大数据安全治理体系的三个层次,是非常坚固的金字塔
5月25日, 大数据 安全技术创新与产业化论坛在贵阳举行, 中国信息安全认证中心主任魏昊 以 “安全认证助力大数据安全”为 题做了演讲。
以下为演讲速记整理:
魏昊: 今天我讲的话题是跟大家分享关于安全标准认证的问题,在大数据产业当中的实施,标准的认证不是新话题,但是在大数据时代标准和认证可能有许多新的挑战。我想在座有很多来自于企业的同仁,对认证和标准肯定不陌生,尤其是信息安全企业,我想在过去至少10年当中,跟认证打交道,获得各种各样的证书,墙上挂满了各种各样的资质,有很多员工在跑各种各样的单位,希望获得认可,我想大家不陌生。我们是认证标准的使用者,亦或是认证标准的“受害者”,这个“受害者”不是我说的,去年的4.19总书记在网络工作座谈会上专门提到重复认证、重复检测,增加企业负担的问题,要求改革体制机制,减轻企业负担。
如果说过去十多年企业是受害者,企业可能也有祸害的问题,自己争相拿证书,证书越炒越多,这个事要解决。过去需要解决存量的问题,未来大数据能不能不重复过去的情境?能不能在新基础上做一些更有价值的工作,摆脱重复认证检测。
我的演讲分为三个部分,时间有限,可能过的比较快 。第一个话题是大数据技术发展代理的安全风险,第二个是标准语认证认可和保障大 数据安全 的关系,第三是对大数据安全标准语认证工作的个人思考, 不代表任何机构和任何部门,是论坛演讲者我个人的意见。
2010年以来,世界主要国家相继发布战略规划等指导文件,推动大数据产业发展。大数据带来的发展精于,大数据是战略资源,每个国家都充分认识到这一点,希望借助大数据推动国家经济社会发展,随之而来的是大数据产业突飞猛进。
近年来,我国不断加强对大数据产业发展支持力度,将大数据上升为国家战略。从2015年开始我们对大数据不断出台新政策,以至于到2015年十八届五中全会提出实施国家大数据战略,国家战略层面。
2015年五中全会提出的战略现实开始实施,所以才有贵州大数据综合实验区,才有各种各样大数据的园区。在国家战略指导之下,各个地方发挥各自优势,在大数据领域进行探索和建设,尤其是贵州。
大数据发展带来的安全问题超出产业发展和人们对大数据充分利用,大数据还没怎么体现非常好的应用场景之前,有不少地方就受害,呈现这样的态势。说明安全管理、安全体系建设、安全技术可能落后于应用的发展,可能是这样的态势,这是我个人判断。2016年8月高考生徐玉玉的案例,中央高度认识,社会对大数据安全的意识惊醒,触目惊心。2016年世界十大网络安全事件,七件出自大数据安全事件。
大数据技术发展带来的安全风险,国际上也有表述,4V,我们国家是数量、真实性、速度、低值、多样性,价值的密度很低,单个数据随着有价值,价值利用低,一大堆的数据几个G,PB级的数据也产生不了多少价格。
突出的风险和威胁集中在几个方面,平台的安全、个人隐私安全、数据生命周期安全、服务安全。 个人隐私,目前在世界各国主流关注排在第一,因为涉及到人权利的问题,尤其是欧美国家从意识形态对个人隐私关注超过其他地区,包括我们国家。个人隐私的安全大家都知道。
数据安全,在数据生命周期当中每个环节可能会产生不同的安全问题,围绕着数据的保密性、完整性、可用性产生的一些问题。平台安全,大数据是特殊的信息系统,由于它的架构记帐式储存, 现在安全技术错误对大数据平台适用性、适宜性还没赶上,还没有适应过来,平台安全的应用层面、基础层面都存在大量漏洞,安全机制访问控制也好,审计也好,技术还没有跟上大数据时代的需求,平台安全是大问题,不是相对封闭信息系统的安全保障水平。大数据大,也有很高的价值,但是大就意味着树大招风,招引很多攻击,安全事件层出不穷的主要原因,招人攻击。
标准与认证认可,安全保障体系,顶层应该是法律法规,法律法规的制订是约束或者规制所有安全工作的基础,大数据领域首先西方国家关注的主要是个人隐私问题,法院源头在于隐私保护。欧盟去年刚刚公布《通用数据保护条例》,对数据跨境和个人信息处理提出了要求,它的跨境和我们关注的重要数据跨境不是一回事,出发点在于个人信息跨境以后能不能受到当地同样的保护,如果不能够对我国公民个人信息有同等程度保护,对不起,还不允许你的厂家或者提供商来对我的公民提供服务,是一种市场准入限制,巧妙通过个人信息保护,西方国家普世性价值理念实现经济竞争,欧盟的信息技术来讲也处在弱势地位,跟美国竞争而言是处于弱势地位,弱势地位更需要法律的保护。
不强调国家安全,但实际上是保护了国家安全,有这个效力。欧盟《通用数据保护条例》和认证认可有密切关系,保护的手段是法律强制,数据相关参与人主要是数据处理,虽然处理是广义处理,处理包括储存、数据控制者,要尽到法律责任,要保护你所掌控或加工处理数据安全,尤其是隐私安全。首先要有技术能力,要有管理体系,还要有一个好的意愿,因为法律制裁,非法的、恶意的使用处理或者分享信息、分享数据。
怎么满足法律的要求?主要机制就两个, 一个是行为准则,企业要做承诺,要符合法律要求,一系列行为准则的承诺。二个是第三方认证,自己说了还不算,必须证明你是有意愿、有能力来履行保护数据的责任, 这是《通用数据保护条例》的要命,大量认证认可的机制。我们可以看一下欧盟的经验,对我们有启发。
在我国《网络安全法》第三十七对重要数据安全提出了要求,一些个人信息和重要数据应当在境内储存,已经在征求意见,从法规层面已经有了规制的要求。标准是什么呢?在安全治理方面,标准是实施法规重要的手段和途径,这是从监管角度来看,对产业还有节约交易成本。在标本还不充分,标准只是一个文本,实施标本主要靠认证,验证和标准的符合性,这个工作是认证。国外关于数据的认证保护已经开始。
前不久,全国信安标委发布了《大数据安全标准化白皮书》,这个不详细说了,对我国标准体系作出规划。
标准并不是充分条件,是必要条件,标准要靠认证落实, 国家认证体系发展不错,最新的数字我国已有各类认证机构344家,在信息安全领域我们也是一个认证大国,证书数量规模而言我们是超大国,认证太多。有完备的监管体系,认证为什么是认证?而不是检测?很多同志们企业认证和检测有不同的理解, 按照国际标准的定义,简单说认证是两个,一是评价,二是证明,证明什么?证明产品、服务、人员符合要求,包括法规,包括标准的规定。
在整个产品和服务生命周期中始终要负责任,负责任证明你这个是符合要求的,意味着发了证以后还要持续监督,这是对认证的要求,检测不一样,检测基本上是一次性,送个样本给我,知道结果,对于今后大量的上市我不保证,产品一致性不保证,对产品更新打补丁以后在市场我也不保证,这是检测。
欧盟对数据保护企业数据服务的认证不是测评,是认证。认可,认证为什么能认可?要有约束,要有国家机构来认可你的能力,认证你的公正性,有这样的管理,黄雀在后,还有人在管它。
在国际范围内,还有人管它,就是国际合作互认体系,认可需要符合国际规范,大家要互相认,才能把证书拿到国际上有效力。我国自从加入WTO以来已经建立完整的认证体系,政府监管对认可来讲、对认证来讲是世界上最严的,认证认可体系统一程度也是最高的,认可认证在国际上达到互认的程度是最高的。我想介绍一下基本概念。
在信息安全领域我们所开展的认证已有很多,四大类,不详细说。真正和大数据相关的可能是国家信息安全产品认证、 IT 产品信息安全认证、电子招投标系统认证、信息安全管理体系认证、灾难悲愤和恢复、安全运行、信息安全保障人员认证等等。现在可以考虑认证的问题。
有了认证的基础,尤其是有了大数据审查的基础,大数据审查从前年开始对一些互联网公司、大数据公司进行详细审查,摸清低数,积累经验,为标准制定和将来认证认可的开展奠定很好的基础。
构建大数据安全认证的体系,主要的思想是大数据安全认证体系三个东西, 一是技术创新,因为要满足大数据安全要求,要满足法律法规的要求,必须有技术支撑,没有创新的技术,法律是空的,实施不了,今天在座的企业重要,关注大数据特有的还不怎么过关的技术、进一步审计的技术、安全技术,包括平台里的技术,应该优先发展。二是健全标准,没有标准谈不上认证,认证是标准符合性的判定和证明。三是认证本身体系的健全,认证本身也是体系。
按照规划,同时满足几个方面的需要,一是《认证认可检测发展四规划》,涵盖了很多信息安全、网络安全的问题。认证认可体系里最重要的是能力建设,检测能力很薄弱,开展认证、开展检测数来数去就几大家,所谓的“国家队”,“国家队”不能包打天下,但它够用吗?可能不够用,网络安全认证可能也不够,数量、能力和力量都不够,资本够。
企业参与建设我们是欢迎的,在《网络安全法》第十七条,国家鼓励网络安全检测认证风险评估,鼓励社会参与,什么意思?要发展能力。现在看我们的产品、我们的系统、我们的数据,如果说都一遍筛子,比不过筛子有保障,但是现在能过筛子,这个产品服务能有多少呢?可能是我们的检测能力覆盖面还不够。还有顶层设计的问题,检验认证体系,回到总书记4.19讲话,有重复,重复在安全产品,所谓老三样,这些安全产品,大家都给这些产品发证,重复发证。现在《网络安全法》网络关键设备没人安全检测。
下一步工作,要完善体系建设,加快标准制订工作,加快技术研发。现在有些标准可以用来认可,国际标准也好,国家标准很快就出台了,很快发布,数据服务能力的安全,可能会在大数据服务企业、大数据交易这些环节来推动认证认可工作,利用已经具备的标准和实际需求。希望企业能积极参与,在贵阳讨论要建立大数据安全认证示范区,贵阳所处贵州大数据综合示范区,除了创新示范、应用示范,标准和认证示范也应该是先驱者。
大数据安全治理体系的三个层次,法律、标准规范认证认可是支撑大数据安全非常坚固的金字塔。
希望产业和科研机构、大专院校在法律法规的规制之下,创新解决大数据安全问题,用标准解决大数据产业发展的规范问题,用认证保障大数据安全法律、标准的落实问题。认证认可传递信任,服务发展,支撑监管。
重磅福利!【 2017中国互联网+新商业峰会 】, 6月15-16日两天3000人次,携程创始人梁建章,嘉御基金创始人、前阿里巴巴CEO卫哲,分众传媒创始人江南春等嘉宾已确认出席,期待你的参与, 限量钜惠 票 等你拿!
本文系投稿稿件,作者:魏昊;转载请注明作者姓名和“来源:亿欧”;文章内容系作者个人观点,不代表亿欧对观点赞同或支持。