《大数据相关标准和测评实践.pptx》由会员分享,可在线阅读,更多相关《大数据相关标准和测评实践.pptx(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、大数据相关大数据相关标标准和准和测评测评实实践践大数据等大数据等级级保保护对护对象象 大数据的定大数据的定级级大数据的安全保大数据的安全保护护 大数据基本要求大数据基本要求 大数据大数据测评测评2等等级级保保护对护对象象来源来源定定义义Nist SP1500大数据由大量的数据集组成,其特征主要体现在大量、多样、高速、多变,需要一种可扩展的架构提供高效的存储、操作和分析。麦肯锡大数据”是需要新处理模式才能具有更强的决策力、洞察发现力 和流程优化能力的海量、高增长率和多样化的信息资产。维基百科大数据指所涉及的数据量规模巨大到无法通过人工,在合理时间 内达到截取、管理、处理、并整理成为人类所能解读的
2、形式的信 息。百度百科大数据是指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合。Gartner“大数据”是需要新处理模式才能具有更强的决策力、洞察发现 力和流程优化能力的海量、高增长率和多样化的信息资产。大数据时代 大数据指不用随机分析法(抽样调查)这样的捷径,而采用所有数据进行分析处理。信息技术 大数 据 术语具有体量巨大、来源多样、生成极快、且多变等特征并且难以用 传统数据体系结构有效处理的包含大量数据集的数据。大数据等大数据等级级保保护对护对象象4多多样样性性(variety)速度(速度(velocity)真真实实性(性(veracity)价价值值性(性(Value
3、)体量(体量(volume)多多变变性(性(variability)大数据等大数据等级级保保护对护对象象5大数据等大数据等级级保保护对护对象象6数据数据拥拥有者和管理者的有者和管理者的 分离;分离;单单一系一系统对统对数据的保数据的保护护 不足;不足;保保护护措措施施的的如如何何延延续续;数数据据价价值值的的提提升升与与不不确确 定性;定性;数据生命期超出原生系数据生命期超出原生系 统统;数据数据边边界界发发生生变变化;化;数据的数据的访问访问控制控制发发生生变变化;化;应应将大数据整体作将大数据整体作为为等等级级保保护对护对象,象,实实施施统统一的、全生命周期的保一的、全生命周期的保护护计计
4、算分析算分析层层数据数据计计算、分析安全算、分析安全访问访问控制控制配置管理配置管理审计审计分析分析安全安全认证认证数据授数据授权权应应用接口用接口层层APIAPI安全安全调调用用数据数据访问访问控制控制数据平台数据平台层层数据保密数据保密性性数据完整性数据完整性数据数据访问访问接口接口脆弱性脆弱性备备份恢复份恢复数据隔离数据隔离剩余信息保剩余信息保护护物理安全物理安全网网络络安全安全基基础设础设施施层层可信接可信接入入分布式安全分布式安全虚虚拟拟化安全化安全身份身份鉴别鉴别大数据平台大数据平台应应用用应应用用应应用用应应用用身份身份鉴别鉴别数据完整性数据完整性访问访问控控制制数据源安数据源安
5、全全备备份恢复份恢复 安全安全编编码码软软件容件容错错溯源管理溯源管理 配置管理配置管理数据保密性数据保密性 审计审计分析分析安全管理平台安全管理平台统统一运一运维维大数据等大数据等级级保保护对护对象象 大数据的定大数据的定级级大数据的安全保大数据的安全保护护 大数据基本要求大数据基本要求 大数据大数据测评测评8大数据的安全保大数据的安全保护护等等级级大数据的定大数据的定级级10数据资源可单独定级当安全责任主体相同,大数据、大数据平台和应 用可作为一个整体对象定级大数据大数据应应用用基基础设础设施施大数据大数据大数据平台大数据平台组组件件责责任任主主体体大数据大数据应应用服用服务务提供者提供者
6、数据所有者数据所有者大数据平台服大数据平台服务务提供者提供者基基础设础设施提供者施提供者大数据的定大数据的定级级11定定级对级对象象大数据大数据+大数据大数据应应用用大数据大数据+大数据平台大数据平台大数据大数据+大数据平台大数据平台+基基础设础设施施组组件件单单独或独或组组合可以构成定合可以构成定级对级对象象,当涉及当涉及 不同不同责责任主体任主体时时,应应当分当分别别定定级级。大数据系大数据系统统12大数据大数据定定级级原原则则13大大数数据据基基础础设设施施、大大数数据据平平台台、大大数数据据应应 用用的的安安全全保保护护等等级级一一般般由由其其所所承承载载、处处理理或或产产 生生的的大
7、大数数据的信据的信息息安全保安全保护护等等级级决决定定。如如果果大大数数据据基基础础设设施施、大大数数据据平平台台、大大数数 据据应应用用为为不不同同的的定定级级对对象象,下下层层定定级级对对象象的的安安 全全保保护护等等级级应应不不低低于于其其承承载载的的上上层层定定级级对对象象的的 等等级级。大数据等大数据等级级保保护对护对象象 大数据的定大数据的定级级大数据的安全保大数据的安全保护护 大数据基本要求大数据基本要求 大数据大数据测评测评14大数据安全关注点大数据安全关注点大数据安全数据安全大数据系统数 据 集 聚生 命 周 期 变 化非 结 构 化 数 据个 人 信 息大数据基础设施数 据
8、 跨 境数 据 流 动大 数 据 平 台大 数 据 应 用15类别类别状状态态标标准名称准名称美国美国NIST标标准准已发布NIST大数据互操作框架ENISA已发布2015大数据安全 关于大数据系统安全的最佳实践和建议国国际标际标准准制定中ISO/IEC 20546:大数据概述和术语国国际标际标准准制定中ISO/IEC 20547:大数据参考架构CSA已发布大数据安全和隐私的100条最佳实践ITU-T已发布ITU-T Y.3600基于云计算的大数据需求与能力标准国国际标际标准准已发布ISO/IEC 29100:2011信息技术 安全技术 隐私保护框架国国际标际标准准已发布ISO/IEC 291
9、01:2013信息技术 安全技术 隐私保护体系结构框架国国际标际标准准已发布ISO/IEC 27018:2014信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护PII的实践指南国国际标际标准准已发布ISO/IEC 29151:2017信息技术 安全技术 可识别个人信息(PII)保护实践指南国国际标际标准准制定中ISO/IEC 27550 信息技术 安全技术 隐私保护工程ENISA已发布2016 中小型企业个人数据处理保护指引ENISA已发布2017个人数据处理的安全手册ENISA已发布2017移动应用中的隐私和数据保护序号序号标标准状准状态态标标准名称准名称1已发布GB/T 3
10、5273-2017信息安全技术 个人信息安全规范2征求意见稿个人信息安全影响评估指南3报批稿个人信息去标识化指南4已发布GBT 35274-2017信息安全技术 大数据服务安全能力要求5报批稿大数据安全管理指南6报批稿数据安全能力成熟度模型7报批稿数据交易服务安全要求8征求意见稿数据出境安全评估指南9标准立项大数据基础软件安全技术要求10已发布信息技术 大数据 术语11已发布信息技术 大数据 技术参考模型国内国内标标准准2018大大 数数 据据 安安 全全 标标 准准 白白 皮皮 书书版版大数据安全的特点大数据安全的特点19关注数据安全保关注数据安全保护护关注大数关注大数据据生命周期生命周期关
11、注关注生生态态角色角色职责职责重点考重点考虑虑数据共享和个人信息安全数据共享和个人信息安全问问题题大数据生命周期全大数据生命周期全过过程程采 集终端采集机器数据用户输入数据导入存 储数据存储备份恢复应 用业务处理分析挖掘销 毁20数据归档数据销毁分 类数据集成资产管理交 换数据传输交换共享分类分级存 储采 集策略制度策略制度授授权许权许可可导导入管理入管理应 用销 毁生命周期的安全保生命周期的安全保护护要求要求数据保数据保护护安全安全审计审计分 类策略制度策略制度授授权许权许可可访问访问控制控制个人信息个人信息安全安全审计审计数据溯源数据溯源策略制度策略制度数据数据销销毁毁数据迁移数据迁移授授
12、权许权许可可数据保数据保密密性性剩余信息剩余信息安全安全审计审计交 换策略制度策略制度数据完数据完整整性性数据保数据保密密性性授授权许权许可可安全安全审计审计策略制度策略制度分分类类分分级级资产资产管理管理安全安全审计审计策略制度策略制度备备份管理份管理访问访问控制控制数据保数据保密密性性数据完数据完整整性性安全安全审计审计副本管理副本管理溯源数据溯源数据输输出限制出限制属地原属地原则则属地原属地原则则属地原属地原则则分分类类分分级级分分类类分分级级分分类类分分级级分分类类分分级级个人信息个人信息存 储采 集策略制度策略制度授授权许权许可可导导入管理入管理应 用销 毁生命周期的安全保生命周期的
13、安全保护护要求要求数据保数据保护护安全安全审计审计分 类策略制度策略制度 安全安全审计审计数据溯源数据溯源策略制度策略制度授授权许权许可可数据保数据保密密性性剩余信息剩余信息安全安全审计审计交 换策略制度策略制度访问访问控制控制数据保数据保密密性性数据迁移数据迁移授授权许权许可可安全安全审计审计策略制度策略制度分分类类分分级级安全安全审计审计策略制度策略制度访问访问控制控制副本管理副本管理溯源数据溯源数据输输出限制出限制属地原属地原则则属地原属地原则则属地原属地原则则分分类类分分级级分分类类分分级级个人信息个人信息采集个人信采集个人信息息安安全全过过审审程程计计中中应获应获得本人的授得本人的授
14、权权。分分类类分分级级使用:授使用:授权权一定要分一定要分类类分分级级分分的的类类授授分分权权级级,范,范围围,时时间间备备份份应应恢恢建建复复立数字立数字资产资产安全管理策略,安全管理策略,对对数据全生命周数据全生命周期的操作期的操作规规范范授授、权权许许保保可可护护措施措施、数数管管据据理理完完人人整整性性员职责员职责等等数数进进据据行行销销毁毁 资资产产采采管管集集理理:数:数据据数数的的据据采采保保规规集集密密定定应应性性,获获包包得得括括数数并并据据不不源源限限管管于于理理数数者者据据的的采采授授集集权权、,存存储储、处处理、理、应应确保数据确保数据收收数数集集据据最最完完用用小小整
15、整、化化性性流流原原动动则则、;销销个个毁毁人人信信等等息息过过程程GBT 35589-2017 信息信息技技术术 大大数据数据 技技术术参参考考模模型型23安全保安全保护护的特的特点点-个人信息个人信息24采集:个人信采集:个人信息息的采集的采集应获应获得本人的授得本人的授权权;使用:个人敏感信息的使用使用:个人敏感信息的使用访问访问控控制制,脱敏,脱敏出出境境:应应确确保保云服云服务务客客户户数数据据、用用户户个人个人信息信息等等存存储储于于中国中国境境内内,如,如需出需出境境应应遵遵循国家相关循国家相关规规定。定。序号序号标标准状准状态态标标准名称准名称1已发布GB/T 35273-20
16、17信息安全技术 个人信息安全规范2征求意见稿个人信息安全影响评估指南3报批稿个人信息去标识化指南大数据等大数据等级级保保护对护对象象 大数据的定大数据的定级级大数据的安全保大数据的安全保护护 大数据基本要求大数据基本要求 大数据大数据测评测评25大数据基本要求大数据基本要求大数据基本要大数据基本要求求-物理物理环环境境第一级:无要求第二级:设备机房位于中国境内第三级:与第二级要求相同第四级:与第二级要求相同大数据基本要大数据基本要求求-通信网通信网络络第一级:要求平台不承载高于其安全保护等级的 大数据应用第二级:与第二级要求相同第三级:在第二级基础上,增加管理流量与系统 业务流量分离的要求第
17、四级:与第三级要求相同大数据基本要大数据基本要求求-计计算算环环境境第一级:要求对终端和组件进行身份鉴别第二级:在第一级基础上,增加管理大数据应用、平台 服务组件,屏蔽故障资源,提供脱敏和去标识化工具/组 件,以及授权使用大数据应用资源的要求第三级:在第二级基础上,增加数据分类分级保护,设置安全标记,接口调用实施访问控制,数据资源隔离的 要求第四级:在第三级基础上,增加对不同类别、不同级别 数据全生命周期区分处置的能力大数据基本要大数据基本要求求-安全建安全建设设第一级:选择大数据平台的要求第二级:在第一级基础上,增加约定平台提供商权限和 职责的要求第三级:在第二级基础上,增加数据交换、共享双
18、方对 数据保护责任的要求第四级:与第三级要求相同大数据基本要大数据基本要求求-安全运安全运维维第一级:无要求第二级:要求建立数字资产安全管理策略第三级:在第二级基础上,增加数据分类分级保护的策 略,重要数字资产的范围确定和相关使用流程,数据类 别和级别评审和变更的要求第四级:与第三级要求相同大数据等大数据等级级保保护对护对象象 大数据的定大数据的定级级大数据的安全保大数据的安全保护护 大数据基本要求大数据基本要求 大数据大数据测评测评32大数据大数据测评测评33测评类测评类型型系系统测评统测评大数据大数据测评测评时间业务系统测评业务系统测评通过之后对象业务系统大数据范围系统中所有的数据、鉴别
19、信息、敏感数据大数据切入点分层面识别数据整体情况和分类分 级情况,识别数据生命周期 相关各业务系统,测评各系 统对于各类各级数据的安全 保护状况粒度单一系统的数据整体,识 别重要数据安全责任主体所有的不同级 别类别的数据大数据大数据测评测评和信息系和信息系统测评统测评的关系的关系34对对象不同象不同视视角的不同角的不同数据的数据的边边界各异界各异结结果的果的继继承承生命周期保生命周期保护护措施的一致性措施的一致性要要求求调调研表研表35调调研表研表对对 象象36层层面面对对象象数据采集数据管理制度类文档,数据采集授权记录,大数 据平台、大数据应用、大数据基础设施和数据源,合同或协议数据分类数字
20、资产清单,大数据平台和管理员数据存储大数据平台、大数据应用、大数据基础设施、数 据源、数据存储、数据备份,配置数据和业务数 据,设计文档数据应用设计或建设文档,大数据应用、大数据平台、管 理员,数据处理工具/脚本/服务组件,大数据应 用、数据或数据接口访问控制策略,数据溯源措 施或系统数据交换系统管理软件和系统设计文档等、应用、接口、数据集的调用管理制度和授权记录,数据安全管 理员,大数据平台、应用,授权审批流程、申请 授权文档和授权审批记录数据销毁大数据平台、合同、协议,大数据平台管理员,数据管理要求,设计文档对对 象象37层层面面对对象象物理环境安全大数据平台管理员和大数据平台建设方案通信
21、网络安全大数据平台和业务应用系统定级材料,网络架构计算环境安全数据采集终端、导入服务组件、业务应用系统、数据管理系统和系统管理软件,大数据平台、大 数据应用,辅助工具、服务组件,计算节点和存 储节点,设计或建设文档,应急方案或应急处置 措施、设计文档和建设文档,审计数据安全建设管理大数据应用建设负责人、大数据平台资质及安全 服务能力报告,大数据平台服务合同、协议和服 务水平协议、安全声明,数据交换、共享策略和 数据交换、共享的合同、协议安全运维管理数字资产安全管理策略,数据分类分级保护策略,大数据平台建设方案,:数据管理员,数据管理 相关制度和数据变更记录表单制定并执行分类分级的保护策略;应在
22、数据产生的同时,如数据采集的过程,对 数据进行分类分级;应根据数据的分类分级对数据进行标识,并实 施相应级别的安全保护措施;数据分数据分类类分分级级保保证证在机构内部数据分在机构内部数据分类类分分级级的保的保护护策略保持一致。策略保持一致。属地管理属地管理39生命周期生命周期控制措施控制措施存储应保证承载大数据存储、处理和分析的设备机房位于中国境内;应用跨境的数据应用应获得授权和审批,并对使用过程执行监管;销毁应在中国境内对数据进行清除或销毁。国家互国家互联联网信息网信息办办公室:公室:个人信息和重要数据出境安全个人信息和重要数据出境安全评评估估办办法(征求意法(征求意见见稿稿)国家国家标标准
23、:信息安全技准:信息安全技术术 数据出境安全数据出境安全评评估指南(送估指南(送审审稿稿阶阶段)段)网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应 当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。授授权许权许可可40对外提供服务的大数据平台,平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理;以书面方式约定大数据平台提供者的权限与责任、各项服务内容和具 体技术指标等,尤其是安全服务内容;明确约束数据交换、共享的接收方对数据的保护责任,并确保接收方有足够或相当的安全防护能力;建立数字资产安全管理策略,对数据全生命周期的操作规范
24、、保护措 施、管理人员职责等进行规定,包括并不限于数据采集、存储、处理、应用、流动、销毁等过程;访问访问控制控制-基于安全基于安全标记标记的的访问访问控制控制41应应对对重重要要主主体体和和客客体体设设置置安安全全标标记记,并并控控制制主主体体 对对有安全有安全标记标记信息信息资资源的源的访问访问;-通用通用安安全全大数据平台提供设置数据安全标记功能,基于安全标记 的授权和访问控制措施,满足细粒度授权访问控制管理 能力要求;涉及重要数据接口、重要服务接口的调用,实施访问控 制,包括但不限于数据处理、使用、分析、导出、共享、交换等相关操作。系系统统安全安全网网络络架构架构信息保信息保护护安全安全审计审计访问访问控制控制入侵防范入侵防范资资源控制源控制集中管控集中管控身份身份鉴别鉴别数据隔离数据隔离备备份恢复份恢复43非常感非常感谢谢