大数据安全标准我之所见

2020年6月30日   |   by jones

1、国际法规以及政治和文化因素

随着各国对大数据安全重要性认识的不断加深,包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策来推动大数据利用和安全保护,在政府数据开放、数据跨境流通和个人信息保护等方向进行了探索与实践。

1.1、政府数据相关

美国1966年通过《信息自由法》。英国于2000年正式通过《信息自由法》,规定了任何人都有获取政府信息的权利,政府有答复公众请求的义务,同时给出了25种公开豁免情况。

1.2、数据跨境流动相关

欧盟在1995年《数据保护指令》中确立了数据跨境传输的基本原则。
澳大利亚《隐私保护原则》第8条规定,数据主体获得明确告知后同意的,可以将个人数据传输至境外数据接收者,告知必须解释跨境传输带来的数据主体应当知道的后果或风险。
韩国2012年发布的《促进信息技术网络利用和信息保护法》要求:如果用户的个人信息被转移到境外实体,在线服务提供商必须告知并获得用户的明示同意。
日本2015年修订的《个人信息保护法》规定,个人信息可以“传输到为日本个人信息保护委员会(PIPC)所认可的、与日本国内个人信息保护水平相当的国家或地区”。
亚太经合组织(APEC)于2003年发布了《APEC隐私保护框架》,它采取使用企业自律性隐私政策来保护跨境数据流动中数据(隐私)权利的做法,在《APEC隐私保护框架》下建立跨境隐私保护规则体系。

1.3、个人数据保护相关

  • 欧盟《通用数据保护条例》
    欧盟颁布的《通用数据保护条例》(GDPR)为一个数据隐私权标准法规,它旨在取代1995年发布的《数据保护指令》。GDPR由两部分组成:通用数据保护条例,这“将让人们更好地控制其个人数据”;数据保护指令,对于警察和刑事司法领域,这“可确保数据受害人、证人和犯罪嫌疑人在刑事调查或执法行动中受到应有的保
    护。”
  • 美国健康保险携带和责任法案
    1996年,美国总统签署适用于提供健康保健的医疗组织和其它符合健康计划组织的健康保险携带和责任法案(HIPAA)。HIPAA目标是确保健康信息的安全性和隐私性,其主要内容包括隐私条例和安全条例
    隐私条例保护所有由适用实体保存的可识别个体的受保护健康信息(PHI)。
    安全条例包含了电子受保护健康信息(ePHI)的安全保护,规定了企业在其所有需要处理ePHI数据的系统里必须具有的策略、流程和报告机制。
  • 美国家庭教育权和隐私权法案
    1974年,美国联邦法案家庭教育权和隐私权法案(FERPA)出台,用以保护学生的个人可识别信息(PII)的安全,适用于教育行业。FERPA规定,未满18岁的学生或符合条件的学生家长可以查看并申请修正学生的
    教育记录。该法案还规定,学校必须取得学生家长或符合条件的学生的书面许可才能披露学生的个人信息。

2、国内数据安全法律法规

2012年12月,人大通过了《全国人大常委会关于加强网络信息保护的决定》,。要求,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,防止在业务活动中收集的公民个人电子信息泄露、损毁、丢失。

2013年7月,工业和信息化部公布了《电信和互联网用户个人信息保护规定》。该规定是对全国人大常委会《关于加强网络信息保护的决定》的贯彻落实。

2015年8月,国务院印发《促进大数据发展行动纲要》,提出加快建设数据强国和释放数据红利,并加快政府数据开放共享,以提升治理能力。

2016年3月,第十二届全国人大四次会议表决通过了《关于国民经济和社会发展第十三个五年规划纲要》,提出实施国家大数据战略,全面实施促进大数据发展行动,同时要强化信息安全保障。该规划纲要提出加强数据资源安全保护,具体表现为要建立大数据安全管理制度、实行数据资源分类分级管理和保障安全高效可信应用。

2016年11月,全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》,定义网络数据为通过
网络收集、存储、传输、处理和产生的各种电子数据,并鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。关于网络数据安全保障方面,网络安全法规定,要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改,加强对公民个人信息的保护,防止公民个人信息被非法获取、泄露或者非法使用,要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据,网络数据确实需要跨境传输时,需要经过安全评估和审批。

2016年12月,国家互联网信息办公室发布《国家网络空间安全战略》,提出要实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用,为保障国家网络安全夯实产业基础。

3、标准化组织大数据安全工作

3.1、ISO/IEC JTC1

  • WG5工作组负责制定的隐私保护方面标准:
    ISO/IEC 29100:2011《信息技术 安全技术 隐私保护框架》、
    ISO/IEC 29101:2013《信息技术 安全技术 隐私保护体系结构框架》、
    ISO/IEC 29190:2015《信息技术 安全技术 隐私保护能力评估模型》、
    ISO/IEC 29191:2012《信息技术 安全技术 部分匿名、部分不可链接鉴别要求》
    ISO/IEC 27018:2014《信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护PII的实践指南》,
    ISO/IEC 29134《信息技术 安全技术 隐私影响评估指南》
    ISO/IEC 29151《信息技术 安全技术 可识别个人信息(PII)保护实践指南》
    ISO/IEC29184《在线隐私通知和准许指南》、
    ISO/IEC 27550《隐私保护工程》
    ISO/IEC 27551《对ISO/IEC 27001在隐私保护管理方面的增强要求》

  • ISO/IEC JTC1 WG9(大数据工作组)目前正在开展
    ISO/IEC 20546《信息技术 大数据 概述和词汇》
    ISO/IEC 20547《信息技术 大数据参考架构》,ISO/IEC 20547为多部分标准,包括:

    • ISO/IEC TR 20547-1《第1部分:框架和应用过程》、
    • ISO/IEC TR 20547-2《第2部分:用例和衍生需求》、
    • ISO/IEC20547-3《第3部分:参考架构》、
    • ISO/IEC 20547-4《第4部分:安全与隐私保护》、
    • ISO/IEC TR 20547-5《第5部分:标准路线图》。

3.2、 ITU-T

  • ITU-T SG13负责制定的大数据相关标准包括:
    ITU Y.3600《大数据 基于云计算的要求和能力》,
    《大数据 元数据框架和概念模型》、
    《大数据 数据集成概述和功能要求》、
    《大数据 数据溯源要求》、
    《大数据交换框架和要求》、
    《数据存储联合的要求和能力》、
    《大数据即服务的功能架构》、
    《大数据 数据保全概述和要求》、
    《大数据驱动联网要求》、
    《基于DPI的大数据驱动联网框架》
    《应用于网络大数据语境下的深度包检测机制》。

  • ITU-T SG17(安全研究组)负责制定的大数据安全相关标准包括
    《移动互联网服务中的大数据分析安全要求和框架》、
    《大数据即服务的安全指南》,
    《电子商务业务数据生命周期管理安全参考架构》。

3.3、NIST

美国国家标准与技术研究院(NIST)于2012年6月启动了大数据相关基本概念、技术和标准需求的研究,2013年5月成立了NIST大数据公开工作组(NBG-PWG),2015年9月编写形成并发布了NIST SP 500《NIST大数据互操作框架》系列标准(第一版),包括7个分册,即:
NIST SP1500-1《第1册 定义》、
NIST SP 1500-2《第2册 大数据分类法》、
NISTSP 1500-3《第3册 用例和一般要求》、
NIST SP 1500-4《第4册 安全和隐私保护》、
NIST SP 1500-5《第5册 架构调研白皮书》、
NIST SP 1500-6《第6册 参考架构》
NIST SP 1500-7《第7册 标准路线图》。

3.4、TC260

全国信安标委在2016年4月成立大数据安全标准特别工作组(以下简称“特别工作组”,SWGBDS),主要负责制定和完善我国大数据安全领域标准体系,组织开展大数据安全相关技术和标准研究。目前,特别工作组正在制定:
《信息安全技术 个人信息安全规范》、
《信息安全技术 大数据服务安全能力要求》、
《信息安全技术 大数据安全管理指南》等国家标准。

4、大数据安全标准

数据安全以数据为中心,重点考虑数据生命周期各阶段中的数据安全问题。大数据应用中包含海量数据,存在对海量数据的安全管理,因此,在分析大数据安全相关标准时,需要对传统数据采集、组织、存储、处理等安全相关标准进行适用性分析。

此外,在大数据场景下,个人信息安全问题备受关注。由于大数据场景下的多源数据关联分析可能导致传统的个人信息保护技术失效,因此,大数据场景下更需要考虑个人信息安全问题,必须对现有个人信息保护技术和标准进行适用性分析。最后,大数据应用作为一个特殊的信息系统,除存在与传统信息安全一样的保密性、完整性和可用性要求外,还需要从管理角度研究大数据场景下信息系统的安全,因此,传统信息系统的大部分信息安全管理体系和管理要求类标准仍然是适用的。

4.1、传统数据安全标准

  • 支付卡行业数据安全标准(PCI-DSS),分主要内容包括6大类要求:
    1)构建和维护一个安全的网络;
    2)保护持卡人数据;
    3)维护一个脆弱性管理流程;
    4)实施强制访问控制措施;
    5)定期监控和测试网络;
    6)维护一个信息安全策略;

  • )NCHHSTP数据安全和私密性指南
    美国艾滋病、肝炎、性传播疾病与结核病预防中心(NCHHSTP)发布了数据安全和私密性指南。给出了实现数据收集、存储、共享和使用过程安全和私密性的10大指导原则,并制定了实现数据收集、存储、共享和使用过程中安全和私密性的安全指南。
    1)公共健康数据的获取、使用、披露和存储必须为合法公共健康目的服务;
    2)应该只收集最小数量的个人识别数据以执行必要的公共安全活动;
    3)必须拥有保护个人识别数据隐私和安全的强安全策略;
    4)数据的收集和适用策略必须反映出对个人和社区组织的尊重,且要减轻他们不必要的负担;
    5)必须有确保所采集和使用数据质量的策略和流程;
    6)有责任及时使用和分发摘要数据给相关干系人;
    7)数据共享应该只限于合法的公共健康目的,且必须及时为数据共享建立数据使用协议;
    8)公共健康数据应该在一个安全环境中保存,以及通过安全方法传输;
    9)最小化被授权访问可识别个人信息的人员和实体的数量;
    10)职员应该主动负责对公共健康数据的管理。

NCHHSTP数据安全和隐私性指南包括五个方向:策略和责任、数据的收集和使用、数据的共享和发布、物理安全和电子数据安全。

4.2、个人信息安全标准

  • ISO/IEC 29100:2011《信息技术 安全技术 隐私保护框架》
    为信息与通信技术(ICT)系统内可识别个人信息(PII)的保护提供了一个高层次隐私保护框架。
    规范了通用的隐私保护术语;定义了处理PII中的参与者及其角色;描述了隐私保护的考虑事项;为实现由许多国际组织开发的11个隐私保护原则提供指导。

. 11个隐私保护原则包括:
同意和选择、
意图合法性和规约、
收集限制、
数据最小化、
使用/保留/披露限制、
准确和质量、
开放/透明/告知、
个体参与和访问、
可核查性、
信息安全、
隐私保护合规。

  • ISO/IEC 29101:2013《信息技术 安全技术 隐私保护体系结构框架》
    定义了一个隐私参考体系结构框架,该框架明确提出了处理PII的ICT系统的关心点,列出了实现这种系统的组件,并提供了将这些组件语境化的体系结构视图。
    该标准适用于涉及规划、获取、构建、设计、测试、维护、管理和运行处理PII的ICT系统的实体。

  • ISO/IEC 29190:2015《信息技术 安全技术 隐私保护能力评估模型》
    为组织评估其管理隐私保护相关过程的能力提供高层指南,规范了确定隐私保护能力的评估过程和评估级别,为评估隐私保护能力的关键过程域及其实现,以及如何将隐私保护能力评估继承到组织运行中提供了指南。

  • ISO/IEC 27018:2014《信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护PII的实践指南》
    依据ISO/IEC 29100给出的隐私保护原则,为在公有云计算环境中保护可识别个人信息(PII),建立了普遍接受的控制目标、控制措施和测量实现指南。特别是,该标准考虑到在公有云提供者的信息安全风险环境下适用的PII保护法规要求,基于ISO/IEC 27002给出指南。该标准适用于作为PII处理者通过云计算提供信息处理服务的所有类型和规模的组织。

  • ISO/IEC 29134《信息技术 安全技术 隐私影响评估指南》
    该标准为隐私影响评估(PIA)过程以及PIA报告的结构和内容给出指南。该标准适用于所有类型和规模组织。

  • ISO/IEC 29151《信息技术 安全技术 可识别个人信息(PII)保护实践指南》
    为满足通过可识别个人信息(PII)保护相关的风险和影响评估而识别的要求,建立了控制目标和控制措施,并提供了控制措施实现指南。该标准考虑到在组织信息安全风险环境下适用的PII处理要求,基于
    ISO/IEC 27002给出指南。该标准适用于作为PII控制者的所有类型和规模的组织。

  • BS 10012:2009《数据保护 个人信息管理系统规范》
    主要是针对个人信息保护所提出的“个人信息保护标准”,其中参考了经济开发合作组织(OECD)的个人隐私权保护的八大原则,用于支撑欧盟隐私保护条例和英国的数据保护法案,强调要建立一个管理体系,并且就个人信息跨境管理的情况给出了建议。
    该标准规范了个人信息管理体系(PIMS)要求,提供了一个框架用于维护和改进数据保护的合规性和最佳实践。该标准适用于任何规模和行业的组织,主要为在其内部启动、实施和维护PIMS的组织所用。该标准
    旨在提供个人信息管理的共同基础,以便增强个人信息管理的信心,并使得内部和外部评估者能够有效地评估数据保护的合规性和最佳实践。

  • 《信息安全技术 个人信息安全规范》(国家标准,在研)
    提出了通过计算机系统处理个人信息时,应当遵循的原则和采取的安全控制措施。该标准要求个人信息控制者在使用计算机系统对个人信息进行处理时,应遵循以下基本原则:目的明确原则、同意和选择原
    则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、个体参与原则、问责原则、披露限制原则。该标准用于指导组织内部建立个人信息保护策略,并用于指导产品、服务、内部信息系统的设计、开发和实现。

4.3、大数据安全标准

  • ISO/IEC 20547-4《信息技术 大数据参考架构 第4部分:安全与隐私保护》(国际标准,在研)
    分析了大数据面临的安全与隐私保护问题和相关风险,在ISO/IEC 20547-3《信息技术 大数据参考架构 第3部分:参考架构》给出的大数据参考架构(BDRA)基础上,提出了大数据安全与隐私保护参考架
    构(BDRA-S&P)。BDRA-S&P包括用户视角的大数据安全与隐私保护角色和活动,以及功能视角的支持大数据安全与隐私保护活动的功能组件。
    该标准还汇集了信息安全领域中已有的安全控制措施和隐私保护控制措施,作为大数据安全与隐私保护功能组件的选项。

  • NIST 1500-4《NIST大数据互操作框架:第4册 安全与隐私》(美国标准)
    聚焦于提出、分析和解决大数据特有的安全与隐私保护问题。大数据场景下新的安全问题需要解决,其中包括平衡隐私与实用性,对加密数据开展分析和治理,以及核查认证用户和匿名用户。该标准分析了特定应用场景(包括医疗、政府、零售、航空等)下的大数据安全与隐私保护问题,提出了大数据安全与隐私保护的主要概念和角色,开发了一个大数据安全与隐私保护参考架构来补充NIST大数据参考架构(NBDRA),并对行业应用案例和NBDRA之间的映射进行了相关探索。

  • 《大数据服务安全能力要求》(国家标准,在研)
    定义了大数据服务业务模式、大数据服务角色、大数据服务安全能力框架和大数据服务的数据安全目标和系统安全目标,规范了大数据服务提供者的大数据服务基本安全能力、数据服务安全能力和系统服务安
    全能力要求,为大数据服务提供者的组织能力建设、数据业务服务安全管理、大数据平台安全建设和大数据安全运营规范安全能力要求。该标准一方面可以为大数据服务提供者提升大数据服务安全能力提供指导,另一方面则为第三方机构对大数据服务安全测评提供依据。
    该标准将大数据服务安全能力分为一般要求和增强要求。大数据服务提供者应依据大数据框架服务模式和大数据应用模式,根据大数据系统所存储和分析数据的敏感度和业务重要性的不同,提供相应级别的大数据服务安全能力。

  • 《大数据安全管理指南》(国家标准,在研)
    准分析了数据生命周期各阶段中的主要安全风险,尤其是在数据转移的环节,对角色提出安全管理要求。该标准指导大数据生态环境中各角色安全地管理和处理大数据,形成一个安全大数据环境,确定各角色的责任和行为规范,为各角色安全地处理大数据提出管理和技术要求。该标准规范大数据处理中的各个关键环节,为大数据应用和发展提供安全的规范原则,解决数据开放、共享中的基本原则。

5、大数据安全标准体系

  • 规范大数据安全相关术语和框架
  • 为大数据平台安全建设、安全运维提供标准支撑
  • 为数据生命周期管理各个环节提供安全管理标准
  • 为大数据服务安全管理提供安全标准支撑
  • 为行业大数据应用的安全和健康发展提供标准支撑


大数据安全标准体系框架


大数据安全标准规划

数据安全相关标准

|基础标准||||
|--|--|--|---|
|序号|标准类型|标准编号|标准名称|
|1| 国际标准| ISO/IEC 9579:2000| 信息技术| 具有安全增强的 SQL 远程数据库访问|
|2| 国家标准| GB/T 18391—2009| 信息技术 元数据注册系统(MDR)|
|3| 国家标准| GB/T 17859—1999| 计算机信息系统 安全保护等级划分准则|
|4| 国家标准| GB/T 22239—2008| 信息安全技术 信息系统安全等级保护基本要求|
|5| 国家标准| GB/T 31503—2015| 信息安全技术 电子文档加密与签名消息语法|
|6| 国家标准| GB/T 32918—2016| 信息安全技术 SM2 椭圆曲线公钥密码算法|
|7| 国家标准| GB/T 32905—2016| 信息安全技术 SM3 密码杂凑算法|
|8| 国家标准| GB/T 32907—2016| 信息安全技术 SM4 分组密码算法|
|数据收集阶段||||
9| 国家标准| GB/T 14258—2003 | 信息技术 自动识别与数据采集技术条码符号印制质量的检验|
10| 国家标准| GB/T 28788—2012 | 公路地理信息数据采集与质量控制|
11| 国家标准| GB/T 26237—2010 |信息技术 生物特征识别数据交换格式|
12| 国家标准| GB/T 27912—2011| 金融服务 生物特征识别 安全框架|
|数据存储阶段|
13| 国家标准| GB/T 20273—2006| 信息安全技术 数据库管理系统安全技术要求|
14| 国家标准| GB/T 20009—2005| 信息安全技术 数据库管理系统安全评估准则|
15| 通信行标| YD/T 2390—2011| 通信存储介质(SSD)加密安全技术要求|
16| 通信行标| YD/T 2665—2013| 通信存储介质(SSD)加密安全测试方法|
|数据传输阶段|
17| 国家标准| GB/T 17963—2000| 信息技术 开放系统互连 网络层安全协议|
18| 国家标准| GB/T 28456—2012 |IPSec 协议应用测试规范|
19| 国家标准| GB/T 28457—2012| SSL 协议应用测试规范|
20| 电子行标| SJ 20951—2005| 通用数据加密模块接口要求|
21| 通信行标| YD/T 1466—2006| IP 安全协议(IPSec)技术要求|
22| 通信行标| YD/T 1467—2006| IP 安全协议(IPSec)测试方法|
23| 通信行标| YD/T 1468—2006| IP 安 全 协 议 (IPSec ) 穿 越 网 络 地 址 翻 译(NAT)技术要求|
24| 通信行标| YD/T 2908—2015| 基于域名系统(DNS)的 IP安全协议(IPSec)认证密钥存储技术要求|
25| 国家标准/国际标准|GB/T 18794—2002(ISO 10181:1996,IDT)|信息技术 开放系统互连 开放系统安全框架|
|数据使用阶段|
26| 国家标准 GB/T| 32908—2016| 非结构化数据访问接口规范
27| 国家标准 GB/T| 25000.12—2017|系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第 12 部分:数据质量模型
28| 国家标准| GB/T 31594—2015| 社会保险核心业务数据质量规范
29| 国家标准| GB/T18784—2002| CAD-CAM 数据质量
30| 国家标准| GB/T 28441—2012| 车载导航电子地图数据质量规范
|数据共享阶段|
31| 国家标准| GB/T 7408—2005| 数据元和交换格式 信息交换 日期和时间表示法
32| 国家标准| GB/T 21062—2007| 政务信息资源交换体系
|数据销毁阶段|
33| 公安行标| GA/T 1143—2014| 信息安全技术 数据销毁软件产品安全技术要求
|-|-|-|-|

附录:大数据应用安全实践

  • 阿里云基于数据生命周期构建全面的数据安全保障体系,从数据行为、数据内容、数据环境等角度提供技术和管理措施。

  • 百度大数据平台具备基础的系统安全、安全管理,以及以数据安全分级机制为核心的数据安全架构。

  • 华为FuisonInsight大数据分析平台提供可运营的安全体系,从网络安全、主机安全、用户安全和数据安全方面提供全方位的安全防护。

  • 京东万象数据服务平台利用区块链技术对流通的数据进行确权溯源。

  • 奇虎360的大数据平台安全保障体系框架

  • 腾讯大数据安全涉及的安全关注重点

  • 中国移动大数据安全保障体系框架

    • Cloudera安全体系架构
  • 开源大数据平台安全机制
    为了应对上述安全挑战, 2009年开始, Hadoop开源社区开始注重保护大数据安全,相继加入了身份验证、访问控制、数据加密和日志审计等重要安全功能

  • IBM 大数据安全实践
    IBM安全参考架构提供了保护云上部署,开发和运维的安全组件的概览。

IBM数据安全架构包括所有数据类型,如传统企业数据及大数据环境中任意形式的数据(结构化的和非结构化的)。 IBM数据安全架构囊括了基于治理、风险和合规的数据安全所需要的各个模块,

1)数据保护
一个完备的云计算数据保护解决方案需要考虑将以下服务选项提供给客户:
- 云环境中的静态数据加密
- 存储块和文件存储加密服务
- 使用IBM Cleversafe的对象存储加密
- 使用 IBM Cloud Data Encryption Services(ICDES)的数据加密服务
- 基于云的硬件安全模块 (HSM)
- 使用IBM Key Project的密钥管理和证书管理
针对以上的每一个服务选项,都需要制定一套具体的流程、控制方案和实施策略用于实施。

2)数据完整性
数据完整性旨在维护和保证数据在其整个生命周期中的准确性和一致性。在本文的语境中,数据完整性指的是如何防范数据被外界篡改。数据的哈希值可用于检测数据是否被非法篡改。这个方法可以用于对静态数据和动态数据提供保护。

3)数据分类和数据活动监测
数据分类是帮助保护关键信息安全的有效方法。在保护敏感信息之前,必须确定和鉴别它的存在。自动化发现和分类过程,是防止泄漏敏感信息数据保护策略的关键组件。 Guardium 提供了集成的数据分类能力和无缝的方法,来发现、鉴别和保护最关键数据,不管是在云上还是在数据中心。
Guardium 也可以提供数据活动监测,以及通过认知分析来发现针对敏感数据的异常活动,防止未授权的数据访问,也提供可疑活动的警报,自动化合规性流程,并抵御内部和外部攻击。

4)数据隐私和法律法规
数据隐私决定了在相关政策和法律法规所规定的范围内,如何对信息(特别是与个人相关的信息)进行采集、使用、分享和处置。
根据IBM的政策,每一个云服务都需要实现技术上和组织上的安全和隐私保护措施。这些措施都是根据云服务的架构、使用目的及服务类型来实现的。无论服务的类型,IBM关于每一个云服务的具体管理责任,都会在相关的协议中列出。

5)IBM大数据智能安全
IBM大数据智能安全,合并了IBM QRadar智能安全平台的实时的安全关联和异常发现能力以及法庭取证的能力,和由BigInsights 提供的包括定制的大规模结构化数据(比如安全设备告警,操作系统日志,DNS事务和网络流)和非结构化数据(比如电子邮件,社交内容,数据包信息和业务交易)的分析和发现能力。

  • Microsoft大数据安全实践
    HDInsight是微软运行在Micsoroft Azure上的大数据服务。AzureHDInsight 以云方式部署并设置 Apache Hadoop 集群,从而提供旨在对大数据进行管理、分析和报告的软件框架。微软的大数据服务AzureHDInsight支持多种数据技术,包括基本的Hadoop 分布式文件系统HDFS,超大型表格的非关系型数据库HBase,类似SQL的查询Hive,分布式处理和资源管理MapReduce和YARN等等,

参考文献: http://www.cac.gov.cn/wxb_pdf/5583944.pdf

点击数:25

Recent Comments

  1. jones

    2020年6月30日 @ 上午10:23

    数据跨境相关法律法规和政策

    随着全球数字经济快速发展,数据跨境流动日趋频繁,数据跨境传输引发的国家重要数据资源安全风险也与日俱增。为了加强数据跨境安全保护,我国在《网络安全法》中首次明确了关键信息基础设施有关个人信息和重要数据本地存储和向境外提供的规定。此外,国家网信部门正在依据《网络安全法》加紧制定《个人信息和重要数据出境安全评估办法》(现已形成征求意见稿),提出网络运营者在我国境内运营中收集和产生的个人信息和重要数据,因业务需要向境外提供的,应进行安全评估。

    《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》)明确规定,出境数据存在以下情况之一的,要经过安全评估:
    – 含有或累计含有 50 万人以上的个人信息;包含核设施、化学生物、国防军工、人口健24康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
    – 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
    – 关键信息基础设施运营者向境外提供个人信息和重要数据等。

    评估重点包括:
    – 数据出境的必要性;
    – 目的地是否有能力及网络安全保护水平能否确保数据安全;
    – 可能对国家安全、社会公共利益、个人合法利益带来的风险等。

    国家网信部门统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。《评估办法》
    中还规定,个人信息出境,应向个人信息主体说明,并经其同意。未成年人个人信息出境须经其监护人同意。可能影响国家安全、损害社会公共利益的以及其他经国家网信部门、公安部门、安全部门等认定不能出境的数据不得出境。

    在《网络安全法》发布前,我国已经在金融、卫生医疗、交通、地理、电子商务、征信等行业制定了有关数据跨境的法律法规和政策要求。已有的数据跨境相关政策要求集中于数据本地化存储,按照管理方法可以分为两类,一类是限制出境,一类是禁止出境。

  2. jones

    2020年6月30日 @ 上午10:25

    国内数据安全标准化相关政策

    法律层面

    政策文件

  3. jones

    2020年6月30日 @ 上午10:52

    数据安全相关标准

    |基础标准||||
    |–|–|–|—|
    |序号|标准类型|标准编号|标准名称|
    |1| 国际标准| ISO/IEC 9579:2000| 信息技术| 具有安全增强的 SQL 远程数据库访问|
    |2| 国家标准| GB/T 18391—2009| 信息技术 元数据注册系统(MDR)|
    |3| 国家标准| GB/T 17859—1999| 计算机信息系统 安全保护等级划分准则|
    |4| 国家标准| GB/T 22239—2008| 信息安全技术 信息系统安全等级保护基本要求|
    |5| 国家标准| GB/T 31503—2015| 信息安全技术 电子文档加密与签名消息语法|
    |6| 国家标准| GB/T 32918—2016| 信息安全技术 SM2 椭圆曲线公钥密码算法|
    |7| 国家标准| GB/T 32905—2016| 信息安全技术 SM3 密码杂凑算法|
    |8| 国家标准| GB/T 32907—2016| 信息安全技术 SM4 分组密码算法|
    |数据收集阶段||||
    9| 国家标准| GB/T 14258—2003 | 信息技术 自动识别与数据采集技术条码符号印制质量的检验|
    10| 国家标准| GB/T 28788—2012 | 公路地理信息数据采集与质量控制|
    11| 国家标准| GB/T 26237—2010 |信息技术 生物特征识别数据交换格式|
    12| 国家标准| GB/T 27912—2011| 金融服务 生物特征识别 安全框架|
    |数据存储阶段|
    13| 国家标准| GB/T 20273—2006| 信息安全技术 数据库管理系统安全技术要求|
    14| 国家标准| GB/T 20009—2005| 信息安全技术 数据库管理系统安全评估准则|
    15| 通信行标| YD/T 2390—2011| 通信存储介质(SSD)加密安全技术要求|
    16| 通信行标| YD/T 2665—2013| 通信存储介质(SSD)加密安全测试方法|
    |数据传输阶段|
    17| 国家标准| GB/T 17963—2000| 信息技术 开放系统互连 网络层安全协议|
    18| 国家标准| GB/T 28456—2012 |IPSec 协议应用测试规范|
    19| 国家标准| GB/T 28457—2012| SSL 协议应用测试规范|
    20| 电子行标| SJ 20951—2005| 通用数据加密模块接口要求|
    21| 通信行标| YD/T 1466—2006| IP 安全协议(IPSec)技术要求|
    22| 通信行标| YD/T 1467—2006| IP 安全协议(IPSec)测试方法|
    23| 通信行标| YD/T 1468—2006| IP 安 全 协 议 (IPSec ) 穿 越 网 络 地 址 翻 译(NAT)技术要求|
    24| 通信行标| YD/T 2908—2015| 基于域名系统(DNS)的 IP安全协议(IPSec)认证密钥存储技术要求|
    25| 国家标准/国际标准|GB/T 18794—2002(ISO 10181:1996,IDT)|信息技术 开放系统互连 开放系统安全框架|
    |数据使用阶段|
    26| 国家标准 GB/T| 32908—2016| 非结构化数据访问接口规范
    27| 国家标准 GB/T| 25000.12—2017|系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第 12 部分:数据质量模型
    28| 国家标准| GB/T 31594—2015| 社会保险核心业务数据质量规范
    29| 国家标准| GB/T18784—2002| CAD-CAM 数据质量
    30| 国家标准| GB/T 28441—2012| 车载导航电子地图数据质量规范
    |数据共享阶段|
    31| 国家标准| GB/T 7408—2005| 数据元和交换格式 信息交换 日期和时间表示法
    32| 国家标准| GB/T 21062—2007| 政务信息资源交换体系
    |数据销毁阶段|
    33| 公安行标| GA/T 1143—2014| 信息安全技术 数据销毁软件产品安全技术要求
    |-|-|-|-|

Leave Your Comment

关注我们的微信公众号获取更多健身信息
蜀ICP备15013372号