引言
随着互联网、物联网、云计算等技术的快速发展,全球数据量出现爆炸式增长;根据IDC研究的“大数据摩尔定律”表明,人类社会产生的数据一直在以每年50%的速度增长,也就是说,每两年就增加一倍。在大数据不断向各个行业渗透、深刻影响国家的政治、经济、民生和国防的同时,其安全问题也将对个人隐私、社会稳定和国家安全带来巨大的潜在威胁与挑战。
政务信息化的推进,公安、电信、金融、互联网等行业的平台升级,加速推进大数据安全和隐私保护需求。为了应对这些需求,我国也开始对在全国网络安全执行大检查行动中,首次开展针对大数据安全的整治工作,具体包括大数据的采集、传输、存储、处理、交换、销毁等全生命周期的监控与保护。
大数据平台下的信息安全问题
随着各种P2P和校园贷等造成的大学生诈骗导致死亡的案件不断发生,不少人开始问这样一个问题,我们的信息是如何被犯罪份子得到的,是黑客入侵了公民信息数据库还是内部有人将信息泄露?具体是什么,我们不得而知,因为什么都有可能。我们已经进入了大数据时代,我们的很多信息都被通过各种途径传播出去,这就必然导致安全问题的产生。那么,我们靠什么来保障我们的数据安全呢?难道我们只能看着个人的数据和隐私到处泄露吗?
伴随着接入互联网的设备越多,网络攻击的发生几率就越高,网络攻击首先瞄准大数据,攻击造成大数据丢失、情报泄密和破坏网络安全运行。大数据技术是一把双刃剑,既可以造福社会、造福人民,又可以被一些人用来损害社会公共利益和民众利益。可见构建一套大数据的信息安全体系势在必行。
在互联网乃至物联网时代,如果我们不能很好地解决安全问题,就会影响社会各方面的发展。因此,各级政府在鼓励发展大数据的同时,要同步考虑构建大数据安全体系。值得注意的是,传统的网络安全思路已经无法保障大数据时代的安全。传统网络安全的防护思路是划分边界,将内网、外网分开,业务内网和公共外网分离,用终端设备将潜在风险隔离。通过在每个边界设立网关设备和网络流量设备,来守住“边界”,以期解决安全问题。但随着移动互联网、云服务的出现,移动终端在4G信号、Wi-Fi信号、电缆之间穿梭,网络边界实际上已经消亡。
很多传统的大企业认为,只要自己购买服务器并搭建独立的机房,安排专门的技术人员就能够保护企业的数据不被泄露,能够保护企业的信息安全。但实际上,在如今的互联网时代,这种传统的方法更加容易被不法分子所攻破。因为从技术实力来看,绝大部分企业并不是专门做网络安全、数据安全,其设置的技术壁垒难以阻挡专业的黑客。
大数据时代信息的安全分类
大数据涉及到的内容比较广泛,信息安全问题可以从这5个维度去考虑,管理安全、平台安全、数据安全、运维安全、业务安全。具体如下:
1、管理安全:指大数据的安全管理方面的要求,包括管理制度、机构和人员管理、系统建设管理、运维管理等内容及配套管理流程。安全防护离不开管理与技术协同,国家、政府、行业自上而下应该有安全管理制度和管理流程,指导具体安全工作的开展和实施。
2、平台安全:指平台主机、系统、组件自身的安全和身份鉴别、访问控制、接口安全、多租户管理等安全问题,是对大数据平台传输、存储、运算等资源的安全防护要求。
3、数据安全:数据属于一种资产,有6个生命周期阶段:采集、传输、存储、处理、交换、销毁;数据安全要保障数据在任何阶段下都是安全的。围绕数据全生命周期考虑数据安全问题,例如:数据采集阶段的分类分级、清洗比对、质量监控;数据传输阶段的安全管理;数据存储阶段的安全存储、访问控制、数据副本、数据归档、数据时效性;数据处理和交换阶段的分布式处理安全、数据加密、数据脱敏、数据溯源;数据交换阶段的数据导入导出、共享、发布、交换监控;数据销毁阶段的介质使用管理、数据销毁、介质销毁等安全问题。
4、运维安全:运维人员的权限相对较大,运维人员直接对数据库进行操作,涉及的数据量非常大,数据的安全难以保障。例如:内部人员的误操作导致数据丢失或不可用,蓄谋恶意行为导致数据泄露。
5、业务安全:业务安全跟业务强相关,跟应用场景和业务流量特征有关,一般的防护手段很难发现,涉及到业务学习和行为分析。例如:缓慢少量攻击、共谋、在噪音中隐身、持续渗漏尝试、长期潜伏者等。
大数据安全面临的挑战
大数据安全与传统数据安全相比,存在一些差异,大数据环境的特点是分布式、组件多、接口多、类型多、数据量大,这些特性给大数据安全引入了技术难点。主流开源大数据组件二十多款,还有大量第三方封装的组件,不同组件使用的交互接口不同,安全产品面对这么多组件接口,在监控、防护、溯源的方案设计和技术实现上都有难度。
大数据平台要存储和处理的数据量庞大,IDC预计,到2020年全球数据总量将超过40ZB,面对持续膨胀的数据量,安全产品不仅要提高单机产品的处理性能,还要考虑产品扩容和延展性。
大数据平台要存储和处理的数据类型众多,结构化数据、半结构化数据、非结构化数据。要对非结构化数据做识别、分类分级和脱敏处理,有一定技术难度。
大数据时代信息安全的法规标准及防护方案
(1)大数据安全法规标准
大数据时代是万物互联的时代,数据在共享中体现价值,因此,国内外法律法规也终将完善大数据安全领域的防护和技术要求,助力大数据安全建设。我们国家、政府、各行业相继出台大数据平台安全和数据安全相关的国标、行标、企标、地标,推动大数据产业的良性发展。《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《等保2.0》、《个人信息安全规范》、《GDPR》、《电信网与互联网大数据平台安全防护技术要求》等。通过这些法规和标准的出台实现了两个全覆盖:一是覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会;二是覆盖所有保护对象,如网络、信息系统、云平台、物联网、工控系统、大数据、移动互联等各类技术应用,无一例外都要落实信息安全制度中,这两个全覆盖是它的核心,是重中之重。
(2)大数据安全防护方案
数据共享是必然需求,大数据安全的防护目标要在保障业务正常的前提下,以合理成本,保护大数据平台下数据的安全。业务需求与风险并存,防护要在业务需求与风险之间寻求平衡,对不同价值和属性的数据,在不同业务需求下,实施不同级别的防护措施,控制防护成本。大数据安全防护方案可按层次考虑,平台安全、数据安全、运维安全、业务安全,层层深入,逐步提升安全性。
1、平台安全:数据的存储和流转依托大数据平台和各业务系统,平台自身安全是第一步,通过平台各组件与系统的漏洞扫描管理、规范化的基线核查管理、平台态势感知,确保大数据平台的安全运行。
2、数据安全:关注数据的安全存储,数据梳理,掌握数据全景图,让数据风险可量化;关注数据在处理、交换、使用时安全,身份认证、访问控制、数据加密、数据脱敏,防止非法或越权访问数据,对数据访问进行管控、数据审计。
3、运维安全:收敛大数据平台的数据访问途径,对运维人员访问大数据平台的操作行为进行操作管控、操作审计。
4、业务安全:机器学习建模,对敏感数据的访问行为和敏感业务进行机器学习,对用户行为进行分析,感知和预测业务安全风险。
未来展望
大数据覆盖了自然人、法人、企业、政府机构等,同时和医疗、教育、民生服务等各个部门相关;因此,解决了大数据的政务相关信息安全问题,就能有效解决其他行业大数据安全问题,有力支撑国家治理体系和治理能力现代化目标的实现。从实施层面来看,国家将统一标准规范,避免行业交流繁杂、数据所有权混乱、开发成本高等一系列问题。统一的数据管理平台,统一的数据存储,统一的数据标准,进行统一的数据资产管理,统一进行授权管理,这是未来大数据发展的一个方向。
