謝宗曉　程瑜琦

信息安全管理系列之五十二

最近兩年，數(shù)據(jù)安全毫無疑問是信息安全領域內討論最多的詞匯之一，這種概念與我們之前辨析過的網(wǎng)絡安全（cybersecurity）等概念一樣，與最常用的“信息安全”詞匯，既有區(qū)別，又有交集。因此，在本期中，我們有必要對“數(shù)據(jù)安全”的概念進行重新梳理。

謝宗曉（特約編輯）

摘要：在定義數(shù)據(jù)、信息和情報的基礎上，梳理數(shù)據(jù)安全的定義，并分析數(shù)據(jù)技術（DT）時代與信息技術（IT）時代的異同。

關鍵詞：數(shù)據(jù)安全 信息安全 網(wǎng)絡安全

Redefinition of Data Security

Xie Zongxiao （China Financial Certification Authority，）

Cheng Yuqi （China Cybersecurity Review Technology and Certification Center）

Abstract： Based on the definition of data and information， this paper sorts out the definition of data security and analyzes the similarities and differences between the era of data technology （DT） and the era of information technology （IT）.

Key words： information security， data security， cybersecurity

1 數(shù)據(jù)、信息和情報

數(shù)據(jù)、信息和情報是比較常見、容易混淆的幾個相似概念。

數(shù)據(jù)是指定性或定量的一組值，最簡單的形式就是數(shù)字，也可體現(xiàn)為更復雜的文字、聲音或圖像等。據(jù)考證，data在英語中第一次作為詞匯出現(xiàn)大約在17世紀40年代，1946年開始將其作為“可以在計算機中存儲和傳輸?shù)男畔ⅰ?）。數(shù)據(jù)最直觀的來源是科學研究，當然在今天這個時代，各行各業(yè)都會產生海量數(shù)據(jù)。

信息一般是指處理過的數(shù)據(jù)，文獻[1]對“信息”進行了精確的定義，在文獻綜述中指出，信息詞匯的正式定義最早出現(xiàn)于1965年，雖然更多的文獻將信息的定義與數(shù)據(jù)關聯(lián)起來，甚至作為“特殊的一種數(shù)據(jù)”，但是數(shù)據(jù)和信息不一定必然具備遞進或強相關關系，例如，文獻[2]對信息的定義就是“記錄的標志（recorded marks）”，不僅如此，還有更多的文獻從各個角度定義信息，主要包括：數(shù)據(jù)、消息（message）、過程（process）、結構（structure）和知識（knowledge）。

“情報”是中文翻譯問題，在英文中與“信息”是同一個詞匯，都是information，例如，圖書館與情報科學（Library and Information Science，LIS）。在日語翻譯中，一般也會將information security翻譯為情報安全。

2 大數(shù)據(jù)背景下的數(shù)據(jù)安全

大數(shù)據(jù)并不僅僅是“大量的數(shù)據(jù)”[3]，普遍的觀點認為，大數(shù)據(jù)是指規(guī)模大且復雜、以致于很難用現(xiàn)有數(shù)據(jù)庫管理工具或數(shù)據(jù)處理應用來處理的數(shù)據(jù)集。目前“大數(shù)據(jù)”一詞往往用來指預測分析、用戶行為分析或某些其他高級數(shù)據(jù)分析方法的使用，這些方法從數(shù)據(jù)中提取價值，很少用到特定大小的數(shù)據(jù)集2）。或者說，大數(shù)據(jù)詞匯并沒有刻意強調“大”，而是更多地強調數(shù)據(jù)的解釋意義。

數(shù)據(jù)安全之前一直作為信息安全的一個域而存在，區(qū)別在于，信息安全強調外延，信息本身的安全，信息處理設施的安全，以及信息處理者的安全。因此，應用最廣泛的ISO/IEC 27000標準族中，在討論信息安全控制的時候，不但包括了信息系統(tǒng)的方方面面，也包括了人員安全。數(shù)據(jù)安全作為其中一部分，則強調定義的內涵，一般只強調數(shù)據(jù)本身的安全。

不可否認，數(shù)據(jù)安全成為熱點，是因為大數(shù)據(jù)時代的到來，但是，數(shù)據(jù)安全并不能僅僅局限于狹義的“大數(shù)據(jù)安全”，而是指大數(shù)據(jù)背景下的數(shù)據(jù)安全。從這個角度講，數(shù)據(jù)安全也是一個無所不包的概念，既包括數(shù)據(jù)的安全、也包括平臺的安全、系統(tǒng)的安全，以及相關人員的安全。

3 從信息技術時代到數(shù)據(jù)技術時代

信息系統(tǒng)是對“信息”進行處理的一類系統(tǒng)總稱，該詞匯有時候也稱為“信息通信系統(tǒng)”或者“計算機信息系統(tǒng)”。在《中華人民共和國計算機信息系統(tǒng)安全保護條例》3）中用的就是計算機信息系統(tǒng)，并將其定義為：

本條例所稱的計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

當然，也有諸多文獻沿用的是“信息系統(tǒng)”詞匯，例如，《中華人民共和國保守國家秘密法》4）。整體而言，不必刻意區(qū)分這幾個概念。文獻[4]認為，信息系統(tǒng)包括了信息技術設施、數(shù)據(jù)、應用系統(tǒng)和人員，提供信息與通信服務。從這個角度講，信息技術（Information Technology，IT）與信息通信技術（Information and Communication Technology，ICT）并不容易區(qū)分。

最常見的信息系統(tǒng)應該是管理信息系統(tǒng)（Management Information System，MIS）。對于MIS而言，處理的對象是“管理信息”，當然在邏輯上也需要完成信息的收集、傳輸、處理和使用等整個生命周期過程，但其本質以及其系統(tǒng)設計的表現(xiàn)，是依附于流程的，甚至更多的MIS系統(tǒng)只是管理流程的“信息化”。因此，對于絕大部分MIS而言，其主線是“流程”，即使能夠部分地實現(xiàn)流程再造。

如上文中所討論的數(shù)據(jù)與信息的區(qū)別，信息系統(tǒng)處理的信息，主要是指有意義的數(shù)據(jù)。但在大數(shù)據(jù)時代，數(shù)據(jù)是否有意義，變得更加模糊，難于判斷，這是一個相對的概念。例如，單獨地關注某用戶的微博，可能是了解了該用戶想展現(xiàn)的一面，但是如果同時能夠搜集該用戶的各種社交賬號或者購買行為等，并從中分析，則會使得一個人在網(wǎng)絡空間中的表現(xiàn)變得清晰。如果以此建立函數(shù)，就可以對該用戶的行為進行預測。在信息技術（IT）時代，這種涉及個人隱私的預測由于數(shù)據(jù)量不夠，不能全面刻畫個體行為，數(shù)據(jù)建模不準確，危害并不明顯，但是一旦進入數(shù)據(jù)技術（DT）時代，預測就會變得越來越準確，最后直至毫無隱私而言，這本身是一個從量變到質變的過程。

以大數(shù)據(jù)為基礎的系統(tǒng)，一般更偏向于決策支持等功能。因此，其整體框架不再圍繞“流程”，而是真正轉移為以“數(shù)據(jù)”為中心。大數(shù)據(jù)的技術框架主要包括數(shù)據(jù)采集、數(shù)據(jù)分析和數(shù)據(jù)解釋三個步驟。大數(shù)據(jù)系統(tǒng)的主要目的為，從信息系統(tǒng)的對過程輔助轉變?yōu)閷Q策輔助。

4 數(shù)據(jù)安全的定義

根據(jù)上述分析，我們可以得知數(shù)據(jù)安全問題存在由來已久，只是在大數(shù)據(jù)背景下變得比較突出。在大數(shù)據(jù)沒有出現(xiàn)之前，例如，數(shù)據(jù)的生命周期安全管理，包括數(shù)據(jù)的獲取、存儲、傳輸、處理、使用和銷毀等過程，也是在實踐中的難點。

如果將數(shù)據(jù)安全作為信息安全的一個控制域，從這個角度講，強調的是數(shù)據(jù)（或信息）本身的安全。在大數(shù)據(jù)背景之下，數(shù)據(jù)本身的安全很難與信息本身的安全區(qū)分開來。例如，信息的分類分級，同樣也可以稱之為數(shù)據(jù)的分類分級?；蛘哒f，在大數(shù)據(jù)出現(xiàn)之前，沒有必要太區(qū)分數(shù)據(jù)安全、信息安全和知識安全的概念。

當然，數(shù)據(jù)安全也可以作為單獨的研究領域，從這個角度講，強調的是與信息安全的異同，如果不在大數(shù)據(jù)背景下，兩者區(qū)別不大，唯有在大數(shù)據(jù)背景下，數(shù)據(jù)安全才有必要單獨討論。

在ISO/IEC 27000：2018《信息安全管理體系 概述與詞匯》中，將“信息安全”定義為：

保持信息的保密性、完整性和可用性。

注1：另外也可包括例如真實性、可核查性、不可否認性和可靠性等。

再如，在ISO/IEC 27032：2012《網(wǎng)絡空間安全》中對“網(wǎng)絡空間安全/網(wǎng)絡安全”的定義為：

保持網(wǎng)絡空間信息的保密性、完整性和可用性。

注1：此外，也可包括如真實性、可核查性、不可否認性和可靠性等其他屬性。

注2：該定義修改自ISO/IEC 27000：2009 中對信息安全的定義。

對于數(shù)據(jù)安全的定義，考慮到數(shù)據(jù)安全需求也是保密性、完整性和可用性等特點，也可以給出類似于“信息安全”的定義，例如，數(shù)據(jù)安全是指保持數(shù)據(jù)的保密性、完整性和可用性，另外也可包括例如真實性、可核查性、不可否認性和可靠性等。

數(shù)據(jù)安全所包括的范疇，也應該是與信息安全相似，目前在信息安全領域存在ISO/IEC 27002：2013《信息安全控制實踐指南》這樣的最佳實踐，在網(wǎng)絡安全領域存在CIS ControlsTM類似的最佳實踐5），但是在數(shù)據(jù)安全領域尚未出現(xiàn)類似的文獻。

5 小結

不同概念有不同的強調重點。信息安全中強調對組織信息的保護，這從ISO/IEC 27002：2013的應用范圍可以得到佐證，雖然，信息中也包括了“個人信息”。ISO/IEC 27000標準族的本質是站在組織的視角解決信息安全問題。在網(wǎng)絡安全中，突出的重點是關鍵信息基礎設施保護（Critical Information Infrastructure Protection，CIIP）[5-6]，尤其是關鍵信息基礎設施（Critical Information Infrastructures，CIIs）的可用性。在數(shù)據(jù)安全時代，隱私保護是亟需考慮的問題。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] Yu Liangzhi， Back to the fundamentals again： A redefinitionof information and associated LIS concepts followinga deductive approach [J]， Journal of Documentation，?2015， 71（4）：795- 816.

[2] WELLISCH H. From information science to informatics：a terminological investigation [J]， Journal of Librarianshipand Information Science， 1972， 4（3）：157-187.

[3] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學報，2014，37（1）：246-258.

[4] DAVIS G. B. Information Systems Conceptual?Foundations： Looking Backward and Forward， in?Organizational and Social Perspectives on InformationTechnology [C]， R. Baskerville， J. Stage， and J. I.?DeGross （eds.）， Boston： Springer. 2000： 61-82.

[5] 謝宗曉，甄杰，董坤祥， 等. 網(wǎng)絡空間安全管理[M].北京：中國質檢出版社/中國標準出版社，2017.

[6] 林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社， 2015.