大数据安全第4期：了解大数据安全标准体系应当先从这里开始

大数据安全风险伴随大数据应用而生。随着互联网、大数据应用的爆发，数据丢失和个人信息泄漏事件频发，地下数据交易黑灰产造成数据滥用和网络诈骗，并引发恶性社会事件，甚至危害国家安全。

2015年5月，美国国税局宣布其系统遭受攻击，约71万人的纳税记录被泄露，同时约39万个纳税人账户被冒名访问；

2016年8月，犯罪团伙利用非法获取得到的数万条高考考生信息实施诈骗，山东女孩徐玉玉因学费被骗出现心脏骤停，最终抢救无效死亡；

2016年12月，雅虎公司宣布其超过10亿的用户账号已被黑客窃取，相关信息包括姓名、邮箱口令、生日、邮箱密保问题及答案等内容；

2016年至今，全球范围内数以万计的MongoDB系统遭到攻击，大量系统被黑客索取赎金。

2017年11 月 ，趣店数据疑似外泄，十万可买百万学生信息。此次泄露的数据维度极为细致，除学生借款金额、滞纳金等金融数据外，甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。

大数据技术和平台应用层面的挑战

1从技术架构角度看

• 海量、多源、异构、动态性等大数据特征导致其与传统封闭环境下的数据应用安全环境有所区别。
• 如基于Hadoop生态架构的HBase/Hive、Cassandra/Spark、MongoDB等大数据开源平台在设计之初，大部分考虑是在可信的内部网络使用，对大数据应用用户的身份鉴别、授权访问、密钥服务以及安全审计等方面考虑较少。
• 由于大数据数据类型复杂、应用范围广泛，它通常要为来自不同组织或部门、不同身份与目的的用户提供服务。

2从大数据应用角度看

• 大数据拥有巨大的数据，使得其更容易成为网络攻击的显著目标。
• 由于大数据系统中普遍存在大量的个人信息，在发生数据滥用、内部偷窃、网络攻击等安全事件时，个人信息泄漏产生的后果将远比一般信息系统严重。
• 由于采集终端性能限制、技术不足、信息量有限、来源种类繁杂等原因，对所有数据进行真实性验证存在很大的困难。

大数据安全标准是应对大数据安全需求的重要抓手。基于对上面大数据安全风险和挑战的综合分析，以及对当前大数据技术和应用发展现状，以及当前我国对大数据安全合规方面的要求，提出五个方面的大数据安全标准化需求。

1、规范大数据安全相关术语和框架

2、为大数据平台安全建设、安全运维提供标准支撑

3、为数据生命周期管理各个环节提供安全管理标准

4、为大数据服务安全管理提供安全标准支撑

5、为行业大数据应用的安全和健康发展提供标准支撑

以上说了那么多

重点来了

我们的大数据安全标准体系

组成到底是怎么样的呢？

由五个类别的标准组成

如下图所示

图：大数据安全标准体系框架

（一）基础类标准

整个大数据安全标准体系提供包括概述、术语、参考架构等基础标准，明确大数据生态中各类安全角色及相关的安全活动或功能定义，为其它类别标准的制定奠定基础。

（二）平台和技术类标准

该类标准主要针对大数据服务所依托的大数据基础平台、业务应用平台及其安全防护技术、平台安全运行维护及平台管理方面的规范，包括系统平台安全、平台安全运维和安全相关技术三个部分。系统平台安全主要涉及基础设施、网络系统、数据采集、数据存储、数据处理等多层次的安全技术防护。平台安全运维主要涉及大数据系统运行维护过程中的风险管理、系统测评等技术和管理类标准。安全相关技术主要涉及分布式安全计算、安全存储、数据溯源、密钥服务、细粒度审计等安全防护技术。

（三）数据安全类标准

该类标准主要包括个人信息、重要数据、数据跨境安全等安全管理与技术标准，覆盖数据生命周期的数据安全，包括分类分级、去标识化、数据跨境、风险评估等内容。

（四）服务安全类标准

该类标准主要是针对开展大数据服务过程中的活动、角色与职责、系统和应用服务等要素提出相应的服务安全类标准，包括安全要求、实施指南及评估方法；针对数据交易、开放共享等应用场景，提出交易服务安全类标准，包括大数据交易服务安全要求、实施指南及评估方法。

（五）行业应用类标准

该类标准主要是针对重要行业和领域大数据应用，对涉及国家安全、国计民生、公共利益的关键信息基础设施的安全防护，形成面向重要行业和领域的大数据安全指南，指导相关的大数据安全规划、建设和运营工作。

了解了这个标准分类

就能明白了整个大数据标准的整体体系结构

当遇到一个具体标准的时候

我们就可以清楚的了解该标准的归属

以保障我们能把标准用到合理的实际场景中