有出來。大家看不到,我們正在研究當中,也是跟大家可以共同探討。大數據安全保護應該是基本要求和通用要求的部分和大數據擴展要求合起來,如果你底層用的是云平臺,應該加上云擴展的要求。將來的等保保護從數據安全,針對大數據的平臺,應該以數據為核心開展保護。系統保護是原有的,我們繼承原來的,把數據要分類分級保護和貫穿全生命周期的做到數據的分類分級。剛才說到了,等保是做粗放的,通過區域來劃分什么樣的人可以進入到這個區域。對于大數據來講,就應該以數據保護的需求出發,現在甚至可以做到對某一個數據項就可以單獨進行授權這樣的方式,這樣才能做到更細粒度的控制。有一級二級三級數據,允許采用不同的數據保護的方式,如果是公共部分,比如我們的管理員的登錄,肯定是統一就高的,就像網站,普通內容可以看內容,只有管理用戶可以做全權的訪問。將來等保也應該做到細粒度的管理。
在數據采集階段就要做標識,要做數據源真實性的驗證,在存儲階段也強調了數據中國的管理特色,本地化的管理。數據處理尤其是對輸出,不管是憑險或者打印,都應該有脫敏,去隱私化或者能夠追究責任的,能夠溯源的技術。在傳輸過程中,尤其是從數據的上傳接口到大數據平臺等等,以及遠程管理的傳輸,都需要有一定的保護。審計,過去等保的審計從網絡主機應用,全都要做審計。大數據要關注到整個生命周期,從數據采集、存儲、傳輸、使用、分析等等都要審計。對大數據的訪問控制因為它有時效性的要求,細粒度的要求,所以也增添了一些特殊性的要求。安全監測,監測到數據平臺包括處理器、內容、磁盤的輸出輸入,網絡的輸出輸入端口都需要做統一的集中監測。這是我跟大家分享的內容,時間也到了,請大家批評指正。謝謝!