点击右上角
微信好友
朋友圈
请使用浏览器分享功能进行分享
当前,我国电信和互联网行业高速发展,在服务数字经济快速发展的同时,汇聚大量数据,面临严峻的数据安全风险。“安全发展,标准先行”,标准化工作是保障数据安全的重要基础。为坚持安全和发展并重的原则,积极应对复杂严峻的安全风险与挑战,加速构建数据安全保障体系,中国信息通信研究院安全研究所积极参与中国通信标准化协会(以下简称CCSA)TC8 WG3数据安全组(原TF1)和中国互联网协会的标准化工作,已经牵头编制了数据安全关键技术、隐私计算技术、移动互联网数据安全、大数据平台安全等系列数据安全行业和协会标准。
一、数据安全关键技术系列标准
数据安全关键技术系列标准涵盖数据分类分级、数据脱敏、数据库审计、数据异常行为识别、接口安全、数字水印、数据销毁、数据安全管控平台等技术要求和测试方法标准。数据安全关键技术系列标准一方面可以帮助企业落实差异化的数据安全保护能力,另一方面可以指导行业开展数据安全产品研发与测试,促进相关数据安全产品在达到基本要求的基础上进一步丰富完善,打造优质数据安全产品服务。
1.行业标准《电信网和互联网数据分类分级技术要求与测试方法》
【主要内容】根据数据分类分级工作的流程阶段,对数据源梳理、数据识别与标注、数据分类分级结果管理等主要方面,提出技术支撑措施和配套的测试方法。一方面为安全企业研发相应产品提供指导,优化市场供给;另一方面为企业采购相关产品时提供参考,帮助企业有效运用技术措施扎实做好数据分类分级工作。
【最新进展】本标准已经报批,等待发布,标准文稿请关注CCSA官方网站。
2.行业标准《电信网和互联网数据脱敏技术要求与测试方法》
【主要内容】基于数据脱敏技术应用架构,对在实际数据脱敏技术应用过程中,脱敏算法、脱敏规则、脱敏策略等主要要素,提出了具体技术要求。此外,标准还提出了数据脱敏后的效果评估策略,为企业合理、高效运用数据脱敏技术,做好数据安全和个人信息保护合规提供助益。
【最新进展】本标准已经报批,等待发布,标准文稿请关注CCSA官方网站。
3.行业标准《电信网和互联网数据库审计技术要求与测试方法》
【主要内容】在安全功能、审计能力、自身安全三个主要方面,对数据库审计技术进行具体要求,并总结了在实际数据库审计技术应用过程中,主要涉及的风险行为、事件类型、审计记录等主要要素。从功能、性能等角度提出了数据库审计工具/系统/平台/产品相应的技术支撑措施与测试验证方法,帮助企业进行产品研发、评估、和选型。
【最新进展】本标准已经报批,等待发布,标准文稿请关注CCSA官方网站。
4.行业标准《电信网和互联网异常行为监测技术要求与测试方法》
【主要内容】针对电信和互联网企业数据应用过程中面临的风险,提出数据操作异常行为监测方法,用于指导电信和互联网行业企业建设数据安全异常行为监测能力,包括技术要求、关键技术实施及实现方法等内容,并提出相应的测试方法。为安全企业研发相应产品提供指导,以及采购选型提供参考,帮助企业在运营过程中做好异常行为监测工作。
【最新进展】本标准已经报批,等待发布,标准文稿请关注CCSA官方网站。
5.行业标准《电信和互联网API数据安全技术要求和测试方法》
【主要内容】针对API身份认证、接入授权、访问控制、数据传输、数据脱敏、数据筛选、漏洞防范、攻击防护、安全监测、安全审计和安全管控平台等技术方面提出数据安全要求,力求为API开发者、运营者及专业测评机构开展API数据安全测试工作,提升API数据安全水平,强化测试能力、健全技术手段提供指引和依据。
【最新进展】本标准已经报批,等待发布,标准文稿请关注CCSA官方网站。
6.行业标准《电信网和互联网数据水印技术要求与测试方法》
【主要内容】基于数据水印系统技术应用架构,主要描述了数据水印的添加、提取以及溯源等主要流程以及实现原理,同时对数据水印添加过程中涉及到的水印嵌入算法、水印提取算法、溯源算法等主要要素,提出了具体的评估方法和技术要求。该标准也为相关企业研发相应的产品提供一定的技术指导。同时,该标准也为企业采购相关产品时提供参考,为企业有效运用此产品做好数据安全提供相应的助益。
【最新进展】本标准已经报批,等待发布,标准文稿请关注CCSA官方网站。
7.行业标准《电信网和互联网数据安全管控平台技术要求与测试方法》
【主要内容】本标准适用于电信网和互联网在数据安全建设阶段,在数据资产管理、敏感数据识别,数据安全策略集中化管理、数据安全风险监测等方面,提出技术支撑措施和配套的测试方法。一方面为企业研发相应产品提供指导,优化市场供给。一方面为企业采购相关数据安全管控产品提供指导,帮助企业有效运用技术措施扎实做好数据安全管控工作。
【最新进展】本标准已经报批,等待发布,标准文稿请关注CCSA官方网站。
8.行业标准《电信网和互联网企业数据安全能力框架》
【主要内容】根据企业数据安全体系建设需要和数据安全能力建设需求,以三同步视角,提出了电信网和互联网企业数据安全能力框架,对数据安全体系建设过程中涉及的过程给出了相关建设指南和内容说明。目的在于为电信网和互联网行业内各类企业开展数据安全体系建设过程中涉及的体系规划、能力建设、运营管理、监督改进和评价等环节提供参考和落地指导,统一企业的数据安全体系建设思路。
【最新进展】本标准在2022年4月27日举行的TF1第11次工作组会议会上同意送审,标准文稿请关注CCSA官网。
二、隐私计算技术系列标准
隐私计算技术系列标准目前包括联邦学习、多方安全计算的主要功能要求、安全要求、安全部署等方面,用于指导平台厂商的相关产品能力完善与提升,并且可以指导行业开展多方数据联合共享使用以及数据交换过程中的隐私保护。
9.行业标准《电信网和互联网多方安全计算技术要求与测试方法》
【主要内容】给出了多方安全计算技术的工作流程,并在此基础上从功能性、安全性、性能三大方面提出了技术要求以及相应的测试方法。本标准为多方安全计算产品的设计、研发、测试、评估提供了参考。
【最新进展】本标准已经报批,等待发布,标准文稿请关注CCSA官方网站。
10.行业标准《电信网和互联网联邦学习数据安全技术要求与测试方法》
【主要内容】给出了联邦学习应用的各阶段场景,并针对各阶段场景中的安全风险提出了半诚实环境下的数据安全要求以及相应的测试方法。本标准为联邦学习产品的设计、研发、测试、评估提供了参考。
【最新进展】本标准在2022年4月27日举行的TF1第11次工作组会议会上同意送审,标准文稿请关注CCSA官网。
