引⾔
⼤数据时代来临,各⾏业数据规模呈TB级增长,拥有⾼价值数据源的企业在⼤数据产业链中占有⾄关重要的核⼼地位。
在实现⼤数据集中后,如何确保⽹络数据的完整性、可⽤性和保密性,不受到信息泄漏和⾮法篡改的安全威胁影响,已成为政府机构、事业单位信息化健康发展所要考虑的核⼼问题。
⼤数据安全概况
a)标准化现状:
⽹络安全等级保护 ⼤数据安全扩展要求
等级保护对象1.0中定义为:“信息安全等级保护⼯作直接作⽤的具体信息和信息系统”,修订后的等级保护对象定义为:“⽹络安全等级保护的作⽤对象,主要包括基础信息⽹络、信息系统(如⼯业控制系统、云计算平台、物联⽹、使⽤移动互联技术的信息系统以及其他信息系统)和⼤数据等。 明确要求:数据⽣命周期的等级保护要求;⼤数据平台安全;⼤数据运⾏环境安全
《中国移动业务⽀撑⽹⼤数据平台安全管控技术规范》
内容包括:⼤数据平台安全管控;⼤数据平台⾃⾝安全;⼤数据平台运⾏环境安全;对接安全管理平台 b)⾯临的挑战
隧道施工风机⼤数据安全与传统数据安全相⽐,存在⼀些差异,⼤数据环境的特点是分布式、组件多、接⼝多、类型多、数据量⼤,这些特性给⼤数据安全引⼊了技术难点。
主流开源⼤数据组件⼆⼗多款,还有⼤量第三⽅封装的组件,不同组件使⽤的交互接⼝不同,安全产品⾯对这么多组件接⼝,在监控、防护、溯源的⽅案设计和技术实现上都有难度。
⼤数据平台要存储和处理的数据量庞⼤,IDC预计,到2020年全球数据总量将超过40ZB,⾯对持续膨胀的数据量,安全产品不仅要提⾼单机产品的处理性能,还要考虑产品扩容和延展性。刷架
⼤数据平台要存储和处理的数据类型众多,结构化数据、半结构化数据、⾮结构化数据。要对⾮结构化数据做识别、分类分级和脱敏处理,有⼀定技术难度。
针对数据采集和加⼯处理数据量⼤的特点,需要考虑安全成本,也需要针对敏感数据进⾏特别考虑
针对数据来源多样性的特点,需要进⾏数据分级(包括数据源、中间数据和结果数据),并考虑数据访问控制策略。有的⼤数据平台本⾝具有安全设计,有些则需要与企业其他安全机制进⾏集成。
针对⼤数据平台⾼速处理的特点,对多节点处理的情况需要考虑如何有效监控。同时,传统安全⼯具⼤多针对交易型应⽤,⽆法处理⼤数据量⾼速处理的情况。
针对不同的⼤数据平台特点,考虑其特殊的安全需求
分布式⽂件系统,如Hadoop。Hadoop的安全框架基于Kebros认证体系和传输加密。Hadoop多节点分布式⽂件系统,协议复杂,增加了应⽤安全的复杂性。任何⼀个节点的数据受到破坏,都可能影响决策分析的结果。Hadoop本⾝没有提供对节点静态数据的加密特性,可能⽆法满⾜⼀些合规性的要求。⽬前有⼀些针对Hadoop安全的开源项⽬正在开展。如Rhino的⽬标就是解决HBase加密和单点登录问题。
NoSQL数据库,如ApacheCassandra:Cassandra来⾃Facebook的混合型的⾮关系的数据库,⾯向列的设计抱枕针对⽹络社交计算的性能和扩展性,但在数据安全⽅⾯考虑的较少。Cassandra数据库仅提供简单的⽤户名密码认证,其平⾏节点分布处理模式不能够对写⼊数据库的数据进⾏验证。Cassandra的查询语⾔CQL也存在类似SQL注⼊的弱点,现有安全⼯具对CQL安全考虑的较少。
oled灯⼤数据云服务:通过云技术可以提供⼤数据基础计算环境⽀撑,也可以提供⾼级分析技术的运⾏环境。Hadoop和Cassandra也可以在云计算环境中部署。云服务提供商可以提供基础的平台安全和⽹络安全环境,但由于云计算多租户特点和运营环境的限制,要实现安全的⼤数据解决⽅案,在数据和应⽤层⾯需要额外的设计和考虑。企业需要考虑敏感数据在云端处理的安全性,也需要将认证和授权扩展到云计算环境。
c)主要内容
⼤容量和真实性-----数据安全:个⼈信息、重要数据、数据共享安全;平台和技术安全:数据平台安全
-------分类分级、共享、数据开放、隐私保护等管理规范需求;
种类多和增长快-----数据平台安全(平台稳定性、可⽤性、扩展性、易⽤性、维护需求)----各类安全服务需求
安全技术分类
1、⼤数据安全审计
⼤数据平台组件⾏为审计,将主客体的操作⾏为形成详细⽇志、包含⽤户名、IP、操作、资源、访问
类型、时间、授权结果、具体设计新建事件概括、风险事件、报表管理、系统维护、规则管理、⽇志检索等功能。
2、⼤数据脱敏系统
针对⼤数据存储数据全表或者字段进⾏敏感信息脱敏、启动数据脱敏不需要读取⼤数据组件的任何内容,只需要配置相应的脱敏策略。
3、⼤数据脆弱性检测
⼤数据平台组件周期性漏洞扫描和基线检测,扫描⼤数据平台漏洞以及基线配置安全隐患;包含风险展⽰、脆弱性检测、报表管理和知识库等功能模块。
4、⼤数据资产梳理
能够⾃动识别敏感数据,并对敏感数据进⾏分类,且启⽤敏感数据发现策略不会更改⼤数据组件的任何内容。
5、⼤数据应⽤访问控制
能够对⼤数据平台账户进⾏统⼀的管控和集中授权管理。为⼤数据平台⽤户和应⽤程序提供细粒度级的授权及访问控制。
⼤数据平台下的安全问题
1、安全管理
安全管理是指⼤数据平台安全管理⽅⾯的要求,包括管理制度、机构和⼈员管理、系统建设管理、运维管理等内容及配套管理流程。安全防护离不开管理与技术协同,国家、政府、⾏业⾃上⽽下应该有安全管理制度和管理流程,指导具体安全⼯作的开展和实施。
2、平台安全
平台安全指平台主机、系统、组件⾃⾝的安全和⾝份鉴别、访问控制、接⼝安全、多租户管理等安全问题,是对⼤数据平台传输、存储、运算等资源的安全防护要求。企业⼤多数都使⽤基于社区化、开源化组件的Hadoop平台,缺乏安全⽅⾯的考虑。
3、数据安全
数据属于⼀种资产,有6个⽣命周期阶段:采集、传输、存储、处理、交换、销毁;数据安全要保障数据在任何阶段下都是安全的。围绕数据全⽣命周期考虑数据安全问题,例如:数据采集阶段的分类分级、清洗⽐对、质量监控;数据传输阶段的安全管理;数据存储阶段的安全存储、访问控制、数据副本、数据归档、数据时效性;数据处理和交换阶段的分布式处理安全、数据加密、数据脱敏、数据溯源;数据交换阶段的数据导⼊导出、共享、发布、交换监控;数据销毁阶段的介质使⽤管理、数据销毁、介质销毁等安全问题。
4、运维安全
运维⼈员的权限相对较⼤,运维⼈员直接对数据库进⾏操作,涉及的数据量⾮常⼤,数据的安全难以保障。例如:内部⼈员的误操作导致数据丢失或不可⽤,蓄谋恶意⾏为导致数据泄露。钢水密度
数据销毁5、业务安全
业务安全跟业务强相关,跟应⽤场景和业务流量特征有关,⼀般的防护⼿段很难发现,涉及到业务学习和⾏为分析。例如:缓慢少量攻击、共谋、在噪⾳中隐⾝、持续渗漏尝试、长期潜伏者等。
⼤数据安全防护思路
⼀、防护思路
亚克力灯箱制作
⼤数据安全防护⽅案可按层次考虑,平台安全、数据安全、运维安全、业务安全,层层深⼊,逐步提升安全性。
1、平台安全
数据的存储和流转依托⼤数据平台和各业务系统,平台⾃⾝安全是第⼀步,通过平台各组件与系统的漏洞扫描管理、规范化的基线核查管理、平台态势感知,确保⼤数据平台的安全运⾏。
2、数据安全
关注数据的安全存储,数据梳理,掌握数据全景图,让数据风险可量化;关注数据在处理、交换、使⽤时安全,⾝份认证、访问控制、数据加密、数据脱敏,防⽌⾮法或越权访问数据,对数据访问进⾏管控、数据审计。
3、运维安全
收敛⼤数据平台的数据访问途径,对运维⼈员访问⼤数据平台的操作⾏为进⾏操作管控、操作审计。
4、业务安全
机器学习建模,对敏感数据的访问⾏为和敏感业务进⾏机器学习,对⽤户⾏为进⾏分析,感知和预测业务安全风险。
⼆、国外⼚商⽅案
1、Informatica
该⼚商的⼤数据安全解决⽅案⽀持对结构化、⾮结构化数据做发现、分类、风险评分,数据访问和操作监控,发现可疑或未授权操作,数据保护,敏感数据扩散跟踪,让风险跟踪处置形成闭环。
2、Dataguise
该⼚商提供全局敏感数据管理解决⽅案,产品旁路部署在⼤数据集边界,可实时检测、审计、保护和监视敏感数据资产。
⼤数据安全保障框架
⼤数据与传统数据资产相⽐,具有较强的社会属性。为实现安全防护⽬标,需要融合安全治理、技术、标准、运维和测评来系统性地解决⼤数据的安全问题。从安全治理着眼,以安全技术、安全运维和安全测评为⽀撑,构建流程、策略、制度、测评多重保障体系。同时,需要以标准为保障,实现安全互联协同,达到多维⽴体的防护。
1、⼤数据安全总体技术框架
⼤数据的安全技术体系是⽀撑⼤数据安全管理、安全运⾏的技术保障。以“密码基础设施、认证基础设施、可信服务管理、密钥管理设施、安全监测预警”五⼤安全基础设施服务,结合⼤数据、⼈⼯智能和分布式计算存储能⼒,解决传统安全解决⽅案中数据离散、单点计算能⼒不⾜、信息孤岛和⽆法联动的问题。⼤数据的总体安全技术框架。
2、⼤数据安全治理
⼤数据的安全治理体系的⽬标是确保⼤数据“合法合规”的安全流转,保障⼤数据安全的情况下,让其价值最⼤化,来⽀撑企业的业务⽬标的实现。⼤数据的安全治理体系建设过程中⾏使数据的安全管理、运⾏监管和效能评估的职能。
3、⼤数据安全测评
⼤数据的安全测评是保证⼤数据安全提供服务的⽀撑保障,⽬标是验证评估所有保护⼤数据的安全策
略、安全产品和安全技术的有效性和性能等。确保所有使⽤的安全防护⼿段都能满⾜⼤数据中主要参与者安全防护的需求。
4、⼤数据安全运维
⼤数据的安全运维以技术框架为⽀撑,主要确保⼤数据系统平台能安全持续稳定可靠运⾏, 在⼤数据系统运⾏过程中⾏使资源调配、系统升级、服务启停、容灾备份、性能优化、应急处置、应⽤部署和安全管控等职能。
⼤数据安全未来发展⽅向
由于政务⼤数据覆盖了⾃然⼈、法⼈、企业、政府机构等,同时和医疗、教育、民⽣服务等各个部门相关;因此,解决了政务⼤数据安全问题,就能有效解决其他⾏业⼤数据安全问题,有⼒⽀撑国家治理体系和治理能⼒现代化⽬标的实现。从企业层⾯来看,国家将统⼀标准规范,避免⾏业交流繁杂、数据所有权混乱、开发成本⾼等⼀系列问题。统⼀的数据管理平台,统⼀的数据存储,统⼀的数据标准,进⾏统⼀的数据资产管理,统⼀进⾏授权管理,这是未来探索的⼀个⽅向。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议