重新梳理“數據安全”的概念

謝宗曉　程瑜琦

信息安全管理系列之五十二

最近兩年，數據安全毫無疑問是信息安全領域內討論最多的詞匯之一，這種概念與我們之前辨析過的網絡安全（cybersecurity）等概念一樣，與最常用的“信息安全”詞匯，既有區別，又有交集。因此，在本期中，我們有必要對“數據安全”的概念進行重新梳理。

謝宗曉（特約編輯）

摘要：在定義數據、信息和情報的基礎上，梳理數據安全的定義，并分析數據技術（DT）時代與信息技術（IT）時代的異同。

關鍵詞：數據安全 信息安全 網絡安全

Redefinition of Data Security

Xie Zongxiao （China Financial Certification Authority，）

Cheng Yuqi （China Cybersecurity Review Technology and Certification Center）

Abstract： Based on the definition of data and information， this paper sorts out the definition of data security and analyzes the similarities and differences between the era of data technology （DT） and the era of information technology （IT）.

Key words： information security， data security， cybersecurity

1 數據、信息和情報

數據、信息和情報是比較常見、容易混淆的幾個相似概念。

數據是指定性或定量的一組值，最簡單的形式就是數字，也可體現為更復雜的文字、聲音或圖像等。據考證，data在英語中第一次作為詞匯出現大約在17世紀40年代，1946年開始將其作為“可以在計算機中存儲和傳輸的信息”1）。數據最直觀的來源是科學研究，當然在今天這個時代，各行各業都會產生海量數據。

信息一般是指處理過的數據，文獻[1]對“信息”進行了精確的定義，在文獻綜述中指出，信息詞匯的正式定義最早出現于1965年，雖然更多的文獻將信息的定義與數據關聯起來，甚至作為“特殊的一種數據”，但是數據和信息不一定必然具備遞進或強相關關系，例如，文獻[2]對信息的定義就是“記錄的標志（recorded marks）”，不僅如此，還有更多的文獻從各個角度定義信息，主要包括：數據、消息（message）、過程（process）、結構（structure）和知識（knowledge）。

“情報”是中文翻譯問題，在英文中與“信息”是同一個詞匯，都是information，例如，圖書館與情報科學（Library and Information Science，LIS）。在日語翻譯中，一般也會將information security翻譯為情報安全。

2 大數據背景下的數據安全

大數據并不僅僅是“大量的數據”[3]，普遍的觀點認為，大數據是指規模大且復雜、以致于很難用現有數據庫管理工具或數據處理應用來處理的數據集。目前“大數據”一詞往往用來指預測分析、用戶行為分析或某些其他高級數據分析方法的使用，這些方法從數據中提取價值，很少用到特定大小的數據集2）。或者說，大數據詞匯并沒有刻意強調“大”，而是更多地強調數據的解釋意義。

數據安全之前一直作為信息安全的一個域而存在，區別在于，信息安全強調外延，信息本身的安全，信息處理設施的安全，以及信息處理者的安全。因此，應用最廣泛的ISO/IEC 27000標準族中，在討論信息安全控制的時候，不但包括了信息系統的方方面面，也包括了人員安全。數據安全作為其中一部分，則強調定義的內涵，一般只強調數據本身的安全。

不可否認，數據安全成為熱點，是因為大數據時代的到來，但是，數據安全并不能僅僅局限于狹義的“大數據安全”，而是指大數據背景下的數據安全。從這個角度講，數據安全也是一個無所不包的概念，既包括數據的安全、也包括平臺的安全、系統的安全，以及相關人員的安全。

3 從信息技術時代到數據技術時代

信息系統是對“信息”進行處理的一類系統總稱，該詞匯有時候也稱為“信息通信系統”或者“計算機信息系統”。在《中華人民共和國計算機信息系統安全保護條例》3）中用的就是計算機信息系統，并將其定義為：

本條例所稱的計算機信息系統，是指由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

當然，也有諸多文獻沿用的是“信息系統”詞匯，例如，《中華人民共和國保守國家秘密法》4）。整體而言，不必刻意區分這幾個概念。文獻[4]認為，信息系統包括了信息技術設施、數據、應用系統和人員，提供信息與通信服務。從這個角度講，信息技術（Information Technology，IT）與信息通信技術（Information and Communication Technology，ICT）并不容易區分。

最常見的信息系統應該是管理信息系統（Management Information System，MIS）。對于MIS而言，處理的對象是“管理信息”，當然在邏輯上也需要完成信息的收集、傳輸、處理和使用等整個生命周期過程，但其本質以及其系統設計的表現，是依附于流程的，甚至更多的MIS系統只是管理流程的“信息化”。因此，對于絕大部分MIS而言，其主線是“流程”，即使能夠部分地實現流程再造。

如上文中所討論的數據與信息的區別，信息系統處理的信息，主要是指有意義的數據。但在大數據時代，數據是否有意義，變得更加模糊，難于判斷，這是一個相對的概念。例如，單獨地關注某用戶的微博，可能是了解了該用戶想展現的一面，但是如果同時能夠搜集該用戶的各種社交賬號或者購買行為等，并從中分析，則會使得一個人在網絡空間中的表現變得清晰。如果以此建立函數，就可以對該用戶的行為進行預測。在信息技術（IT）時代，這種涉及個人隱私的預測由于數據量不夠，不能全面刻畫個體行為，數據建模不準確，危害并不明顯，但是一旦進入數據技術（DT）時代，預測就會變得越來越準確，最后直至毫無隱私而言，這本身是一個從量變到質變的過程。

以大數據為基礎的系統，一般更偏向于決策支持等功能。因此，其整體框架不再圍繞“流程”，而是真正轉移為以“數據”為中心。大數據的技術框架主要包括數據采集、數據分析和數據解釋三個步驟。大數據系統的主要目的為，從信息系統的對過程輔助轉變為對決策輔助。

4 數據安全的定義

根據上述分析，我們可以得知數據安全問題存在由來已久，只是在大數據背景下變得比較突出。在大數據沒有出現之前，例如，數據的生命周期安全管理，包括數據的獲取、存儲、傳輸、處理、使用和銷毀等過程，也是在實踐中的難點。

如果將數據安全作為信息安全的一個控制域，從這個角度講，強調的是數據（或信息）本身的安全。在大數據背景之下，數據本身的安全很難與信息本身的安全區分開來。例如，信息的分類分級，同樣也可以稱之為數據的分類分級。或者說，在大數據出現之前，沒有必要太區分數據安全、信息安全和知識安全的概念。

當然，數據安全也可以作為單獨的研究領域，從這個角度講，強調的是與信息安全的異同，如果不在大數據背景下，兩者區別不大，唯有在大數據背景下，數據安全才有必要單獨討論。

在ISO/IEC 27000：2018《信息安全管理體系 概述與詞匯》中，將“信息安全”定義為：

保持信息的保密性、完整性和可用性。

注1：另外也可包括例如真實性、可核查性、不可否認性和可靠性等。

再如，在ISO/IEC 27032：2012《網絡空間安全》中對“網絡空間安全/網絡安全”的定義為：

保持網絡空間信息的保密性、完整性和可用性。

注1：此外，也可包括如真實性、可核查性、不可否認性和可靠性等其他屬性。

注2：該定義修改自ISO/IEC 27000：2009 中對信息安全的定義。

對于數據安全的定義，考慮到數據安全需求也是保密性、完整性和可用性等特點，也可以給出類似于“信息安全”的定義，例如，數據安全是指保持數據的保密性、完整性和可用性，另外也可包括例如真實性、可核查性、不可否認性和可靠性等。

數據安全所包括的范疇，也應該是與信息安全相似，目前在信息安全領域存在ISO/IEC 27002：2013《信息安全控制實踐指南》這樣的最佳實踐，在網絡安全領域存在CIS ControlsTM類似的最佳實踐5），但是在數據安全領域尚未出現類似的文獻。

5 小結

不同概念有不同的強調重點。信息安全中強調對組織信息的保護，這從ISO/IEC 27002：2013的應用范圍可以得到佐證，雖然，信息中也包括了“個人信息”。ISO/IEC 27000標準族的本質是站在組織的視角解決信息安全問題。在網絡安全中，突出的重點是關鍵信息基礎設施保護（Critical Information Infrastructure Protection，CIIP）[5-6]，尤其是關鍵信息基礎設施（Critical Information Infrastructures，CIIs）的可用性。在數據安全時代，隱私保護是亟需考慮的問題。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] Yu Liangzhi， Back to the fundamentals again： A redefinitionof information and associated LIS concepts followinga deductive approach [J]， Journal of Documentation，?2015， 71（4）：795- 816.

[2] WELLISCH H. From information science to informatics：a terminological investigation [J]， Journal of Librarianshipand Information Science， 1972， 4（3）：157-187.

[3] 馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014，37（1）：246-258.

[4] DAVIS G. B. Information Systems Conceptual?Foundations： Looking Backward and Forward， in?Organizational and Social Perspectives on InformationTechnology [C]， R. Baskerville， J. Stage， and J. I.?DeGross （eds.）， Boston： Springer. 2000： 61-82.

[5] 謝宗曉，甄杰，董坤祥， 等. 網絡空間安全管理[M].北京：中國質檢出版社/中國標準出版社，2017.

[6] 林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐[M]. 北京：中國標準出版社， 2015.