謝宗曉　程瑜琦

信息安全管理系列之五十二

最近兩年，數(shù)據(jù)安全毫無疑問是信息安全領(lǐng)域內(nèi)討論最多的詞匯之一，這種概念與我們之前辨析過的網(wǎng)絡(luò)安全（cybersecurity）等概念一樣，與最常用的“信息安全”詞匯，既有區(qū)別，又有交集。因此，在本期中，我們有必要對(duì)“數(shù)據(jù)安全”的概念進(jìn)行重新梳理。

謝宗曉（特約編輯）

摘要：在定義數(shù)據(jù)、信息和情報(bào)的基礎(chǔ)上，梳理數(shù)據(jù)安全的定義，并分析數(shù)據(jù)技術(shù)（DT）時(shí)代與信息技術(shù)（IT）時(shí)代的異同。

關(guān)鍵詞：數(shù)據(jù)安全 信息安全 網(wǎng)絡(luò)安全

Redefinition of Data Security

Xie Zongxiao （China Financial Certification Authority，）

Cheng Yuqi （China Cybersecurity Review Technology and Certification Center）

Abstract： Based on the definition of data and information， this paper sorts out the definition of data security and analyzes the similarities and differences between the era of data technology （DT） and the era of information technology （IT）.

Key words： information security， data security， cybersecurity

1 數(shù)據(jù)、信息和情報(bào)

數(shù)據(jù)、信息和情報(bào)是比較常見、容易混淆的幾個(gè)相似概念。

數(shù)據(jù)是指定性或定量的一組值，最簡(jiǎn)單的形式就是數(shù)字，也可體現(xiàn)為更復(fù)雜的文字、聲音或圖像等。據(jù)考證，data在英語中第一次作為詞匯出現(xiàn)大約在17世紀(jì)40年代，1946年開始將其作為“可以在計(jì)算機(jī)中存儲(chǔ)和傳輸?shù)男畔ⅰ?）。數(shù)據(jù)最直觀的來源是科學(xué)研究，當(dāng)然在今天這個(gè)時(shí)代，各行各業(yè)都會(huì)產(chǎn)生海量數(shù)據(jù)。

信息一般是指處理過的數(shù)據(jù)，文獻(xiàn)[1]對(duì)“信息”進(jìn)行了精確的定義，在文獻(xiàn)綜述中指出，信息詞匯的正式定義最早出現(xiàn)于1965年，雖然更多的文獻(xiàn)將信息的定義與數(shù)據(jù)關(guān)聯(lián)起來，甚至作為“特殊的一種數(shù)據(jù)”，但是數(shù)據(jù)和信息不一定必然具備遞進(jìn)或強(qiáng)相關(guān)關(guān)系，例如，文獻(xiàn)[2]對(duì)信息的定義就是“記錄的標(biāo)志（recorded marks）”，不僅如此，還有更多的文獻(xiàn)從各個(gè)角度定義信息，主要包括：數(shù)據(jù)、消息（message）、過程（process）、結(jié)構(gòu)（structure）和知識(shí)（knowledge）。

“情報(bào)”是中文翻譯問題，在英文中與“信息”是同一個(gè)詞匯，都是information，例如，圖書館與情報(bào)科學(xué)（Library and Information Science，LIS）。在日語翻譯中，一般也會(huì)將information security翻譯為情報(bào)安全。

2 大數(shù)據(jù)背景下的數(shù)據(jù)安全

大數(shù)據(jù)并不僅僅是“大量的數(shù)據(jù)”[3]，普遍的觀點(diǎn)認(rèn)為，大數(shù)據(jù)是指規(guī)模大且復(fù)雜、以致于很難用現(xiàn)有數(shù)據(jù)庫管理工具或數(shù)據(jù)處理應(yīng)用來處理的數(shù)據(jù)集。目前“大數(shù)據(jù)”一詞往往用來指預(yù)測(cè)分析、用戶行為分析或某些其他高級(jí)數(shù)據(jù)分析方法的使用，這些方法從數(shù)據(jù)中提取價(jià)值，很少用到特定大小的數(shù)據(jù)集2）。或者說，大數(shù)據(jù)詞匯并沒有刻意強(qiáng)調(diào)“大”，而是更多地強(qiáng)調(diào)數(shù)據(jù)的解釋意義。

數(shù)據(jù)安全之前一直作為信息安全的一個(gè)域而存在，區(qū)別在于，信息安全強(qiáng)調(diào)外延，信息本身的安全，信息處理設(shè)施的安全，以及信息處理者的安全。因此，應(yīng)用最廣泛的ISO/IEC 27000標(biāo)準(zhǔn)族中，在討論信息安全控制的時(shí)候，不但包括了信息系統(tǒng)的方方面面，也包括了人員安全。數(shù)據(jù)安全作為其中一部分，則強(qiáng)調(diào)定義的內(nèi)涵，一般只強(qiáng)調(diào)數(shù)據(jù)本身的安全。

不可否認(rèn)，數(shù)據(jù)安全成為熱點(diǎn)，是因?yàn)榇髷?shù)據(jù)時(shí)代的到來，但是，數(shù)據(jù)安全并不能僅僅局限于狹義的“大數(shù)據(jù)安全”，而是指大數(shù)據(jù)背景下的數(shù)據(jù)安全。從這個(gè)角度講，數(shù)據(jù)安全也是一個(gè)無所不包的概念，既包括數(shù)據(jù)的安全、也包括平臺(tái)的安全、系統(tǒng)的安全，以及相關(guān)人員的安全。

3 從信息技術(shù)時(shí)代到數(shù)據(jù)技術(shù)時(shí)代

信息系統(tǒng)是對(duì)“信息”進(jìn)行處理的一類系統(tǒng)總稱，該詞匯有時(shí)候也稱為“信息通信系統(tǒng)”或者“計(jì)算機(jī)信息系統(tǒng)”。在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》3）中用的就是計(jì)算機(jī)信息系統(tǒng)，并將其定義為：

本條例所稱的計(jì)算機(jī)信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。

當(dāng)然，也有諸多文獻(xiàn)沿用的是“信息系統(tǒng)”詞匯，例如，《中華人民共和國保守國家秘密法》4）。整體而言，不必刻意區(qū)分這幾個(gè)概念。文獻(xiàn)[4]認(rèn)為，信息系統(tǒng)包括了信息技術(shù)設(shè)施、數(shù)據(jù)、應(yīng)用系統(tǒng)和人員，提供信息與通信服務(wù)。從這個(gè)角度講，信息技術(shù)（Information Technology，IT）與信息通信技術(shù)（Information and Communication Technology，ICT）并不容易區(qū)分。

最常見的信息系統(tǒng)應(yīng)該是管理信息系統(tǒng)（Management Information System，MIS）。對(duì)于MIS而言，處理的對(duì)象是“管理信息”，當(dāng)然在邏輯上也需要完成信息的收集、傳輸、處理和使用等整個(gè)生命周期過程，但其本質(zhì)以及其系統(tǒng)設(shè)計(jì)的表現(xiàn)，是依附于流程的，甚至更多的MIS系統(tǒng)只是管理流程的“信息化”。因此，對(duì)于絕大部分MIS而言，其主線是“流程”，即使能夠部分地實(shí)現(xiàn)流程再造。

如上文中所討論的數(shù)據(jù)與信息的區(qū)別，信息系統(tǒng)處理的信息，主要是指有意義的數(shù)據(jù)。但在大數(shù)據(jù)時(shí)代，數(shù)據(jù)是否有意義，變得更加模糊，難于判斷，這是一個(gè)相對(duì)的概念。例如，單獨(dú)地關(guān)注某用戶的微博，可能是了解了該用戶想展現(xiàn)的一面，但是如果同時(shí)能夠搜集該用戶的各種社交賬號(hào)或者購買行為等，并從中分析，則會(huì)使得一個(gè)人在網(wǎng)絡(luò)空間中的表現(xiàn)變得清晰。如果以此建立函數(shù)，就可以對(duì)該用戶的行為進(jìn)行預(yù)測(cè)。在信息技術(shù)（IT）時(shí)代，這種涉及個(gè)人隱私的預(yù)測(cè)由于數(shù)據(jù)量不夠，不能全面刻畫個(gè)體行為，數(shù)據(jù)建模不準(zhǔn)確，危害并不明顯，但是一旦進(jìn)入數(shù)據(jù)技術(shù)（DT）時(shí)代，預(yù)測(cè)就會(huì)變得越來越準(zhǔn)確，最后直至毫無隱私而言，這本身是一個(gè)從量變到質(zhì)變的過程。

以大數(shù)據(jù)為基礎(chǔ)的系統(tǒng)，一般更偏向于決策支持等功能。因此，其整體框架不再圍繞“流程”，而是真正轉(zhuǎn)移為以“數(shù)據(jù)”為中心。大數(shù)據(jù)的技術(shù)框架主要包括數(shù)據(jù)采集、數(shù)據(jù)分析和數(shù)據(jù)解釋三個(gè)步驟。大數(shù)據(jù)系統(tǒng)的主要目的為，從信息系統(tǒng)的對(duì)過程輔助轉(zhuǎn)變?yōu)閷?duì)決策輔助。

4 數(shù)據(jù)安全的定義

根據(jù)上述分析，我們可以得知數(shù)據(jù)安全問題存在由來已久，只是在大數(shù)據(jù)背景下變得比較突出。在大數(shù)據(jù)沒有出現(xiàn)之前，例如，數(shù)據(jù)的生命周期安全管理，包括數(shù)據(jù)的獲取、存儲(chǔ)、傳輸、處理、使用和銷毀等過程，也是在實(shí)踐中的難點(diǎn)。

如果將數(shù)據(jù)安全作為信息安全的一個(gè)控制域，從這個(gè)角度講，強(qiáng)調(diào)的是數(shù)據(jù)（或信息）本身的安全。在大數(shù)據(jù)背景之下，數(shù)據(jù)本身的安全很難與信息本身的安全區(qū)分開來。例如，信息的分類分級(jí)，同樣也可以稱之為數(shù)據(jù)的分類分級(jí)。或者說，在大數(shù)據(jù)出現(xiàn)之前，沒有必要太區(qū)分?jǐn)?shù)據(jù)安全、信息安全和知識(shí)安全的概念。

當(dāng)然，數(shù)據(jù)安全也可以作為單獨(dú)的研究領(lǐng)域，從這個(gè)角度講，強(qiáng)調(diào)的是與信息安全的異同，如果不在大數(shù)據(jù)背景下，兩者區(qū)別不大，唯有在大數(shù)據(jù)背景下，數(shù)據(jù)安全才有必要單獨(dú)討論。

在ISO/IEC 27000：2018《信息安全管理體系 概述與詞匯》中，將“信息安全”定義為：

保持信息的保密性、完整性和可用性。

注1：另外也可包括例如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。

再如，在ISO/IEC 27032：2012《網(wǎng)絡(luò)空間安全》中對(duì)“網(wǎng)絡(luò)空間安全/網(wǎng)絡(luò)安全”的定義為：

保持網(wǎng)絡(luò)空間信息的保密性、完整性和可用性。

注1：此外，也可包括如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等其他屬性。

注2：該定義修改自ISO/IEC 27000：2009 中對(duì)信息安全的定義。

對(duì)于數(shù)據(jù)安全的定義，考慮到數(shù)據(jù)安全需求也是保密性、完整性和可用性等特點(diǎn)，也可以給出類似于“信息安全”的定義，例如，數(shù)據(jù)安全是指保持?jǐn)?shù)據(jù)的保密性、完整性和可用性，另外也可包括例如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。

數(shù)據(jù)安全所包括的范疇，也應(yīng)該是與信息安全相似，目前在信息安全領(lǐng)域存在ISO/IEC 27002：2013《信息安全控制實(shí)踐指南》這樣的最佳實(shí)踐，在網(wǎng)絡(luò)安全領(lǐng)域存在CIS ControlsTM類似的最佳實(shí)踐5），但是在數(shù)據(jù)安全領(lǐng)域尚未出現(xiàn)類似的文獻(xiàn)。

5 小結(jié)

不同概念有不同的強(qiáng)調(diào)重點(diǎn)。信息安全中強(qiáng)調(diào)對(duì)組織信息的保護(hù)，這從ISO/IEC 27002：2013的應(yīng)用范圍可以得到佐證，雖然，信息中也包括了“個(gè)人信息”。ISO/IEC 27000標(biāo)準(zhǔn)族的本質(zhì)是站在組織的視角解決信息安全問題。在網(wǎng)絡(luò)安全中，突出的重點(diǎn)是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（Critical Information Infrastructure Protection，CIIP）[5-6]，尤其是關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructures，CIIs）的可用性。在數(shù)據(jù)安全時(shí)代，隱私保護(hù)是亟需考慮的問題。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無關(guān)）

參考文獻(xiàn)

[1] Yu Liangzhi， Back to the fundamentals again： A redefinitionof information and associated LIS concepts followinga deductive approach [J]， Journal of Documentation，?2015， 71（4）：795- 816.

[2] WELLISCH H. From information science to informatics：a terminological investigation [J]， Journal of Librarianshipand Information Science， 1972， 4（3）：157-187.

[3] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：246-258.

[4] DAVIS G. B. Information Systems Conceptual?Foundations： Looking Backward and Forward， in?Organizational and Social Perspectives on InformationTechnology [C]， R. Baskerville， J. Stage， and J. I.?DeGross （eds.）， Boston： Springer. 2000： 61-82.

[5] 謝宗曉，甄杰，董坤祥， 等. 網(wǎng)絡(luò)空間安全管理[M].北京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

[6] 林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實(shí)踐[M]. 北京：中國標(biāo)準(zhǔn)出版社， 2015.