大數據安全標準化研究進展

葉潤國 胡 影 韓曉露 王惠蒞

1(中國電子技術標準化研究院 北京 100007)2 (北京交通大學 北京 100045)

?

大數據安全標準化研究進展

葉潤國1胡 影1韓曉露2王惠蒞1

1(中國電子技術標準化研究院 北京 100007)2(北京交通大學 北京 100045)

(yerunguo@163.com)

大數據安全標準是構成國家大數據安全保障體系的重要組成部分.首先簡要介紹了大數據應用面臨的安全威脅，以及我國當前大數據發展相關政策；分析國內外大數據安全標準化組織及研究成果；從傳統數據安全、大數據安全和隱私保護3個方面對現有大數據安全相關標準進行了梳理；最后，針對我國的大數據安全標準化工作給出了4點建議，為構建符合我國國情的大數據安全標準體系提供重要支撐.

大數據；安全威脅；信息安全；數據安全；安全標準

隨著大數據技術的發展，數據資源逐漸成為與物質和能源同等重要的資源，以開發和利用數據資源為目的的經濟活動迅速擴大.繼移動互聯網、云計算后，大數據在廣泛改變人們工作、生活和思維方式的同時，也逐漸成為對于ICT 產業具有深遠影響的技術變革.毋庸置疑，大數據是一場革命，對社會的組織結構、國家的治理模式、企業的決策架構、商業的業務策略以及個人的生活方式將產生深刻影響.但大數據是一把雙刃劍，我們在享受大數據帶來的巨大價值同時，大數據的安全和個人隱私問題成為人們關注的焦點.大數據技術實現和應用模式的演進，引發了在數據采集、數據處理、數據存儲、數據共享和內容安全等方面新的安全風險，大數據濫用和個人隱私泄露風險面臨嚴峻挑戰[1-2].

在大數據時代，大數據應用在數據采集、傳輸、存儲、管理、分析、發布、交易、使用、銷毀等生命周期各階段，面臨的安全威脅都有新的挑戰，主要包括以下5個方面[1-3]：

1) 隱私泄露威脅

現有隱私保護法律法規不健全，隱私保護技術手段還不完善，個人隱私在數據的傳輸過程、存儲過程、處理過程、使用過程無法實施有效控制，大數據濫用容易對個人隱私權造成侵犯的同時也增加了企業、政府敏感信息泄露的風險.此外，大數據環境中多源數據的匯聚，使得攻擊者容易通過數據之間的關聯獲得更多的用戶隱私信息，更加重了隱私泄露的風險.

2) 數據資產安全威脅

大數據必然產生數據資產，隨著大數據應用越來越多，數據擁有者與管理者分離，帶來數據所有權、數據使用權、數據被遺忘權的歸屬問題，這些數據的權屬不明確，安全監管責任不清晰，將使得大數據中數據資產的所有者權益不能得到保障，其安全受到威脅.

3) 大數據存儲安全威脅

海量和多源異構數據的匯聚，對大數據分析平臺提出了更高要求，包括能對結構化和非結構化數據存儲，對海量數據的處理以及大規模的分布式數據存儲和集群管理等.面對復雜多樣的大數據存儲，數據存儲管理安全防護措施漏洞難以避免，容易造成數據失竊和篡改.同時，各種類型數據的集中存儲也使得大數據應用系統更容易成為黑客的攻擊目標.

4) 大數據網絡安全威脅

隨著網絡節點數的增加，大數據應用網絡安全面臨更大的風險，網絡防御形勢更加嚴峻，網絡數據傳輸安全更難保證，攻擊者常利用傳輸協議的漏洞進行數據竊取、數據攔截.如今，大數據技術甚至被應用到攻擊手段中，攻擊者通過大數據技術收集、分析和挖掘情報，使得各種高級持續性威脅攻擊更容易成功.

5) 大數據基礎設施安全威脅

大數據基礎設施是確保大數據安全運行的基礎.若攻擊者計劃阻礙大數據的正常運行，往往會通過非授權訪問、在網絡基礎設施傳輸過程中破壞數據完整性、造成信息泄露和丟失、拒絕服務攻擊、網絡病毒傳播等方式對大數據基礎設施造成安全威脅，進而破壞大數據基礎設施的正常運行.

大數據安全問題已經成為阻礙我國大數據產業發展的重要因素.有必要對國內外現有大數據安全標準化組織的研究成果進行綜合分析，以及分析現有信息安全標準在大數據場景下的相關性和適用性，為制定適合我國國情的大數據安全標準體系，以及構建我國的大數據安全保障體系提供重要支撐.

1 我國大數據安全政策

基于對大數據發展的重要性和安全挑戰的嚴峻性，大數據目前已經上升為我國的國家戰略.2015年8月，國務院印發《促進大數據發展行動綱要》(以下簡稱《綱要》)，指出要大力發展我國的大數據產業，推動政府數據開放和共享，同時要注重大數據利用過程中的安全保障問題.《綱要》提出要強化安全保障體系和強化安全支撐，具體表現為要加強大數據環境下的網絡安全問題研究和基于大數據的網絡安全技術研究，落實信息安全等級保護、風險評估等網絡安全制度，建立健全大數據安全保障體系和評估體系.妥善處理發展創新與安全保障的關系，審慎監管，保護創新，探索完善安全保密管理規范措施，切實保障數據安全.

2015年8月，我國人大審議了《中華人民共和國網絡安全法(草案)》，并向社會公開征求意見.《國家網絡安全法(草案)》定義網絡數據為通過網絡收集、存儲、傳輸、處理和產生的各種電子數據.關于網絡數據安全保障方面，《國家網絡安全法》規定，要求網絡運營者采取數據分類、重要數據備份和加密等措施，防止網絡數據被竊取或者篡改，加強對公民個人信息的保護，防止公民個人信息數據被非法獲取、泄露或者非法使用，要求關鍵信息基礎設施的運營者在境內存儲公民個人信息等重要數據；確需在境外存儲或者向境外提供的，應當按照規定進行安全評估.

2016年3月17日，十二屆全國人大四次會議表決通過了《關于國民經濟和社會發展第十三個五年規劃綱要》，要求實施國家大數據戰略，全面實施促進大數據發展行動，同時要強化信息安全保障.十三五規劃綱要提出加強數據資源安全保護，具體表現為要建立大數據安全管理制度，實行數據資源分類分級管理，保障安全高效可信應用.實施大數據安全保障工程，加強數據資源在采集、存儲、應用和開放等環節的安全保護，加強各類公共數據資源在公開共享等環節的安全評估與保護，建立互聯網企業數據資源資產化和利用授信機制.加強個人數據保護，嚴厲打擊非法泄露和出賣個人數據行為.

由此可見，為確保大數據產業在我國的健康發展，必須健全我國的大數據安全保障體系，加強大數據安全技術支撐.大數據安全標準體系作為發展、治理和監管的基本依據，是大數據安全保障的重要組成部分.建立大數據安全標準體系，并開展大數據安全關鍵標準的研制，可以為我國政府進行大數據安全管理和監督提供依據和手段，為保障大數據安全的技術措施和管理制度提供準則.

2 大數據應用下數據安全概念

數據安全和信息安全息息相關，同時也是大數據安全防護技術和大數據安全標準化研究的核心.大數據應用環境和技術實現對傳統的數據安全概念衍生了新含義.關于數據和信息的含義，NIST的NISTIR7298技術報告[4]中給出了明確的描述：數據就是允許獲取和傳輸的電子格式的信息子集.而信息是包括實事、數據、觀點在內的知識的表現形式，可以是任何介質和任何類型，包括文本、數字、圖形、地理信息、音頻和視頻文件等.同時，NISTIR7298技術報告描述數據安全為旨在防止對數據的未授權(事故或有意)篡改、破壞和泄露；而信息安全目的是防止對信息和信息系統的未授權訪問、使用、泄露、干擾、篡改或破壞，確保私密性、完整性和可用性.基于此，信息安全相對于數據安全含義更加寬泛，數據安全只是信息安全的一個研究分支.以我國的信息系統安全等級保護系列標準為例，信息系統安全等級保護包括以下幾個方面：物理安全、主機安全、網絡安全、應用安全和數據安全，前4項即是信息系統安全，而最后1項數據安全就是信息安全.

隨著大數據應用的不斷發展，引發業界對傳統信息安全中數據安全的高度關注，同時也豐富了數據安全的含義.其主要原因在于，一是數據已經作為一種組織或個人的資產變得越來越重要，也成為目前絕大多數攻擊的主要目標，比如APT攻擊.因此，針對數據的安全防護被認為是最后一道防線.我們也見到很多針對數據安全的安全產品，比如數據防泄漏、數據備份與恢復產品等.二是大數據和云計算等新數據應用的出現，使數據所有權和使用權分離，出現了數據所有者、數據提供者和數據消費者等角色，數據經常脫離數據所有者和提供者受控范圍；同時數據提供者還存在安全合規要求.因此，當前數據安全在大數據應用驅動下已成為一個新的研究熱點.

為保障大數據應用安全，促進大數據產業健康發展，大數據安全標準體系設計與研制工作亟待開展.開展大數據安全標準化工作，需要透過傳統數據安全，分析大數據應用驅動新生安全挑戰，以及引發的數據對象本體屬性的變化.首先，數據安全須從數據生命周期來認識數據生命周期各階段的安全威脅和安全控制措施.傳統應用環境下，數據生命周期可以分為數據的產生、存儲、使用、傳輸和銷毀5個階段.因為在傳統應用環境下，對數據提供者和使用者沒有嚴格的區分需求.而在大數據分析等新興應用場景下，由于數據資產價值的備受關注，對數據提供者和數據使用者必須做嚴格的區分或界定，因此，數據生命周期擴展為數據的產生、收集、存儲、使用、傳輸、共享、發布和銷毀等幾個階段.

其次，從需要保護的數據對象來看，合理分類是有效實施數據保護的前提.目前常見的數據分類方法很多，常見的分類方法有：按使用頻度可以將數據分為熱數據、冷數據和溫數據；按重要程度可以將數據分為關鍵數據、重要數據和一般數據等；按數據屬權可以分為企業數據、用戶數據和政府數據等；按應用環境可以分為傳統規模數據和大數據；按數據形態可以分為靜態數據和動態數據；按數據來源可以分為傳感器數據、社交網數據和交易數據等.

3 大數據安全標準組織情況

當前國際上正在開展大數據標準化研究的工作組主要包括ISO/IEC JTC1 SC32、ISO/IEC JTC1 WG9、ITU大數據工作組、云安全聯盟CSA大數據工作組以及美國NIST大數據工作組.

ISO/IEC JTC1 下設SC32 “數據管理和交換”分技術委員會，主要負責研制信息系統環境內及之間的數據管理和交換標準，其下設4個工作組：WG1 電子業務、WG2元數據、WG3數據庫語言、WG4 SQL多媒體和應用包.當前ISO/IEC JTC1 SC32的數據管理和交換標準化工作中，有6項為大數據提供標準化支持的工作項，主要包括《SQL對多維數組的支持》、《數據集注冊元模型》、《數據源注冊元模型》等.這些大數據標準為SC32后期的大數據安全標準化工作打下了良好基礎.

ISO/IEC JTC1 WG9 大數據工作組(WG9-BDWG)于2014年11月成立，負責大數據國際標準化，它主要發布了2個標準草案：ISO/IEC NP 20546 (信息技術—大數據—定義和詞匯)；ISO/IEC NP 20547(信息技術—大數據—參考框架).其中大數據參考框架包括5個部分：第1部分為框架和應用過程；第2部分為大數據用例和衍生需求；第3部分為參考框架；第4部分為安全和隱私構件；第5部分為標準路線圖.2016年3月，經ISO/IEC JTC1 Advisory Group投票通過，將ISO/IEC JTC1 WG9組的ISO/IEC NP 20547第4部分的安全和隱私構件移交給ISO/IEC JTC1 SC27來做，SC27的主席也接受了這項任務.

ITU大數據工作組在2013年11月發布了《大數據：今天巨大，明天平常》報告，并成立了多個課題組開展大數據標準化工作.其中，Q2工作組負責針對大數據的物聯網具體需求和能力要求開展標準化工作；Q17工作組發布了ITU-T Y.3600 “基于云計算的大數據需求和能力”；Q17：發布了《大數據交換需求和框架》；Q18工作組發布《大數據即業務的功能架構》等標準草案.

NIST于2012年6月啟動了大數據相關基本概念、技術和標準需求的研究；2013年6月，NIST召開了大數據公共工作組(NBD-PWG)成立會議；2013年9月，NIST啟動了大數據定義和數據、通用需求、參考架構、安全隱私及技術路線圖等內容的研究.2015年，NIST 編寫形成《大數據互操作架構》V1.0；整個《大數據互操作性框架》包括《大數據定義》、《大數據分類學》、《大數據用例和需求》、《大數據安全和隱私需求》、《大數據參考架構調研白皮書》、《大數據參考架構》和《大數據技術路線圖》7卷.

國際云安全聯盟CSA于2012年成立大數據工作組，目的在于尋找針對數據中心安全和隱私問題的解決方案.截至目前，CSA的大數據安全工作組集成云計算支撐大數據系統的應用實踐，陸續發布了《大數據安全與隱私十大挑戰》、《大數據安全和隱私手冊》、《大數據安全最佳實踐》、《大數據和未來隱私評論》和《基于大數據的安全情報分析》[5]等文檔.

ISO/IEC JTC1/SC27 WG5工作組負責身份管理和隱私保護相關標準的研制和維護.結合其工作范圍和重點，SC27 WG5開發了標準路線圖(WG5 SD1)，概括了WG5已有標準項目、新工作項目提案，以及將來WG5可能涉及到的標準化主題等內容，并通過一個關聯關系圖來闡明這些標準項目之間的關系.通過對該路線圖內容的研究和分析，發現從其結構來看，WG5試圖通過一個明確的層次模型，來闡述有關身份管理和隱私標準所有項目之間的相關依賴和關聯關系.但由于身份管理和隱私保護涉及內容的復雜性，最終未能明確刻畫出所有項目之間的依賴與關聯關系，而是采用一個2層的模型來說明各標準項目的作用，同時描述了各項標準與管理層或工程層視角的對應關系.

全國信息技術標準化委員會于2014年成立大數據標準化工作組，工作組秘書處掛靠單位為中國電子技術標準化研究院.我國大數據標準化工作組負責開展大數據相關技術和標準的研究，制定和完善我國大數據領域標準體系；結合我國大數據領域技術和產業發展進程，適時組織提出我國的國際標準提案.工作組于2014年7月發布《大數據標準白皮書》第1版[6]，工作組2014年完成大數據標準立項10項，2015年完成19項大數據標準立項.全國信息安全標準化委員會也在組織開展大數據安全標準化研究工作，規劃我國大數據安全標準體系，推進大數據及隱私保護相關標準的研究工作，包括大數據服務安全能力要求、數據分類分級指南、數據脫敏指南、大數據平臺安全技術要求、數據交換共享安全要求等大數據安全標準.

4 現有大數據安全相關標準情況

目前可以將現有和大數據安全相關的標準分為傳統數據安全標準、大數據安全標準和隱私安全類標準.傳統數據安全標準包括PCI-DSS標準[7]和美國HIPAA標準[8]；大數據安全標準主要包括美國NIST大數據公共工作組關于大數據互操作性框架和云安全聯盟CSA的大數據安全標準；隱私保護類標準則主要包括ISO/IEC發布的ISO9100系列隱私保護標準.

PCI-DSS全稱為支付卡行業數據安全標準，是VISA和MasterCard聯合制定的安全認證標準.PCI-DSS標準目標在于嚴格控制對支付卡持卡人數據的處理、存儲和傳輸，以保障銀行卡用戶在線交易的安全.PCI-DSS安全標準圍繞支付卡數據安全，提出六大類要求，包括：1)構建和維護一個安全的網絡；2)保護持卡人數據；3)維護一個脆弱性管理程序；4)實施強制訪問控制措施；5)定期監控和測試網絡；6)維護一個信息安全策略.同時，PCI-DSS從評估認證實施層面可操作性需求出發，對每一類要求給出了具體規定，比如，對于要求1)，它規定了安全維護一個防火墻配置來保護持卡人數據；以及不要在系統密碼和其他安全參數方面使用默認值等具體合規性要求.近年來，為適應云計算應用發展需求，PCI-DSS制定了專門的補充標準《信息補充：PCI DSS云計算指南》.

HIPAA是美國健康保險攜帶和責任法案，適用于提供健康保健的醫療組織和其他符合健康計劃的組織.HIPAA目標是確保健康信息的安全性和隱私性，其主要內容包括隱私條例和安全性條例.隱私條例保護所有由適用實體保存的可識別個體的受保健康信息(PHI).根據美國衛生和福利部的規定，PHI包括以下數據信息：與個人以往、目前或將來的身體或精神健康和狀況有關的數據；個人接受的健康保健服務的相關數據；個人以往、目前或將來接受健康保健服務的費用支付相關的數據.隱私條例的基本規定是企業只有在隱私條例允許的情況范圍內或者獲得數據相關的個人書面同意之后才能夠傳播發布PHI信息.隱私條例還包含一些通知規定和行政規定，保證企業保持數據記錄行為的恰當性，以及確保個人明確自己受HIPAA條例保護的權利.安全性條例包含電子受保健康信息(ePHI)的安全保護，規定了企業在其所有需要處理ePHI數據的系統里必須設有的政策、程序和報告機制.它還規定了用于保護ePHI的保密性、完整性和可獲得性的具體實施規定.這些規定分為以下5類：行政保護、物理性保護、技術性保護、組織要求、企業政策和程序.

《NIST大數據互操作框架：安全與隱私(卷4)》[9]由NIST NBD-PWG安全與隱私小組編寫，它描述了大數據特有的安全與隱私問題.在理解和執行安全與隱私要求上，NIST NBD-PWG認為大數據應用觸發了安全需求模式的根本轉變，以滿足大數據體量大、多樣性、速度快和真實性等特征；同時描述了大數據使系統基礎架構在安全解決方案目標的變化，例如，分布式計算系統和非關系型數據存儲的安全；并提出大數據場景下新的安全問題需要解決，關鍵在于平衡隱私與實用性、分析治理加密數據、核查認證用戶和匿名用戶等方面.《安全與隱私》標準分析了特定應用場景(包括醫療、政府、零售、航空等)下的大數據安全與隱私問題，給出了大數據安全與隱私相關主要概念和角色，開發了一個安全與隱私參考架構來補充大數據參考架構NBDRA，并對用例和大數據安全參考架構NBDRA之間的映射進行了探索.

云安全聯盟CSA在大數據安全方面發布了《大數據安全與隱私十大挑戰》和《大數據安全和隱私手冊》，并針對每個安全挑戰分別列舉了10項最佳實踐；發布了《大數據和未來隱私評論》解決白宮大數據和未來隱私審查項目需求問題；還發布了《基于大數據的安全情報分析》文檔，分析了利用大數據技術實現復雜網絡攻擊檢測和取證的方法.

圍繞大數據隱私保護要求，ISO/IEC(國際標準化組織)提出了ISO/IEC 29100系列標準.ISO/IEC 29100《信息技術 安全技術 隱私框架》[10]為信息和通信技術(ICT)系統內個人可識別信息(PII)的保護提供了一個高層隱私框架.ISO/IEC 29101《信息技術 安全技術 隱私參考體系結構》[11]描述了隱私參考體系結構框架，適用于在規定、獲取、構建、設計、測試、維護、管理和運行處理PII的ICT系統或服務中涉及到的隱私利益相關者.ISO/IEC 29190《信息技術 安全技術 隱私能力評估模型》規定了隱私能力評估的關鍵功能區域(法律符合性、利益相關方期望、組織面臨的風險)，提供了將評估級別映射到企業隱私模型中的指南，以滿足衡量企業在隱私保護能力的需要.ISO/IEC 27018《在公有云中PII處理者的PII實用規則》[12]為公有云服務提供商提供了通用的合規性框架，創建了通用的可接受的控制目標、控制措施和指南.ISO/IEC 29134《隱私影響評估 方法學》[13]規定了用于PII保護的隱私影響評估行為準則，描述了ISO/IEC 29100:2011中的隱私影響評估，并提出了一個隱私保護框架和具體的隱私影響評估方法.ISO/IEC 29151《PII保護實用規則》規定了普遍接受的控制目標、控制以及相關的風險處理指南.此外，美國NIST為保護個人可識別數據在NIST SP800系列標準中增加了相關標準，如NIST SP800-100《個人可識別數據PII機密性保護指南》為保護PII數據的機密性提出技術要求及實施指南.

5 我國大數據安全標準化工作建議

大數據安全標準是保障大數據安全、促進大數據發展的重要支撐.大數據安全標準化工作已成為世界各國關注大數據技術、應用及產業發展并重的基礎性工作.我國也建立了相關工作組推動大數據標準化工作.在大數據標準化工作組的統籌安排下，2014年實現了包括大數據技術參考模型、數據能力成熟度評價模型、數據交易服務平臺、數據溯源等在內的多項大數據國家標準立項.2015年實現了包括大數據分級指南、存儲與處理系統、工業大數據和電子商務大數據等19項大數據標準立項.目前，我國還沒有成立專門的國家大數據安全標準化工作組統籌協調大數據安全標準化工作.建議主管部門盡快成立我國大數據安全標準工作組，引導各方資源建立溝通合作機制，調動各方積極性，通過標準化活動統一大數據安全相關的術語概念，積極研究和明確我國的大數據安全標準化工作思路，盡快制定大數據安全參考架構、大數據服務安全能力要求、大數據安全管理指南等關鍵國家標準；同時，積極參與國際大數據標準化組織工作，促進我國與國際大數據安全標準的協調發展，為我國大數據產業的健康發展保駕護航.

1) 建立政府主導、企業為主、產學研用聯合的大數據安全標準化工作組.

為了確保大數據安全標準研制工作的順利開展，解決標準內容的沖突和交叉問題，建議成立大數據安全標準化工作組，通過聯合大數據技術、標準、服務、產品、安全、運營等相關領域的企業、研究院所、用戶、行業協會以及產業聯盟，組織產學研用各方參與.政府主導，營造環境，做好協調，積極推進；企業為主，明確大數據安全標準化需求和市場方向；產學研用聯合，充分調動各方的積極性，開展標準研究制定及其實施工作.

2) 以應用為導向，系統梳理大數據安全標準化核心需求.

針對我國大數據應用發展過程中遇到的各種安全威脅和安全挑戰，需要通過收集整理典型大數據應用場景，挖掘和提煉典型場景中各方的通用安全需求，形成適合我國大數據產業和應用的標準化需求，以此作為大數據安全標準研制的依據.大數據安全標準是推動大數據市場健康發展的推動力，建議根據典型大數據應用場景下各用戶的通用安全需求，推動關鍵大數據安全標準的研制工作.對于制定的大數據安全標準的適用性和質量問題，同樣需要在大數據應用場景中去檢驗，看其是否真正解決了大數據各利益相關方的安全問題.目前，一些大數據國際標準化組織和標準協會非常關注這個問題，并在不同層面切實開展了相應工作.

3) 整合資源，統一規劃大數據安全標準體系.

為了統籌規劃大數據安全標準化工作，確保大數據安全標準研制工作的有序推動，建議優先開展大數據安全標準體系研究.根據我國大數據技術、產業、應用和運營管理的安全需求，建議構建包括大數據安全基礎標準、安全基線、實施指南、安全評估類的大數據安全標準體系框架.其中，大數據安全基礎標準主要針對大數據安全中一些共性的術語概念，以及通用大數據安全框架，制定大數據安全參考架構等標準.安全基線主要針對大數據應用中各方的安全需求，制定各類大數據安全要求標準.實施指南主要是為滿足大數據應用中各方的安全合規需求，為利益相關方提供一系列大數據安全控制實施指南.安全測評主要是為第三方對大數據應用中各方的安全合規滿足情況進行合理評估，從而確保大數據安全控制措施的有效性.

4) 緊急先行，成熟先上，關注重點.

依托我國產業界和學術界在大數據安全方面的技術創新資源和成果，根據大數據安全標準化需求，梳理出緊急、成熟的大數據安全標準，特別在大數據安全審查、大數據安全管理和大數據安全能力評估等方面快速開展大數據安全標準制定.主要建議如下：①圍繞大數據安全審查，開展大數據安全關鍵標準的研制；②安全要求、實施指南和安全評估標準并重，切實確保大數據安全標準的落地;③重視大數據安全標準體系建立，針對性開展急需的安全標準研制;④同步推進國際國內大數據安全標準工作，保持先進.

建議依托我國大數據產業界和學術界在大數據安全標準化方面的資源和成果，根據大數據安全審查標準化需求，梳理出緊急、成熟的大數據安全標準，特別在大數據開放、安全分級、交換共享、數據安全等方面快速開展標準制定.

6 總 結

本文簡要介紹了大數據應用面臨的各種安全威脅和挑戰，然后，通過分析我國近年來為促進大數據產業健康發展發布的主要政策發現，有必要通過實施大數據安全保障來確保大數據的安全，而大數據安全標準是大數據安全保障的重要組成部分.為了更好地研究大數據安全標準，本文對信息安全和數據安全2個概念之間的相關性進行了闡述；為制定適合我國國情的大數據安全標準體系，本文詳細分析了國內外主要標準化組織在大數據安全的標準化研究成果，包括ISO/IEC JTC1 SC32、ISO/IEC JTC1 WG9、ITU大數據工作組、云安全聯盟CSA大數據工作組以及美國NIST大數據工作組的研究成果.然后，本文從傳統數據安全、大數據安全和隱私保護3個方面對現有大數據安全相關標準進行了梳理.最后，針對我國的大數據安全標準化工作給出了4點建議，為構建符合我國國情的大數據安全標準體系，以及開展大數據安全關鍵標準的研制提供支撐.

[1]馮登國, 張敏, 李昊. 大數據安全和隱私保護[J]. 計算機學報, 2014, 37(1): 246-258

[2]王珊, 王會舉, 覃雄派, 等. 架構大數據: 挑戰, 現狀與展望[J]. 計算機學報, 2011, 34(10): 1741-1752

[3]Cloud Security Alliance. Expanded top ten big data security & privacy challenges[EB/OL]. [2013-04-07]. https://cloudsecurityalliance.org/

[4]NIST. NISTIR7298. Glossary of Key Information Security Terms, Revision 1[S]. San Francisco: NIST, 2011

[5]Cloud Security Alliance. Big data analytics for security intelligence[EB/OL]. [2013-09-24]. https://cloudsecurityalliance.org/

[6]中國電子技術標準化研究院. 大數據標準白皮書(第一版)[EB/OL]. [2014-07-24]. http://www.cesi.cn

[7]PCI Security Standard Council. Requirements and Security Evaluation Programs, Payment Card Industry (PCI) Data Security Standard, Version 3[S]. Wakefield: PCI Security Standard Council, 2013

[8]Whitehouse Public Law 104-19. Health Insurance Portability and Accountability Act (HIPAA)[S/OL]. 1996 [2016-04-10]. http://www.healthinfolaw.org/federal-law/HIPAA

[9]NIST. SP 1500-4. Big Data Interoperability Framework: Voluem 4, Big Data Security and Privacy Requirements[S]. San Francisco: NIST, 2015

[10]ISO/IEC. ISO/IEC29100. Information Technology—Security Techniques—Privacy Framework[S]. Geneva, Switzerland: ISO/IEC, 2013

[11]ISO/IEC. ISO/IEC29101. Information Technology—Security Techniques—Privacy Architecture Framework[S]. Geneva, Switzerland: ISO/IEC, 2013

[12]ISO/IEC. ISO/IEC27018. Information Technology—Security Techniques—Code of Practice for Protection of Personally Identifiable Information (PII) in Public Clouds Acting as PII Processors[S].Geneva, Switzerland: ISO/IEC, 2014

[13]ISO/IEC. ISO/IEC29134. Information Technology—Privacy Impact Assessment—Guidelines[S].Geneva, Switzerland: ISO/IEC, 2016

葉潤國

博士，主要研究方向為入侵檢測、大數據安全技術和標準.

yerg@cesi.cn

胡 影

博士，主要研究方向為網絡安全、ICT供應鏈安全標準.

huying@cesi.cn

韓曉露

博士研究生，高級工程師，主要研究方向為大數據與大數據安全、工業工程與信息化.

15111050@bjtu.edu.cn

王惠蒞

高級工程師，主要研究方向為云計算安全、智慧城市安全、大數據安全及隱私保護相關標準.

wanghuili@cesi.cn

Survey and Research on Big Data Security Standardization

Ye Runguo1, Hu Ying1, Han Xiaolu2, and Wang Huili1

(ChinaElectronicsStandardizationInstitute,Beijing100007)(BeijingJiaotongUniversity,Beijing100045)

Standardization of Big Data Security is a critical part of Big Data Security Assurance System. First, this paper briefly illustrates the security threats faced by big data applications, and introduces our nation’s state strategy for big data development. Then, big data security standard organizations and research results in home and abroad are analyzed, and related current big data security standards are summarized from the view of conventional data security, big data security and privacy protection, respectively. At last, some suggestions are given for our nation’s standardization on big data security, for the purpose of supporting state standardization work on Big Data security.

big data; security threat; information security; data security; security standards

2016-04-19

國家科技支撐計劃基金項目(2015BAK21B04);工信部工控安全評估專項(工信軟函[2015]336號);國家智能制造專項(京財經一指[2015]1170號)

TP393.08