全国信息安全标准化技术委员会：大数据安全标准化白皮书（2018版）

大数据安全标准化白皮书 (2018版) 11● ● 11● 21101 011010 001101●0 10011010 1o0011●1■ 00m 0)11● 全国信息安全标准化技术委员会 大数据安全标准特别工作组 2018年4月

大数据安全标准化白皮书 （2018 版） 全国信息安全标准化技术委员会 大数据安全标准特别工作组 2018 年 4 月

目录 前言m 第1章导论 1.1背景 12目的及意义emn 3 第2章大数据安全… -4 21大数据安全含义 14 2.1.1保障大数据安全 44 2.12利用大数据保障网络空间安全 5 22我国大数据安全发展状况 23大数据安全的重要意义 6 第3章大数据安全挑战.… 8 3.】大数据技术和平台安全挑战 8 3.1.1传统安全措施难以适配 8 3.1.2平台安全机制严重不足 mm9 3.13应用访问控制愈加困难 3.1.4基础密码技术垂待突破 -10 32数据安全和个人信息保护挑战 .10 32.1数据安全保护难度加大， 3.22个人信息泄露凤险加刷 323数据真实性保障更困难 -.11 3.2.4数据所有者权益难保障， am…12 33国家社会安全和法规标准挑战 -.12 33.1国家安全深受大数据影响 .13 3.3.2社会治理面临大数据挑战 3.3.3大数据安全法规标准尚需完善 --14 第4章大数据安全法规政策和标准化现状 m15 4.」大数据安全法规政策现状… 4.15 4.1.1国外数据安全法律法规和政策 -.15 4.1.2国内数据安全法律法规和政策， 4.13国内数据安全标准化相关政策 -.28 42主要标准化组织 29 4.2.1 ISO/IEC JTC1.... u30 4.2.2 NIST. .31 4.2.3 ITU-T 1m,31 4.2.4 SAC TC28. 4.2.5 SAC TC260. -32 43大数据安全相关标准现状 32 4.31数据安全相关标准 4.33 4.32个人信息安全标准 -39 4.3.3其它大数据安全标准 41

IV 目录 前言 ......................................................................................................................................................III 第 1 章 导论..........................................................................................................................................1 1.1 背景..........................................................................................................................................1 1.2 目的及意义..............................................................................................................................3 第 2 章 大数据安全..............................................................................................................................4 2.1 大数据安全含义......................................................................................................................4 2.1.1 保障大数据安全............................................................................................................4 2.1.2 利用大数据保障网络空间安全....................................................................................5 2.2 我国大数据安全发展状况......................................................................................................5 2.3 大数据安全的重要意义..........................................................................................................6 第 3 章 大数据安全挑战......................................................................................................................8 3.1 大数据技术和平台安全挑战..................................................................................................8 3.1.1 传统安全措施难以适配................................................................................................8 3.1.2 平台安全机制严重不足................................................................................................9 3.1.3 应用访问控制愈加困难................................................................................................9 3.1.4 基础密码技术亟待突破..............................................................................................10 3.2 数据安全和个人信息保护挑战............................................................................................10 3.2.1 数据安全保护难度加大..............................................................................................10 3.2.2 个人信息泄露风险加剧..............................................................................................11 3.2.3 数据真实性保障更困难..............................................................................................11 3.2.4 数据所有者权益难保障..............................................................................................12 3.3 国家社会安全和法规标准挑战............................................................................................12 3.3.1 国家安全深受大数据影响..........................................................................................13 3.3.2 社会治理面临大数据挑战..........................................................................................13 3.3.3 大数据安全法规标准尚需完善..................................................................................14 第 4 章 大数据安全法规政策和标准化现状 ...................................................................................15 4.1 大数据安全法规政策现状....................................................................................................15 4.1.1 国外数据安全法律法规和政策..................................................................................15 4.1.2 国内数据安全法律法规和政策..................................................................................22 4.1.3 国内数据安全标准化相关政策..................................................................................28 4.2 主要标准化组织....................................................................................................................29 4.2.1 ISO/IEC JTC1..............................................................................................................30 4.2.2 NIST.............................................................................................................................31 4.2.3 ITU-T...........................................................................................................................31 4.2.4 SAC TC28....................................................................................................................32 4.2.5 SAC TC260..................................................................................................................32 4.3 大数据安全相关标准现状....................................................................................................32 4.3.1 数据安全相关标准......................................................................................................33 4.3.2 个人信息安全标准......................................................................................................39 4.3.3 其它大数据安全标准..................................................................................................41

第5章大数据安全标准体系 5.1大数据安全标准化需求 -.43 52大数据安全标准分类- n,44 5.2.1标准主题分类 5.22标准类型分类 47 52.3其它分类 48 53大数据安全标准图谱. 54大数据安全标准特别工作组标准工作 49 5.4.1标准制定项目 5.42标准研究项目 -53 55近期重点工作方向 55 5.5.1开展大数据安全参考框架研制 5.5.2完善个人信息安全相关标准研制. 55 5.5.3推进数据交换共享相关安全标准研制 mmm55 5.5.4加快数据出境安全相关标准研制 56 5.5.5推动大数据安全检测评估相关标准研制 .56 5.5.6启动重点领域大数据安全标准研制 第6章大煮据安全标准化工作建议. -.58 6!健全大数据安全法律法规体系 58 62加强大数据安全核心技术研发. 58 63大力推广大数据安全标准示范应用， 58 64建立大数据安全标准体系研究长效机制， 6.5加强大数据安全标准化人才培养 -.59 66深度参与大数据安全国际标准化工作 -59 附录A典型领域大数据安全标准需求 an.60 A】安全应用大数据一 m.60 AII安全应用大数据特点 -.60 A12安全应用大数据应用领域 60 A13安全应用大数据标准需求， A2政务大数据 62 A21政务大数据特点 .62 A22政务大数据安全风险和需求 A23政务大数据安全标准需求 63 A3健康医疗大数据 64 A3.1健康医疗大数据特点 -.64 A32健康医疗大数据安全风险和需求 65 A33健康医疗大数据安全标准需求 A4教育大数据 67 A41教育大数据特点 m,67 A42教育大数据安全风险和需求 68 A43教育大数据安全标准需求 68 A5金胜大数据mmm m69 AS1金购大数据特点 69 A.52金融大数据安全风险和需求 .70

V 第 5 章 大数据安全标准体系 ...........................................................................................................43 5.1 大数据安全标准化需求........................................................................................................43 5.2 大数据安全标准分类............................................................................................................44 5.2.1 标准主题分类..............................................................................................................45 5.2.2 标准类型分类..............................................................................................................47 5.2.3 其它分类......................................................................................................................48 5.3 大数据安全标准图谱............................................................................................................48 5.4 大数据安全标准特别工作组标准工作................................................................................49 5.4.1 标准制定项目..............................................................................................................49 5.4.2 标准研究项目..............................................................................................................53 5.5 近期重点工作方向................................................................................................................55 5.5.1 开展大数据安全参考框架研制..................................................................................55 5.5.2 完善个人信息安全相关标准研制..............................................................................55 5.5.3 推进数据交换共享相关安全标准研制......................................................................55 5.5.4 加快数据出境安全相关标准研制..............................................................................56 5.5.5 推动大数据安全检测评估相关标准研制..................................................................56 5.5.6 启动重点领域大数据安全标准研制..........................................................................56 第 6 章 大数据安全标准化工作建议 ...............................................................................................58 6.1 健全大数据安全法律法规体系............................................................................................58 6.2 加强大数据安全核心技术研发............................................................................................58 6.3 大力推广大数据安全标准示范应用....................................................................................58 6.4 建立大数据安全标准体系研究长效机制............................................................................58 6.5 加强大数据安全标准化人才培养........................................................................................59 6.6 深度参与大数据安全国际标准化工作................................................................................59 附录 A 典型领域大数据安全标准需求 ...........................................................................................60 A.1 安全应用大数据...................................................................................................................60 A.1.1 安全应用大数据特点.................................................................................................60 A.1.2 安全应用大数据应用领域.........................................................................................60 A.1.3 安全应用大数据标准需求.........................................................................................62 A.2 政务大数据...........................................................................................................................62 A.2.1 政务大数据特点.........................................................................................................62 A.2.2 政务大数据安全风险和需求.....................................................................................63 A.2.3 政务大数据安全标准需求.........................................................................................63 A.3 健康医疗大数据...................................................................................................................64 A.3.1 健康医疗大数据特点.................................................................................................64 A.3.2 健康医疗大数据安全风险和需求.............................................................................65 A.3.3 健康医疗大数据安全标准需求.................................................................................66 A.4 教育大数据...........................................................................................................................67 A.4.1 教育大数据特点.........................................................................................................67 A.4.2 教育大数据安全风险和需求.....................................................................................68 A.4.3 教育大数据安全标准需求.........................................................................................68 A.5 金融大数据...........................................................................................................................69 A.5.1 金融大数据特点.........................................................................................................69 A.5.2 金融大数据安全风险和需求.....................................................................................70

A53金融大数起安全标准需求. A6互联网金融大数据 .72 A61互联网金胜大数据特点 72 A62互联风金融大数据安全凤险和需求 .73 A63互联网金融大数据安全标准需求 74 A7电信大数据 -75 A7.1电信大数据特点 A72电信大数据安全风险和需求 -.75 A73电信大数粗安全标准需求， A8能源大数据 A81能源大数据特点. -77 A82能源大数掘安全风险和需求 m.77 A83能源大数据安全标准需求 78 A9交通大数据一一 .78 A91交通大数据特点 A92交通大数据安全风险和需求 -.79 A93交通大数粗安全标准需求 m,80 AI0电商大数据…。 4444.80 A10.1电商大数据特点 80 A102电商大数据安全风险和需求 A103电商大数据安全标准需求 -81 附录B大数据安全标准应用实践 -83 B.】360企业安全集团大数据安全标准应用实乳 B.2BM大数据安全标准应用实践 84 B.3阿里巴巴大数据安全标准应用实我 B4海信交通大数据安全标准应用实我 n90 B.5联想大数据安全标准应用实践 B.6蚂蚊金服大数据安全标准应用实践 94 B.7南大通用大数据安全标准应用实藏… B.8启明星辰能源大数据安全标准应用实战 B.9勤智数码互联网金融大数据安全标准应用实践 101 B.10三未信安大数据安全标准应用实践 .102 B.11腾讯云大数据安全标准应用实践 .104 B.12医渡云大数据安全标准应用实践 71m107 B.13中电长城网际大数据安全标准应用实践 B.14中国移动大数据安全标准应用实践 113 附录C其它相关资源介绍 m116 C.1大数据安全报告 4116 C2安全管理及框架 116 C.3数据分类 4aa1a41aa1aa.117 C4个人信息保护， 117 C5数据驻留和跨境流动 118 C6行业数据安全一 444444118 C.7标准文本一一 --118

VI A.5.3 金融大数据安全标准需求.........................................................................................71 A.6 互联网金融大数据...............................................................................................................72 A.6.1 互联网金融大数据特点.............................................................................................72 A.6.2 互联网金融大数据安全风险和需求.........................................................................73 A.6.3 互联网金融大数据安全标准需求.............................................................................74 A.7 电信大数据...........................................................................................................................75 A.7.1 电信大数据特点.........................................................................................................75 A.7.2 电信大数据安全风险和需求.....................................................................................75 A.7.3 电信大数据安全标准需求.........................................................................................76 A.8 能源大数据...........................................................................................................................77 A.8.1 能源大数据特点.........................................................................................................77 A.8.2 能源大数据安全风险和需求.....................................................................................77 A.8.3 能源大数据安全标准需求.........................................................................................78 A.9 交通大数据...........................................................................................................................78 A.9.1 交通大数据特点.........................................................................................................78 A.9.2 交通大数据安全风险和需求.....................................................................................79 A.9.3 交通大数据安全标准需求.........................................................................................80 A.10 电商大数据.........................................................................................................................80 A.10.1 电商大数据特点.......................................................................................................80 A.10.2 电商大数据安全风险和需求...................................................................................81 A.10.3 电商大数据安全标准需求.......................................................................................81 附录 B 大数据安全标准应用实践....................................................................................................83 B.1 360 企业安全集团大数据安全标准应用实践....................................................................83 B.2 IBM 大数据安全标准应用实践 ..........................................................................................84 B.3 阿里巴巴大数据安全标准应用实践...................................................................................87 B.4 海信交通大数据安全标准应用实践...................................................................................90 B.5 联想大数据安全标准应用实践...........................................................................................92 B.6 蚂蚁金服大数据安全标准应用实践...................................................................................94 B.7 南大通用大数据安全标准应用实践...................................................................................96 B.8 启明星辰能源大数据安全标准应用实践...........................................................................98 B.9 勤智数码互联网金融大数据安全标准应用实践.............................................................101 B.10 三未信安大数据安全标准应用实践...............................................................................102 B.11 腾讯云大数据安全标准应用实践...................................................................................104 B.12 医渡云大数据安全标准应用实践...................................................................................107 B.13 中电长城网际大数据安全标准应用实践.......................................................................111 B.14 中国移动大数据安全标准应用实践...............................................................................113 附录 C 其它相关资源介绍 .............................................................................................................116 C.1 大数据安全报告.................................................................................................................116 C.2 安全管理及框架.................................................................................................................116 C.3 数据分类.............................................................................................................................117 C.4 个人信息保护.....................................................................................................................117 C.5 数据驻留和跨境流动.........................................................................................................118 C.6 行业数据安全.....................................................................................................................118 C.7 标准文本.............................................................................................................................118

附录D大数据安全标准术活摘录一…一-一一一120 D.1《信息安全技术个人信息安全规范》术语 D2《信息安全技术大数据服务安全能力要求》术语 D.3《信息安全技术 个人信息去标识化指南》术语 122 D4《信息安全技术大数据安全管理指南》术语 124 D.5《信息安全技术数据安全能力成熟度模型》术语 4125 D6《信息安全技术数据交易服务安全要求》术语」 126 附录E信安标委标准工作程序 E1标准项目申请立项程序 .128 E2标准项目制修订程序 mm128 附录F缩略语一 .130 参考文款… 133 m

VII 附录 D 大数据安全标准术语摘录 .................................................................................................120 D.1 《信息安全技术 个人信息安全规范》术语.................................................................120 D.2 《信息安全技术 大数据服务安全能力要求》术语.....................................................121 D.3 《信息安全技术 个人信息去标识化指南》术语.........................................................122 D.4 《信息安全技术 大数据安全管理指南》术语.............................................................124 D.5 《信息安全技术 数据安全能力成熟度模型》术语.....................................................125 D.6 《信息安全技术 数据交易服务安全要求》术语.........................................................126 附录 E 信安标委标准工作程序......................................................................................................128 E.1 标准项目申请立项程序.....................................................................................................128 E.2 标准项目制修订程序.........................................................................................................128 附录 F 缩略语..................................................................................................................................130 参考文献 ...........................................................................................................................................133

第1章导论 1.1背景 随着大数据时代的到来，数据己经成为与物质资产和人力资本同样重要的 基础生产要素。2013年7月，习近平总书记指出：“大数据是工业社会的‘自 由”资源，谁草提了数据，谁就捉了主动权”。2014年2月27日，习近平总 书记在中央网络安全和信息化领导小组第一次会议又进一步强调：“网铬信息是 跨国界流动的，信息流引领技术蓬、资金蓬、人才流，信息资源日益成为重要 生产要素和杜会财富，信息草那的多寡成为国家软实力和竞争力的重要标志” 2017年10月18日，习近平同志代表第十八届中央委员会向党的十九大作报告 指出：“加快建设制造强国，加快发展先进制透业，推动互联网、大数据、人工 智能和实体经济深度融合，在中高端酒费、创新引领、绿色低碳、共享经济、 现代供应链、人力资本服务等领域培育新增长点、形成新动能。”国家拥有的数 据规模及运用能力已逐步成为综合国力的重要组成部分，对数据的占有权和控 制权将成为陆权、海权、空权之外的国家核心权力。大数据正在重塑世界新格 局，被餐为是“21世纪的估石矿“，更是国家基础性战略资源，正逐步对国家 治理能力、经济运行机制、社会生活方式产生深刻影响，国家竟争焦点也己经 从资本、土地、人口、资源的争夺扩展到对大数据的竞争。 在大数据时代，机遇与挑战并存，大数据开辟了国家治理的新路径，国家 社会管理现代化面临着由碎片型向整体型、由应急型向预防型、由管控型向参 与型、由粗放型向精细型，以及由静态型向动态型转变的五位一体的全面变革。 大数据可以通过对海量、动态、高增长、多元化、多样化数据的高速处理。快 速获得有价值信息，提高公共决策能力，从而逐步改变国家治理架构和模式。 2016年10月9日，习近平问志主持中共中央政治局第三十六次集体学习指出， 我们要深刻认识互联网在国家管理和社会治理中的作用，以推行电子政务、建 设新型智慧城市等为抓手，以数据集中和共享为逸径，建设全国一体化的国家 大数据中心，推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨 系统、跨部门、跨业务的协同管理和服务。要强化互联网思维，利用互联网陶 平化、交互式、快捷性优势，推进政府决策科学化、社会治理精准化、公共服 务高效化，用信息化手段更好感知社会态势、畅通沟通渠道、辅助决策旌政。 2016年12月，国务院印发《“十三五”国家信息化规划》（以下称“十三五” 规划》)建议提出：“实施国家大数据战略，推进数据资源开放共享，”因此，必 须要正视大数据安全对杜会发展带来的挑战，在大数据应用准广过程中，坚持 安全与发展并重的方针，既充分发挥大数据价值，又避免数据泄露和个人隐私 暴露等带来的安全问题，从而构建大数据安全保障体系，完善大数据社会管理 体制机制建设和大数据国家战略，促进大数据时代的社会发展。 大数据作为产业发展的创新要素，不仅在数据科学与技术层面，而且在商 业模式、产业格局、生态价值与教育层面，均带来了新理念和新思维。大数据 与现有产业深度融合，在人工智能、自动驾驶、金融商业服务、医疗健康管理、 科学研究等领域展现出广阔的前景，使得生产更加绿色智能、生话更加便捷高 1

1 第 1 章 导论 1.1 背景 随着大数据时代的到来，数据已经成为与物质资产和人力资本同样重要的 基础生产要素。2013 年 7 月，习近平总书记指出：“大数据是工业社会的‘自 由’资源，谁掌握了数据，谁就掌握了主动权”。2014 年 2 月 27 日，习近平总 书记在中央网络安全和信息化领导小组第一次会议又进一步强调：“网络信息是 跨国界流动的，信息流引领技术流、资金流、人才流，信息资源日益成为重要 生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志”。 2017 年 10 月 18 日，习近平同志代表第十八届中央委员会向党的十九大作报告 指出：“加快建设制造强国，加快发展先进制造业，推动互联网、大数据、人工 智能和实体经济深度融合，在中高端消费、创新引领、绿色低碳、共享经济、 现代供应链、人力资本服务等领域培育新增长点、形成新动能。”国家拥有的数 据规模及运用能力已逐步成为综合国力的重要组成部分，对数据的占有权和控 制权将成为陆权、海权、空权之外的国家核心权力。大数据正在重塑世界新格 局，被誉为是“21 世纪的钻石矿”，更是国家基础性战略资源，正逐步对国家 治理能力、经济运行机制、社会生活方式产生深刻影响，国家竞争焦点也已经 从资本、土地、人口、资源的争夺扩展到对大数据的竞争。 在大数据时代，机遇与挑战并存，大数据开辟了国家治理的新路径，国家 社会管理现代化面临着由碎片型向整体型、由应急型向预防型、由管控型向参 与型、由粗放型向精细型，以及由静态型向动态型转变的五位一体的全面变革。 大数据可以通过对海量、动态、高增长、多元化、多样化数据的高速处理，快 速获得有价值信息，提高公共决策能力，从而逐步改变国家治理架构和模式。 2016 年 10 月 9 日，习近平同志主持中共中央政治局第三十六次集体学习指出， 我们要深刻认识互联网在国家管理和社会治理中的作用，以推行电子政务、建 设新型智慧城市等为抓手，以数据集中和共享为途径，建设全国一体化的国家 大数据中心，推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨 系统、跨部门、跨业务的协同管理和服务。要强化互联网思维，利用互联网扁 平化、交互式、快捷性优势，推进政府决策科学化、社会治理精准化、公共服 务高效化，用信息化手段更好感知社会态势、畅通沟通渠道、辅助决策施政。 2016 年 12 月，国务院印发《“十三五”国家信息化规划》（以下称《“十三五” 规划》）建议提出：“实施国家大数据战略，推进数据资源开放共享。”因此，必 须要正视大数据安全对社会发展带来的挑战，在大数据应用推广过程中，坚持 安全与发展并重的方针，既充分发挥大数据价值，又避免数据泄露和个人隐私 暴露等带来的安全问题，从而构建大数据安全保障体系，完善大数据社会管理 体制机制建设和大数据国家战略，促进大数据时代的社会发展。 大数据作为产业发展的创新要素，不仅在数据科学与技术层面，而且在商 业模式、产业格局、生态价值与教育层面，均带来了新理念和新思维。大数据 与现有产业深度融合，在人工智能、自动驾驶、金融商业服务、医疗健康管理、 科学研究等领域展现出广阔的前景，使得生产更加绿色智能、生活更加便捷高

效，大数据已经逐渐成为企业升级转型发展的有力引擎，在提升产业竞争力和 推动商业模式创新方面发挥越来越重要的作用。为坚持技术创新与应用创新协 同共进，国家战略加快经济社会各领域的大数据开发与利用，催生出更多的新 产业、新业态、新模式。推动国因家，行业、企业在数据的应用需求和发展水平 方面进入新的阶段。在内部技术条件成熟、外部政策因素推动的藏励下，我国 涌现出一批从传统业务扩展甚至转型到大数据业务的企业，尤其是大数据细分 市场，新应用新模式层出不穷，大数据产业呈现出蓬物发展的态势。在此背景 下，在跟踪研究大数据，提升对大数据的认知和理解的同时，也要充分意识到 大数据安全与大数据应用是一体之两翼、驱动之双轮，必须从国家网铬空间安 全战略的高度认真研究与应对当前大数据安全面临的复杂问题。 大数据安全标准是大数据安全保障体系的基础组成部分，对大数据安全保 障体系的实施起到引领和指导作用，主要体现在如下方面：一是规范大数据系 统所有者、建设者、运营者对大数据平台和应用的安全建设、运雄和风险管理： 二是指导数据控制者完善数据采集、传输、存储、处理、交换、销毁等大数据 全生命周明的管理，防控来自组织内外部的安全风险：三是通过规范大数据服 务组织的基瑞安全管理、数据安全管理、系统安全建设、安全运维，提升系统 防范安全风险的能力：四是规范行业大数据安全体系。在构建大数据安全标准 体系时，须统筹考虑数据在行业之间或组织之间的交换与共享问题，以指导各 行业的大数据安全建设和运营，支撑行业大数据应用的快速发展。为此，亟待 从技术和产业发辰角度加快推进大数据安全标准化工作，为我国大数据产业的 健康发展提供有效支撑 党中央、国务院高度重视大数据安全及其标准化工作，将其作为国家发展 战略予以推动。2015年9月，国务院发布《促进大数据发展行动纲要》（以下称 《纲要》)，要求“完善法规制度和标准体系”并“推进大数据产业标准体系建 设”。2016年8月，中央网信办、国家质检总局、国家标准委联合印发了《关于 加强国家网络安全标准化工作的若干意见》，其中对加强网络安全标准化工作做 出部署，要求围绕国家战略需求，开展关健信息基础设施保护、网络安全审查 工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等领域标 准研制工作，从而提升标准倍息服务能力和标准符合性测试能力，并在政策文 件制定、相关工作部署时积极采用国家标准，积极参与制定相关国际标准并发 挥作用.2016年11月，第十二届全国人民代表大会常务委员会通过了《中华人 民共和国网路安全法》，鼓励开发网铬数据安全保护和利用技术。2016年12月 国家互联网信息办公室发布了《国家网络空间安全战略》，提出实施国家大数据 战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国 人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系，相继出 台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等 一系列法规和部门规章制度。与此同时，相关标准研制机构还发布了国家和行 业的网路个人信息保护相关标准，开展以数据安全为重点的网络安全防护检查。 为了贯彻落实国家大数据安全标准化工作要求，全国信息安全标准化技术 委员会（以下简称“全国信安标委”，爱员会编号TC60)下设了大数据安全标 准特别工作组(SG-D5),并在己开展的大数据安全相关标准工作的基础上， 启动了《大数据安全标准化白皮书》的编制工作

2 效。大数据已经逐渐成为企业升级转型发展的有力引擎，在提升产业竞争力和 推动商业模式创新方面发挥越来越重要的作用。为坚持技术创新与应用创新协 同共进，国家战略加快经济社会各领域的大数据开发与利用，催生出更多的新 产业、新业态、新模式，推动国家、行业、企业在数据的应用需求和发展水平 方面进入新的阶段。在内部技术条件成熟、外部政策因素推动的激励下，我国 涌现出一批从传统业务扩展甚至转型到大数据业务的企业，尤其是大数据细分 市场，新应用新模式层出不穷，大数据产业呈现出蓬勃发展的态势。在此背景 下，在跟踪研究大数据，提升对大数据的认知和理解的同时，也要充分意识到 大数据安全与大数据应用是一体之两翼、驱动之双轮，必须从国家网络空间安 全战略的高度认真研究与应对当前大数据安全面临的复杂问题。 大数据安全标准是大数据安全保障体系的基础组成部分，对大数据安全保 障体系的实施起到引领和指导作用，主要体现在如下方面：一是规范大数据系 统所有者、建设者、运营者对大数据平台和应用的安全建设、运维和风险管理； 二是指导数据控制者完善数据采集、传输、存储、处理、交换、销毁等大数据 全生命周期的管理，防控来自组织内外部的安全风险；三是通过规范大数据服 务组织的基础安全管理、数据安全管理、系统安全建设、安全运维，提升系统 防范安全风险的能力；四是规范行业大数据安全体系。在构建大数据安全标准 体系时，须统筹考虑数据在行业之间或组织之间的交换与共享问题，以指导各 行业的大数据安全建设和运营，支撑行业大数据应用的快速发展。为此，亟待 从技术和产业发展角度加快推进大数据安全标准化工作，为我国大数据产业的 健康发展提供有效支撑。 党中央、国务院高度重视大数据安全及其标准化工作，将其作为国家发展 战略予以推动。2015 年 9 月，国务院发布《促进大数据发展行动纲要》（以下称 《纲要》），要求“完善法规制度和标准体系”并“推进大数据产业标准体系建 设”。2016 年 8 月，中央网信办、国家质检总局、国家标准委联合印发了《关于 加强国家网络安全标准化工作的若干意见》，其中对加强网络安全标准化工作做 出部署，要求围绕国家战略需求，开展关键信息基础设施保护、网络安全审查、 工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等领域标 准研制工作，从而提升标准信息服务能力和标准符合性测试能力，并在政策文 件制定、相关工作部署时积极采用国家标准，积极参与制定相关国际标准并发 挥作用。2016 年 11 月，第十二届全国人民代表大会常务委员会通过了《中华人 民共和国网络安全法》，鼓励开发网络数据安全保护和利用技术。2016 年 12 月， 国家互联网信息办公室发布了《国家网络空间安全战略》，提出实施国家大数据 战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国 人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系，相继出 台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等 一系列法规和部门规章制度。与此同时，相关标准研制机构还发布了国家和行 业的网络个人信息保护相关标准，开展以数据安全为重点的网络安全防护检查。 为了贯彻落实国家大数据安全标准化工作要求，全国信息安全标准化技术 委员会（以下简称“全国信安标委”，委员会编号 TC260）下设了大数据安全标 准特别工作组（SWG-BDS），并在已开展的大数据安全相关标准工作的基础上， 启动了《大数据安全标准化白皮书》的编制工作

1.2目的及意义 本白皮书从法律法规、政策、标准及产业应用等角度，勾面出大数据安全 的整体轮廊，从国家安全、社会公共利益，保护公民、，法人和其他组织的合法 利益的角度，综合分析大数据安全标准化需求，从而为我国后续的大数据安全 标准化工作提供指导， 本白皮书从多维度阐述大数据安全的重要性，分析大数据面临的安全风险 和桃战，梳理国内外的大数据安全法规政策和标准化工作现状，制定大数据安 全标准体系框银，提出开展大数据安全标准化工作的建议， 本白皮书旨在全面、客观的反映国内外大数据安全标准化相关工作基础和 进展，根据业界最佳实践、认知水平，分享大数据安全标准特别工作组在大数 据安全标准化领域的研究成果和实践经险，呼吁社会各界共同关注大数据安全 的法规政策、技术创新和标准建设，为大数据产业的健康、安全、有序发展莫 定坚实基础

3 1.2 目的及意义 本白皮书从法律法规、政策、标准及产业应用等角度，勾画出大数据安全 的整体轮廓，从国家安全、社会公共利益，保护公民、法人和其他组织的合法 利益的角度，综合分析大数据安全标准化需求，从而为我国后续的大数据安全 标准化工作提供指导。 本白皮书从多维度阐述大数据安全的重要性，分析大数据面临的安全风险 和挑战，梳理国内外的大数据安全法规政策和标准化工作现状，制定大数据安 全标准体系框架，提出开展大数据安全标准化工作的建议。 本白皮书旨在全面、客观的反映国内外大数据安全标准化相关工作基础和 进展，根据业界最佳实践、认知水平，分享大数据安全标准特别工作组在大数 据安全标准化领域的研究成果和实践经验，呼吁社会各界共同关注大数据安全 的法规政策、技术创新和标准建设，为大数据产业的健康、安全、有序发展奠 定坚实基础

第2章大数据安全 本章从保障大数据安全和利用大数据保障网络空间安全两个方面介绍了大 数据安全的含义，阐述了我国大数据安全发展状况和大数据安全的重要意文。 2.1大数据安全含义 2.1.1保障大数据安全 当今社会进入大数据时代，越来越多的数据其享开放，交叉使用。针对关 键信息基础设施缺乏保护、敏感数据社露严重、智能终端危险化、信息访问权 限混乱、个人敏感信息滥用等问题，急需通过加强网铬空间安全保障、，做好关 健信息基础设箍保护、强化数据加密、加固智能终端、保护个人敏感信息等手 段，保障大数据背景下的数据安全， 大数据应用涉及海量数据的分散获取、集中存储和分析处理，表现出数据 容量大、数据变化快等特征。同时，大数据所面临的安全成胁和攻击种类多， 且攻击行为具有一定的隐蔽性、攻击特征变化快，单纯依赖传统信息安全防护 技术来防范大数据攻击存在一定局限性。大数据环境下，虽然很多传统安全技 术手段和管理措施可以在大数据环境下提供一定安全保障能力。但与此同时， 大数据环境下，数据量巨大，数据变化快等特征导致大数据分析及应用场景更 为复杂，这就需要我们对传统信息安全技术优化政进基础之上进行创新，从面 改善海量数据分析场景下的应用和数据安全问题。 大数据安全主要是保障数据不被窃取、破坏和澄用，以及确保大数据系统 的安全可靠运行。需要构建包括系统层面、数据层面和服务层面的大数据安全 框架，从技术保障，管理保障、过程保障和运行保障多推度保障大数据应用和 数据安全， 从系统层面来看，保障大数据应用和数据安全需要构建立体纵深的安全防 护体系，通过系统性、全局性地采取安全防护措施，保障大数据系统正确、安 全可靠的运行，防止大数据被淮密、算改或澄用。主流大数据系统是由通用的 云计算、云存储、数据采集终端、应用软件、网络通信等部分组成，保障大数 据应用和数据安全的前提是要保障大数据系统中各组成部分的安全，是大数据 安全保障的重要内容。 从数据层面来看，大数据应用涉及到采集、传输、存储、处理、交换、销 毁等各个环节，每个环节都面临不同的安全威胁，需要采取不同的安全防护措 能，确保数据在各个环节的保密性、完整性、可用性，并且要采取分级分类， 去标识化、脱敏等方法保护用户个人信息安全。 从服务层面来看，大数据应用在各行业得到了蓬勃发展，为用户提供数据 驱动的信息技术服务，因此，需要在服务层面加强大数据的安全运营管理、风 险管理，做好数据资产保护，确保大数据服务安全可靠运行，从而充分挖掘大 数据的价值，提高生产效率，同时又防范针对大数据应用的各种安全隐患

4 第 2 章 大数据安全 本章从保障大数据安全和利用大数据保障网络空间安全两个方面介绍了大 数据安全的含义，阐述了我国大数据安全发展状况和大数据安全的重要意义。 2.1 大数据安全含义 2.1.1 保障大数据安全 当今社会进入大数据时代，越来越多的数据共享开放，交叉使用。针对关 键信息基础设施缺乏保护、敏感数据泄露严重、智能终端危险化、信息访问权 限混乱、个人敏感信息滥用等问题，急需通过加强网络空间安全保障、做好关 键信息基础设施保护、强化数据加密、加固智能终端、保护个人敏感信息等手 段，保障大数据背景下的数据安全。 大数据应用涉及海量数据的分散获取、集中存储和分析处理，表现出数据 容量大、数据变化快等特征。同时，大数据所面临的安全威胁和攻击种类多， 且攻击行为具有一定的隐蔽性、攻击特征变化快，单纯依赖传统信息安全防护 技术来防范大数据攻击存在一定局限性。大数据环境下，虽然很多传统安全技 术手段和管理措施可以在大数据环境下提供一定安全保障能力。但与此同时， 大数据环境下，数据量巨大、数据变化快等特征导致大数据分析及应用场景更 为复杂，这就需要我们对传统信息安全技术优化改进基础之上进行创新，从而 改善海量数据分析场景下的应用和数据安全问题。 大数据安全主要是保障数据不被窃取、破坏和滥用，以及确保大数据系统 的安全可靠运行。需要构建包括系统层面、数据层面和服务层面的大数据安全 框架，从技术保障、管理保障、过程保障和运行保障多维度保障大数据应用和 数据安全。 从系统层面来看，保障大数据应用和数据安全需要构建立体纵深的安全防 护体系，通过系统性、全局性地采取安全防护措施，保障大数据系统正确、安 全可靠的运行，防止大数据被泄密、篡改或滥用。主流大数据系统是由通用的 云计算、云存储、数据采集终端、应用软件、网络通信等部分组成，保障大数 据应用和数据安全的前提是要保障大数据系统中各组成部分的安全，是大数据 安全保障的重要内容。 从数据层面来看，大数据应用涉及到采集、传输、存储、处理、交换、销 毁等各个环节，每个环节都面临不同的安全威胁，需要采取不同的安全防护措 施，确保数据在各个环节的保密性、完整性、可用性，并且要采取分级分类、 去标识化、脱敏等方法保护用户个人信息安全。 从服务层面来看，大数据应用在各行业得到了蓬勃发展，为用户提供数据 驱动的信息技术服务，因此，需要在服务层面加强大数据的安全运营管理、风 险管理，做好数据资产保护，确保大数据服务安全可靠运行，从而充分挖掘大 数据的价值，提高生产效率，同时又防范针对大数据应用的各种安全隐患

2.12利用大数据保障网络空间安全 国家互联网信息办公室2016年发布的《国家网络空间安全战略》指出：网 络空间安全事关人类共同利益，事关世界和平与发展，事关各国国家安全，并 提出要实施国家大数据战略，建立大数据安全管理制度，支特大数据、云计算 等新一代信息技术创新和应用，为保障国家网络安全务实产业基础，大数据安 全已成为国家网铬空间安全的核心组成。 随着大数据应用的蓬勃发展，安全行业正发生重大转变，利用大数据来保 障网铬空间安全成为一种趋势。网铬空间安全涉及到网铬空何中电磁设各、信 息通信系统、运行数据、系统应用所而临的安全威助防护，既要防止包括互联 网、电信网与通信系统、传播系统与广电网、计算机系统、工业控制网络系统 及其所承载的数据免遭破坏，也要防止对这些网络基础设施和重受信息系统的 攻击或潘用波及到政治安全、经济安全，文化安全、社会安全和国防安全。针 对上述安全风险，需要采取法律、管理、技术等综合手段来进行积极应对，确 保网络基础设施、重要信息系统及其所承我数据的保密性、完整性、可鉴别性、 可用性、可靠性、可控性得到保障。 目前，大数据技术己经广泛应用到网络空间安全中的网路安全态势感知、 高级持续酸胁《PT)检测、伪基站发现与追踪、反钓鱼攻击、金融反欺诈等领 域，并不断有新的应用场景出现。 大数据是实现网络空间安全保障的重要技术。综合考虑当前大数据应用的 特点，利用大数据技术构建网络空间安全防护体系，建设以数据为核心的安全 防护系统。集成态势感知、人工智能综合分析等功能，利用大数据技术工具， 将传统的事中检测和事后响应防御体系转变为包括事前评估顶防、事中检测和 事后响应恢复的全面安全防护体系，为网铬空间安全带来新的管理理念和技术 创新，从而大幅提升网络空间安全治理能力。 2.2我国大数据安全发展状况 为了保障大数据安全和网络空间安全，我国网络安全企业近年来发展迅速， 网络安全初创企业不断涌现，各种先进的安全技术也被及时引入到国内。中国 信息通信研究院于2017年9月19日发布的《2017网络安全产业白皮书》表明， 我国网络安全产业在近几年步入快速发展的新阶段：网络安全领城创新话跃： 网络安全企业实力有较大提高，出现了一批具有整合能力的龙头企业。我国网 络安全企业的业务类型基本覆盖了大数据安全涉及的各方面，包括基础设施安 全、应用安全、数据安全、身份与访问管理、云安全、安全管理、安全服务等 领域，这些企业是我国大数据安全市场的主力军， 据赛遍顾问统计，2016年我国信息安全市场（包括大数据安全市场）整传 规模达到336.2亿元，比2015年增长21.5%：其中信息安全硬件仍为主力，占 比达到50.7%，信息安全软件与服务分别占37,7%、11.6。经统计，截止2017 年8月，我国在主板上市的网络安全企业共有12家，总市值1171.9亿元，营 业收入148.18亿元，在新三板上市的网铬安全企业共有36家，营业收入共计 23.54亿元。 作为企业发展的聚集区和解化区，大数据安全产业园区建设也己逐步展开

5 2.1.2 利用大数据保障网络空间安全 国家互联网信息办公室 2016 年发布的《国家网络空间安全战略》指出：网 络空间安全事关人类共同利益，事关世界和平与发展，事关各国国家安全，并 提出要实施国家大数据战略，建立大数据安全管理制度，支持大数据、云计算 等新一代信息技术创新和应用，为保障国家网络安全夯实产业基础，大数据安 全已成为国家网络空间安全的核心组成。 随着大数据应用的蓬勃发展，安全行业正发生重大转变，利用大数据来保 障网络空间安全成为一种趋势。网络空间安全涉及到网络空间中电磁设备、信 息通信系统、运行数据、系统应用所面临的安全威胁防护，既要防止包括互联 网、电信网与通信系统、传播系统与广电网、计算机系统、工业控制网络系统 及其所承载的数据免遭破坏，也要防止对这些网络基础设施和重要信息系统的 攻击或滥用波及到政治安全、经济安全、文化安全、社会安全和国防安全。针 对上述安全风险，需要采取法律、管理、技术等综合手段来进行积极应对，确 保网络基础设施、重要信息系统及其所承载数据的保密性、完整性、可鉴别性、 可用性、可靠性、可控性得到保障。 目前，大数据技术已经广泛应用到网络空间安全中的网络安全态势感知、 高级持续威胁（APT）检测、伪基站发现与追踪、反钓鱼攻击、金融反欺诈等领 域，并不断有新的应用场景出现。 大数据是实现网络空间安全保障的重要技术。综合考虑当前大数据应用的 特点，利用大数据技术构建网络空间安全防护体系，建设以数据为核心的安全 防护系统，集成态势感知、人工智能综合分析等功能，利用大数据技术工具， 将传统的事中检测和事后响应防御体系转变为包括事前评估预防、事中检测和 事后响应恢复的全面安全防护体系，为网络空间安全带来新的管理理念和技术 创新，从而大幅提升网络空间安全治理能力。 2.2 我国大数据安全发展状况 为了保障大数据安全和网络空间安全，我国网络安全企业近年来发展迅速， 网络安全初创企业不断涌现，各种先进的安全技术也被及时引入到国内。中国 信息通信研究院于2017年9月19日发布的《2017网络安全产业白皮书》表明， 我国网络安全产业在近几年步入快速发展的新阶段；网络安全领域创新活跃； 网络安全企业实力有较大提高，出现了一批具有整合能力的龙头企业。我国网 络安全企业的业务类型基本覆盖了大数据安全涉及的各方面，包括基础设施安 全、应用安全、数据安全、身份与访问管理、云安全、安全管理、安全服务等 领域，这些企业是我国大数据安全市场的主力军。 据赛迪顾问统计，2016 年我国信息安全市场（包括大数据安全市场）整体 规模达到 336.2 亿元，比 2015 年增长 21.5%；其中信息安全硬件仍为主力，占 比达到 50.7%，信息安全软件与服务分别占 37.7%、11.6%。经统计，截止 2017 年 6 月，我国在主板上市的网络安全企业共有 12 家，总市值 1171.49 亿元，营 业收入 148.18 亿元。在新三板上市的网络安全企业共有 36 家，营业收入共计 23.54 亿元。 作为企业发展的聚集区和孵化区，大数据安全产业园区建设也已逐步展开