中国信通院廖璇：安全数据检测技术研究

为了深入落实国家大数据战略，推动大数据产业交流与合作，展示我国大数据产业最新发展成果，2019年6月4日至5日，由中国信息通信研究院、中国通信标准化协会主办，大数据技术标准推进委员会承办的2019大数据产业峰会在北京国际会议中心隆重开幕。6月5日，大数据安全论坛隆重举行。

关先生从中国电信的大数据安全管理实践经验讲解了对大数据安全的认识和理解。对企业来说，大数据安全问题不仅对数据安全管理和保护能力带来了严峻的挑战，也使得数据安全技术攻坚势在必行。下面有请中国信通院安全所行业网络安全事业部副主任廖璇浅述《安全数据检测技术研究》，有请廖主任。

中国信通院安全所行业网络安全事业部副主任廖璇

谢谢陈主任介绍，各位专家、各位老师、各位安全的同仁以及朋友们：

大家上午好！

很荣幸这次有这么一个机会能够在这里跟大家做一个比较广泛的交流，同时刚才听了各位专家老师相关议题的这种分享，我这边也是深受启发，无论从国际到国内、从产业到行业，还是从相应的法律政策法规到标准建设，数据安全的重要性实际上是不言而喻的，同时数据安全所涉及的方方面面实际需要在座的各位同仁进行共同的努力跟探讨。今天我选择的题目实际上是从实战的角度，从找问题以及发现问题的角度来谈一谈数据安全检测技术的研究与实践的工作。

主要内容为数据安全检测框架以及数据安全检测技术。已经临近中午了，我简要地阐明我的一些观点，大家都知道，现在我们谈的数据安全不仅仅是传统的信息安全，以及网络安全，以前我们谈的数据安全可能就是数据安全保护以及面临的网络安全与数据安全的衍生品，但是我们现在谈的数据安全一定是一个自成体系的框架，而且在这个独立体系中，我们常用的网络与信息安全的检测风险评估的方式跟方法依然是可行的，但只是我们发现问题的切入点以及随着业务的变化和信息的重要程度逐渐演变为我们在目前我们所谈的数据安全保护，所以网络安全、信息安全和数据安全三者之间共进共演的现状一定是成为常态化的工作，也是将成为安全工作的一个常态化进程。

回到今天数据安全的检测来看，数据安全包含的条块其实可以分为很多，可以有不同的方式方法，可以有不同的维度来进行切入。比方说可以从传统的七层模型进行细分，也可以从传统的数据安全所说的全生命周期来进行细分等等，同样我们的检测框架实际上可以分为多个条块，但是从实战角度，我这里简单粗暴地分为了两个部分，也是在实际的检测过程中我们需要主要关注和投入的重点，一个是检测的过程，一个是检测的内容。我这里分别从每个点进行简要的叙述，首先是检测的依据。

上位的法律法规我这里不再做复述，刚才很多专家提到了，这是网络信息安全的首要，在上位法的要求跟指引下，各个行业、各个部门实际上是按照自身的管理需求跟实际情况制定实施符合自身实际情况的，比方说各个部门的法规，比方说工信部的11号令、24号令、368号文等等，以及指导行业进行相应的发展，同时，在行业内制定相应的通用性的检测方法，来进行标准化的要求，来进行工作的具体落地。但是从近年所出现的案例以及实际问题的事实来看，宽泛性和通用性检测的方式和方法，和数据安全的监督和管理的要求，并不能完全解决数据安全所面临的问题，因此我们也看到了越来越多的专项整治系统，比方说我们公安部牵头的大数据专项整治行动，网信办牵头的专项治理，工信部牵的行政监察等等，都会涉及。

检测方法并不超脱于现有的风险评估与我们在传统信息安全领域所做的等级保护，但是在数据安全的检测当中我们一定要强化相应的访谈跟调研的问卷，不单纯依靠传统的白、灰、黑和检测的技术，而是我们一定要打破一些传统检测过程中的边界，让所有的业务人员参与，让所有的安全人员参与，让所有的数据处理人员参与以及数据使用人员以及数据保护人员，以及在整个过程中，包括审计人员进行深度的参与、调查，因为如果不这样做的话就无法覆盖整个数据安全的生命周期，就会存在检测过程中的天然的死角和盲区。所以从检测的环境来看，我选择了通用的检测环境，在检测环境来说，数据安全检测实际上需要一些人为所需要忽略人为所涉及的网络边界和安全域，站在数据处理的动态流程来出发，由外到内，以及由内及外，无论从办公网再到生产网，从内部处理再到第三方合作，实际上我们有一些天然的边界，但是在检测，实际上我们要深入到各个环节进行逐步的解剖。