大数据安全体系介绍之背景篇

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/07 13:55:29 31次阅读 国际
文章来源:https://www.freebuf.com/articles/database/195548.html

一、概述

随着信息技术产业革命浪潮,特别是大数据技术创新应用,数据逐渐成为物质、能源后第三大的国家基础战略资源和创新生产要素。数据技术及其应用正深刻而广泛的影响和改变人类的社会,甚至将重构人类社会。2017年12月8日,习总书记在中共中央政治局第二次集体学习中讲到,“审时度势精心谋划超前布局力争主动实施国家大数据战略加快建设数字中国”。同世界主要国家一样,我国也将大数据列为国家战略发展的方向之一,国务院于2015年9月5日印发了《促进大数据发展行动纲要的通知》,通知中,大数据承担了推动经济转型发展、重塑国家竞争优势和提升政府治理能力的重要使命,任重而道远。

二、数据的连接和融合是一种趋势

翻开历史的卷轴,无论国外和国内,世界均处于一股不断交流和融合的洪流中。以计算机发展的历史为例,1946年在美国宾夕法尼亚大学诞生的世界上第一台通用计算机“ENIAC” ,从此,人与机器在计算和存储框架内建立了牢不可破的连接。20世纪60年代后期,ARPANET网的出现,实现人与机器多源数据连接融合,人们开始以计算机为媒介紧密的连接在一起。随着万维网的出现,信息高速公路的铺设,地球村的概念也首次出现在人类的字典中。如果说宽带和web2.0 ,为人们提供了任何时间任何地点同任何人通过计算机连接的方式,那移动互联网,就为人们提供了通过任何手段进行连接的可能。物联网更是将人类推到连接融合物理世界的大门口。因此,人类发展的历史就是不断拓展自身认知范围,不断扩展自己连接网络,不断融合其他微观世界的过程,行业内与行业间的数据连接和融合是大势所趋。

image.png

三、大数据时代数据安全的总体情况和趋势

数据安全状况目前呈现三大趋势,首先,随着大数据行业的快速发展,数据尤其是高价值的数据向大数据节点汇集,同时也带来了严重的安全隐患,往往出现海量敏感数据的泄露的事件。仅以2017年为例,泄露数量在5000条以上个人信息数据的事件就达10余起,范围遍布全球的政府、金融、医疗等多个行业。如美国五角大楼致18亿用户信息泄露,此次泄露的数据为架在亚马逊S3云存储上的数据库。由于配置错误导致三台S3服务器“可公开下载”。美国征信企业Equifax 1.43亿用户信息遭泄露,此次泄露的内容包括个人的姓名、住址、出生日期、社会安全号码等信息。南非史上规模最大的数据泄露事件,共有3160万份南非公民的身份号码、个人收入、年龄,甚至就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家庭地址等敏感信息都被长时间在网络上完全公开,甚至连总统祖马和多位部长都未能幸免。

image.png

其次,数据泄露后的危害越来越大,范围也越来越广,在《中国网民权益保护调查报告2016》中,76%的网民遇到过“冒充银行、互联网公司、电视台等进行中奖诈骗的网站”,排在诈骗信息的第一位;其次是“冒充10086、95533等伪基站短信息”,有66%的网民曾经收到;55%的网民收到过“冒充公安、卫生局、社保局等公众机构进行电话诈骗”的诈骗信息;收到过“冒充苹果、腾讯等公司进行钓鱼、盗取账号的电子邮件”的网民也有一半以上,占51%;还有47%的网民遇到过在“社交软件上冒充亲朋好友进行诈骗”的情况。37%的网民因收到上述各类诈骗信息而遭受到钱财损失。54%的网民认为个人信息泄露严重,其中21%的网民认为非常严重。84%的网民亲身感受到了由于个人信息泄露带来的不良影响。2016年8月,山东省临沂市高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员诈骗9900元。徐玉玉在报警后因心脏衰竭死亡。

再次,随着大数据技术手段的不断发展,数据泄露的方式和途径也愈发多样和不可预测。运动应用APP,Strava存在泄漏秘密军事基地等信息隐患,Strava是一款户外运动健身追踪应用,该应用程序使用手机的GPS追踪用户何时何地进行锻炼,并通过分享进行社交。17年11月,该网站发布了一幅数据可视化图表,图片上显示了来自世界各地的用户的活动,其中包含三万亿个经纬度点上用户们进行的十亿次活动。境外研究分析人员指出,热力图地图中所记录的人员运动轨迹可以轻易泄漏军事基地的位置和人员信息。Strava热力图中揭示的数据不仅限于美国的军事基地,还涉及了某些俄罗斯,中国和英国的基地。

四、大数据安全面临的主要风险

数据安全的风险主要来自于三个方面,首先,数据承载平台也就是基础设施的风险,平台安全的风险也有三个小方面的问题:1、目前大数据、云计算领域采用的平台软件大多采用hadoop、openstack,虚拟化软件大多采用VMware、Xen等均是欧美公司源生的软件,从中兴事件启示存在授权和知识产权的不确定性。中国企业在现有国际产业地图中极少出现,国际影响力不足。中国从事大数据应用的企业很多,掌握共性关键性技术的较少。2、平台软件自身也存在安全隐患,以hadoop为例,hadoop1.0版本几乎没有考虑安全性问题,直到2.0版本后才逐步推出kebores、sentry、knox、ranger等组件从访问控制层面提升安全性能,但由于易用性、版本适配性、性能瓶颈等问题,起到的防护效果有限。3、安全设备对于数据的保护要求尚存在差距,任何部门或系统安全防护措施不当,均可能造成敏感数据的泄露,造成“一点突破、全局皆失”的严重后果。

其次,数据在整个生命周期面临的风险,从数据的采集、治理、存储、利用、发布和销毁的整个生命周期都面临着威胁和挑战,如数据的采集涉及到隐私保护和数据所属权归属问题,数据的治理涉及到数据的分类分级和归一化标准问题,数据的存储和利用又面临数据泄露、不当使用、未授权访问等问题。此外还存在数据所有者权益难以保障的风险,大数据应用过程中,数据会被多种角色用户所接触,会从一个控制者流向另外一个控制者,甚至会在某些应用阶段挖掘产生新的数据。因此,在大数据的共享交换、交易流通过程中,会出现数据拥有者与管理者不同、数据所有权和使用权分离的情况,即数据会脱离数据所有者的控制而存在,从而会带来数据滥用、权属不明确、安全监管责任不清晰等安全风险,将严重损害数据所有者的权益。

image.png

再次,数据管理方面的风险,随着各国对大数据安全重要性认识的不断加深,包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策来推动大数据利用和安全保护,在政府数据开放、数据跨境流通和个人信息保护等方向进行了探索与实践。但也存在符合国情、地情的法律、标准、规章制度对数据安全进行规范和指导,亟需在数据隐私保护、数据所属权转移、数据开放共享保护方面做出突破。

五、维护数据安全的主要理念

目前,随着“云、大、物、移、智”的兴起,全球正式进入数据时代,也就是信息化3.0时代,是以数据的深度挖掘和融合应用为主要特征的智慧化阶段,其中云计算和大数据起到承上启下的核心作用。海量、异构、多源的物联网、移动互联网数据需要大数据技术进行融合和挖掘,人工智能及智慧城市的应用和算法模型的构建需要大数据高质量的数据喂养。目前中国正迎来发展数字经济的历史机遇期,大力发展数字经济是顺应时代发展趋势,也是我国经济“换道超车”的最好机遇。

image.png

因此,维护数据安全的理念首先要立足于促进和推动大数据发展这一前提。其次,维护数据的安全要从安全技术体系、平台体系和法规标准体系多管齐下,互相促进发展。再次,需建立以保护数据为核心的,涉及OSI七层模型和数据生命周期的一横一纵的整体解决理念。最后,判断数据安全建设的标准应该看它是否促进了大数据行业的发展,是否促进了数据的开放共享,是否做到了数据的授权访问,是否更加有效的保护了个人隐私。

六、小结

对企业而言,数据驱动的创新应用成为企业全生产链条升级发展的全新范式。但是应用大数据的创新发展,安全是基础。基础不牢,地动山摇。假设涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等数据的造成泄露,严重的会给国家经济造成巨大的危害。因此,电信云公司在从事大数据业务的时候,十分重视安全问题,把安全问题当做业务发展的底线。同时,要以安全手段为牵引,为业务的发展打造良好的发展平台,维系好数据安全和业务发展的平衡,任重而道远。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室