大數據治理未雨綢繆

“如果你是一個黑客，闖入了某公司內部網絡想竊取些有價值的信息，最有可能去的是哪里？數據庫肯定首選，如果公司還部署有Hadoop大數據平臺的話，如今Hadoop也是一個好的去處。”Ron Ben Natan 博士用這樣的開場白開始他關于大數據治理的演講。

Ron Ben Natan 博士是IBM Guardium公司副總裁兼首席技術官，一位軍人出身、有著20多年數據安全領域從業經驗的專家。2009年隨著IBM收購Guardium而進入IBM。大數據是這位安全專家新近重點關注的領域。自然，作為安全專家，Ron Ben Natan博士的視角還是落在大數據的安全、審計等與數據治理相關的問題上。

在Ron Ben Natan看來，隨著大數據熱的持續升溫，大數據的應用開始從互聯網企業向金融、電信、制造等傳統企業滲透，安全和審計需求正在逐步顯示出來，如何在充分挖掘大數據潛在價值的同時確保企業信息的安全與合規開始引起業界的關注。

大數據的安全隱患

大數據為數據分析開啟了一個新的世界。以Hadoop為代表的大數據處理平臺利用開源軟件結合通用服務器實現了商業智能，大大降低了商業分析的門檻，從而惠及了更多普通的中小企業。然而，由于大數據是一種數據集中存儲的方式，這種集中存儲也給企業的信息安全帶來更高的風險。

“總結過去有關數據安全的事件，90%以上都與數據庫相關。應該說，把好了數據庫的安全關，大部分數據安全的問題也就基本解決了。如今，大數據面臨的安全風險與數據庫是非常相似的。”Ron Ben Natan說。

Ron Ben Natan解釋說，目前來看，大數據的安全問題還不是特別突出。原因在于早期的大數據用戶主要是互聯網公司，比如谷歌、亞馬遜以及一些電子商務網站，其應用側重于對用戶上網后的點擊行為進行分析，用于了解用戶對品牌的偏好、挖掘新的商業機會等，其安全問題還不突出。不過，隨著大數據的用戶向更多行業和領域進行擴展，比如，在金融和電信領域，一些大數據應用就涉及用戶的隱私，此時，安全問題就會顯現出來。

“即使在互聯網公司，也不能說大數據的安全就不重要。實際上，如果社交網站把用戶的一些網頁瀏覽行為等信息泄露出去，也可能帶來非常不好的結果，至少會引發用戶對它的不滿和不信任，最終可能導致客戶的流失。”Ron Ben Natan說，比如，Facebook現在有超過10億用戶，它如果出現安全漏洞，可能影響這10多億的用戶，其影響是很大的，因此，這類互聯網公司對數據安全也有很高要求。

來自合規的推動力

就大數據的安全而言，除了確保數據本身的安全這個需求外，合規也是一個重要的推動力，尤其是對一些上市公司而言。

“一些用戶常常只是重視數據本身的安全需求，而較少注意到合規。其實，不少法律、法規都會對數據安全有著嚴格的規定，保證合規也是確保信息安全的重要手段。”Ron Ben Natan表示。

Ron Ben Natan認為，合規和安全本身追求的目標本質上是一樣的。“為什么我們會制定法律、法規對安全進行監管，就是因為過去曾出現過數據泄露。比如，過去幾乎所有數據的泄露都是發生在數據庫，所以相關部門制定了很多法律法規來專門針對數據庫的安全。”

Ron Ben Natan表示，大部分的法律法規提出的各種合規要求不只是確保數據安全，還會要求監控對數據庫的訪問行為，這一點對像APT（高級持續威脅）這樣的攻擊行為非常關鍵。如果不監控數據的訪問行為，數據可能泄露很長時間了都不知道。比如，APT攻擊發生后，數據非法訪問就可能會持續很長的時間。

借鑒數據庫的最佳實踐

目前，大數據相關技術還處于發展過程之中，因此，大數據的安全技術也在繼續演進，好在過去幾十年來，人們在數據庫安全方面積累了非常豐富的經驗，這些寶貴的最佳實踐完全可以復用到大數據的安全方面，這也正是Guardium將業務從傳統數據庫領域拓展到大數據的重要原因。

Ron Ben Natan介紹說，Guardium從10年前成立以來在數據庫安全方面積累了豐富的經驗，也有著很多的相關產品。通過這些產品可以實現從用戶、應用服務器到數據庫的全程跟蹤即可記錄，實現對數據的全方位準確監控（來自網絡的訪問和本地登錄訪問），確保企業對 SOX、PCI等法律的合規。這些行為不依賴于數據庫的日志，對數據庫服務器性能影響極低，大大優于數據庫本身的審計產品。因此，擁有非常多的用戶。

“此前，Guardium專注在數據庫的安全，如今我們延伸到大數據，為大數據的軟件環境提供。這個過程中，我們把過去在數據庫方面學到的經驗和教訓，應用到大數據的環境里面。” Ron Ben Natan表示。

實際正如Ron Ben Natan所言，Guardium已經把這些經驗復制到大數據解決方案中。比如，在其大數據安全解決方案中同樣首先要保護敏感數據，監控特權的用戶，包括授權用戶、管理員等。

“在大數據環境中，安全架構和數據庫集群也是一樣的。之所以如此，是因為我們有很多IT人員從事過數據庫安全管理工作，如果系統架構一樣，就很容易把以前的經驗應用到大數據的管理中。”Ron Ben Natan說。

Ron Ben Natan特別強調了大數據安全解決方案的簡易性。“簡單易用是Guardium大數據安全解決方案的指導原則，這一點和我們原來的數據庫安全解決方案是一樣的。”