如何保障大数据安全
站在总体安全观的高度,应构建大数据安全综合防御体系;从两方面入手,强化大数据平台安全保护;加强隐私保护核心技术产业化投入,兼顾数据利用和隐私保护双重需求;重视大数据安全评测技术的研发,构建第三方安全检测评估体系。
可以从以下几点来解决大数据自身的安全问题:
站在总体安全观的高度,应构建大数据安全综合防御体系
安全是发展的前提,必须全面提高大数据安全技术保障能力,进而构建贯穿大数据应用云管端的综合立体防御体系,以满足国家大数据战略和市场应用的需求。一是建立覆盖数据收集、传输、存储、处理、共享、销毁全生命周期的安全防护体系,综合利用数据源验证、大规模传输加密、非关系型数据库加密存储、隐私保护、数据交易安全、数据防泄露、追踪溯源、数据销毁等技术,与系统现有网络信息安全技术设施相结合,建立纵深的防御体系;二是提升大数据平台本身的安全防御能力,引入用户和组件的身份认证、细粒度的访问控制、数据操作安全审计、数据脱敏等隐私保护机制,从机制上防止数据的未授权访问和泄露,同时增加大数据平台组件配置和运行过程中隐含的安全问题的关注,加强对平台紧急安全事件的响应能力;三是实现从被动防御到主动检测的转变,借助大数据分析、人工智能等技术,实现自动化威胁识别、风险阻断和溯源,从源头上提升大数据安全防御水平,提升对未知威胁的防御能力和防御效率。
从两方面入手,强化大数据平台安全保护
平台安全是大数据系统安全的基石,基于前面的分析可以看出,针对大数据平台的网络手段正在发生变化,企业面临愈加严峻的安全威胁和挑战,传统的安全监测手段难以应对上述的变化,未来大数据平台安全技术的研究不仅要解决运行安全问题,还要进行理念创新,针对不断演进的网络形态,设计大数据平台安全保护体系。在安全防护技术方面,目前无论是开源还是商业化大数据平台,都处在高速发展阶段,在平台安全机制方面的不足之处依然存在,同时,新技术新应用的发展也为平台安全带来未知的安全隐患,需要产业各方在大数据平台安全方面加大投入,从两方面入手,密切关注大数据和防御两方面的技术发展趋势,建立适应大数据平台环境的安全防护和系统安全管理机制,构筑更加安全可靠的大数据平台。
以关键环节和关键技术为突破点,完善在数据安全技术体系大数据环境下,数据在流动中发挥价值,其应用生态环境日益复杂,数据生命周期各环节都面临新的安全保障需求,数据的采集和溯源成为突出的安全风险点,跨组织数据合作的广泛开展触发了多源汇聚计算的机密性保障需求。目前,敏感数据识别、数据防泄露、数据库安全防护等技术发展相对成熟,多源计算中的机密性保护、非结构化数据库安全防护、数据安全预警以及数据发生泄露事件的应急响应和追踪溯源等方面还比较薄弱。业界应积极推动产学研用结合,加快密文计算等关键技术在运算效率提升方面的研究和应用推广。企业应加强数据采集、运算、溯源等关键环节的保障能力建设,强化数据安全监测、预警、控制和应急处置能力,以数据安全关键环节和关键技术的研究为突破点,完善大数据安全技术体系,促进整个大数据产业的健康发展。
加强隐私保护核心技术产业化投入,兼顾数据利用和隐私保护双重需求
在大数据应用场景下,数据利用和隐私保护是天然矛盾的两端,同态加密、多方安全计算、匿名化等技术可以实现这两者良好的平衡,是解决大数据应用过程中隐私保护问题的理想技术,隐私保护核心技术方面的进展必然会极大地推动大数据应用的发展。目前,隐私保护技术的核心问题是效率,存在计算开销大、存储开销大、缺乏评价标准等问题,均处于理论研究阶段,尚未在工程实践中广泛应用,难以应对多数据源***、基于统计的***等隐私安全威胁。在大数据场景下,个人隐私保护已成为一个备受关注的议题,未来日益增长的隐私保护需求将带动专业化隐私保护技术的研发和产业应用。需要鼓励企业、科研机构研究同态加密、多方安全计算等前沿隐私保护算法,同时推动数据脱敏、数据审计等技术手段在大数据环境下的增强应用,提升大数据环境下隐私保护技术水平。
重视大数据安全评测技术的研发,构建第三方安全检测评估体系
当前,国家就大数据安全进行了一系列重大决策部署,《“十三五”国家信息化规划》提出实施大数据安全保障工程。可以预见,未来大数据安全政府监管将进一步加强,数据安全相关立法进程将进一步加快,大数据安全监管措施和技术手段将进一步完善,大数据安全监管惩戒力度将进一步加强。同时,构建大数据安全评估体系将成为保障大数据安全的有效举措,通过制定大数据安全技术标准和测评标准,建立大数据平台及大数据服务安全评估体系,推进第三方评估机构和人员资质认证等配套管理制度建设,可以从平台防护、数据保护、隐私保护等方面切实促进大数据安全保障能力的全面提升。
1.数据加密
数据加密可以采用硬件加密和软件加密两种方式实现,每种方式都有各自的优缺点。对大数据的数据加密,传统的数据加密方法需要消耗大量的CPU计算时间,严重地影响了大数据处理系统的性能。采用加解密数据文件块、数据文件、数据文件目录、数据系统的方法来实现快速的数据加解密处理,既可以保障系统的数据安全性,又可以提高数据处理的效率。
2.访问控制
访问控制可分为自主访问控制和强制访问控制两大类。自主访问控制是指用户拥有绝对的权限,能够生成访问对象,并能决定哪些用户可以使用访问。强制访问控制是指系统对用户生成的对象进行统一的强制性控制,并按已制定的规则决定哪些用户可以使用访问。近几年比较热门的访问控制模型有基于对象的访问控制模型、基于任务的访问控制模型和基于角色的访问控制模型。
3.预测分析
根据发生系统异常问题所涉及的数据对象,结合异常问题所发生的监控点、参考相似或类似问题的分析结果,分析确定问题事件的性质,预测可能存在的安全威胁,并对此安全威胁进行跟踪分析,做好应对此安全威胁的安全防护措施,提高应对安全威胁的安全防护级别,更好地对大数据安全进行防护。对大数据的安全问题进行可行性预测分析,识别潜在的安全威胁,以达到更好地保护大数据系统的目的。通过预测分析的研究,结合机器学习算法,利用异常检测等新型方法,大幅提升大数据安全识别度,更有效地解决大数据安全问题。
4.统计分析
自查大数据系统内部的安全问题,也是降低大数据系统安全风险的重要手段,一般可以采用统计分析的方法。统计分析分为统计设计、资料收集、整理汇总、统计分析、信息反馈五个阶段。针对大数据系统,在资料收集阶段可以采用系统IP扫描、系统端口扫描、系统漏洞扫描等方法搜集原始的系统状态信息,将原始信息和已有的数据信息(包括已经发生的安全问题,及其他类似系统发生的安全问题)进行汇总整理,在此基础上通过统计运算得出相应的结论。根据得出的结论,制定安全问题等级,采取相对应的安全应对措施,预防可能会发生的安全风险。
5.数据稽核
通过系统应用日志对已发生的系统操作或应用操作的合法性进行审核;通过备份信息审核系统与应用配制信息对比审核,判断配制信息是否被篡改,从而发现系统或应用异常安全威胁。对安全系统内部系统间或服务间的隐密的存储通道的稽核,即对发送和接收信息进行审核,可以降低系统安全风险。SecCloud提出了一种新型的审计方案,在安全云计算的基础上采用概率采样技术及指定验证技术,充分考虑了安全数据存储,安全计算和隐私保护问题。TPA是独立于云平台和用户的第三方审计工具,使用户能够对云平台的存储数据安全进行公共稽核。
6.安全漏洞发现
安全漏洞主要是指计算系统和服务程序由于设计缺陷或人为因素留下的系统后门,利用安全漏洞攻击者能够在未授权的情况下访问或破坏系统。安全漏洞的分析可以采用白盒测试、黑盒测试、灰盒测试、动态跟踪分析等方法。