谢宗晓 程瑜琦
信息安全管理系列之五十二
最近两年,数据安全毫无疑问是信息安全领域内讨论最多的词汇之一,这种概念与我们之前辨析过的网络安全(cybersecurity)等概念一样,与最常用的“信息安全”词汇,既有区别,又有交集。因此,在本期中,我们有必要对“数据安全”的概念进行重新梳理。
谢宗晓(特约编辑)
摘要:在定义数据、信息和情报的基础上,梳理数据安全的定义,并分析数据技术(DT)时代与信息技术(IT)时代的异同。
关键词:数据安全 信息安全 网络安全
Redefinition of Data Security
Xie Zongxiao (China Financial Certification Authority,)
Cheng Yuqi (China Cybersecurity Review Technology and Certification Center)
Abstract: Based on the definition of data and information, this paper sorts out the definition of data security and analyzes the similarities and differences between the era of data technology (DT) and the era of information technology (IT).
Key words: information security, data security, cybersecurity
1 数据、信息和情报
数据、信息和情报是比较常见、容易混淆的几个相似概念。
数据是指定性或定量的一组值,最简单的形式就是数字,也可体现为更复杂的文字、声音或图像等。据考证,data在英语中第一次作为词汇出现大约在17世纪40年代,1946年开始将其作为“可以在计算机中存储和传输的信息”1)。数据最直观的来源是科学研究,当然在今天这个时代,各行各业都会产生海量数据。
信息一般是指处理过的数据,文献[1]对“信息”进行了精确的定义,在文献综述中指出,信息词汇的正式定义最早出现于1965年,虽然更多的文献将信息的定义与数据关联起来,甚至作为“特殊的一种数据”,但是数据和信息不一定必然具备递进或强相关关系,例如,文献[2]对信息的定义就是“记录的标志(recorded marks)”,不仅如此,还有更多的文献从各个角度定义信息,主要包括:数据、消息(message)、过程(process)、结构(structure)和知识(knowledge)。
“情报”是中文翻译问题,在英文中与“信息”是同一个词汇,都是information,例如,图书馆与情报科学(Library and Information Science,LIS)。在日语翻译中,一般也会将information security翻译为情报安全。
2 大数据背景下的數据安全
大数据并不仅仅是“大量的数据”[3],普遍的观点认为,大数据是指规模大且复杂、以致于很难用现有数据库管理工具或数据处理应用来处理的数据集。目前“大数据”一词往往用来指预测分析、用户行为分析或某些其他高级数据分析方法的使用,这些方法从数据中提取价值,很少用到特定大小的数据集2)。或者说,大数据词汇并没有刻意强调“大”,而是更多地强调数据的解释意义。
数据安全之前一直作为信息安全的一个域而存在,区别在于,信息安全强调外延,信息本身的安全,信息处理设施的安全,以及信息处理者的安全。因此,应用最广泛的ISO/IEC 27000标准族中,在讨论信息安全控制的时候,不但包括了信息系统的方方面面,也包括了人员安全。数据安全作为其中一部分,则强调定义的内涵,一般只强调数据本身的安全。
不可否认,数据安全成为热点,是因为大数据时代的到来,但是,数据安全并不能仅仅局限于狭义的“大数据安全”,而是指大数据背景下的数据安全。从这个角度讲,数据安全也是一个无所不包的概念,既包括数据的安全、也包括平台的安全、系统的安全,以及相关人员的安全。
3 从信息技术时代到数据技术时代
信息系统是对“信息”进行处理的一类系统总称,该词汇有时候也称为“信息通信系统”或者“计算机信息系统”。在《中华人民共和国计算机信息系统安全保护条例》3)中用的就是计算机信息系统,并将其定义为:
本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
当然,也有诸多文献沿用的是“信息系统”词汇,例如,《中华人民共和国保守国家秘密法》4)。整体而言,不必刻意区分这几个概念。文献[4]认为,信息系统包括了信息技术设施、数据、应用系统和人员,提供信息与通信服务。从这个角度讲,信息技术(Information Technology,IT)与信息通信技术(Information and Communication Technology,ICT)并不容易区分。
最常见的信息系统应该是管理信息系统(Management Information System,MIS)。对于MIS而言,处理的对象是“管理信息”,当然在逻辑上也需要完成信息的收集、传输、处理和使用等整个生命周期过程,但其本质以及其系统设计的表现,是依附于流程的,甚至更多的MIS系统只是管理流程的“信息化”。因此,对于绝大部分MIS而言,其主线是“流程”,即使能够部分地实现流程再造。
如上文中所讨论的数据与信息的区别,信息系统处理的信息,主要是指有意义的数据。但在大数据时代,数据是否有意义,变得更加模糊,难于判断,这是一个相对的概念。例如,单独地关注某用户的微博,可能是了解了该用户想展现的一面,但是如果同时能够搜集该用户的各种社交账号或者购买行为等,并从中分析,则会使得一个人在网络空间中的表现变得清晰。如果以此建立函数,就可以对该用户的行为进行预测。在信息技术(IT)时代,这种涉及个人隐私的预测由于数据量不够,不能全面刻画个体行为,数据建模不准确,危害并不明显,但是一旦进入数据技术(DT)时代,预测就会变得越来越准确,最后直至毫无隐私而言,这本身是一个从量变到质变的过程。
以大数据为基础的系统,一般更偏向于决策支持等功能。因此,其整体框架不再围绕“流程”,而是真正转移为以“数据”为中心。大数据的技术框架主要包括数据采集、数据分析和数据解释三个步骤。大数据系统的主要目的为,从信息系统的对过程辅助转变为对决策辅助。
4 数据安全的定义
根据上述分析,我们可以得知数据安全问题存在由来已久,只是在大数据背景下变得比较突出。在大数据没有出现之前,例如,数据的生命周期安全管理,包括数据的获取、存储、传输、处理、使用和销毁等过程,也是在实践中的难点。
如果将数据安全作为信息安全的一个控制域,从这个角度讲,强调的是数据(或信息)本身的安全。在大数据背景之下,数据本身的安全很难与信息本身的安全区分开来。例如,信息的分类分级,同样也可以称之为数据的分类分级。或者说,在大数据出现之前,没有必要太区分数据安全、信息安全和知识安全的概念。
当然,数据安全也可以作为单独的研究领域,从这个角度讲,强调的是与信息安全的异同,如果不在大数据背景下,两者区别不大,唯有在大数据背景下,数据安全才有必要单独讨论。
在ISO/IEC 27000:2018《信息安全管理体系 概述与词汇》中,将“信息安全”定义为:
保持信息的保密性、完整性和可用性。
注1:另外也可包括例如真实性、可核查性、不可否认性和可靠性等。
再如,在ISO/IEC 27032:2012《网络空间安全》中对“网络空间安全/网络安全”的定义为:
保持网络空间信息的保密性、完整性和可用性。
注1:此外,也可包括如真实性、可核查性、不可否认性和可靠性等其他属性。
注2:该定义修改自ISO/IEC 27000:2009 中对信息安全的定义。
对于数据安全的定义,考虑到数据安全需求也是保密性、完整性和可用性等特点,也可以给出类似于“信息安全”的定义,例如,数据安全是指保持数据的保密性、完整性和可用性,另外也可包括例如真实性、可核查性、不可否认性和可靠性等。
数据安全所包括的范畴,也应该是与信息安全相似,目前在信息安全领域存在ISO/IEC 27002:2013《信息安全控制实践指南》这样的最佳实践,在网络安全领域存在CIS ControlsTM类似的最佳实践5),但是在数据安全领域尚未出现类似的文献。
5 小结
不同概念有不同的强调重点。信息安全中强调对组织信息的保护,这从ISO/IEC 27002:2013的应用范围可以得到佐证,虽然,信息中也包括了“个人信息”。ISO/IEC 27000标准族的本质是站在组织的视角解决信息安全问题。在网络安全中,突出的重点是关键信息基础设施保护(Critical Information Infrastructure Protection,CIIP)[5-6],尤其是关键信息基础设施(Critical Information Infrastructures,CIIs)的可用性。在数据安全时代,隐私保护是亟需考虑的问题。
(注:本文仅做学术探讨,与作者所在单位观点无关)
参考文献
[1] Yu Liangzhi, Back to the fundamentals again: A redefinitionof information and associated LIS concepts followinga deductive approach [J], Journal of Documentation, 2015, 71(4):795- 816.
[2] WELLISCH H. From information science to informatics:a terminological investigation [J], Journal of Librarianshipand Information Science, 1972, 4(3):157-187.
[3] 馮登国,张敏,李昊.大数据安全与隐私保护[J].计算机学报,2014,37(1):246-258.
[4] DAVIS G. B. Information Systems Conceptual Foundations: Looking Backward and Forward, in Organizational and Social Perspectives on InformationTechnology [C], R. Baskerville, J. Stage, and J. I. DeGross (eds.), Boston: Springer. 2000: 61-82.
[5] 谢宗晓,甄杰,董坤祥, 等. 网络空间安全管理[M].北京:中国质检出版社/中国标准出版社,2017.
[6] 林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国标准出版社, 2015.