<var id="bphvj"></var>
    <mark id="bphvj"><rp id="bphvj"><address id="bphvj"></address></rp></mark>
      <dfn id="bphvj"></dfn>
      <font id="bphvj"></font>

          <delect id="bphvj"></delect>
          <cite id="bphvj"><em id="bphvj"></em></cite>

          <delect id="bphvj"><em id="bphvj"><thead id="bphvj"></thead></em></delect><menuitem id="bphvj"></menuitem><var id="bphvj"></var>
            <cite id="bphvj"><pre id="bphvj"><listing id="bphvj"></listing></pre></cite>

            <meter id="bphvj"><ins id="bphvj"><ol id="bphvj"></ol></ins></meter>
                <delect id="bphvj"><span id="bphvj"></span></delect>

                <thead id="bphvj"><output id="bphvj"><pre id="bphvj"></pre></output></thead>
                  n
                  ews and information
                  新聞資訊
                  聯系我們
                  contact us
                  聯系人:宋經理

                  座  機:028-86677012

                  郵  箱:[email protected]
                  地  址:成都市武侯區長華路19號萬科匯智中心30樓
                  行業動態
                  您當前位置:首頁 > 新聞資訊 > 行業動態 >
                  網絡安全等級保護大數據安全的測評要求
                  發布時間:2021-05-11 14:29:43   來源:本站原創   點擊量:
                         為深入貫徹落實國家大數據戰略,推動全國網絡安全等級保護測評機構更好地服務和融入國家發展戰略,《信息安全技術網絡安全等級保護大數據基本要求》(T/ISEAA002-2021)團體標準于2021年4月29日正式發布,并于2021年5月30日起正式實施。該標準填補了網絡安全等級保護中關于大數據安全保護的空白。該標準基于GB/T2239-2019《信息安全技術網絡安全等級保護基本要求》中對大數據安全的要求,對大數據資源及大數據應用、大數據平臺方面的安全保護要求進行細化和擴展,指導全生命周期的數據安全保護,指導分等級的非涉密大數據等級保護對象的安全建設、安全運維和測試評估,為網絡安全等級保護制度在大數據領域的推廣和落實奠定基礎,并為信息安全監管職能部門、測評服務機構、主管部門及運營使用者對大數據的安全保護、等級測評、監督檢查等提供參考依據。
                         大數據具有體量大、來源多樣、生成極快、且多變等特征,難以用傳統數據體結構有效處理包含大量數據集的數據。那么如何判斷數據資源是否是屬于大數據呢?數據量大是否***是大數據?實際上,可以通過對大數據的定義來判斷,首先應關注數據資源是否具有多樣性的特征,即是否具有多源多樣的數據匯聚;其次該數據是否具有多變性,即數據的價值是否可能會發生改變,也***是數據自愿的V特征是否會給等級保護對象的重要性等級帶來變化。
                  基于大數據平臺對數據執行處理過程,通常包含數據采集、數據存儲、數據處理、數據交換和數據銷毀等環節。對于大數據平臺,其主要的構成組件如下圖所示:
                  圖1大數據相關等級保護對象的構成組件
                         大數據管理平臺提供了資源和服務器的支撐集成環境,包括基礎設施層、數據平臺層、計算分析層及大數據管理平臺等部分或者全部功能。基礎設施層提供了虛擬或虛擬的計算、網絡和存儲能力;數據平臺提供結構化和非結構化數據的物理存儲、邏輯存儲能力;計算分析層提供處理大量、高速、多樣和多變數據的分析計算能力。大數據平臺可以為多個大數據應用及大數據資源提供服務。
                         上述組件可能由不同運營者承擔安全責任,從定級對象的責任主體角度出發,這些組件可獨立或組合作為定級對象,如大數據平臺、大數據應用、大數據資源、大數據資源與大數據應用、大數據資源與大數據平臺或大數據平臺與大數據應用等均可作為定級對象。上述定級對象均可稱為“大數據系統”。
                         大數據基本要求是基于通用安全要求提出的擴展要求,因此其沿襲了通用安全要求的整體結構,包括安全物理環境、安全通信網絡、安全計算環境、安全管理中心、安全管理制度、安全管理機構,安全建設管理以及安全運維管理幾個層面。
                         安全物理環境:要求二級以上的大數據存儲、處理和分析的設備機房位于中國境內。
                         安全通信網絡:要求大數據平臺、大數據基礎設施不承載高于其安全保護等級的大數據應用和大數據資源;三級以上的大數據系統,還需要分離管理流量與系統業務流量。
                         安全計算環境:身份鑒別方面,不僅對大數據應用的用戶提出身份鑒別的要求,還對大數據應用本身、數據采集、導入、導出的終端和服務組件提出身份鑒別要求;增加了管理大數據應用、平臺服務組件的要求;對大數據平臺提出屏蔽計算、存儲等故障資源,保障大數據應用業務連續性的要求;要求大數據平臺提供脫敏和去標識化工具、組件,供大數據應用使用;三級以上的大數據應用、系統還要求實施數據分類分級保護,設置安全標記,實施接口調用訪問控制,隔離數據資源等;四級以上的大數據應用、系統要求增加對不同類別、不同級別數據全生命周期區分處置的能力。在對個人信息的保護要求方面,二級以上的大數據系統應采取措施防止在處理、使用、分析、導出、共享、交換等過程中識別出個人信息,應對個人信息的重要操作設置內部審批流程、審批通過后才能對個人信息進行相應的操作,并要求保留相應的審計記錄。
                         安全管理中心:對于二級及以上的系統,大數據平臺應為服務客戶提供管理其計算和存儲資源使用狀況的能力;大數據平臺應對其提供的輔助工具或服務組件實施有效管理;大數據平臺應屏蔽計算、內存、存儲資源故障,保障業務正常運行;大數據平臺在系統維護、在線擴容等情況下,應******大數據應用和大數據資源的正常業務處理能力。
                         安全管理制度:二級及以上系統要求制定大數據安全工作的總體方針和安全策略,大數據安全策略應覆蓋數據聲明周期相關的數據安全,內容至少包括目的、范圍、崗位、職責、管理層******、內外部協調及合規性要求等。
                         安全管理機構:二級及以上系統的數據采集應獲得數據源管理者的授權,確保符合數據收集***小化原則;應定期對   個人信息安全保護措施的有效性進行常規安全檢查。
                         安全建設管理:對大數據應用提出選擇大數據平臺的要求,并要求約定平臺提供者的權限和職責;同時要求數據交換、共享的雙方應約定數據安全保護責任。
                         安全運維管理:提出了建立數字資產安全管理策略的要求,規定并落實數據全生命周期的操作規范、保護措施、管理人員職責等;要求建立分類分級的數據安全保護策略,不同類別、級別的數據實施不同的安全保護措施;確定重要數字資產的范圍和相關使用流程;提出數據類別和級別評審和變更的要求。
                         在理解基本要求的同時,還需要關注以下方面。生命周期的一致性:大數據安全保護的******包括提供全生命周期全程一致的安全保護。為了便于理解標準,這里以生命周期的角度來理解大數據安全擴展要求,不難發現大數據的安全保護要求,一部分是專門針對特定生命周期的,比如在存儲、應用、交換階段要考慮屬地原則,即承載存儲、處理大數據的設備機房應位于中國境內;另一部分是整個生命周期共同的,比如策略制度、安全審計。因此,在測評過程中,當判斷每一條安全要求是否滿足時,應當充分考慮該項要求對應于生命周期的哪些階段,是否在每一階段中均實施了相應的安全保護且保護力度保持一致。
                         在通用要求之上實施擴展保護:對大數據等級保護對象完整的安全保護基本要求,一是來源于通用基本要求,二是大數據部分提出的擴展要求。在判斷大數據對象中是否滿足基本要求時,應考慮該對象的特點,如基本要求中對安全審計的要求:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。對應于大數據,要求數據采集、處理、分析和挖掘等每個過程,記錄審計日志,支撐數據業務要求和合規審計要求。
                         數據的分類分級:大數據的數據量往往是規模龐大,從經濟性和有效管理的角度出發,應該對數據進行分類分級管理,因此要求制定并執行分類分級的安全保護策略;對重要的數據實施******保護,比如劃定自動脫敏和去標識的使用場景;要求大數據平臺提供分類分級的安全保護的能力;要求大數據應用針對分類分級的數據實施不同的安全保護等,***重要的是******在機構內部數據分類分級的保護策略保持一致。
                         授權許可:要求大數據平臺提供者訪問大數據應用的數據資源時提供訪問授權;要求在數據采集、交換、共享等環節有相應的授權許可,明確授權訪問的方式、范圍和時效,滿足***小化的原則,明確約束數據的保護責任,并確保接收方有足夠或相當的安全防護能力。
                         訪問控制:要求落實細粒度的訪問控制,在基于用戶角色的訪問控制基礎上,在數據的訪問控制方面實施基于安全標記的訪問控制;同時還要求對大數據應用、應用終端在訪問數據調用接口、組件、服務時實施訪問控制。
                         個人信息:個人信息的保護將有利于推動大數據應用的發展,催生更多大數據應用模式。在個人信息的保護要求方面,要求采集個人信息的過程中獲得本人授權,數據使用過程中對個人敏感信息進行數據脫敏或去標識化等。


                  ?
                  无码有剧情免费的AV在线_婷婷色香五月综合缴缴_天堂无码亚洲AV日韩AV_午夜福利视频无码一二三