信息化觀察網(wǎng)

引言

隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等技術(shù)的快速發(fā)展，全球數(shù)據(jù)量出現(xiàn)爆炸式增長(zhǎng)；根據(jù)IDC研究的“大數(shù)據(jù)摩爾定律”表明，人類社會(huì)產(chǎn)生的數(shù)據(jù)一直在以每年50%的速度增長(zhǎng)，也就是說，每?jī)赡昃驮黾右槐?。在大?shù)據(jù)不斷向各個(gè)行業(yè)滲透、深刻影響國(guó)家的政治、經(jīng)濟(jì)、民生和國(guó)防的同時(shí)，其安全問題也將對(duì)個(gè)人隱私、社會(huì)穩(wěn)定和國(guó)家安全帶來巨大的潛在威脅與挑戰(zhàn)。

政務(wù)信息化的推進(jìn)，公安、電信、金融、互聯(lián)網(wǎng)等行業(yè)的平臺(tái)升級(jí)，加速推進(jìn)大數(shù)據(jù)安全和隱私保護(hù)需求。為了應(yīng)對(duì)這些需求，我國(guó)也開始對(duì)在全國(guó)網(wǎng)絡(luò)安全執(zhí)行大檢查行動(dòng)中，首次開展針對(duì)大數(shù)據(jù)安全的整治工作，具體包括大數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換、銷毀等全生命周期的監(jiān)控與保護(hù)。

大數(shù)據(jù)平臺(tái)下的信息安全問題

隨著各種P2P和校園貸等造成的大學(xué)生詐騙導(dǎo)致死亡的案件不斷發(fā)生，不少人開始問這樣一個(gè)問題，我們的信息是如何被犯罪份子得到的，是黑客入侵了公民信息數(shù)據(jù)庫還是內(nèi)部有人將信息泄露？具體是什么，我們不得而知，因?yàn)槭裁炊加锌赡?。我們已?jīng)進(jìn)入了大數(shù)據(jù)時(shí)代，我們的很多信息都被通過各種途徑傳播出去，這就必然導(dǎo)致安全問題的產(chǎn)生。那么，我們靠什么來保障我們的數(shù)據(jù)安全呢?難道我們只能看著個(gè)人的數(shù)據(jù)和隱私到處泄露嗎?

伴隨著接入互聯(lián)網(wǎng)的設(shè)備越多，網(wǎng)絡(luò)攻擊的發(fā)生幾率就越高，網(wǎng)絡(luò)攻擊首先瞄準(zhǔn)大數(shù)據(jù)，攻擊造成大數(shù)據(jù)丟失、情報(bào)泄密和破壞網(wǎng)絡(luò)安全運(yùn)行。大數(shù)據(jù)技術(shù)是一把雙刃劍，既可以造福社會(huì)、造福人民，又可以被一些人用來損害社會(huì)公共利益和民眾利益?？梢姌?gòu)建一套大數(shù)據(jù)的信息安全體系勢(shì)在必行。

在互聯(lián)網(wǎng)乃至物聯(lián)網(wǎng)時(shí)代，如果我們不能很好地解決安全問題，就會(huì)影響社會(huì)各方面的發(fā)展。因此，各級(jí)政府在鼓勵(lì)發(fā)展大數(shù)據(jù)的同時(shí)，要同步考慮構(gòu)建大數(shù)據(jù)安全體系。值得注意的是，傳統(tǒng)的網(wǎng)絡(luò)安全思路已經(jīng)無法保障大數(shù)據(jù)時(shí)代的安全。傳統(tǒng)網(wǎng)絡(luò)安全的防護(hù)思路是劃分邊界，將內(nèi)網(wǎng)、外網(wǎng)分開，業(yè)務(wù)內(nèi)網(wǎng)和公共外網(wǎng)分離，用終端設(shè)備將潛在風(fēng)險(xiǎn)隔離。通過在每個(gè)邊界設(shè)立網(wǎng)關(guān)設(shè)備和網(wǎng)絡(luò)流量設(shè)備，來守住“邊界”，以期解決安全問題。但隨著移動(dòng)互聯(lián)網(wǎng)、云服務(wù)的出現(xiàn)，移動(dòng)終端在4G信號(hào)、Wi-Fi信號(hào)、電纜之間穿梭，網(wǎng)絡(luò)邊界實(shí)際上已經(jīng)消亡。

很多傳統(tǒng)的大企業(yè)認(rèn)為，只要自己購(gòu)買服務(wù)器并搭建獨(dú)立的機(jī)房，安排專門的技術(shù)人員就能夠保護(hù)企業(yè)的數(shù)據(jù)不被泄露，能夠保護(hù)企業(yè)的信息安全。但實(shí)際上，在如今的互聯(lián)網(wǎng)時(shí)代，這種傳統(tǒng)的方法更加容易被不法分子所攻破。因?yàn)閺募夹g(shù)實(shí)力來看，絕大部分企業(yè)并不是專門做網(wǎng)絡(luò)安全、數(shù)據(jù)安全，其設(shè)置的技術(shù)壁壘難以阻擋專業(yè)的黑客。

大數(shù)據(jù)時(shí)代信息的安全分類

大數(shù)據(jù)涉及到的內(nèi)容比較廣泛，信息安全問題可以從這5個(gè)維度去考慮，管理安全、平臺(tái)安全、數(shù)據(jù)安全、運(yùn)維安全、業(yè)務(wù)安全。具體如下：

1、管理安全：指大數(shù)據(jù)的安全管理方面的要求，包括管理制度、機(jī)構(gòu)和人員管理、系統(tǒng)建設(shè)管理、運(yùn)維管理等內(nèi)容及配套管理流程。安全防護(hù)離不開管理與技術(shù)協(xié)同，國(guó)家、政府、行業(yè)自上而下應(yīng)該有安全管理制度和管理流程，指導(dǎo)具體安全工作的開展和實(shí)施。

2、平臺(tái)安全：指平臺(tái)主機(jī)、系統(tǒng)、組件自身的安全和身份鑒別、訪問控制、接口安全、多租戶管理等安全問題，是對(duì)大數(shù)據(jù)平臺(tái)傳輸、存儲(chǔ)、運(yùn)算等資源的安全防護(hù)要求。

3、數(shù)據(jù)安全：數(shù)據(jù)屬于一種資產(chǎn)，有6個(gè)生命周期階段：采集、傳輸、存儲(chǔ)、處理、交換、銷毀；數(shù)據(jù)安全要保障數(shù)據(jù)在任何階段下都是安全的。圍繞數(shù)據(jù)全生命周期考慮數(shù)據(jù)安全問題，例如：數(shù)據(jù)采集階段的分類分級(jí)、清洗比對(duì)、質(zhì)量監(jiān)控；數(shù)據(jù)傳輸階段的安全管理；數(shù)據(jù)存儲(chǔ)階段的安全存儲(chǔ)、訪問控制、數(shù)據(jù)副本、數(shù)據(jù)歸檔、數(shù)據(jù)時(shí)效性；數(shù)據(jù)處理和交換階段的分布式處理安全、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)溯源；數(shù)據(jù)交換階段的數(shù)據(jù)導(dǎo)入導(dǎo)出、共享、發(fā)布、交換監(jiān)控；數(shù)據(jù)銷毀階段的介質(zhì)使用管理、數(shù)據(jù)銷毀、介質(zhì)銷毀等安全問題。

4、運(yùn)維安全：運(yùn)維人員的權(quán)限相對(duì)較大，運(yùn)維人員直接對(duì)數(shù)據(jù)庫進(jìn)行操作，涉及的數(shù)據(jù)量非常大，數(shù)據(jù)的安全難以保障。例如：內(nèi)部人員的誤操作導(dǎo)致數(shù)據(jù)丟失或不可用，蓄謀惡意行為導(dǎo)致數(shù)據(jù)泄露。

5、業(yè)務(wù)安全：業(yè)務(wù)安全跟業(yè)務(wù)強(qiáng)相關(guān)，跟應(yīng)用場(chǎng)景和業(yè)務(wù)流量特征有關(guān)，一般的防護(hù)手段很難發(fā)現(xiàn)，涉及到業(yè)務(wù)學(xué)習(xí)和行為分析。例如：緩慢少量攻擊、共謀、在噪音中隱身、持續(xù)滲漏嘗試、長(zhǎng)期潛伏者等。

大數(shù)據(jù)安全面臨的挑戰(zhàn)

大數(shù)據(jù)安全與傳統(tǒng)數(shù)據(jù)安全相比，存在一些差異，大數(shù)據(jù)環(huán)境的特點(diǎn)是分布式、組件多、接口多、類型多、數(shù)據(jù)量大，這些特性給大數(shù)據(jù)安全引入了技術(shù)難點(diǎn)。主流開源大數(shù)據(jù)組件二十多款，還有大量第三方封裝的組件，不同組件使用的交互接口不同，安全產(chǎn)品面對(duì)這么多組件接口，在監(jiān)控、防護(hù)、溯源的方案設(shè)計(jì)和技術(shù)實(shí)現(xiàn)上都有難度。

大數(shù)據(jù)平臺(tái)要存儲(chǔ)和處理的數(shù)據(jù)量龐大，IDC預(yù)計(jì)，到2020年全球數(shù)據(jù)總量將超過40ZB，面對(duì)持續(xù)膨脹的數(shù)據(jù)量，安全產(chǎn)品不僅要提高單機(jī)產(chǎn)品的處理性能，還要考慮產(chǎn)品擴(kuò)容和延展性。

大數(shù)據(jù)平臺(tái)要存儲(chǔ)和處理的數(shù)據(jù)類型眾多，結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)。要對(duì)非結(jié)構(gòu)化數(shù)據(jù)做識(shí)別、分類分級(jí)和脫敏處理，有一定技術(shù)難度。

大數(shù)據(jù)時(shí)代信息安全的法規(guī)標(biāo)準(zhǔn)及防護(hù)方案

（1）大數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn)

大數(shù)據(jù)時(shí)代是萬物互聯(lián)的時(shí)代，數(shù)據(jù)在共享中體現(xiàn)價(jià)值，因此，國(guó)內(nèi)外法律法規(guī)也終將完善大數(shù)據(jù)安全領(lǐng)域的防護(hù)和技術(shù)要求，助力大數(shù)據(jù)安全建設(shè)。我們國(guó)家、政府、各行業(yè)相繼出臺(tái)大數(shù)據(jù)平臺(tái)安全和數(shù)據(jù)安全相關(guān)的國(guó)標(biāo)、行標(biāo)、企標(biāo)、地標(biāo)，推動(dòng)大數(shù)據(jù)產(chǎn)業(yè)的良性發(fā)展?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《等保2.0》、《個(gè)人信息安全規(guī)范》、《GDPR》、《電信網(wǎng)與互聯(lián)網(wǎng)大數(shù)據(jù)平臺(tái)安全防護(hù)技術(shù)要求》等。通過這些法規(guī)和標(biāo)準(zhǔn)的出臺(tái)實(shí)現(xiàn)了兩個(gè)全覆蓋：一是覆蓋各地區(qū)、各單位、各部門、各企業(yè)、各機(jī)構(gòu)，也就是覆蓋全社會(huì)；二是覆蓋所有保護(hù)對(duì)象，如網(wǎng)絡(luò)、信息系統(tǒng)、云平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動(dòng)互聯(lián)等各類技術(shù)應(yīng)用，無一例外都要落實(shí)信息安全制度中，這兩個(gè)全覆蓋是它的核心，是重中之重。

（2）大數(shù)據(jù)安全防護(hù)方案

數(shù)據(jù)共享是必然需求，大數(shù)據(jù)安全的防護(hù)目標(biāo)要在保障業(yè)務(wù)正常的前提下，以合理成本，保護(hù)大數(shù)據(jù)平臺(tái)下數(shù)據(jù)的安全。業(yè)務(wù)需求與風(fēng)險(xiǎn)并存，防護(hù)要在業(yè)務(wù)需求與風(fēng)險(xiǎn)之間尋求平衡，對(duì)不同價(jià)值和屬性的數(shù)據(jù)，在不同業(yè)務(wù)需求下，實(shí)施不同級(jí)別的防護(hù)措施，控制防護(hù)成本。大數(shù)據(jù)安全防護(hù)方案可按層次考慮，平臺(tái)安全、數(shù)據(jù)安全、運(yùn)維安全、業(yè)務(wù)安全，層層深入，逐步提升安全性。

1、平臺(tái)安全：數(shù)據(jù)的存儲(chǔ)和流轉(zhuǎn)依托大數(shù)據(jù)平臺(tái)和各業(yè)務(wù)系統(tǒng)，平臺(tái)自身安全是第一步，通過平臺(tái)各組件與系統(tǒng)的漏洞掃描管理、規(guī)范化的基線核查管理、平臺(tái)態(tài)勢(shì)感知，確保大數(shù)據(jù)平臺(tái)的安全運(yùn)行。

2、數(shù)據(jù)安全：關(guān)注數(shù)據(jù)的安全存儲(chǔ)，數(shù)據(jù)梳理，掌握數(shù)據(jù)全景圖，讓數(shù)據(jù)風(fēng)險(xiǎn)可量化；關(guān)注數(shù)據(jù)在處理、交換、使用時(shí)安全，身份認(rèn)證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏，防止非法或越權(quán)訪問數(shù)據(jù)，對(duì)數(shù)據(jù)訪問進(jìn)行管控、數(shù)據(jù)審計(jì)。

3、運(yùn)維安全：收斂大數(shù)據(jù)平臺(tái)的數(shù)據(jù)訪問途徑，對(duì)運(yùn)維人員訪問大數(shù)據(jù)平臺(tái)的操作行為進(jìn)行操作管控、操作審計(jì)。

4、業(yè)務(wù)安全：機(jī)器學(xué)習(xí)建模，對(duì)敏感數(shù)據(jù)的訪問行為和敏感業(yè)務(wù)進(jìn)行機(jī)器學(xué)習(xí)，對(duì)用戶行為進(jìn)行分析，感知和預(yù)測(cè)業(yè)務(wù)安全風(fēng)險(xiǎn)。

未來展望

大數(shù)據(jù)覆蓋了自然人、法人、企業(yè)、政府機(jī)構(gòu)等，同時(shí)和醫(yī)療、教育、民生服務(wù)等各個(gè)部門相關(guān)；因此，解決了大數(shù)據(jù)的政務(wù)相關(guān)信息安全問題，就能有效解決其他行業(yè)大數(shù)據(jù)安全問題，有力支撐國(guó)家治理體系和治理能力現(xiàn)代化目標(biāo)的實(shí)現(xiàn)。從實(shí)施層面來看，國(guó)家將統(tǒng)一標(biāo)準(zhǔn)規(guī)范，避免行業(yè)交流繁雜、數(shù)據(jù)所有權(quán)混亂、開發(fā)成本高等一系列問題。統(tǒng)一的數(shù)據(jù)管理平臺(tái)，統(tǒng)一的數(shù)據(jù)存儲(chǔ)，統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，進(jìn)行統(tǒng)一的數(shù)據(jù)資產(chǎn)管理，統(tǒng)一進(jìn)行授權(quán)管理，這是未來大數(shù)據(jù)發(fā)展的一個(gè)方向。