淺析大數(shù)據(jù)信息安全等級保護

黃石平

摘要：隨著信息技術(shù)的飛速發(fā)展，尤其是大數(shù)據(jù)時代，數(shù)據(jù)安全問題至關(guān)重要。該文從大數(shù)據(jù)概念及特征、大數(shù)據(jù)信息安全面臨的挑戰(zhàn)以及大數(shù)據(jù)安全等級保護措施等方面介做了簡要介紹，全方位提高信息安全防護能力。

關(guān)鍵詞：大數(shù)據(jù)；信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）36-0046-03

Abstract： With the rapid development of information technology， especially in the era of big data， data security is very important. In this paper， the concept and characteristics of big data， big data information security challenges， as well as big data security level protection measures were introduced briefly， improve the ability of information security protection in all aspects.

Key words： Big data； information security

隨著信息技術(shù)的飛速發(fā)展，信息數(shù)據(jù)的需求越來越大，可以說信息化逐漸進入了大數(shù)據(jù)時代，如何獲取有效數(shù)據(jù)并以最合理的算法分析數(shù)據(jù)是進行大數(shù)據(jù)挖掘與分析的關(guān)鍵所在，但是在分析數(shù)據(jù)的過程中，必然會牽涉到用戶的隱私安全問題，所以說保證大數(shù)據(jù)的安全具有重大的現(xiàn)實意義。在國內(nèi)大數(shù)據(jù)安全與等級保護的高峰論壇上，專家表示大數(shù)據(jù)能否實現(xiàn)快速發(fā)展在很大程度上取決于其安全性。就現(xiàn)在來看，我們應(yīng)該從意識、管理和技術(shù)層面提高大數(shù)據(jù)的安全性，盡最大可能避免被外界利用，因此必須加強大數(shù)據(jù)的信息安全等級保護措施。

1 何為大數(shù)據(jù)

所謂大數(shù)據(jù)（big data）指的是在一定范圍內(nèi)，難以用常規(guī)軟件工具搜集、管理以及處理的數(shù)據(jù)集合，它屬于信息資產(chǎn)的范疇，具有多樣化、海量以及高增長率的特點，通過采用新型的處理模式有助于不斷優(yōu)化流程、提高決策者的洞察發(fā)現(xiàn)力和決策力。[1]

<<大數(shù)據(jù)時代>>的主編是肯尼斯.庫克耶和維克托-邁爾-舍恩伯格，在他們看來大數(shù)據(jù)無需采取隨機調(diào)查法便能夠?qū)?shù)據(jù)進行分析和處理。IBM提出大數(shù)據(jù)的特點是Volume（大量）、Velocity（高速）、Variety（多樣）、Value（低價值密度）。

（1） 數(shù)據(jù)體量巨大（Volume）

截止到現(xiàn)在，我們?nèi)祟愃f過的所有話的數(shù)據(jù)量為5EB（1EB=1000PB），所生產(chǎn)的全部數(shù)據(jù)資料的數(shù)據(jù)量為200PB（1PB=1000TB），就現(xiàn)在來看，大多數(shù)微型計算機的硬盤容量為TB量級，而有些大企業(yè)的數(shù)據(jù)量可以達到EB量級。

（2） 數(shù)據(jù)類型多樣（Variety）

由于數(shù)據(jù)類型具有多樣性的典型特點，所以可以將數(shù)據(jù)劃分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。傳統(tǒng)結(jié)構(gòu)化數(shù)據(jù)的存儲結(jié)構(gòu)為二維表存儲，伴隨著非結(jié)構(gòu)化數(shù)據(jù)的蓬勃發(fā)展，比如說：視頻、音頻、圖片和日志等，多類型的數(shù)據(jù)要求較高的數(shù)據(jù)處理能力。

（3） 價值密度低（Value）

數(shù)據(jù)總量越大則價值密度越低，反之，則越高。對于視頻而言，時長1小時的視頻的在持續(xù)的監(jiān)控過程中，有效數(shù)據(jù)可能只有一兩秒。在大數(shù)據(jù)蓬勃發(fā)展的今天，如何借助強大的機器學(xué)習(xí)算法在最短的時間內(nèi)實現(xiàn)數(shù)據(jù)價值的“提純”是當下急需解決的問題。

（4） 處理速度要求快（Velocity）

相比于傳統(tǒng)數(shù)據(jù)，大數(shù)據(jù)具有處理速度要求快的典型特點，通過分析IDC“數(shù)字宇宙”報告我們得知：全球數(shù)據(jù)使用量到2020年預(yù)計會達到35.2ZB（1 ZB=1000EB）。只有更高的數(shù)據(jù)處理速度才能夠應(yīng)對海量數(shù)據(jù)。

2 大數(shù)據(jù)信息安全面臨新挑戰(zhàn)

海量數(shù)據(jù)的集中必然會帶來信息安全風險高度集中的問題，在大數(shù)據(jù)時代，如何保障信息安全成為急需解決的難題，其中的信息安全風險如下所示：

（1） 大數(shù)據(jù)成為網(wǎng)絡(luò)攻擊的主要目標

在虛擬世界中，由于大數(shù)據(jù)更加容易被發(fā)現(xiàn)，引起了社會的廣泛關(guān)注。首先，大數(shù)據(jù)不僅代表海量的數(shù)據(jù)，還是更加敏感和復(fù)雜數(shù)據(jù)的代表，對于潛在攻擊者而言，大數(shù)據(jù)更具吸引力。其次，由于數(shù)據(jù)的高度聚集性，一旦黑客成功攻擊了大數(shù)據(jù)網(wǎng)站，便會得到更多數(shù)據(jù)，使黑客能夠以較低的成本獲得較大的“收益率”。以大數(shù)據(jù)的主要載體云計算平臺為例，早在2009年12月，亞馬遜云計算服務(wù)就曾遭到僵尸網(wǎng)絡(luò)攻擊；2013年3月，黑客成功攻擊了云計算筆記應(yīng)用Evernote，使大量用戶名、加密密碼以及電子郵件地址被泄露。[2]

（2） 大數(shù)據(jù)加大隱私泄露風險

網(wǎng)絡(luò)空間中的數(shù)據(jù)來源十分廣闊，它可以源自電子郵件、社交網(wǎng)絡(luò)、傳感器等，由于大數(shù)據(jù)具有高度聚集性的特點，在某種程度上使用戶面臨著信息泄露的風險。首先，大數(shù)據(jù)大都會牽扯到個人隱私、客戶信息以及企業(yè)運營數(shù)據(jù)等，由于上述數(shù)據(jù)采取集中存儲的方式，從而提高了數(shù)據(jù)泄漏的可能性，即使這些數(shù)據(jù)沒有被濫用，也會對我們的人身安全構(gòu)成較大的威脅。此外，對于某些帶有敏感性色彩的數(shù)據(jù)而言，并未明確界定其所有權(quán)和使用權(quán)，以大數(shù)據(jù)為基礎(chǔ)的數(shù)據(jù)大都未將個人的隱私保護考慮其中。例如，2013年7月，蘋果公司開發(fā)者網(wǎng)站遭到入侵，部分開發(fā)者的姓名、郵寄地址或電子郵件地址被竊取。

（3） 大數(shù)據(jù)成為高級可持續(xù)攻擊的載體

病毒、木馬等惡意代碼能夠輕易隱藏到海量的非結(jié)構(gòu)化數(shù)據(jù)中，難以通過傳統(tǒng)的防護措施檢測出來。傳統(tǒng)的檢測以某個時間點為依據(jù)，對具有威脅性的數(shù)據(jù)進行實時匹配檢測，然而，高級可持續(xù)攻擊（APT）屬于實施過程的范疇，由于其具有不被實時檢測出來的特點，所以傳統(tǒng)的防護措施對它束手無策，此外，APT攻擊代碼主要隱藏在大量數(shù)據(jù)中，從而提高了檢測難度。再加上大數(shù)據(jù)具有價值低密度的特點，從而使安全分析工具無法對其價值進行分析，黑客通過在大數(shù)據(jù)中隱藏攻擊，進一步加大了安全服務(wù)提供商的分析難度。如果黑客所發(fā)起的攻擊能夠誤導(dǎo)安全廠商提取和檢索目標信息，那么安全監(jiān)測便會偏離正確的方向。

3 大數(shù)據(jù)信息安全等級保護

大數(shù)據(jù)依托網(wǎng)絡(luò)技術(shù)，借助數(shù)據(jù)挖掘和關(guān)聯(lián)分析等技術(shù)手段來分析并處理分布式存儲的異構(gòu)海量數(shù)據(jù)。存儲載體、計算平臺和網(wǎng)絡(luò)環(huán)境處于不同的信息系統(tǒng)之中，基于我國當下的信息安全等級保護制度，不斷提高保證大數(shù)據(jù)信息安全的能力，有利于保障大數(shù)據(jù)安全。

（1） 大數(shù)據(jù)物理和環(huán)境安全

由于大數(shù)據(jù)存在海量、復(fù)雜、需要實時處理等特點，因此傳統(tǒng)的IT基礎(chǔ)設(shè)施的處理能力遠遠不能滿足大數(shù)據(jù)業(yè)務(wù)運行需求，而云計算的超大規(guī)模及高可擴展性能夠賦予用戶前所未有的計算和存儲能力，所以云計算平臺成為承載大數(shù)據(jù)IT基礎(chǔ)設(shè)施的必然選擇，而云計算環(huán)境存在邊界模糊的特點，數(shù)據(jù)的實際存儲位置往往不受用戶的控制，數(shù)據(jù)甚至有可能在用戶不知情的情況下，被存儲到了境外的數(shù)據(jù)中心，從而改變數(shù)據(jù)的司法管轄關(guān)系，導(dǎo)致用戶數(shù)據(jù)的所有權(quán)及機密性很難得到保障。因此，必須有相應(yīng)的法律或規(guī)范來約束云服務(wù)提供商，使之確保用于大數(shù)據(jù)業(yè)務(wù)運行和數(shù)據(jù)處理及存儲的物理設(shè)備位于中國境內(nèi)。[3]

（2） 大數(shù)據(jù)網(wǎng)絡(luò)和通信安全

大數(shù)據(jù)網(wǎng)絡(luò)架構(gòu)設(shè)計上應(yīng)重點關(guān)注大數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)娜哂嗪蛷椥?，使網(wǎng)絡(luò)結(jié)構(gòu)能滿足大數(shù)據(jù)系統(tǒng)處理突發(fā)大流量、低時延要求，同時增加對大數(shù)據(jù)基礎(chǔ)設(shè)施網(wǎng)絡(luò)資源的隔離措施。在邊界防護方面應(yīng)使得大數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)邊界受控，尤其大數(shù)據(jù)應(yīng)用與大數(shù)據(jù)基礎(chǔ)設(shè)施之間及不同大數(shù)據(jù)應(yīng)用之間的網(wǎng)絡(luò)邊界，其數(shù)據(jù)流均需通過防護設(shè)備的受控接口進行通信，并在分散的節(jié)點間設(shè)置身份驗證、非授權(quán)訪問網(wǎng)絡(luò)行為識別等措施。大數(shù)據(jù)內(nèi)部重要網(wǎng)絡(luò)節(jié)點應(yīng)配備完善的訪問控制措施，來實現(xiàn)不同流量類型、傳輸方向的精細化訪問控制，實時監(jiān)控網(wǎng)絡(luò)流量，識別來自大數(shù)據(jù)系統(tǒng)外部及大數(shù)據(jù)應(yīng)用之間的異常流量，并加以阻斷，同時對大數(shù)據(jù)系統(tǒng)與外部系統(tǒng)、不同大數(shù)據(jù)應(yīng)用之間等關(guān)鍵網(wǎng)絡(luò)節(jié)點對惡意代碼進行檢測和清除。確保使用加密通道進行大數(shù)據(jù)對外提供服務(wù)，并采用加密技術(shù)對傳輸?shù)拿舾袛?shù)據(jù)、隱私數(shù)據(jù)進行加密，防止網(wǎng)絡(luò)通信被竊聽和嗅探。

（3） 大數(shù)據(jù)設(shè)備和計算安全

大數(shù)據(jù)設(shè)備和計算安全應(yīng)重點關(guān)注大數(shù)據(jù)基礎(chǔ)設(shè)施平臺的重要計算、存儲和服務(wù)資源的隔離、監(jiān)控、訪問控制和使用審計，大數(shù)據(jù)基礎(chǔ)設(shè)施管理用戶應(yīng)進行權(quán)限分離，僅使大數(shù)據(jù)應(yīng)用對其擁有的存儲空間、數(shù)據(jù)庫的管理權(quán)限，并對涉及敏感、隱私的數(shù)據(jù)執(zhí)行細粒度的訪問控制，增加大數(shù)據(jù)應(yīng)用與大數(shù)據(jù)基礎(chǔ)設(shè)施各自職責的劃分，管理各自部分的審計數(shù)據(jù)，增加對大數(shù)據(jù)基礎(chǔ)設(shè)施非授權(quán)使用的檢測和防護要求，在遭受各類非授權(quán)訪問等入侵行為時，應(yīng)提供告警機制，并采取措施保證遭受入侵后不影響大數(shù)據(jù)服務(wù)的正常提供，同時對承載大數(shù)據(jù)運行的設(shè)備性能、網(wǎng)絡(luò)鏈路、資源隔離情況、安全設(shè)備和服務(wù)器運行情況等進行統(tǒng)一監(jiān)控。

（4） 大數(shù)據(jù)應(yīng)用和數(shù)據(jù)安全

關(guān)注不同平臺角色的身份認證問題，所有交互都要實現(xiàn)嚴格的認證以確認使用者身份的合法性，不同平臺的角色履行各自的安全職責要求，支持細粒度的審計，并保證取證信息的完整性和可靠性，應(yīng)重視大數(shù)據(jù)攻擊技術(shù)研發(fā)，做到攻防兼?zhèn)?，大?shù)據(jù)應(yīng)用的開發(fā)、設(shè)計過程應(yīng)全面考慮并最大限度地規(guī)避可能的安全問題，并為安全審計數(shù)據(jù)的匯集提供接口，可供第三方審計，當系統(tǒng)使用數(shù)據(jù)源提供的數(shù)據(jù)時，應(yīng)檢驗數(shù)據(jù)的有效性，增加對大數(shù)據(jù)應(yīng)用的資源占用情況進行監(jiān)控和管理，為每個大數(shù)據(jù)應(yīng)用占用的資源分配最大限額，發(fā)現(xiàn)運行異常情況時應(yīng)提供告警。關(guān)注大數(shù)據(jù)全生命周期模型中數(shù)據(jù)的可靠性、保密性，以及敏感和隱私數(shù)據(jù)的保護。

（5） 大數(shù)據(jù)管理安全

大數(shù)據(jù)管理安全包括確立安全管理策略、建立健全安全管理制度、建立安全管理平臺、開展信息安全意識培訓(xùn)等。重點要建立數(shù)據(jù)訪問和授權(quán)的管理制度，尤其關(guān)注敏感數(shù)據(jù)、隱私數(shù)據(jù)的授權(quán)和審批，在安全方案設(shè)計方面，大數(shù)據(jù)基礎(chǔ)設(shè)施應(yīng)開放接口，允許接入第三方安全產(chǎn)品，實現(xiàn)對大數(shù)據(jù)系統(tǒng)的網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)層的全方位安全防護，并驗證或評估所提供的安全措施的有效性，增加對大數(shù)據(jù)基礎(chǔ)設(shè)施和大數(shù)據(jù)應(yīng)用的監(jiān)控和審計，實現(xiàn)大數(shù)據(jù)基礎(chǔ)設(shè)施的統(tǒng)一管理和運維。

4 大數(shù)據(jù)信息安全等級保護關(guān)鍵防護措施[4]

信息安全等級保護講究縱深防御，層層設(shè)卡，通過不同的安全防護措施的部署，能有效降低或避免各類風險，最大限度的保障企業(yè)或組織的信息資產(chǎn)安全，華三通信通過對多個不同行業(yè)、不同信息系統(tǒng)等級保護建設(shè)方案的總結(jié)，認為保障大數(shù)據(jù)安全，關(guān)鍵要做到以下幾點：

非授權(quán)者進不來—邊界防護

重要信息得不到—訪問控制

保密信息看不懂—加密措施

關(guān)鍵信息改不了—可信驗證

系統(tǒng)服務(wù)癱不成—恢復(fù)系統(tǒng)

攻擊行為賴不掉—安全審計

5 結(jié)束語

總而言之，伴隨著數(shù)據(jù)量級的不斷提高，以往的信息處理能力已不能適應(yīng)大數(shù)據(jù)時代的要求，伴隨著大數(shù)據(jù)技術(shù)的發(fā)展，諸如：關(guān)聯(lián)分析和數(shù)據(jù)挖掘，在一定程度上改變以往的計算環(huán)境。因此，應(yīng)以可信、可控、可管為目的構(gòu)建大數(shù)據(jù)等級保護技術(shù)框架，管理和技術(shù)并重，全方位提高信息安全防護能力。

參考文獻：

[1] 楊秀蓮.探析大數(shù)據(jù)環(huán)境如何維護個人數(shù)據(jù)安全[J].才智，2017（23）.

[2] 李英，張濤.大數(shù)據(jù)時代數(shù)據(jù)安全隱私保護研究[J].河南科技，2017（15）.

[3] 齊愛民，祝高峰.論云存儲中數(shù)據(jù)安全的法律保護[J].重慶大學(xué)學(xué)報：社會科學(xué)版，2017（01）.

[4] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學(xué)報，2014（01）.