智能化时代,飞速发展的新技术手段使人类生活的空间变成由无数个数据节点联结的数字世界。随着时代的推移与进化,数据呈现出裂变式的发展趋势,越来越多的数据资源共存在网络世界中。
面对复杂庞大的数据,我们又该如何去定义、如何去分类、如何去更好的挖掘数据深层的价值呢?
9月7日,在第八届互联网安全大会(ISC 2020)大数据产业安全创新在线研讨会上,来自中国信息安全研究院副院长左晓栋以《重要数据识别研究进展》为主题,围绕重要数据识别课题研究的背景、国外对特定非个人数据的分类、重要数据识别标准起草原则和主要思路、关于重要数据的几个基础问题以及对重要数据基本分类的建议这五方面进行了分享。
明确重要数据的基本概念已成为当务之急
智能时代与数据时代,数据安全泄露事件频有发生,国家已经开始高度重视数据安全的保护,陆续出台相关的政策法规,明确对数据安全的相关保护规范,但针对“重要数据”这一概念始终没有明确清晰的定义。
《网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。在法律层面提出“重要数据”,建立了个人信息和重要数据的出境安全评估制度。
《网络安全审查办法》将重要数据面临的风险作为一个重要考虑要素,其中规定,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑重要数据被窃取、泄露、毁损的风险等因素。此外,《数据安全法》(草案)将重要数据作为核心概念,要求建立数据分级分类保护制度。《数据安全管理办法(征求意见稿)》也对“重要数据”提出了相关管理要求。
左晓栋指出,虽然上述规定都涉及到了重要数据的内容,但并没有明确对“重要数据”做出定义。“在一定程度上损害了法律的权威性,也影响了网络安全审查、数据出境安全评估等制度的进一步实施。因此,这也在客观上要求我们明确‘重要数据’的基本概念已成为当务之急”左晓栋说道。
同时,左晓栋还表示,当研究一项新的制度指南时,一定要综合考虑到我国现有的行业数据管理要求,这项新的研究一定要与这些规定相衔接。这也是研究重要数据识别课题研究的另一大重要背景。
他山之石 可以攻玉
“重要数据”不是一个国际通用词汇,多数国家没有将其作为一个大类提出统一要求,而是分散到各个具体行业、特定场合进行管理。但这绝不意味着“重要数据‘是中国特有的概念。
左晓栋指出,国外对特定非个人数据的分类以美国商务部下属的国家保准技术研究院提出的联邦政府数据的分类标准——NIST 800-60为例,从保密性、完整性和可用性三个角度提出了三个分类级别。“特别注意的是它把所有的联邦数据进行了明确的分类,比如说有管理和支撑类的信息,其中包括42类服务交付类和35类政府资源管理类等,意味着整个联邦政府所有的数据信息都可以在NIST 800-60里找到对应的类别。”左晓栋说道。
除此之外,美国还提出了一个CUI的概念,即受控非密信息,CUI分为17类、124子类信息。2010年11月4日,奥巴马总统签署第13556号行政令《受控非密信息》,对CUI实施登记备案及标识管理制度,确立了管理受控非密信息的政府计划。
此外,美国认为对在非联邦系统和组织中CUI信息的保护至关重要,将会直接影响联邦政府成功执行任务和业务运营的能力。为此,NIST还制定了SP 800-171系列标准。
左晓栋表示,我们有理由相信这些分类方法与我国的重要信息识别具有很强的类似性,因此,在研究重要数据识别时,我们需要对这类分类方法进行关注和借鉴。
重要数据识别应聚焦国家安全 反映中国特色
由于重要数据识别是一项比较复杂的工作,为此,左晓栋表示,在进行“重要数据识别指南”的过程中明确了三个原则。
首先,聚焦国家安全,避免范围扩大。重要数据应该是从国家安全、公共利益等角度来衡量,其范围应当尽可能小,不包括企业生产经营和内部管理信息、个人信息和国家秘密信息等。对于行业主管部门有政策和标准规范的,重要数据的识别和管理应从其规定。
其次,遵循国外惯例,反映中国特色。立足开放环境维护网络安全,着眼全球化发展需要,促进数据安全有序流动,充分借鉴国外已有做法。同时,要适应国情,反映中国特色,比如针对在国内蓬勃发展的移动互联网应用、日益丰富的互联网业态中,大量重要数据广泛分布于商业领域。
再次,定性定量结合,突出可操作性。以定性与定量相结合的方式识别重要数据,多数情况下,重要数据的识别方法以定性描述为主。
在谈及重要数据的基础问题时,左晓栋指出,我们需要考虑六个基础问题。
第一个是要考虑管理重要数据的目的是什么?重要数据面临什么威胁?这个涉及到我们需要把哪一类数据列为重要数据,国家究竟需要保护重要数据的什么属性?为什么进行管理和保护?这决定了如何识别重要数据。
第二个是要考虑重要数据与国家秘密信息的区别是什么?重要数据在敏感性上,要弱于国家秘密信息,比国家秘密信息更要考虑数据汇聚、整合、分析后的安全风险。除了保密性外,重要数据对完整性、可用性也有较高要求,此外,保护力度差异较大。国家秘密的防护重点是严格限制信息的知悉范围,重要数据保护则要防止数据泄露、防范数据篡改,还要维护数据真实性,保护数据安全。
第三个是要考虑如何应对数据汇聚、整合、分析后的安全风险?汇聚风险意味着要把握好量变到质变的临界点,对于关联分析风险,可以对可能的关联项进行预先定义,同时还要避免以数据汇聚、整合、分析为由对“重要数据”的概念泛化,更多地要从技术上解决这一问题,如,实现数据的“可用不可见”。
第四个是要考虑重要数据应由谁认定?应当将重要数据识别指南的读者首先定位于网络运营者与地方网信部门,因此应尽可能减少专业知识的理解难度。在工作机制上,应建立网信部门与行业主管监管部门之间的工作协同。
第五个要考虑重要数据如何分布?我们需要看到重要数据可能分布在多个领域。
第六个要考虑一旦被认定为重要数据,就永远重要吗?国家秘密有保密期限,那么重要数据的时效是多长?这些问题都需要我们进行仔细考虑。
最后,左晓栋分享了一套重要数据基本分类的方法。他表示,不同行业的数据有不同的重要性,但行业分类不是决定数据重要性的内在属性。从数据的作用、受破坏后可能带来的影响等角度,他建议将重要数据分为八类,分别是国民经济运行类、安保类、自然资源与环境类、健康类、敏感技术类、用户类(或应用服务类)、政府工作秘密类和其他类。
在做这项重要工作时提出了一个重要数据的分类表示,即一级目录、二级目录、三级目录,从一个形式化的方法中对数据进行英文字母的标识,进而对其进行描述,如对国家安全公共利益的影响、面临的主要安全威胁、涉及的行业主管部门的主要分布、项目的管理政策、主要特征、时效以及其他重要备注的内容等。
数据已成为信息时代重要的生产要素,是数据经济发展的“石油”,数据的安全对企业、个人乃至国家对都会带来重大影响,重要数据的识别也将对数据的分类保护起到至关重要的作用。
据悉,在第八届互联网安全大会(ISC 2020)大数据产业安全创新在线研讨会上,除了对重要数据识别、数据安全、网络安全态势感知等内容进行分享,还将汇聚各行业的专家、企业代表们共话大数据产业安全。
第八届互联网安全大会(ISC 2020)——永不闭幕,诚邀您关注大数据安全,关注网络安全,共塑健康安全的网络空间环境。
