大數據時代企業信息安全保障策略研究

楊峰

摘要： 大數據時代下，信息安全成為企業大數據建設與應用的突出問題。該文在分析大數據時代企業面臨的信息安全漏洞與風險的基礎上，提出了企業信息安全保障策略，主要包括關鍵基礎實施安全保障策略、供應鏈安全保障策略、系統安全保障策略、終端安全保障策略、平臺安全保障策略、網絡安全保障策略等。該研究對大數據時代背景下的企業信息安全管理保障具有一定的指導意義。

關鍵詞： 大數據；信息安全；保障策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）02-0050-03

隨著云計算、大數據等新興技術的不斷發展，企業信息化、智能化程度、網絡化、數字化程度越來越高，人類社會進入到以大數據為主要特征的知識文明時代。大數據是企業的重要財富，正在成為企業一種重要的生產資料，成為企業創新、競爭、業務提升的前沿。大數據正在成為企業未來業務發展的重要戰略方向，大數據將引領企業實現業務跨越式發展；同時，由此帶來的信息安全風險挑戰前所未有，遠遠超出了傳統意義上信息安全保障的內涵，對于眾多大數據背景下涉及的信息安全問題，很難通過一套完整的安全產品和服務從根本上解決安全隱患。自2008年國際綜合性期刊《Nature》發表有關大數據（Big Data）的專刊以來，面向各應用領域的大數據分析更成為各行業及信息技術方向關注的焦點。大數據的固有特征使得傳統安全機制和方法顯示出不足。本文系統分析了大數據時代背景下的企業信息系統存在的主要信息安全脆弱性、信息安全威脅以及信息安全風險問題，并有針對性地提出相應的信息安全保障策略，為大數據背景下的企業信息安全保障提供一定指導的作用。

1 大數據基本內涵

大數據（Big Data），什么是大數據，目前還沒有形成統一的共識。網絡企業普遍將大數據定義為數據量與數據類型復雜到在合理時間內無法通過當前的主流數據庫管理軟件生成、獲取、傳輸、存儲、處理，管理、分析挖掘、應用決策以及銷毀等的大型數據集。大數據具有4V特征（Volume，Varity，Value，Velocity），即數據量大、數據類型多、數據價值密度低、數據處理速度快。

2011年麥肯錫咨詢公司發布了《大數據：下一個創新、競爭和生產力的變革領域》[1]的研究報告，引起了信息產業界的廣泛關注。美國谷歌公司（Google）、國際商業機器公司（IBM）、美國易安信公司（EMC）、臉書（Facebook）等公司相繼開始了大數據應用、分析、存儲、管理等相關技術的研究，并推出各自的大數據解決框架、方案以及產品。例如，阿帕奇軟件基金會（Apache）組織推出的Hadoop大數據分析框架，谷歌公司推出的BigTable、GFS（Google File System）、MapReduce等技術框架等，這些研究成果為隨后的大數據應用迅猛發展提供了便利的條件。2012年3月，美國奧巴馬總統發布了2億美元的“Big Data Initiative”（大數據研究和發展計劃），該計劃涉及能源、國防、醫療、基礎科學等領域的155個項目種類，該計劃極大地推動了大數據技術的創新與應用，標志著奧巴馬政府將大數據戰略從起初的政策層提升到國家戰略層。

同時，我國對大數據的認識、應用及相關技術服務等也在不斷提高，企業界一致認同大數據在降低企業經營運營成本、提升管理層決策效率、提高企業經濟效益等方面具有廣闊的應用前景，相繼發布大數據相關戰略文件，同時國家組織在民生、國防等重要領域投入大量的人力物力進行相關技術研究與創新實踐。中國移動通信公司在已有的云計算平臺基礎上，開展了大量大數據應用研究，力圖將數據信息轉化為商業價值，促進業務創新。例如，通過挖掘用戶的移動互聯網行為特征，助力市場決策；利用信令數據支撐終端、網絡、業務平臺關聯分析，優化網絡質量。商業銀行也相繼開展了經融大數據研究，提升銀行的競爭力。例如，通過對用戶數據分析開展信用評估，降低企業風險；從細粒度的級別進行客戶數據分析，為不同客戶提供個性化的產品與服務，提升銀行的服務效率?？偠灾髷祿趲硪粓鲱嵏残缘母锩?，將會推動整個社會取得全面進步。

2 大數據安全研究現狀

在大數據計算和分析過程中，安全是不容忽視的。大數據的固有特征對現有的安全標準、安全體系架構、安全機制等都提出了新的挑戰。目前對大數據完整性的研究主要包括兩方面，一是對數據完整性的檢測；二是對完整性被破壞的數據的恢復。在完整性檢測方面，數據量的增大使傳統的MD5、SHA1等效率較低的散列校驗方法不再適用，驗證者也無法將全部數據下載到本地主機后再進行驗證。

面向大數據的高效隱私保護方法方面，高效、輕量級的數據加密已有多年研究，雖然可用于大數據加密，但加密后數據不具可用性。保留數據可用性的非密碼學的隱私保護方法因而得到了廣泛的研究和應用。這些方法包括數據隨機化、k-匿名化、差分隱私等。這些方法在探究隱私泄漏的風險、提高隱私保護的可信度方面還有待深入，也不能適應大數據的海量性、異構性和時效性。在隱私保護下大數據的安全計算方面，很多應用領域中的安全多方計算問題都在半誠實模型中得到了充分的研究，采用的方法包括電路賦值（Circuit Evaluation）、遺忘傳輸（Oblivious Transfer）、同態加密等。通過構造零知識證明，可以將半誠實模型中的解決方法轉換到惡意模型中。而在多方參與、涉及大量數據處理的計算問題，目前研究的主要缺陷是惡意模型中方法的復雜度過高，不適應多方參與、多協議執行的復雜網絡環境。

企業大數據技術是指大數據相關技術在企業的充分應用，即對企業業務、生產、監控、監測等信息系統在運行過程中涉及的海量數據進行抽取、傳輸、存儲、處理，管理、分析挖掘、應用決策以及銷毀等，實現大數據對企業效率的提升、效益的增值以及風險的預測等。企業的大數據類型通常主要包括業務經營數據即客戶信息數據、企業的生產運營與管理數據以及企業的設備運行數據等，即客戶信息數據、員工信息數據、財務數據、物資數據、系統日志、設備監測數據、調度數據、檢修數據、狀態數據等。企業大數據具有3V、3E特征[2]，3V即數據體量大（Volume）、數據類型多（Varity）與數據速度快（Velocity），3E即數據即能量（Energy）、數據即交互（Exchange）與數據即共情（Empathy）。

3 大數據時代企業信息安全漏洞與風險并存

大數據時代，大數據在推動企業向著更為高效、優質、精準的服務前行的同時，其重要性與特殊性也給企業帶來新的信息安全風險與挑戰。如何針對大數據的重要性與特殊性構建全方位多層次的信息安全保障體系，是企業發展中面臨的重要課題。大數據背景下，結合大數據時代的企業工作模式，企業可能存在的信息安全風險主要表現在以下三個方面：

（1）企業業務大數據信息安全風險：由于缺乏針對大數據相關的政策法規、標準與管理規章制度，導致企業對客戶信息大數據的“開放度”難以掌握，大數據開放和隱私之間難以平衡；企業缺乏清晰的數據需求導致數據資產流失的風險；企業數據孤島，數據質量差可用性低，導致數據無法充分利用以及數據價值不能充分挖掘的風險；大數據安全能力和防范意識差，大數據人才缺乏導致大數據分析、處理等工作難以開展的風險；管理技術和架構相對滯后，導致數據泄露的風險。

（2）企業基礎設施信息安全風險：2010年，震網病毒[3]通過網絡與預制的系統漏洞對伊朗核電站發起攻擊，導致伊朗濃縮鈾工程的部分離心機出現故障，極大的延緩了伊朗核進程。從此開啟了世界各國對工業控制系統安全的重視與管控。對于生產企業，工業生產設備是企業的命脈，其控制系統的安全性必須得到企業的高度重視。隨著物理設備管理控制系統與大數據采集系統在企業的不斷應用，監控與數據采集系統必將成為是物理攻擊的重點方向，越來越多的安全問題隨之出現。設備“接入點”范圍的不斷擴大，傳統的邊界防護概念被改變； 2013年初，美國工業控制系統網絡緊急響應小組（ICS-CERT）發布預警，發現美國兩家電廠的發電控制設備在2012年10月至12月期間感染了USB設備中的惡意軟件。該軟件能夠遠程控制開關閘門、旋轉儀表表盤、大壩控制等重要操作，對電力設備及企業安全造成了極大的威脅。

（3）企業平臺信息安全風險： 應用層安全風險主要是指網絡給用戶提供服務所采用的應用軟件存在的漏洞所帶來的安全風險，包括： Web服務、郵件系統、數據庫軟件、域名系統、路由與交換系統、防火墻及網管系統、業務應用軟件以及其他網絡服務系統等；操作系統層的安全風險主要是指網絡運行的操作系統存在的漏洞帶來的安全風險，例如Windows NT、UNIX、Linux系列以及專用操作系統本身安全漏洞，主要包括訪問控制、身份認證、系統漏洞以及操作系統的安全配置等；網絡層安全風險主要指網絡層身份認證，網絡資源的訪問控制，數據傳輸的保密性與完整性、路由系統的安全、遠程接入、域名系統、入侵檢測的手段等網絡信息漏洞帶來的安全性。

4 企業大數據信息安全保障策略

針對大數據時代下企業可能存在的信息安全漏洞與風險，本文從企業的網絡邊界信息安全保障、應用終端信息安全保障、應用平臺信息安全保障、網絡安全信息安全保障、數據安全信息安全保障等多方面提出如下信息安全保障策略，形成具有層次特性的企業信息安全保障體系，提升大數據時代下的企業信息安全保障能力。

4.1企業系統終端——信息安全保障策略

對企業計算機終端進行分類，依照國家信息安全等級保護的要求實行分級管理，根據確定的等級要求采取相應的安全保障策略。企業擁有多種類型終端設備，對于不同終端，根據具體終端的類型、通信方式以及應用環境等選擇適宜的保障策略。確保移動終端的接入安全，移動作業類終端嚴格執行企業制定的辦公終端嚴禁“內外網機混用”原則，移動終端接入內網需采用軟硬件相結合的加密方式接入。配子站終端需配置安全模塊，對主站系統的參數設置指令和控制命令采取數據完整性驗證和安全鑒別措施，以防范惡意操作電氣設備，冒充主站對子站終端進行攻擊。

4.2企業網絡邊界——信息安全保障策略

企業網絡具有分區分層的特點，使邊界不受外部的攻擊，防止惡意的內部人員跨越邊界對外實施攻擊，在不同區的網絡邊界加強安全防護策略，或外部人員通過開放接口、隱蔽通道進入內部網絡。在管理信息內部，審核不同業務安全等級與網絡密級，在網絡邊界進行相應的隔離保護。按照業務網絡的安全等級、實時性需求以及用途等評價指標，采用防火墻隔離技術、協議隔離技術、物理隔離技術等[4]對關鍵核心業務網絡進行安全隔離，實現內部網與外部網訪問資源限制。

4.3企業網絡安全——信息安全保障策略

網絡是企業正常運轉的重要保障，是連接物理設備、應用平臺與數據的基礎環境。生產企業主要采用公共網絡和專用網絡相結合的網絡結構，專用網絡支撐企業的生產管理、設備管理、調度管理、資源管理等核心業務，不同業務使用的專用網絡享有不同安全等級與密級，需要采取不同的保障策略。網絡彈性是指基礎網絡在遇到突發事件時繼續運行與快速恢復的能力。采用先進的網絡防護技術，建立基礎網一體化感知、響應、檢測、恢復與溯源機制，采取網絡虛擬化、硬件冗余、疊加等方法提高企業網絡彈性與安全性；對網絡基礎服務、網絡業務、信息流、網絡設備等基礎網絡環境采用監控審計、安全加固、訪問控制、身份鑒別、備份恢復、入侵檢測、資源控制等措施增強網絡環境安全防護；在企業網絡中，重要信息數據需要安全通信。針對信息數字資源的安全交換需求，構建企業的業務虛擬專用網。在已有基礎網絡中采用訪問控制、用戶認證、信息加密等相關技術，防止企業敏感數據被竊取，采取建立數據加密虛擬網絡隧道進行信息傳輸安全通信機制。

4.4企業應用系統平臺——信息安全保障策略

應用系統平臺安全直接關系到企業各業務應用的穩定運行，對應用平臺進行信息安全保障，可以有效避免企業業務被阻斷、擾亂、欺騙等破壞行為，本文建議給每個應用平臺建立相應的日志系統，可以對用戶的操作記錄、訪問記錄等信息進行歸檔存儲，為安全事件分析提供取證與溯源數據，防范內部人員進行異常操作。企業應用平臺的用戶類型多樣，不同的應用主體享有不同的功能與應用權限，考慮到系統的靈活性與安全性，采用基于屬性權限訪問控制[5]、基于動態代理和控制中心訪問權限控制[6]、基于域訪問權限控制[7]、基于角色訪問控制等訪問控制技術；確保企業應用平臺系統安全可靠，在應用平臺上線前，應邀請第三方權威機構對其進行信息安全測評，即對應用平臺系統進行全面、系統的安全漏洞分析與風險評估[8]，并制定相應的信息安全保障策略。

4.5企業大數據安全——信息保障策略

大數據時代下，大數據是企業的核心資源。企業客戶數據可能不僅包含個人的隱私信息，而且還包括個人、家庭的消費行為信息，如果針對客戶大數據不妥善處理，會對用戶造成極大的危害，進而失信于客戶。目前感知大數據（數據追蹤溯源）、應用大數據（大數據的隱私保護[9]與開放）、管控大數據（數據訪問安全、數據存儲安全）等問題，仍然制約與困擾著大數據的發展。大數據主要采用分布式文件系統技術在云端存儲，在對云存儲環境進行安全防護的前提下，對關鍵核心數據進行冗余備份，強化數據存儲安全，提高企業大數據安全存儲能力。為了保護企業數據的隱私安全、提高企業大數據的安全性的同時提升企業的可信度，可采用數據分享、分析、發布時進行匿名保護已經隱私數據存儲加密保護措施來加強企業數據的隱私安全，對大數據用戶進行分類與角色劃分，嚴格控制、明確各角色數據訪問權限，規范各級用戶的訪問行為，確保不同等級密級數據的讀、寫操作，有效抵制外部惡意行為，有效管理云存儲環境下的企業大數據安全。

5 結束語

隨著信息技術的快速革新，數據正以驚人的速度積累，大數據時代已經來臨了；智能終端和數據傳感器成為大數據時代的數據主要來源。大數據在推動企業不斷向前發展給企業提供了更多機遇的同時，也給企業的應用創新與轉型發展帶來了新的信息安全威脅、信息安全漏洞以及信息安全風險。傳統的信息安全保障策略已經無法滿足大數據時代的信息安全保障需求。怎樣做好企業大數據信息安全保障、加強信息安全防護、建設相關法律法規將是大數據時代長期研究的問題。

參考文獻：

[1] James Manyika，Michael Chui，Brad Brown，etc. Big data：The next frontier for innovation， competition， and productivity[R]. USA：McKinsey Global Institute， 2011.

[2] 中國電機工程學會電力信息化委員會，中國電力大數據發展白皮書[R]. 中國電力出版社，2013.

[3] 蔣明，方圓，丁家田. 大數據時代下電網企業安全防護策略研究[J]. 信息安全與技術，2015（10）.

[4] 高新華，王文，馬曉. 電力信息網絡安全隔離設備的研究[J]. 技術，2003，27（9）：69-72.

[5] 王保義，王藍婧.電力信息系統中基于屬性的訪問控制模型的設計[J].電力系統自動化，2007，31（7）：81-84.

[6] 宋燕敏，楊爭林，曹榮章.電力市場運營系統中的安全訪問控制[J].電力系統自動化，2006，30（7）：80-84.

[7] Celia Li，Cungang Yang，Todd Mander，Richard Cheung.Advanced Security Model for Power System Computer Networks[C].Power Engineering Society General Meeting，2005， 1115-1122.

[8] 馮登國，張陽，張玉清. 信息安全風險評估綜述[J].通信學報，2004， 25（7）：10-18.

[9] 李國敏. 信息安全面臨六大挑戰大數據時代[J]. 吉林醫學信息，2014（10）.

[10]宋燕敏，楊爭林，曹榮章.電力市場運營系統中的安全訪問控制[J].電力系統自動化，2006，30（7）：80-84.