大數(shù)據(jù)平臺(tái)安全監(jiān)管技術(shù)框架編制說明

目的意義從世界范圍看，大數(shù)據(jù)技術(shù)發(fā)展快速且應(yīng)用廣泛，隨之而來的是不可忽略的安全挑戰(zhàn)和風(fēng)險(xiǎn)。大數(shù)據(jù)在各個(gè)領(lǐng)域的應(yīng)用不斷擴(kuò)大，大數(shù)據(jù)平臺(tái)所處理和存儲(chǔ)的數(shù)據(jù)規(guī)模也日益龐大，其中可能包含大量敏感信息，如個(gè)人身份信息、商業(yè)機(jī)密等。因此，保障大數(shù)據(jù)平臺(tái)的安全性和穩(wěn)定性成為了至關(guān)重要的任務(wù)。2021年國(guó)務(wù)院發(fā)布的《“十四五規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》中提出依法依規(guī)加強(qiáng)互聯(lián)網(wǎng)平臺(tái)經(jīng)濟(jì)監(jiān)管，明確平臺(tái)企業(yè)定位和監(jiān)管規(guī)則，完善壟斷認(rèn)定法律規(guī)范，同時(shí)推進(jìn)公安大數(shù)據(jù)智能化平臺(tái)建設(shè)，完善執(zhí)法司法權(quán)力運(yùn)行監(jiān)督和制約機(jī)制。提高基于高頻大數(shù)據(jù)精準(zhǔn)動(dòng)態(tài)監(jiān)測(cè)預(yù)測(cè)預(yù)警水平。強(qiáng)化數(shù)字技術(shù)在公共衛(wèi)生、自然災(zāi)害、事故災(zāi)難、社會(huì)安全等突發(fā)公共事件應(yīng)對(duì)中的運(yùn)用，全面提升預(yù)警和應(yīng)急處置能力。建立大數(shù)據(jù)平臺(tái)安全監(jiān)管技術(shù)框架是確保大數(shù)據(jù)平臺(tái)的安全性和穩(wěn)定性的前提，通過大數(shù)據(jù)平臺(tái)安全監(jiān)管技術(shù)框架的建立將有助于全面了解和掌握大數(shù)據(jù)平臺(tái)安全的狀況和存在的問題，進(jìn)而有針對(duì)性的補(bǔ)齊短板，推動(dòng)大數(shù)據(jù)平臺(tái)建設(shè)與安全監(jiān)管技術(shù)能力建設(shè)協(xié)同發(fā)展。尤其在我國(guó)全面探索新型大數(shù)據(jù)平臺(tái)的建設(shè)過程中，這項(xiàng)工作是非常重要和必不可少的。其中，大數(shù)據(jù)平臺(tái)安全監(jiān)管技術(shù)框架的關(guān)鍵作用在于：1、不同部門和單位在設(shè)計(jì)安全監(jiān)管技術(shù)框架時(shí)不統(tǒng)一，導(dǎo)致流程中出現(xiàn)安全短板，影響眾多系統(tǒng)平臺(tái)安全穩(wěn)健運(yùn)行。因此亟需統(tǒng)一的安全監(jiān)管技術(shù)框架標(biāo)準(zhǔn)。2、合規(guī)性考慮不周全會(huì)導(dǎo)致安全隱患，在合規(guī)性方面，需要提出安全監(jiān)管技術(shù)要求，實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)的安全監(jiān)管。3、主管部門在了解大數(shù)據(jù)平臺(tái)安全監(jiān)管需求和基本實(shí)踐方面的抓手不夠成熟，無法支撐相關(guān)決策的制定。4、國(guó)內(nèi)尚未形成成熟的大數(shù)據(jù)平臺(tái)安全監(jiān)管工作模式，無法形成監(jiān)管-分析-評(píng)估-監(jiān)管的業(yè)務(wù)閉環(huán)，限制了大數(shù)據(jù)平臺(tái)安全監(jiān)管技術(shù)的能力和水平。任務(wù)來源隨著大數(shù)據(jù)技術(shù)的快速發(fā)展和廣泛應(yīng)用，如何確保大數(shù)據(jù)平臺(tái)的安全已成為世界各國(guó)和組織普遍關(guān)注的問題。20世紀(jì)90年代以來，隨著互聯(lián)網(wǎng)的普及和信息技術(shù)的飛速進(jìn)步，大數(shù)據(jù)平臺(tái)在政府管理、企業(yè)決策、社會(huì)服務(wù)等領(lǐng)域的應(yīng)用日益增多，同時(shí)也帶來了數(shù)據(jù)泄露、隱私侵犯、信息濫用等一系列安全風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)不僅威脅到個(gè)人和組織的利益，也對(duì)社會(huì)穩(wěn)定和國(guó)家安全構(gòu)成挑戰(zhàn)。為了有效防范和管理這些風(fēng)險(xiǎn)，提高大數(shù)據(jù)平臺(tái)的安全性和可靠性，制定大數(shù)據(jù)平臺(tái)安全監(jiān)管技術(shù)框架變得尤為迫切。通過對(duì)現(xiàn)有大數(shù)據(jù)平臺(tái)安全管理實(shí)踐的總結(jié)，發(fā)現(xiàn)雖然不同國(guó)家和組織已經(jīng)采取了一系列措施，但仍存在諸如安全策略不統(tǒng)一、技術(shù)手段落后、監(jiān)管體系不健全等問題。制定大數(shù)據(jù)平臺(tái)安全監(jiān)管技術(shù)框架的標(biāo)準(zhǔn)，旨在建立一套系統(tǒng)化、全面的安全管理框架，涵蓋大數(shù)據(jù)平臺(tái)的設(shè)計(jì)、開發(fā)、部署、運(yùn)維及退役等全生命周期的安全需求。這一標(biāo)準(zhǔn)將為大數(shù)據(jù)平臺(tái)的安全監(jiān)管提供指導(dǎo)原則和操作方法，幫助各類機(jī)構(gòu)建立起科學(xué)、有效的安全管理體系，從而提升整個(gè)社會(huì)的數(shù)據(jù)安全水平。此外，該標(biāo)準(zhǔn)還將促進(jìn)大數(shù)據(jù)平臺(tái)安全技術(shù)的創(chuàng)新和發(fā)展，推動(dòng)安全產(chǎn)品和服務(wù)的市場(chǎng)化，為大數(shù)據(jù)平臺(tái)提供更加可靠的安全保障。通過這一標(biāo)準(zhǔn)的實(shí)施，可以有效避免孤島式的安全措施，實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)安全管理的系統(tǒng)化、標(biāo)準(zhǔn)化，為大數(shù)據(jù)的健康發(fā)展和廣泛應(yīng)用提供堅(jiān)實(shí)的安全基礎(chǔ)。編制過程1) 2023年4月5日，規(guī)范研制正式啟動(dòng)會(huì)。標(biāo)準(zhǔn)牽頭單位對(duì)前期的研究工作進(jìn)行了匯報(bào)。確定了標(biāo)準(zhǔn)的研究思路和分工。2) 2023年4月15日，提交項(xiàng)目立項(xiàng)申請(qǐng)書。3) 2023年4月16日至2023年6月24日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，并針對(duì)標(biāo)準(zhǔn)大體框架與內(nèi)容方向進(jìn)行了修改與調(diào)整，形成第一版標(biāo)準(zhǔn)草案。4) 2023年7月1日，召開立項(xiàng)評(píng)審會(huì)，邀請(qǐng)專家對(duì)草案給出建議。5) 2023年7月4日至2023年11月4日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，針對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了細(xì)節(jié)的修改與調(diào)整。6) 2023年11月6日，形成第二版標(biāo)準(zhǔn)草案，并召集了標(biāo)準(zhǔn)草案的內(nèi)部閉門研討會(huì)。7）2024年1月30日，形成征求意見初稿。8）2024年6月27日，邀請(qǐng)專家對(duì)征求意見初稿進(jìn)行評(píng)審；9）2025年4月，形成征求意見稿。主要內(nèi)容技術(shù)指標(biāo)確立本文件規(guī)定了大數(shù)據(jù)平臺(tái)安全監(jiān)管的技術(shù)框架，主要包括對(duì)大數(shù)據(jù)平臺(tái)安全監(jiān)管的過程中使用的技術(shù)及其要求。具體內(nèi)容如下：數(shù)據(jù)平臺(tái)安全監(jiān)管技術(shù)框架中的對(duì)象包括監(jiān)管方和被監(jiān)管方。其中監(jiān)管方可能是行業(yè)監(jiān)管部門、第三方評(píng)測(cè)機(jī)構(gòu)等組織，也可能是大數(shù)據(jù)平臺(tái)擁有者的管理部門；被監(jiān)管方是大數(shù)據(jù)平臺(tái)中的各類主體、客體及主體通過各類業(yè)務(wù)服務(wù)流程訪問和操作客體的行為。監(jiān)管方嘗試確保被監(jiān)管方的服務(wù)和數(shù)據(jù)狀態(tài)是安全的以及數(shù)據(jù)操作行為是安全合規(guī)的。監(jiān)管方使用安全監(jiān)管技術(shù)、監(jiān)管合規(guī)性分析技術(shù)和安全監(jiān)管協(xié)調(diào)技術(shù)對(duì)被監(jiān)管方的平臺(tái)業(yè)務(wù)流程進(jìn)行監(jiān)管，針對(duì)平臺(tái)運(yùn)行前、運(yùn)行中和運(yùn)行后的不同階段采取不同的技術(shù)手段。其中運(yùn)行前使用資產(chǎn)探測(cè)技術(shù)、脆弱性發(fā)現(xiàn)技術(shù)和風(fēng)險(xiǎn)評(píng)估技術(shù)進(jìn)行風(fēng)險(xiǎn)的評(píng)估和探測(cè)；運(yùn)行中使用行為數(shù)據(jù)采集技術(shù)、異常事件分析技術(shù)、安全事件處置技術(shù)和數(shù)據(jù)監(jiān)管處置技術(shù)對(duì)存在的威脅進(jìn)行及時(shí)的分析和處理；運(yùn)行后使用證據(jù)生成和分析管理技術(shù)以及攻擊場(chǎng)景復(fù)現(xiàn)技術(shù)對(duì)安全事件進(jìn)行追蹤和總結(jié)。使用安全監(jiān)管技術(shù)能夠監(jiān)管被監(jiān)管方的平臺(tái)業(yè)務(wù)流程（包括數(shù)據(jù)申請(qǐng)、數(shù)據(jù)產(chǎn)生、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)傳輸、數(shù)據(jù)銷毀和數(shù)據(jù)歸檔等流程）是否滿足安全需求，如機(jī)密性、完整性、認(rèn)證性、數(shù)據(jù)隱私保護(hù)等。本標(biāo)準(zhǔn)適用于對(duì)大數(shù)據(jù)平臺(tái)進(jìn)行安全監(jiān)管，也可以作為對(duì)大數(shù)據(jù)監(jiān)管平臺(tái)建設(shè)時(shí)的技術(shù)依據(jù)。本標(biāo)準(zhǔn)牽頭單位為西安電子科技大學(xué)，參加單位包括中國(guó)科學(xué)院信息工程研究所、北京理工大學(xué)、長(zhǎng)春吉大正元信息技術(shù)股份有限公司、榮耀終端有限公司。與相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)文件如下：GB/T31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求GB/T34942-2017信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39335-2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南GB/T31722-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理GB/T33132-2016信息安全技術(shù)信息安全風(fēng)