11月12日，第二屆中國數據標準化與治理大會成功召開。本屆會議旨在持續匯集專家人才和經驗，促進領域發展和提升業界實踐水平。大會由工業和信息化部信息化和軟件服務業司、國家標準化管理委員會工業二部指導，中國電子技術標準化研究院、中國科學技術部高技術研究發展中心、中國行政體制改革研究會、清華大學、國際數據管理協會中國分會（DAMA China）聯合主辦。

國家信息中心首席工程師、全國信息安全標準技術化委員會WG4組副組長李新友在會上做了題為《大數據安全標準化工作進展》的匯報。以下內容經數據派THU整理而成：

后臺回復關鍵詞“標準化”，下載完整版PPT。

國家信息中心首席工程師、全國信息安全標準技術化委員會WG4組副組長 ?李新友

?

一、大數據安全面臨的挑戰

1.大數據安全相比傳統數據安全的特殊性

大數據安全雖仍繼承傳統數據安全保密性、完整性和可用性三個特性，但也有其特殊性，主要表現在以下兩方面：

• 個人隱私保護

以前數據是企業的資產，是在企業內部、局部的環境里使用，流動性不強，所以，數據的個人隱私表現不突出。但是到了互聯網+時代，數據無處不在，各種數據積累起來后形成了多元數據關聯，不法分子和別有用心的人可通過多元數據關聯分析導致個人隱私信息泄露。怎樣有效保護個人隱私是大數據安全面臨的第一個重要問題。

• 跨境數據流動

在現在這個時代，數據的流動很重要。雙十一活動多個國家都參與其中，數據的跨境流動是大數據的一個特殊屬性。在法律制度、數據服務外包、打擊網絡犯罪方面保護跨境數據的安全是很重要的。

所以，建立大數據安全標準體系框架時要對傳統數據的采集、組織、存儲、處理等生命周期各方面安全標準進行適用性分析,適合的接著采用，不適合的要修訂，缺項的必須增加。

2.大數據安全技術平臺分析

• 傳統安全措施難以適配

大數據海量、多源、異構、動態的特征導致大數據系統存儲結構復雜、開放性、分布式計算和高效精準的服務，這些特殊需求傳統安全措施解決不了。

• 平臺安全機制亟待改進

以前我們用ORACLE數據庫，到了大數據時代，大家基于hadoop體系結構。在hadoop體系結構里，用戶的身份鑒別和授權訪問等安全保障能力比較薄弱。同時開源hadoop的一些組件在使用時沒有測試，里面可能存在漏洞和惡意代碼，存在人家開的后門。

• 應用訪問控制愈加復雜

在數據庫時代應用訪問控制通過數據庫的訪問機制解決。每一個用戶都要注冊，注冊完才能訪問到數據庫。但是到了大數據時代，存在大量未知的用戶和大量未知的數據，有很多的用戶不知道他的身份，雖然他注冊了也不知道他是誰，所以預先設置角色和預先設置角色的權限都做不到。

3.大數據安全數據應用分析

• 數據安全保護難度加大

在數據應用的平臺上數據安全保護的難度加大。大數據的應用環境不同，是開放的網絡；系統的部署方式不同，是分布式的；數據的復雜度和用戶訪問方式也不同，這些都是面臨的新問題。

• 個人信息泄露風險加重

關聯分析易挖掘出更多的個人信息，易發生數據濫用、內部偷竊、網絡攻擊等安全事件。

• 數據真實性保證更加困難

大數據時代有的數據是造假的。雙十一的時候，賣了多少不知道，到底是不是買了不知道。有院士說大數據是垃圾，也有領導說大數據是金山銀山，我始終感覺大數據只有通過你的分析系統，找出來挖出來才是金子，不去挖的話大數據就是垃圾。所以大數據時代里的數據，是假數據和真數據混合的數據，一定要去偽存真，從里面找到你真正需要的東西，那很困難。

• 數據所有者權益難以保障

在數據應用里所有者權益難以保證，這是數據治理中很關鍵的問題，是今天的主題。怎樣保障我的數據我做主？現在大數據和互聯網+經常會產生數據交換，在數據交換的過程中怎樣能保證我的權益和我的隱私，這是很難的，是我們現在面臨的挑戰。

二、大數據安全法規政策

1. 國外大數據安全法規政策

• 政府數據開放相關法規和政策

大數據的安全來源于政府向公眾開放數據，我國也要求政務公開，把財政、資源、人口、公安等數據信息公開，大家都參與社會治理、政府治理，提高政府治理的水平，增加人民的參與感和幸福度。所以，為了讓數據能開放，各個國家都制定了很多相關的法規和政策。最早的是1966年美國的《信息自由法》，然后有2000年英國的《信息自由法》，我國出臺的是政府信息資源公開政策。

• 數據跨境流動相關法規和政策

剛才是講要把信息公開，這里是講在公開時怎樣保證數據的安全。數據安全的第一件事是要防止數據流到國外，我們不是反對數據的跨境流動，而是要保證數據在跨境流動時的安全性，這里列了一些相關國家和組織的法律文件政策。

?

• 個人數據保護相關法規和政策

在信息公開的大數據時代進行數據分析時，怎樣保障個人的信息和個人的隱私包括四個方面。一是隱私權；二是數據的安全權，所謂安全權是我拿了你的數據不會被別人盜竊走；三是個人怎么控制自己的數據；四是數據泄露以后怎樣獲得通知。比如12360有一年被人家撞庫，大家知道你的信息泄露了嗎？所以我們應該要知道我的信息是不是被泄露了。如果信息被泄露了，我就得趕緊改我的密碼或者把這條信息刪掉等。這方面歐美和其他國家有很多標準。

?

2. 我國大數據安全法規政策

我國數據和大數據方面的政策法規：最早的是2012年《全國人大常委會加強網絡信息保護的決定》；2013年工信部發的《電信和互聯網用戶個人信息保護的規定》；2014年《消費者權益保護法》里有關“個人信息保護”的規定；2015年國務院發的《促進大數據發展行動綱要》里有“在發展大數據的時候要保障個人隱私和信息安全”；2016年《“十三五”規劃》里也提出了“實施國家大數據戰略”，大數據變成一個國家的發展戰略是很重要的一件事情，全國各地都在成立大數據管理局，說明國家非常重視大數據的安全和大數據的發展；2016年《網絡安全法》里對數據安全提的最多；最近網信辦的《國家網絡空間安全戰略》里面也提到了“數據的跨境流動、個人信息的保護和大數據的發展”。

三、大數據標準化組織

1.?ISO/IEC JTC1:信息技術聯合委員會WG5組

國際標準化組織和國際電信聯盟下有一個技術聯合委員會JTC1，其下有SC27安全技術分委員會，下設WG5身份管理與隱私保護技術工作組。它跟我國WG4有一定對口關系，主要工作是身份管理和隱私保護，我們主要是身份鑒別和責任認定工作。這是它已經發布和即將發布的有關大數據的安全框架和標準。

?

2.?ISO/IEC JTC1:信息技術聯合委員會WG9組

信息技術聯合委員會下設的WG9委員會是2014年剛剛成立的大數據工作組。這是在編的幾個標準，《大數據的概述和詞匯》、《大數據的參考框架》。《大數據的參考框架》里有五個分冊，其中一個安全與隱私保護方面的非常重要，是我們中國的專家擔任項目編輯的，這是我國標準化委員會對國際標準的貢獻。

?

3.?ITU-T國際電信聯盟電信標準化部門

第三個國際標準化組是國際電信聯盟電信標準化部門ITU-T。在編的標準很多，都跟大數據有關系。左邊是大數據標準，右邊是大數據安全標準。特別感興趣的有移動互聯網標準，大數據即服務的安全標準，還有電商業務生命周期管理安全參考框架。《數據保全的概述和要求》，數據保全是說你和我在進行交易時，我不太信任你，你也不太信任我，我的名字不一定是實名，你的服務商什么樣我也不太清楚，但是我們倆這筆交易可以到數據保全中心做一下保全，將來如果真的打了官司，保全的數據可以拿到法庭上做證據的這個概念。兩年前我們國家信息中心成立了一個數據保全公司，專門做互聯網的數據保全業務。

?

4.?NIST美國國家標準與技術研究院

美國的國家標準與技術研究院NIST在大數據標準方面也做了很多工作。SP 1500《大數據互操作框架》把大數據的標準做了梳理。

?

5.?TC28全國信息技術標準化委員會

我國的TC28全國信息技術標準化委員會，對口的是WG4工作組。

?

6.?TC260全國信息安全標準化技術委員會

TC260標準工作組2016年成立，只一年多時間，已經做了很多標準，包括《個人信息安全規范》、《大數據服務安全能力要求》、《大數據安全管理指南》。2017年4月又做了一些工作。我們國家剛剛派出去一個標準工作組參加國際標準化會議，安全標準有SM2和SM4兩個加密算法已經列進國際標準，而且今年共有十幾個標準是我們國家專家和組織在承擔國際化標準工作。BDWG標準工作組由清華大學老師擔任組長。

?

四、大數據安全標準體系

1.?大數據安全標準

大數據安全標準共分為五類：基礎標準、平臺和技術、數據安全、服務安全、行業標準。最后那欄有深色和淺色的，深色的標準有的到送審稿階段馬上報批了。

?

2.?數據安全能力成熟度模型

?

3.?大數據服務安全能力要求

?

4.?大數據交易服務安全要求

?

5.?大數據出境安全評估指南

我國非常重視數據出入境安全評估。怎么樣表述數據的屬性和安全的方法，如果是合適的數據就可以出去，不合適數據不能出去。數據出去是必須的。比如銀行數據如果不出去，我們怎么在國外辦銀行？如果京東和淘寶的數據不出去，我們怎么到國外做生意？怎么能跨境買國外東西？所以出境是必須的。但是出境以后怎么保證數據安全，那是我們的責任，所以要進行評估。

6.?個人信息安全影響評估指南

個人信息安全影響評估關系到大家的切身利益。這個標準對個人互聯網上數據的知情權、控制權、刪除權利等都要做合適的規定。

?

7.?個人信息去標識化指南

個人信息去標識化，是說我的信息被服務方利用，他記了我的身份證和名字，如果要訂機票，我不給他身份證就訂不到。如果他想把我的信息拿去分析，在分析的時候必須要把我的標識去掉，不能讓人家一分析就分析出來這是我。所以信息可以拿去分析，但是不能被分析出我個人的標識，也就是說可以分析我一個月在淘寶上買了多少次，但是不能讓人家知道我是誰。

五、典型行業大數據應用和安全風險

1.?電商行業

電商大數據有四個優勢：提高業務的效率、改善消費體驗、保證生態圈良性發展、精細化運營和管理。

電商數據存在的風險：數據存儲不清楚、版權保護能力、數據的跨境安全等。個人的信息保護和跨境安全這兩方面在大數據時代特別重要。

2.?電子政務

• 互聯網+政務服務

互聯網+政務服務是國務院正在抓的比較大的項目。互聯網+服務是2016年55號文推出的，從電子政務變成互聯網+政務服務是一個質的轉變。原來政府只是圈在自己那里叫電子政務，現在政府要為社會服務那叫互聯網+政務服務，整個把政府跟互聯網打通，這是一個大的工程。

• 政務信息系統整合共享

第二個是政務信息系統整合共享的工程，今年剛剛發的27號文，必須要2017年的年底完成。不光要對政務信息進行整合共享，還要對政務的信息系統進行整合共享。以前做的很多電子政務系統，有的已變成僵尸，那些系統不應該放在機房里面浪費電要整合掉，還有一些系統功能跟別的系統一樣或者差不多，也要合并。所以這次整合共享工作量很大，尤其是系統里面的數據，我們要進行綜合的整理、治理、應用。這個工程是比較重要的，這是總理親自抓的一個工作。我希望大家能夠積極的參與進來。

六、大數據安全標準化工作建議

最后我想提四個建議：

• 盡快制定個人信息安全相關標準；

• 盡快制定數據共享的安全標準；

• 制定數據出境的安全標準；

• 制定大數據安全審查的標準。

希望同志們能夠積極的參與到大數據安全標準工作里來，謝謝大家。

后臺回復關鍵詞“標準化”，下載完整版PPT。

整理：莫 天

校對：朱江華峰

為保證發文質量、樹立口碑，數據派現設立“錯別字基金”，鼓勵讀者積極糾錯。

若您在閱讀文章過程中發現任何錯誤，請在文末留言，或到后臺反饋，經小編確認后，數據派將向檢舉讀者發8.8元紅包。

同一位讀者指出同一篇文章多處錯誤，獎金不變。不同讀者指出同一處錯誤，獎勵第一位讀者。

感謝一直以來您的關注和支持，希望您能夠監督數據派產出更加高質的內容。

總結

以上是生活随笔為你收集整理的独家 | 盘点大数据标准化政策、组织及进展（附PPT下载）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。