劉賢剛，孫彥，胡影，趙梓桐

（1.中國電子技術標準化研究院 信息安全研究中心， 北京 100007；2.全國信息安全標準化技術委員會秘書處，北京 100007）

云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術的廣泛應用帶來數(shù)據(jù)的爆炸式增長。據(jù)統(tǒng)計，F(xiàn)acebook的數(shù)據(jù)倉庫數(shù)據(jù)量接近300PB，并仍以每天600TB的速度不斷增長[1]。推特每天處理的推特數(shù)量超過5億條[2]；每天通過微信發(fā)送的消息超過380億次，語音超過61億次[3]。伴隨著新技術的發(fā)展和數(shù)據(jù)體量的增長，數(shù)據(jù)濫用、個人隱私泄漏、非法數(shù)據(jù)交易等安全挑戰(zhàn)日益突出[4]。2017年11月，美國五角大樓由于配置錯誤導致三臺存儲服務器被設置為“可公開下載”，意外暴露美國國防部的分類數(shù)據(jù)庫，其中包含美國當局在全球社交媒體平臺中收集到的18億用戶的個人信息[5]。2018年1月，印度媒體報道指出印度公民身份數(shù)據(jù)庫Aadhaar遭到網(wǎng)絡攻擊，僅需500盧比即可獲得登陸憑證，訪問Aadhaar數(shù)據(jù)庫的中存儲的包括姓名、住址、照片、電話號碼、電子郵箱地址等個人信息。2018年3月，F(xiàn)acebook爆出數(shù)據(jù)泄漏事件，超過5000萬的用戶數(shù)據(jù)被劍橋分析公司非法收集并用于政治廣告[6]。

為了積極應對數(shù)據(jù)安全風險和挑戰(zhàn)，國內(nèi)外主要標準化組織均加快在數(shù)據(jù)安全領域的布局。目前數(shù)據(jù)安全標準化工作主要圍繞大數(shù)據(jù)安全和個人信息安全兩個方面開展。國際標準化組織/國際電工委員會第1聯(lián)合技術委員會(Joint Technical Committee, Information Technology,of International Organization for Standardization and International Electrotechnical Commission，ISO/IEC JTC 1)在2014年成立大數(shù)據(jù)工作組(ISO/IEC JTC 1/WG 9，WG 9)，編制大數(shù)據(jù)相關標準；ISO/IEC JTC 1于2017年10月決定成立人工智能分技術委員會（ISO/IEC JTC 1/SC 42，SC 42）[7]；信息安全分技術委員會（ISO/IEC JTC 1/SC 27，SC 27）[8]目前與大數(shù)據(jù)安全、個人信息保護相關的標準和研究項目多達20項；國際電信聯(lián)盟電信標準分局（International Telecommunication Union Telecommunication Standardization Sector，ITU-T）的安全工作組（Study Group 17, ITU-T SG17）[9]中目前關于數(shù)據(jù)安全相關的標準和研究項目近20項；美國國家標準化研究院（National Institute of Standards and Technology， NIST） 于2013年5月成立了NIST大數(shù)據(jù)公共工作組（NIST Big Data Working Group，NBD-PWG）[10]， 發(fā) 布大數(shù)據(jù)框架系列標準。此外，NIST還發(fā)布包括SP 800-122[11]、NISTIR 8053[12]等在內(nèi)的多項數(shù)據(jù)安全相關標準。全國信息安全標準化技術委員會(簡稱TC260)于2016年成立大數(shù)據(jù)特別工作組[13]，推動包括GB/T 35273-2017《信息安全技術個人信息安全規(guī)范》[14]、GB/T 35274-2017《信息安全技術 數(shù)據(jù)服務安全能力要求》[15]等多項數(shù)據(jù)安全相關標準的制訂。

本文針對目前數(shù)據(jù)安全國際標準化工作進行系統(tǒng)調(diào)研和梳理，分析數(shù)據(jù)安全領域面臨的主要安全風險，總結數(shù)據(jù)安全標準相關工作在WG 9、 ITU-T SG17、NIST和SC 27等標準化組織中的現(xiàn)狀，重點說明了SC 27下，我國起主導作用的4項數(shù)據(jù)安全相關國際標準的立項背景、標準技術內(nèi)容和最新進展，并對數(shù)據(jù)安全國際標準化未來的工作給出建議。

1 數(shù)據(jù)安全風險

在數(shù)據(jù)安全相關領域，目前WG 9、ITU-T SG17、NIST和SC 27等標準化組織的工作主要圍繞大數(shù)據(jù)安全風險的應對和個人信息保護兩個方面展開。本章針對這兩方面的風險分別進行分析。

1.1 大數(shù)據(jù)安全相關風險

大數(shù)據(jù)安全相關風險主要包括數(shù)據(jù)真實性保障困難、現(xiàn)有安全措施難以適用于大數(shù)據(jù)系統(tǒng)、大數(shù)據(jù)系統(tǒng)軟件自身安全機制缺乏、基礎密碼技術亟待突破等[4]。

數(shù)據(jù)真實性保障困難。大數(shù)據(jù)系統(tǒng)中的數(shù)據(jù)的來源非常廣泛，除了來自于可信數(shù)據(jù)源的數(shù)據(jù)，還可能包含大量來自不可信數(shù)據(jù)源的數(shù)據(jù)，例如，通過第三方共享方式獲得的數(shù)據(jù)。攻擊者通過污染數(shù)據(jù)源，可以誤導數(shù)據(jù)分析的結果。數(shù)據(jù)真實性保障面臨的安全風險嚴峻，數(shù)據(jù)的真實性確認、來源驗證等安全需求十分迫切。

現(xiàn)有安全措施難以適用于大數(shù)據(jù)系統(tǒng)。大數(shù)據(jù)系統(tǒng)通常采用分布式架構實現(xiàn)大量數(shù)據(jù)的高效計算和存儲，軟硬件結構復雜，系統(tǒng)邊界不清晰，部分計算節(jié)點或存儲節(jié)點遭受攻擊或出現(xiàn)故障可造成大數(shù)據(jù)系統(tǒng)的整體安全問題?，F(xiàn)有身份鑒別、訪問控制和安全審計等技術在大數(shù)據(jù)系統(tǒng)中面臨著巨大的挑戰(zhàn)。身份鑒別方面，數(shù)據(jù)開放共享造成用戶身份復雜性和管理難度的顯著增加?；跀?shù)據(jù)集中存儲的身份鑒別無法滿足大數(shù)據(jù)應用場景的安全需求，急需新的安全措施以更準確地鑒別用戶身份；訪問控制方面，現(xiàn)行技術依賴于用戶身份或角色實現(xiàn)。由于數(shù)據(jù)多樣性的原因，大數(shù)據(jù)系統(tǒng)面臨大量未知用戶和數(shù)據(jù)，預先設置角色和權限十分困難。即使實現(xiàn)權限分類，由于角色眾多，細粒度地控制權限，準確指定數(shù)據(jù)訪問范圍難度較大；安全審計方面，常見審計方式，例如操作系統(tǒng)審計、日志審計等在審計粒度上較粗，難以滿足大數(shù)據(jù)應用場景下審計多種數(shù)據(jù)源日志的需求，無法獲得良好的溯源效果。

大數(shù)據(jù)系統(tǒng)軟件自身安全機制缺乏。大數(shù)據(jù)系統(tǒng)的實現(xiàn)軟件，例如，Hadoop、Hbase、Spark等，通?？紤]在可信內(nèi)部網(wǎng)絡環(huán)境中使用，軟件設計重點圍繞大容量、高速率的數(shù)據(jù)處理等功能進行，安全特性不是主要的關注點，安全設計規(guī)劃投入有限，較少考慮大數(shù)據(jù)系統(tǒng)用戶的身份鑒別、授權訪問以及安全審計等功能需求。

基礎密碼技術亟待突破。大數(shù)據(jù)系統(tǒng)造成數(shù)據(jù)所有者、數(shù)據(jù)控制者和數(shù)據(jù)處理者角色的分離。數(shù)據(jù)可能被非數(shù)據(jù)所有者訪問和處理，造成數(shù)據(jù)保密性和完整性方面的巨大安全風險。密碼技術是實現(xiàn)大數(shù)據(jù)安全保護與共享的基礎。對于日益復雜的大數(shù)據(jù)應用場景，現(xiàn)有密碼算法在適用場景、計算效率和密鑰管理等方面存在明顯不足。近年來，針對大數(shù)據(jù)安全保護的密碼技術被廣泛研究，同態(tài)加密算法、密文搜索和密文數(shù)據(jù)去重等技術雖獲得較快發(fā)展，但距離大規(guī)模實用仍有一定距離。

1.2 個人信息相關安全相關風險

個人信息安全相關風險主要包括個人信息泄漏風險加劇、數(shù)據(jù)所有者權益難以保障等[4]。

個人信息泄漏風險加劇。大數(shù)據(jù)系統(tǒng)中普遍存儲大量的個人信息。數(shù)據(jù)濫用、內(nèi)部偷竊、網(wǎng)絡攻擊等安全事件發(fā)生時，一般會伴隨著個人信息的泄露[5,6]。同時，數(shù)據(jù)挖掘、機器學習等技術的發(fā)展，帶來數(shù)據(jù)分析能力的不斷提升。即使通過數(shù)據(jù)清洗、匿名化等技術對個人信息進行處理，個人信息泄露的安全風險依然存在。

數(shù)據(jù)所有者權益難保障。大數(shù)據(jù)的應用包括采集、傳輸、存儲、處理、交換、銷毀等階段。不同階段，可能出現(xiàn)數(shù)據(jù)所有者和控制者不同、數(shù)據(jù)所有權和使用權分離的情況。數(shù)據(jù)控制者可以不受數(shù)據(jù)所有者的約束，隨意使用、分享、交換、轉(zhuǎn)移、刪除數(shù)據(jù)，造成數(shù)據(jù)濫用、權屬不明確、安全監(jiān)管責任不清晰等安全風險，嚴重損害數(shù)據(jù)所有者的權益。同時，目前大數(shù)據(jù)應用中，數(shù)據(jù)產(chǎn)權不清晰的問題也很突出。例如，經(jīng)過數(shù)據(jù)分析處理獲得的新數(shù)據(jù)，新數(shù)據(jù)的所有權應歸屬數(shù)據(jù)所有者或是數(shù)據(jù)處理者目前仍存在爭議。

2 數(shù)據(jù)安全國際標準化現(xiàn)狀

2.1 ISO/IEC JTC 1/WG 9相關工作

ISO/IEC JTC 1/WG 9是ISO/IEC JTC 1于2014年11月成立的大數(shù)據(jù)工作組。工作范圍包括聚焦和支持JTC 1的大數(shù)據(jù)標準計劃，編制大數(shù)據(jù)基礎標準（包括參考架構和術語標準），識別大數(shù)據(jù)標準化中的差距，與涉及大數(shù)據(jù)相關工作的其他標準組織建立和維護聯(lián)絡關系等。

WG 9工作組正在研制的標準主要包括ISO/IEC 20546《信息技術 大數(shù)據(jù) 概述和詞匯》[16]和ISO/IEC 20547《信息技術 大數(shù)據(jù)參考架構》。其中，ISO/IEC 20547為多部分標準，共包含5個部分，包括ISO/IEC TR 20547-1《第1部分：框架和應用過程》[17]、ISO/IEC TR 20547-2《第2部分：用例和衍生需求》（已發(fā)布）[18]、ISO/IEC 20547-3《第3部分：參考架構》[19]、ISO/IEC 20547-4《第4部分：安全與隱私保護》[20]、ISO/IEC TR 20547-5《第5部分：標準路線圖》（已發(fā)布）[21]。ISO/IEC 20547-3《第3部分：參考架構》提供大數(shù)據(jù)的參考架構，ISO/IEC 20547-4《第4部分：安全與隱私保護》在ISO/IEC 20547-3參考架構的基礎上構建大數(shù)據(jù)安全與隱私的參考架構.2016年3月，ISO/IEC JTC 1咨詢組將ISO/IEC 20547-4《第4部分：安全與隱私保護》標準由WG 9轉(zhuǎn)交給了JTC 1下專門負責安全標準的分技術委員會SC 27。

在2017年10月的JTC 1俄羅斯全會成立SC 42人工智能分委員會[7]。伴隨SC 42的成立，WG 9工作組將合并至SC 42.2018年4月，SC 42首次全會確認合并WG 9工作組的決議，并將盡快接收WG 9的已有工作。

2.2 ITU-T相關工作

ITU-T SG17是ITU-T負責制定安全相關標準的工作組。ITU-T SG17中與數(shù)據(jù)安全相關的標準項目可分為以下幾類：信息通信技術業(yè)務中涉及的個人信息、生物特征信息安全問題；云計算的數(shù)據(jù)安全；大數(shù)據(jù)安全；電子商務與金融科技、生物識別、車聯(lián)網(wǎng)、區(qū)塊鏈等特定行業(yè)、技術領域的數(shù)據(jù)安全。目前，ITU-T SG17已發(fā)布和在研的標準項目如下：

在個人信息領域，X.1033《運營商提供的個人信息服務安全指南》[22]定義為個人用戶提供通信服務、內(nèi)容服務和信息化服務時，監(jiān)管方、運營方、服務提供方、終端用戶等各種角色應滿足的安全要求，隱私保護作為安全要求中的一個權衡因素被提出。X.sup32《電信組織個人可識別信息保護實用規(guī)程》[23]在X.1058（即ISO/IEC 29151）[24]的基礎上增加針對電信組織的個人可識別信息（Personal Identifiable Information，PII）保護要求，包括電信組織使用第三方云服務時應滿足的PII保護要求，涵蓋了制度、管理、技術等方面的要求。X.fdip《電信服務提供商去識別處理服務框架》[25]是電信業(yè)務的數(shù)據(jù)脫敏標準，定義數(shù)據(jù)流轉(zhuǎn)的生命周期，基于所定義的生命周期規(guī)定各個階段中關于數(shù)據(jù)脫敏的考慮、數(shù)據(jù)脫敏技術的模型與分類、數(shù)據(jù)脫敏的技術框架等。X.tsfpp《防范垃圾信息時保護用戶個人信息的技術安全框架》[26]主要研究垃圾信息治理中的個人信息保護問題，僅關注技術框架，不涉及法律法規(guī)。

在云計算領域，X.1641《云服務客戶數(shù)據(jù)安全指南》[27]定義云計算服務中保護客戶數(shù)據(jù)的方法，從數(shù)據(jù)生命周期的角度（創(chuàng)建、傳輸、存儲、使用、遷移、銷毀、備份和恢復）規(guī)定云服務提供商在不同階段應執(zhí)行的操作或具備的能力。X.1603《云計算監(jiān)控服務的數(shù)據(jù)安全要求》[28]定義云計算監(jiān)控服務數(shù)據(jù)的生命周期，以及監(jiān)控服務數(shù)據(jù)獲取和存儲的安全要求等。

在大數(shù)據(jù)安全領域，X.1147《移動互聯(lián)網(wǎng)服務中大數(shù)據(jù)分析的安全要求和框架》[29]定義移動互聯(lián)網(wǎng)服務領域的大數(shù)據(jù)分析安全，包括風險分析、安全要求及安全技術框架。X.GSBDaaS《大數(shù)據(jù)服務安全指南》[30]分析大數(shù)據(jù)平臺的數(shù)據(jù)存儲、分析、計算等面臨的安全挑戰(zhàn)，提供大數(shù)據(jù)平臺服務的安全角色和責任，以及大數(shù)據(jù)平臺的組件化安全技術框架，規(guī)范大數(shù)據(jù)平臺建設、運營過程中需要滿足的安全要求。X.sgBDIP《大數(shù)據(jù)基礎設施和平臺安全指南》[31]規(guī)范通用大數(shù)據(jù)基礎架構和平臺安全要求，通過風險評估與分析，提出安全指南要求.X.sgtBD《電信大數(shù)據(jù)生命周期管理的安全指南》[32]定義電信大數(shù)據(jù)生命周期管理的安全準則，介紹相關應用案例，分析電信大數(shù)據(jù)生命周期管理中的安全風險，制定安全準則。

在特定行業(yè)和技術領域，X.1040《電子商務業(yè)務數(shù)據(jù)生命周期管理的安全參考體系結構》[33]分析電子商務系統(tǒng)面臨的安全威脅，從保密性、完整性、可用性、認證、授權、審計等多個安全維度為電子商務業(yè)務數(shù)據(jù)的生命周期管理提供了安全參考架構。X.1080.0《遠程生物特征識別數(shù)據(jù)訪問控制保護》[34]對使用加密消息語法進行保護的遠程生物特征識別數(shù)據(jù)提出相關技術要求。X.srcd《V2X通信中分類數(shù)據(jù)的安全性要求》[35]將V2X通信系統(tǒng)中使用的數(shù)據(jù)進行分類，包括對象屬性數(shù)據(jù)、車輛狀態(tài)數(shù)據(jù)、環(huán)境數(shù)據(jù)、應用程序服務數(shù)據(jù)、行為數(shù)據(jù)和機密數(shù)據(jù)等，為不同類型數(shù)據(jù)指定不同的安全級別，提出相應的安全要求。X.mdcv《基于大數(shù)據(jù)分析的聯(lián)網(wǎng)車輛安全相關違規(guī)行為檢測機制》[36]建議使用大數(shù)據(jù)分析技術檢測車輛的危險行為，利用汽車數(shù)據(jù)改善車輛安全性。X.das-mgt《基于分布式賬本的數(shù)據(jù)訪問與共享管理系統(tǒng)的安全框架》[37]主要研究分布式賬本中的數(shù)據(jù)可追溯性、可驗證性、以及數(shù)據(jù)狀態(tài)可變性等問題，以提出一個可信、透明的數(shù)據(jù)訪問與共享管理方案。X.dlt-sec《使用分布式賬本數(shù)據(jù)進行身份管理中的安全考慮》[38]主要研究分布式賬本中身份數(shù)據(jù)的安全問題。

2.3 NIST相關工作

NIST于2012年6月啟動了大數(shù)據(jù)相關基本概念、技術和標準需求的研究，2013年5月成立NIST大數(shù)據(jù)公共工作組（NBD-PWG）[10]。2015年 9月NBD-PWG發(fā)布SP 1500《NIST 大數(shù)據(jù)互操作框架》系列標準的第一版，包括7個分冊，分別為SP 1500-1《第1冊 定義》[39]、SP 1500-2《第2冊 大數(shù)據(jù)分類法》[40]、SP 1500-3《第3冊用例和一般要求》[41]、SP 1500-4《第4冊 安全和隱私保護》[42]、SP 1500-5《第5冊 架構調(diào)研白皮書》[43]、SP 1500-6《第6冊 參考架構》[44]和SP 1500-7《第7冊 標準路線圖》[45]。2018年6月完成第二版的編制工作，在對第一版原有7個分冊進行修訂的基礎上，新增2個分冊。分別為SP 1500-9《第8冊 大數(shù)據(jù)參考架構接口》[46]和SP 1500-10《第9冊 大數(shù)據(jù)采用與現(xiàn)代化》[47]。9個分冊中SP 1500-4《第4冊 安全與隱私保護》由NBD-PWG工作組中的安全與隱私保護小組負責編寫，主要提供安全和隱私相關的參考框架。

除NBG-PWG的工作外，NIST目前已發(fā)布的關于數(shù)據(jù)安全的相關標準包括:SP 1800-11《數(shù)據(jù)完整性：從勒索軟件和其他破壞性事件中恢復》[48]、SP 800-171《非聯(lián)邦信息系統(tǒng)和組織的受控非機密信息的保護》[49]、SP 800-171A《受控非保密信息的安全要求評估》[50]、SP 800-154《以數(shù)據(jù)為中心的系統(tǒng)威脅建模指南》[51]、SP 800-188《政府數(shù)據(jù)集去標識化》[52]、SP 800-122《個人可識別信息機密保護指南》[11]、NISTIR 8053《個人可識別信息去標識化》[12]、SP 800-53《聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制措施》[53]等。

SP 1800-11指出隨著數(shù)據(jù)價值的增加，機構面臨的影響數(shù)據(jù)完整性的不良事件也日益增多，數(shù)據(jù)破壞事件會造成機構關鍵信息，例如電子郵件、員工記錄、財務記錄和客戶數(shù)據(jù)等被篡改或損壞。SP 1800-11用于指導機構在遭受數(shù)據(jù)破壞事件后迅速恢復數(shù)據(jù)，同時確保所恢復數(shù)據(jù)的準確性和精確性。

SP 800-171為聯(lián)邦機構提供一套建議性的安全要求，以保護受控非機密信息（Controlled Unclassified Information，CUI）在非聯(lián)邦系統(tǒng)和機構中的機密性。SP 800-171提出的安全要求適用于對CUI處理、存儲或傳輸，以及為這些功能的實現(xiàn)提供安全保護的非聯(lián)邦系統(tǒng)和機構。

SP 800-171A與SP 800-171配套，針對CUI的安全要求，提供評估程序和方法以保護非聯(lián)邦系統(tǒng)和機構中的CUI。安全評估程序和方法可根據(jù)需要評估的機構和人員進行定制，采用自我評估、獨立第三方評估或政府支持評估等方式進行，并且可以根據(jù)客戶定義的覆蓋范圍、屬性等進行不同嚴格程度的評估。

SP 800-154討論以數(shù)據(jù)為中心的系統(tǒng)威脅建模。此類威脅建模的側(cè)重點是保護系統(tǒng)中特定類型的數(shù)據(jù)，可以作為機構風險管理過程的一部分納入整體的風險管理過程。

SP 800-188用于指導政府部門使用去標識化技術，以減少收集、處理、存檔、分發(fā)或公開政府數(shù)據(jù)時相關的隱私安全風險。政府部門為有效使用去標識化技術，應評估去標識化的目標和潛在風險，使用特定的去標識化模型，建立審查委員會，采用適當?shù)募夹g標準。

SP 800-122用于幫助聯(lián)邦機構保護信息系統(tǒng)中的PII。SP 800-122提供了PII的識別指導，確定不同PII實例所需的適當保護，提出為PII提供適當保護水平的保障措施，為制定涉及PII事件的應急計劃提供建議。

NISTIR 8053指出目前去標識化技術被用于在使用、共享個人信息和保護個人隱私之間獲得平衡。NISTIR 8053對過去二十年的去識別化研究進行總結，討論目前的實踐方案，并指出未來研究的方向。

SP 800-53目前為第5修訂版本。該版本澄清安全和隱私之間的關系，以改善安全控制措施的選擇，解決安全和隱私風險。該版本同時為隱私相關控制措施提供概要和映射表格，將隱私控制措施和安全控制措施充分集成在一起。

2.4 ISO/IEC JTC 1/SC 27相關工作

ISO/IEC JTC 1/SC 27是ISO/IEC JTC 1下屬信息安全分技術委員會，成立于1990年，工作范圍涵蓋信息和信息通信技術保護的標準制修訂。SC 27下設五個工作組，分別為信息安全管理體系工作組（Working Group 1，WG1）,密碼技術與安全機制工作組（WG2）,安全評價、測試和規(guī)范工作組（WG3）,安全控制與服務工作組（WG4）和身份管理與隱私保護技術工作組（WG5）。各工作組負責各自工作范圍內(nèi)的標準制修訂，根據(jù)需要設立相應研究項目。目前，SC 27數(shù)據(jù)安全相關的標準和研究項目共有20項，主要集中在WG4、WG5，其中WG4組包含6項，WG5組包含13項，SC27層面包含1項。

WG4組主要負責信息安全控制與服務方面的標準研制和維護。WG4組中與數(shù)據(jù)安全相關的標準包括：

ISO/IEC 19086-4《云計算 服務水平協(xié)議（SLA）框架 第4部分：安全與PII保護》[54]通過服務等級目標(Cloud Service Level Objective)和服務質(zhì)量等級（Cloud Service Qualitative Objective）描述云服務在信息安全和PII保護方面的要求.其中，信息安全的要求建立在ISO/IEC 27002和ISO/IEC 27017的基礎上，PII保護方面的要求建立在ISO/IEC 29100[55]和ISO/IEC 27018[56]基礎上。

ISO/IEC 27030《信息技術 安全技術 物聯(lián)網(wǎng)的安全和隱私指南》[57]主要定義物聯(lián)網(wǎng)服務提供者、物聯(lián)網(wǎng)服務開發(fā)者、物聯(lián)網(wǎng)用戶討論物聯(lián)網(wǎng)環(huán)境下信息安全和隱私保護的相關要求。

ISO/IEC 27040:2015《信息技術 安全技術 存儲安全》[58]用于幫助機構控制數(shù)據(jù)存儲的安全風險，提供規(guī)劃、設計、記錄和實現(xiàn)安全存儲的方法。存儲安全主要包括設備和媒體介質(zhì)的安全、設備和媒體介質(zhì)管理活動的安全、應用和服務的安全、設備和媒體介質(zhì)生命周期內(nèi)與用戶相關的安全等。

大數(shù)據(jù)相關的3項標準ISO/IEC 20547-4《信息技術 大數(shù)據(jù)參考架構 第4部分：安全與隱私保護》、ISO/IEC 27045《大數(shù)據(jù)安全與隱私保護過程》和《大數(shù)據(jù)安全實施指南》均由我國主導，詳細分析見第3章。

WG5組主要負責身份管理和隱私保護方面的標準研制和維護。WG5組個人隱私保護標準體系架構如圖1所示。

圖1 ISO/IEC JTC1/SC27 WG5組個人隱私標準體系

在應用方面，ISO/IEC 27570《信息技術 安全技術 智慧城市隱私指南》[59]指出智慧城市作為一個復雜系統(tǒng)，其隱私保護需要考慮物聯(lián)網(wǎng)、大數(shù)據(jù)等不同領域的隱私保護需求。該標準基于智慧城市中的不同角色提供了隱私標準使用的指南。

在通用框架方面，ISO/IEC 29100:2011《信息技術 安全技術隱私保護框架》[55]為PII保護提供一個框架。確定了常見的隱私保護術語，定義PII保護中的參與者及處理PII的不同角色，提供隱私保護的原則。

在管理方面，ISO/IEC 29134《信息技術 安全技術 隱私影響評估指南》[60]用于評估隱私信息面臨的風險，包含隱私影響評估的流程、評估報告內(nèi)容及結構。ISO/IEC 27552《信息技術 安全技術 ISMS在隱私管理中的擴展》[61]根據(jù)ISO/IEC 29100定義的隱私框架與原則，擴展ISO/IEC 27001[62]的信息安全管理體系，主要針對的對象是信息安全管理體系中的PII控制者和PII處理者，定義保護PII的附加要求，使機構的管理能夠涵蓋信息安全的一般要求和PII保護的具體要求。ISO/IEC 29151《信息技術 安全技術 PII保護實踐指南》[24]為機構的PII保護提供了控制目標、控制措施和控制措施實施的指南，基于ISO/IEC 27002的指南，增加PII處理要求。ISO/IEC 27018《信息技術 安全技術 PII處理者在公有云中保護PII的實踐指南》[56]基于ISO/IEC 27002的要求，對公有云服務提供商，提出PII的監(jiān)管要求。ISO/IEC 27555《信息技術 安全技術 在組織中建立PII刪除概念》為機構提供PII刪除的指導，包括選擇PII刪除的時間、刪除的方法、刪除影響的評估等。

在實施方面，ISO/IEC 27550《信息技術 安全技術 隱私保護工程》[63]指導系統(tǒng)設計開發(fā)者開展良好的隱私工程實踐，指出隱私工程不僅需要考慮隱私保護的原則和概念，同時需要考慮隱私、安全和軟件工程相關的標準和實踐。ISO/IEC 29184《信息技術 安全技術 在線隱私通知和準許指南》[64]提供實施ISO/IEC 29100中隱私原則的詳細指南，機構能夠通過該指南構建清晰易懂的隱私通知和準許框架。ISO/IEC 29190《信息技術 安全技術 隱私保護能力評估模型》[65]為組織提供隱私相關流程管理能力評估的指導，確定隱私能力評估的具體步驟，規(guī)定一套用于隱私能力評估的級別。在可評估隱私能力的關鍵過程域、執(zhí)行過程評估的人員以及將隱私能力評估納入組織運營等方面提供指導。

在具體技術方面，ISO/IEC 29101《信息技術 安全技術 隱私保護體系結構框架》[66]對于關注個人隱私保護的信息通信技術系統(tǒng)設計提供技術框架。通過控制PII的處理、訪問和轉(zhuǎn)移，該標準指導使用者規(guī)劃、設計和建立信息通信技術系統(tǒng)架構，保障PII主體的隱私安全。同時，介紹隱私增強技術如何用于隱私控制。ISO/IEC 20889《隱私增強數(shù)據(jù)去標識化技術》[67]對已有的去標識化技術進行分類，描述去標識化技術的特征，包括底層技術以及每種技術在降低重識別風險方面的適用性。ISO/IEC 29191《信息技術 安全技術 部分匿名、部分不可鏈接鑒別要求》[68]提供了一個框架，明確半匿名和部分不相關身份認證的要求，給出兩個應用半匿名和部分不相關的例子。

3 我國主導的SC27數(shù)據(jù)安全標準

我國專家積極參與SC 27大數(shù)據(jù)安全標準化相關工作，目前SC27數(shù)據(jù)安全直接相關的標準化工作4項，分別是：ISO/IEC 20547-4《信息技術 大數(shù)據(jù)參考架構 第4部分：安全與隱私保護》、ISO/IEC 27045《大數(shù)據(jù)安全與隱私保護過程》以及2項研究項目《大數(shù)據(jù)安全實施指南》和《數(shù)據(jù)安全》，均由我國專家主導。

3.1 ISO/IEC 20547-4《信息技術 大數(shù)據(jù)參考架構 第4部分：安全與隱私保護》

ISO/IEC 20547《信息技術 大數(shù)據(jù)參考架構》最早由WG9于2014年11月提出，包括5個部分，其中ISO/IEC 20547-4為第4部分。根據(jù)工作組的分工，SC 27將該項目分配給安全控制與服務工作組(WG4)，同時安排身份管理與隱私保護技術工作組(WG5)予以協(xié)助，項目編輯1名，為我國專家[70]。

ISO/IEC 20547的5個 部 分 中，ISO/IEC 20547-3《第3部分：參考架構》和 ISO/IEC 20547-4《第4部分：安全與隱私保護》是核心，作為國際標準進行制定，其他三個部分作為技術報告制定。ISO/IEC 20547-3描述通用的大數(shù)據(jù)參考架構，ISO/IEC 20547-4描述大數(shù)據(jù)在安全與隱私保護方面的參考架構。ISO/IEC 20547-3是ISO/IEC 20547-4的上位標準，ISO/IEC 20547-4在ISO/IEC 20547-3給出的大數(shù)據(jù)參考架構基礎上設計大數(shù)據(jù)安全和隱私保護的參考架構。

編制思路上ISO/IEC 20547-4參考ISO/IEC 17789:2014《云計算 參考架構》[69]的視角方法來描述安全和隱私保護的參考架構。ISO/IEC 17789:2014《云計算 參考架構》包含用戶視角、功能視角、實現(xiàn)視角和部署視角。用戶視角描述系統(tǒng)語境、相關方、角色/子角色及其活動；功能視角描述支持活動的必要功能；實現(xiàn)視角描述所需功能的實現(xiàn)方式；部署視角描述所實現(xiàn)功能的部署方式。ISO/IEC 20547-4作為參考架構標準，僅考慮高層視角，即用戶視角和功能視角?！洞髷?shù)據(jù)安全實現(xiàn)指南》研究項目則對大數(shù)據(jù)安全從實現(xiàn)視角和部署視角進行討論。

ISO/IEC 20547-4將用戶視角中的大數(shù)據(jù)安全與隱私保護角色和子角色分為專職和相關兩種。專職角色和子角色專門從事大數(shù)據(jù)安全與隱私保護的活動；相關角色和子角色在履行其固有職責的同時，還負有大數(shù)據(jù)安全與隱私保護的責任并從事相關活動。ISO/IEC 20547-4繼承了ISO/IEC 20547-3給出的大數(shù)據(jù)應用提供者、大數(shù)據(jù)框架提供者、大數(shù)據(jù)服務伙伴、數(shù)據(jù)提供者和大數(shù)據(jù)消費者五大角色，作為大數(shù)據(jù)安全與隱私保護的相關角色。另外，鑒于ISO/IEC 20547-3將安全與隱私保護作為大數(shù)據(jù)參考架構中的橫跨方面，ISO/IEC 20547-4在大數(shù)據(jù)五大角色之下設計大數(shù)據(jù)安全與隱私保護的規(guī)劃者、管理者、實施者、運行者和審核者五個子角色，并賦予其相關職責和活動。

ISO/IEC 20547-4 繼承 ISO/IEC 20547-3 給出的功能分層，將安全與隱私保護功能作為多層功能，并設計相應的功能模塊/子模塊包括：策略與規(guī)程、數(shù)據(jù)與系統(tǒng)資產(chǎn)、組織和人員管理、服務規(guī)劃與管理、數(shù)據(jù)供應鏈管理、合規(guī)性管理、數(shù)據(jù)服務安全等。

2018年10月挪威約維克舉辦的第31屆SC 27工作組會議上，該項目討論工作草案（Working Draft）第4稿，針對來自各國專家的30條意見和貢獻出了處理決議，經(jīng)組內(nèi)討論決定進入委員會草案（Committee Draft）投票階段。

3.2 ISO/IEC 27045《大數(shù)據(jù)安全與隱私保護過程》

ISO/IEC 27045《大數(shù)據(jù)安全與隱私保護過程》項目于2017年4月在新西蘭哈密爾頓舉辦的第28屆SC 27全會及工作組會議上由我國提出[71]。項目屬于WG4安全控制與服務工作組，立項名稱為《大數(shù)據(jù)安全能力成熟度模型》“Big data security capability maturity model”，項目研究周期12個月，項目報告人包括我國專家1名，加拿大專家1名。

ISO/IEC 27045聚焦于大數(shù)據(jù)安全與隱私保護的過程架構以及安全過程的定義。安全過程包括一系列過程能力的基本實踐、過程目標、結果、活動和任務。ISO/IEC 27045包括四個部分，分別是大數(shù)據(jù)安全與隱私保護過程的概念和術語；大數(shù)據(jù)安全與隱私保護過程參考模型；大數(shù)據(jù)安全與隱私保護過程評估模型；大數(shù)據(jù)安全與隱私保護過程成熟度模型。

2018年4月我國武漢舉辦的第30屆SC 27全會及工作組會議上，該項目進行結題報告。經(jīng)各國專家討論，決定將結題報告中建議的四部分標準項目先合并為一個標準項目進行NWIP（New Work Item Proposal）立項投票。立項標準名稱修改為《大數(shù)據(jù)安全與隱私保護 過程》（Big data security and privacy —Processes），標準內(nèi)容包括概念與詞匯、過程參考模型、過程評估模型和過程成熟度模型。 2018年10月挪威約維克舉辦的第31屆SC 27工作組會議上，確認ISO/IEC 27045項目NWIP立項投票通過，對標準預備稿進行研討，并于會后形成工作草案第1稿。

3.3 《大數(shù)據(jù)安全實現(xiàn)指南》研究項目

《大數(shù)據(jù)安全實現(xiàn)指南》研究項目于2017年10月在德國柏林舉辦的第29屆SC 27工作組會議上由我國提出[72]。項目屬于WG4安全控制與服務工作組(ISO/IEC JTC 1/SC 27/WG4，Security Controls and Services)， 立 項 名稱 為"Guidelines for Implementation of Big Data Security"，項目研究周期12個月，項目報告人包括我國專家2名，加拿大專家1名。

該研究項目從實現(xiàn)視角和部署視角對ISO/IEC 20547-4進行配套，使現(xiàn)有國際標準體系更加完善及具備可實操性。從實現(xiàn)視角和部署視角考慮，研究項目指出大數(shù)據(jù)主要的安全風險包括：

基礎設施風險。例如，設備安全，物理環(huán)境安全等安全風險；數(shù)據(jù)采集風險。例如，采集環(huán)境，采集行為，采集傳輸，采集設備管理等安全風險；數(shù)據(jù)存儲風險。例如，存儲環(huán)境，越權訪問，中間人攻擊，數(shù)據(jù)災備等安全風險；數(shù)據(jù)處理安全風險。例如，認證機制，數(shù)據(jù)安全，軟件安全等安全風險；平臺管理安全風險。例如，日志審計，數(shù)據(jù)管理，配置管理等安全風險。

針對以上的大數(shù)據(jù)安全風險，從基本執(zhí)行框架和能力支撐測評兩個維度構建大數(shù)據(jù)安全保障體系?；緢?zhí)行框架包括安全策略體系、安全管理體系、安全運營體系和安全技術體系。其中，安全策略體系描述大數(shù)據(jù)安全管理方面的總體方針，是體系建設的基本依據(jù)；安全管理體系描述大數(shù)據(jù)內(nèi)部管理、第三方合作管理、數(shù)據(jù)分類分級等方面的安全要求和實施指南；安全運營體系提出數(shù)據(jù)安全運營和業(yè)務安全運營過程中的要求和實施指南；安全技術體系描述對大數(shù)據(jù)平臺系統(tǒng)的安全防護要求、基線配置要求及實施指南。能力支撐測評包含安全評測體系和服務支撐體系。安全評測體系描述開展大數(shù)據(jù)安全管理與技術評測的方法、流程、指南 ；服務支撐體系描述大數(shù)據(jù)在安全領域的應用，特別是在數(shù)據(jù)防泄漏、安全態(tài)勢感知、不良信息治理方面的應用方法。

2018年4月我國武漢舉辦的第30屆SC 27全會及工作組會議上，經(jīng)各國專家討論，決定將隱私保護納入項目研究范圍，同時要求研究項目內(nèi)容應與大數(shù)據(jù)生命周期相關標準在內(nèi)容上保持一致。項目名稱在武漢會議后修改為《大數(shù)據(jù)安全與隱私 實現(xiàn)指南》（Big Data Security and Privacy —Guidelines for implementation）。2018年10月挪威約維克舉辦的第31屆SC 27工作組會議上，針對大數(shù)據(jù)生命周期等問題進行研討，結合項目進展的實際情況，決定延長6個月研究期。

3.4 《數(shù)據(jù)安全》研究項目

《數(shù)據(jù)安全》研究項目于2018年4月我國武漢舉辦的第30屆SC 27全會及工作組會議上由我國提出。我國提出對SC 27當前工作思路轉(zhuǎn)變的看法，即從安全技術為中心轉(zhuǎn)向數(shù)據(jù)安全為中心?，F(xiàn)有SC 27的工作重點應該包含三大領域：網(wǎng)絡空間安全（Cybersecurity）、數(shù)據(jù)安全（Data Security）和隱私保護（Privacy Protection）?；谶@一理解，我國提出了《數(shù)據(jù)安全》研究項目(Data Security)，說明了該項目對SC 27的必要性和重要性。由于該研究項目關注于數(shù)據(jù)安全標準化的頂層設計，需要考慮傳統(tǒng)的和新興的數(shù)據(jù)保護技術標準，以及數(shù)據(jù)在各種新技術新應用領域（云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、智慧城市等）下的安全問題和需求。項目范圍涉及SC 27下設的5個工作組，因此項目被設立在SC 27層面。立項名稱為“Data Security”，項目研究周期12個月，項目報告人包括我國專家1名，美國專家1名。

《數(shù)據(jù)安全》項目的主要目標包括4個方面，分別是：

1）說明數(shù)據(jù)安全的概念，同時理清數(shù)據(jù)安全(Data Security)，信息安全(Information Security)， 數(shù) 據(jù) 保 護 (Data Protection)， 大 數(shù)據(jù)安全(Big Data Security)，隱私保護(Privacy Protection)等概念之間的關系；

2）收集數(shù)據(jù)安全的相關風險和標準化需求，說明SC 27已有的標準工作在數(shù)據(jù)安全方面存在的不足；

3）在可能的范圍內(nèi)，調(diào)研不同標準化組織在數(shù)據(jù)安全方面相關的標準情況，包括WG9，ISO/IEC JTC1/SC32， ISO/IEC JTC1/SC38，ITU-T SG17等；

4）提出SC 27范圍內(nèi)數(shù)據(jù)安全工作的路線圖，同時對SC 27在數(shù)據(jù)安全方面的工作給出建議。

2018年10月挪威約維克舉辦的第31屆SC 27工作組會議上，確定以研究組（Study Group）形式開展后續(xù)工作，圍繞數(shù)據(jù)（Data）、信息（Information）、知識（Knowledge）等概念之間的關系展開討論，結合項目進展情況，決定在2019年4月的會議前形成初步研究報告。

4 結語

大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術的快速發(fā)展帶來數(shù)據(jù)安全國際標準化工作方面的挑戰(zhàn)。本文從大數(shù)據(jù)安全和個人信息保護兩個方面，梳理包括WG9、ITU-T SG17、NIST、SC 27等主要國際標準化組織在數(shù)據(jù)安全標準化方面的現(xiàn)狀，同時深入分析我國主導的4項數(shù)據(jù)安全相關標準，以及數(shù)據(jù)安全標準相關技術。目前，SC27層面的數(shù)據(jù)安全研究項目均由我國主導，應以此為契機，在網(wǎng)絡安全國際標準化領域，貢獻中國智慧，奠定我國在網(wǎng)絡安全國際標準化領域的影響力。