3、GB/T 37973-2019 信息安全技術 大數據安全管理指南
(1)了解本標準的范圍、術語和定義,了解大數據安全需求、大數據分類
分級、大數據活動及安全要求、大數據安全風險評估等方面的內容。
3. 術語和定義
3.1 大數據 big data
具有數量巨大、種類多樣、流動速度快、特征多變等特性,并且難以用傳統數據體系結構和數據處理技術進行有效組織 、存儲、計算、分析和管理的數據集。
3.2 組織 organization
由作用不同的個體為實施共同的業務目標而建立的結構。
注:組織可以是一個企業、事業單位、政府部門等。
3.3 大數據平臺 big data platform
采用分布式存儲和計算技術,提供大數據的訪問和處理,支持大數據應用安全高效運行的軟硬件集合。
3.4 大數據環境 big data environment
開展大數據活動所涉及的數據、平臺、規程及人員等的要素集合。
3.5 大數據活動 big data activity
組織針對大數據開展的一組特定任務的集合。
注:大數據活動主要包括采集、存儲、處理、分發、刪除等活動。
6. 大數據安全需求
6.1 保密性
大數據環境下的保密性需求應考慮以下幾個方面:
a) 數據傳輸的保密性,使用不同的安全協議保障數據采集、分發等操作中的傳輸保密要求;
b)數據存儲的保密性,例如使用訪問控制、加密機制等;
c)加密數據的運算,例如使用同態加密等算法;
d)數據匯聚時敏感性保護,例如通過數據隔離等機制確保匯聚大量數據時不暴露敏感信息;
e)個人信息的保護,例如通過數據匿名化使得個人信息主體無法被識別;
f)密鑰的安全,應建立適合大數據環境的密鑰管理系統。
6.2 完整性
大數據環境下的完整性需求應考慮以下方面:
a)數據來源驗證,應確保數據來自于已認證的數據源;
b)數據傳輸完整性,應確保大數據活動中的數據傳輸安全;
c)數據計算可靠性,應確保只對數據執行了期望的計算;
d)數據存儲完整性,應確保分布式存儲的數據及其副本的完整性;
e)數據可審計,應建立數據的細粒度審計機制。
6.3 可用性
大數據環境下的可用性需求應考慮以下方面:
a)大數據平臺抗攻擊能力;
b)基于大數據的安全分析能力,如安全情報分析、數據驅動的誤用檢測、安全事件檢測等;
c) 大數據平臺的容災能力。
6.4 其他需求
大數據安全除了考慮信息系統的保密性、完整性和可用性,還應針對大數據的特點組織還應從大數據活動的其他方面分析安全需求,包括但不限于:
a)與法律法規、國家戰略、標準等的合規性;
b)可能產生的社會和公共安全影響,與文化的包容性;
c)跨組織之間數據共享;
d)跨境數據流動;
e)知識產權保護及數據價值保護。
7. 數據分類分級
7.1 數據分類分級原則
數據分類分級應滿足以下原則:
a) 科學性。按照數據的多維特征及其相互問邏輯關聯進行科學和系統地分類,按照大數據安全需求確定數據的安全等級。
b)穩定性。應以數據最穩定的特征和屬性為依據制定分類和分級方案。
c)實用性。數據分類要確保每個類下要有數據,不設沒有意義的類目,數據類目劃分要符合對數據分類的普遍認識。數據分級要確保分級結果能夠為數據保護提供有效信息,應提出分級安全要求。
d)擴展性。數據分類和分級方案在總體上應具有概括性和包容性,能夠針對組織各種類型數據開展分類和分級,并滿足將來可能出現的數據的分類和分級要求。
7.2 數據分類分級流程
組織應結合自身業務特點,針對采集、存儲和處理的數據,制定數據分類分級規范,規范應包含但不限于以下內容:
a)數據分類方法及指南;
b)數據分級詳細清單,包含每類數據的初始安全級別;
c)數據分級保護的安全要求。
組織應按照圖1的流程對數據進行分類分級。組織應根據數據分類分級規范對數據進行分類;為分類的數據設定初始安全級別;綜合分析業務、安全風險、安全措施等因素后,評估初始安全級別是否滿足大數據安全需求,對不怡當的數據分級進行調整,并確定數據的最終安全級別。附錄 A提供運營商對數據分級的實踐案例。
7.3 數據分類方法
組織應按照 GB/T 7027—2002 中的第6 章進行數據分類,可按數據主體、主題、業務等不同的屬性進行分類。
7.4 數據分級方法
組織應對已有數據或新采集的數據進行分級,數據分級需要組織的主管領導、業務專家、安全專家等共同確定。政府數據分級應按照 GB/T 31167-2014 中6.3 的規定,將非涉密數據分為公開 敏感數據。個人信息和個人敏感信息應參照 GB/T 35273-2017 中的附錄 A 和附錄 B執行。
涉密信息的處理、保存、傳輸、利用按國家保密法規執行。
組織可根據法律法規、業務、組織戰略、市場需求等,對敏感數據進一步分級,以提供相適應的安全管理和技術措施。
組織針對不同級別的數據應按照 GB/T 35274—2017 第4章~第6 章的規定,選擇恰當的管理和技術措施對數據實施有效的安全保護。
8. 大數據活動及安全要求
8.1 大數據的主要活動
在數據生命周期中,組織可能參與數據形態的一個或多個階段,將組織可能對數據實施的操作任務的集合,即活動劃分為:數據采集、數據存儲、數據處理、數據分發以及數據刪除等:
a)數據采集。數據進入組織的大數據環境,數據可來源于其他組織或自身產生。
b)數據存儲。將數據持久存儲在存儲介質上。
C)數據處理。通過該活動履行組織的職責或實現組織的目標。處理的數據可以是組織內部持久保存的數據,也可以是直接接人分析平臺的實時數據流。
d)數據分發。組織在滿足相關規定的情況下將數據處理生成的報告、分析結果等分發給公眾或其他組織,或將組織內部的數據適當處理后進行交換或交易等。
e)數據刪除。當組織決定不再使用特定數據時,組織可以刪除該數據。
活動和活動之間可能存在數據流,組織應分析各活動中的安全風險,確保安全要求、策略和規程的實施。
8.2 數據采集
8.2.1 數據采集活動的概念
數據采集活動的目標是獲得數據,數據采集方式包括但不限于:
a)網絡數據采集。通過網絡爬蟲或公開 API 等方式獲取數據。
b)從其他組織獲取。通過線上或線下等方式從組織外獲取數據。
c)通過傳感器獲取。傳感器包括溫度傳感器、電視、汽車、攝像頭等公共和個人的智能設備。
d)系統數據。組織內部的系統在運行過程中采集和產生的業務數據,以及各種系統、程序和服務運行產生的大量運維和日志數據等。
數據采集活動主要操作包括但不限于:發現數據源、傳輸數據、生成數據、緩存數據、創建元數據、數據轉換、數據完整性驗證等。
8.2.2 安全要求
組織開展數據采集活動時,應:
a)定義采集數據的目的和用途,明確數據采集源和采集數據范圍;
b)薄循合規原則,確保數據采集的合法性、正當性和必要性:
c)遵循數據最小化原則,只采集滿足業務所需的最少數據;
d)遵循質量保障原則,制定數據質量保障的策略、規程和要求;
e)遵循確保安全原則.對采集的數據進行分類分級標識,并對不同類和級別的數據實施相應的安全管理策略和保障措施。對數據采集環境、設施和技術采取必要的安全管控措施。
8.3 數據存儲
8.3.1 數據存儲活動的概念
數據存儲指將數據靜態保存在大數據平臺,存儲的數據包括采集的數據、分析和處理的結果數據等。存儲系統可以是關系數據庫、非關系數據庫等,應支持對不同類型和格式的數據存儲,且提供多種數據訪問按口,如文件系統接口、數據庫接口等。直到數據被徹底刪除之前,存儲的數據均應由組織提供恰當的安全保護。
組織應充分考慮使用第三方數據存儲平臺保存數據的安全風險。由于知識產權、法律法規等原因,組織即使能對存儲系統中的數據如個人信息或健康數據等進行有效控制,但可能不是數據的擁有者,組織仍需承擔數據的存儲管理責任。
數據存儲活動的主要操作包括但不限于:數據編解碼、數據加解密、冷熱數據分級存儲、數據歸檔持久存儲、數據備份、數據更新、數據訪問等。
8.3.2 安全要求
組織開展數據存儲活動時,應:
a) 將不同類別和級別的數據分開存儲,并采取物理或邏輯隔離機制。
b) 遵守確保安全原則,主要考慮以下幾個方面:
1) 存儲架構安全:
2) 邏輯存儲安全:
3) 存儲訪問控制;
4) 數據副本安全;
5) 數據歸檔安全;
6) 數據時效性管理。
c) 建立數據存儲冗余策略和管理制度,及數據備份與恢復操作過程規范。
8.4 數據處理
8.4.1 數據處理活動的概念
數據處理活動指通過數據分析和數據可視化等技術從數據中提取信息,提煉出有用知識和價值的系列操作。
數據處理活動的主要操作包括但不限于:數據查詢、數據讀取、數據素引、批處理、交互式處理、流處理、數據統計分析、數據預測分析、數據關聯分析、數據可視化、生成分析報告等。
8.4.2 安全要求
組織開展數據處理活動時,應:
a) 依據個人信息和重要數據保護的法律法規要求,明確數據處理的目的和范圍。
b)建立數據處理的內部責任制度,保證分析處理和使用數據不超出聲明的數據使用目的和范圍。
c)遵循最小授權原則,提供數據細粒度訪問控制機制。
d)遵循確保安全原則,主要考慮以下幾個方面:
1)分布式處理安全;
2)數據分析安全;
3)數據加密處理;
4)數據脫敏處理;
5) 數據湖源。
e)遵循可審計原則,記錄和管理數據處理活動中的操作。
f) 對數據處理結果進行風險評估,避免處理結果中包含可恢復的敏感數據。
8.5 數據分發
8.5.1 數據分發活動的概念
數據分發活動指將原始數據、處理的數據等不同形式的數據傳遞給組織內部其他角色、外部實體或公眾等。數據分發包括線上或線下等多種方式。
數據分發的原因包括但不限于:
a) 組織內部部門間的數據交換;
b)為外部生成報告,例如政府部門的統計數據;
c) 企業間的數據交換,為客戶提供使用報告等;
d)數據出售給其他組織;
e)業務實現需求。
數據分發涉及的主要操作包括但不限于:數據傳輸、數據導出、數據交換、數據交易、數據共享等。
8.5.2 安全要求
組織開展數據分發活動時,應:
a)遵循責任不隨數據轉移原則。
b)個人信息、重要數據等有出境需求時,應根據相關法律法規、政策文件和標準,執行出境安全評估。
c)在數據分發前,對數據進行風險評估,確保數據分發后的風險可承受,并通過合同明確數據接收方的數據保護責任。
d)在數據分發前,對數據的敏感性進行評估,根據評估結果對需要分發的敏感信息進行脫敏操作。
e)遵循可審計原則,記錄時間、分發數據、數據接收方等相關信息。
f) 評估數據分發中的傳輸安全風險,確保數據傳輸安全。
g)提供有效的數據安全共享機制。
h)建立數據發布的審核制度,嚴格審核發布信息符合相關法律法規要求。明確數據發布的內容和范圍。對發布的數據開展定期審核。
8.6 數據刪除
8.6.1 數據刪除活動的概念
數據刪除活動指組織刪除自有或租用的大數據平臺上的數據及其副本。如果數據來自外部實時數據流,還應斷開與實時數據流的鏈接。
數據被刪除的原因包括但不限于:
a) 為了減少數據泄露的風險。避免數據被不適當的分發或處理。
b)刪除不相關或不正確的數據。數據與最初使用目的不再相關,或數據不正確。
c)業務完成后的數據刪除處理。數據業務完成服務目標,不再需要保存相關數據。
d)滿足客戶的數據刪除要求。法律法規要求保留的數據除外。
數據刪除活動的主要操作包括但不限于:刪除元數據、刪除原始數據及其副本、斷開與外部實時數據流的鏈接、刪除數據的訪問接口、不可恢復的數據銷毀等。
8.6.2 安全要求
組織開展數據刪除活動時,應:
a)刪除超出數據留存期限的相關數據,對留存期限有明確規定的,按相關規定執行;
b)依照數據分類分級建立相應的數據刪除機制,明確需要進行數據銷毀的數據、方式和要求,明
確銷毀數據范圍和流程;
c)遵守可審計原則,建立數據刪除策略和管理制度,記錄數據刪除的操作時間、操作人、操作方式、數據內容等相關信息。
9. 評估大數據安全風險
9.1 概述
組織參照 GB/T 20984—2007 開展風險評估工作,并關注大數據環境下安全風險評估的特點。附錄B是生命科學大數據風險分析示例,附錄C列出了大數據面臨的一些安全風險。
9.2 資產識別
組織開展資產識別時,應關注大數據的資產特點,包括但不限于:
a)個人信息;
b)重要數據;
c)大數據可視化算法與軟件;
d)大數據分析算法與軟件;
e)大數據處理框架,如流處理框架、交互式處理框架、離線處理框架;
f) 大數據存儲框架,如分布式文件系統、非關系型數據庫等;
g)大數據平臺計算資源(如 CPU、內存、網絡等)管理框架等。
9.3 威脅識別
組織開展威脅識別時,應關注大數據環境下的威脅特點,包括但不限于:
a)潛在的不利因素:
- 潛在攻擊方具有的資源、技術能力、動機等,常見的政擊方有個人、組織、國家等:
- 潛在攻擊方竊取、利用和濫用數據的意圖;
- 大數據訪問、存儲和處理所需資源;
- 直接訪問數據或竊取數據的風險;
- 發起攻擊、惡意利用大數據的成本與收益。
b)惡意利用所需的科學專業知識和技能: - 數據和結果分析需要使用的技能、專業知識;
- 數據使用和結果分析需要的技術和設備;
- 利用系統脆弱性需要的技能、技術和知識。
c) 數據出境威脅。
9.4 脆弱性識別
組織開展脆弱性識別時,應關注大數據環境下的脆弱性特定,包括但不限于:
a)大數據存儲、處理等基礎軟件和基礎設施的脆弱性;
b)大數據相關系統的脆弱性。
9.5 己有安全措施確認
組織應對已采取的安全措施的有效性進行確認。安全措施的選擇可以參考 GB/T 35274-2017。
9.6 風險分析
組織應采用適當的方法與工具確定威脅利用脆弱性導致大數據安全事件發生的可能性,綜合安全事件所作用的大數據資產價值及脆弱性的嚴重程度,判定安全事件造成的損失對國家安全、社會公共利益、組織和個人利益的影響。
