大数据安全工作怎么开展
根据传统信息安全领域成功经验及最新技术发展趋势,可从以下几方面开展大数据安全工作。
构建大数据环境下的信息安全体系
信息安全是指承载信息的硬件、软件连续可靠正常地运行,信息服务不中断,信息本身不因偶然或恶意的原因而遭到破坏、更改、泄露。通常信息安全强调保密性、完整性、可用性、可追溯性、抗抵赖性、真实性、可控性等。除了这些基本原则外,结合大数据及信息安全的特点,大数据环境下信息安全体系建设还应当遵循可靠性、完备性、可行性和可扩展性等原则,只有在正确完善的安全体系指导下,大数据所需的技术、产品、人员和管理等要素才能真正发挥各自的效力。
因此,在对大数据进行应用发展规划时,要从战略高度认清大数据安全形势的严峻性,对数据资源进行分级分类,明确重点保障对象,强化对敏感和要害数据的管理。加强数据安全顶层设计,形成从大数据采集、存储、处理到发布完整业务周期的安全防护。具体来说,大数据信息安全体系建设应包括两个部分:首先是信息安全系统建设,针对大数据的收集、整理、过滤、整合、存储、挖掘、审计、应用等过程设计与配置相应的安全产品,并组成统一的、可管控的安全系统;其次是建立完善的数据安全管理制度,严格规范大数据处理的各个操作环节,并对各类设备、各级员工进行权限设置,以便最大程度保障数据安全。
大数据信息安全体系可以通过多种方式来建立和表示,可以是非常具体的框架,也可以是相对抽象的模型。无论哪种表现方式,大数据信息安全体系都应该是结合了防护、检测、响应和恢复这几个关键环节在一起的动态完整体系,能够为大数据安全的解决方案和工程实施提供参考和依据,帮助企业规范化、标准化大数据的安全防控内容和防护框架。
加快大数据安全技术研发
海量数据的汇集加大了敏感数据暴露的可能性,对大数据的滥用和误用也增加了隐私泄露的风险。此外,云计算、物联网、移动互联网等新技术与大数据融合初期,也将其面临的安全问题引入到大数据的收集、处理和应用等业务流程中。应加大对大数据安全保障关键技术研发的资金投入,提高我国大数据安全技术产品水平;推动基于大数据的安全技术研发,研究基于大数据的网络攻击追踪方法,抢占发展大数据安全技术的制高点。
加强大数据管理
规范大数据建设。大数据建设是一项有序的、动态的、可持续发展的系统工程,规范的业务运行机制、标准和共享平台建设至关重要。标准化建设可以促进大数据管理过程的正规有序,实现各级各类信息系统的网络互连、数据集成、资源共享,在统一的安全规范框架下运行。
完善大数据资产管理。大数据时代,需要将数据转化为信息,将资源转化为资产。大数据只是原始材料,资产化才是大数据应用的开始。大数据资产管理要能够清楚地定义数据元素,包括数据格式、统计表以及其他属性等;描述数据元素定义的信息来源;记录使用信息,包括数据元素的产生、修改情况(人员及日期等)、访问、使用情况等。用户要能够跟踪到大数据资产在整个分析、设计及开发流程中的所有状态,包括中间过渡状态。大数据资产管理不仅是通过各种建模工具来记录需求、业务过程、概念、逻辑和物理数据模型,而且要能将所有模型进行合理的集成。
建立以数据为中心的安全系统。新一代数据中心需要以集成的方法来管理设备、数据、应用、操作系统和网络,内容包括资源保护、数据保护及验证机制的安全技术组合。可以通过建设一个基于异构数据为中心的安全体系,从系统管理上保证大数据的安全。为了确保数据中心系统的安全,防护系统主要通过防火墙、入侵检测系统、安全审计、抵抗拒绝服务攻击、流量整形和控制、网络防病毒系统来实现全面的安全防护。同时,通过使用加密、识别管理并结合其他主动安全管理技术,贯穿于数据从使用到迁移、停用的全部过程。
做好大数据安全风险评估。不同类型的数据形式以及数据的不同状态,都有其不同的风险等级。针对大数据的固有特点,可以将其分为不同的安全风险等级,从而加强安全防范,并在实际生产中明确安全风险治理目标,降低企业数据泄露风险,分析并消除信息安全盲点。
建立和完善大数据安全管理的法律法规。从国家层面加强基础设施安全、数据安全、个人隐私保护、数据跨境流动等方面的法律法规环境的建设,建立和健全合理的行业自律和管理制度,以保障我国大数据产业健康有序发展和保护用户的合法权益。
提高企业员工安全意识。数据安全管理需要自上而下的贯彻执行,企业员工需要积极参与产品及服务的研发过程,并将安全整合到企业的发展战略中,促进安全的数据应用转化为商业价值。在此过程中,需要提升员工对大数据安全威胁的识别能力,了解正在使用数据的价值,充分认识到管理在企业数据安全中的重要性。企业也需要对员工进行定期地安全培训,并结合周期性的安全攻防演习,以检验培训的成果。