让世界更安全,更美好!

360数字安全 核心优势 行业地位 资质荣誉 大事记 资讯中心

ISC 2020 大数据产业安全创新在线研讨会丨左晓栋:重要数据识别研究进展

2020-09-08

 智能化时代,飞速发展的新技术手段使人类生活的空间变成由无数个数据节点联结的数字世界。随着时代的推移与进化,数据呈现出裂变式的发展趋势,越来越多的数据资源共存在网络世界中。

面对复杂庞大的数据,我们又该如何去定义、如何去分类、如何去更好的挖掘数据深层的价值呢?

 


9月7日,在第八届互联网安全大会(ISC 2020)大数据产业安全创新在线研讨会上,来自中国信息安全研究院副院长左晓栋以《重要数据识别研究进展》为主题,围绕重要数据识别课题研究的背景、国外对特定非个人数据的分类、重要数据识别标准起草原则和主要思路、关于重要数据的几个基础问题以及对重要数据基本分类的建议这五方面进行了分享。

 


明确重要数据的基本概念已成为当务之急


智能时代与数据时代,数据安全泄露事件频有发生,国家已经开始高度重视数据安全的保护,陆续出台相关的政策法规,明确对数据安全的相关保护规范,但针对“重要数据”这一概念始终没有明确清晰的定义。

《网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。在法律层面提出“重要数据”,建立了个人信息和重要数据的出境安全评估制度。 

《网络安全审查办法》将重要数据面临的风险作为一个重要考虑要素,其中规定,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑重要数据被窃取、泄露、毁损的风险等因素。此外,《数据安全法》(草案)将重要数据作为核心概念,要求建立数据分级分类保护制度。《数据安全管理办法(征求意见稿)》也对“重要数据”提出了相关管理要求。

左晓栋指出,虽然上述规定都涉及到了重要数据的内容,但并没有明确对“重要数据”做出定义。“在一定程度上损害了法律的权威性,也影响了网络安全审查、数据出境安全评估等制度的进一步实施。因此,这也在客观上要求我们明确‘重要数据’的基本概念已成为当务之急”左晓栋说道。 

同时,左晓栋还表示,当研究一项新的制度指南时,一定要综合考虑到我国现有的行业数据管理要求,这项新的研究一定要与这些规定相衔接。这也是研究重要数据识别课题研究的另一大重要背景。


他山之石 可以攻玉


“重要数据”不是一个国际通用词汇,多数国家没有将其作为一个大类提出统一要求,而是分散到各个具体行业、特定场合进行管理。但这绝不意味着“重要数据‘是中国特有的概念。

左晓栋指出,国外对特定非个人数据的分类以美国商务部下属的国家保准技术研究院提出的联邦政府数据的分类标准——NIST 800-60为例,从保密性、完整性和可用性三个角度提出了三个分类级别。“特别注意的是它把所有的联邦数据进行了明确的分类,比如说有管理和支撑类的信息,其中包括42类服务交付类和35类政府资源管理类等,意味着整个联邦政府所有的数据信息都可以在NIST 800-60里找到对应的类别。”左晓栋说道。 

除此之外,美国还提出了一个CUI的概念,即受控非密信息,CUI分为17类、124子类信息。2010年11月4日,奥巴马总统签署第13556号行政令《受控非密信息》,对CUI实施登记备案及标识管理制度,确立了管理受控非密信息的政府计划。

此外,美国认为对在非联邦系统和组织中CUI信息的保护至关重要,将会直接影响联邦政府成功执行任务和业务运营的能力。为此,NIST还制定了SP 800-171系列标准。 

左晓栋表示,我们有理由相信这些分类方法与我国的重要信息识别具有很强的类似性,因此,在研究重要数据识别时,我们需要对这类分类方法进行关注和借鉴。


重要数据识别应聚焦国家安全 反映中国特色


由于重要数据识别是一项比较复杂的工作,为此,左晓栋表示,在进行“重要数据识别指南”的过程中明确了三个原则。


在谈及重要数据的基础问题时,左晓栋指出,我们需要考虑六个基础问题。 


最后,左晓栋分享了一套重要数据基本分类的方法。他表示,不同行业的数据有不同的重要性,但行业分类不是决定数据重要性的内在属性。从数据的作用、受破坏后可能带来的影响等角度,他建议将重要数据分为八类,分别是国民经济运行类、安保类、自然资源与环境类、健康类、敏感技术类、用户类(或应用服务类)、政府工作秘密类和其他类。

在做这项重要工作时提出了一个重要数据的分类表示,即一级目录、二级目录、三级目录,从一个形式化的方法中对数据进行英文字母的标识,进而对其进行描述,如对国家安全公共利益的影响、面临的主要安全威胁、涉及的行业主管部门的主要分布、项目的管理政策、主要特征、时效以及其他重要备注的内容等。

数据已成为信息时代重要的生产要素,是数据经济发展的“石油”,数据的安全对企业、个人乃至国家对都会带来重大影响,重要数据的识别也将对数据的分类保护起到至关重要的作用。

据悉,在第八届互联网安全大会(ISC 2020)大数据产业安全创新在线研讨会上,除了对重要数据识别、数据安全、网络安全态势感知等内容进行分享,还将汇聚各行业的专家、企业代表们共话大数据产业安全。

第八届互联网安全大会(ISC 2020)——永不闭幕,诚邀您关注大数据安全,关注网络安全,共塑健康安全的网络空间环境。