淺析大數據信息安全等級保護

黃石平

摘要：隨著信息技術的飛速發展，尤其是大數據時代，數據安全問題至關重要。該文從大數據概念及特征、大數據信息安全面臨的挑戰以及大數據安全等級保護措施等方面介做了簡要介紹，全方位提高信息安全防護能力。

關鍵詞：大數據；信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）36-0046-03

Abstract： With the rapid development of information technology， especially in the era of big data， data security is very important. In this paper， the concept and characteristics of big data， big data information security challenges， as well as big data security level protection measures were introduced briefly， improve the ability of information security protection in all aspects.

Key words： Big data； information security

隨著信息技術的飛速發展，信息數據的需求越來越大，可以說信息化逐漸進入了大數據時代，如何獲取有效數據并以最合理的算法分析數據是進行大數據挖掘與分析的關鍵所在，但是在分析數據的過程中，必然會牽涉到用戶的隱私安全問題，所以說保證大數據的安全具有重大的現實意義。在國內大數據安全與等級保護的高峰論壇上，專家表示大數據能否實現快速發展在很大程度上取決于其安全性。就現在來看，我們應該從意識、管理和技術層面提高大數據的安全性，盡最大可能避免被外界利用，因此必須加強大數據的信息安全等級保護措施。

1 何為大數據

所謂大數據（big data）指的是在一定范圍內，難以用常規軟件工具搜集、管理以及處理的數據集合，它屬于信息資產的范疇，具有多樣化、海量以及高增長率的特點，通過采用新型的處理模式有助于不斷優化流程、提高決策者的洞察發現力和決策力。[1]

<<大數據時代>>的主編是肯尼斯.庫克耶和維克托-邁爾-舍恩伯格，在他們看來大數據無需采取隨機調查法便能夠對數據進行分析和處理。IBM提出大數據的特點是Volume（大量）、Velocity（高速）、Variety（多樣）、Value（低價值密度）。

（1） 數據體量巨大（Volume）

截止到現在，我們人類所說過的所有話的數據量為5EB（1EB=1000PB），所生產的全部數據資料的數據量為200PB（1PB=1000TB），就現在來看，大多數微型計算機的硬盤容量為TB量級，而有些大企業的數據量可以達到EB量級。

（2） 數據類型多樣（Variety）

由于數據類型具有多樣性的典型特點，所以可以將數據劃分為結構化數據和非結構化數據。傳統結構化數據的存儲結構為二維表存儲，伴隨著非結構化數據的蓬勃發展，比如說：視頻、音頻、圖片和日志等，多類型的數據要求較高的數據處理能力。

（3） 價值密度低（Value）

數據總量越大則價值密度越低，反之，則越高。對于視頻而言，時長1小時的視頻的在持續的監控過程中，有效數據可能只有一兩秒。在大數據蓬勃發展的今天，如何借助強大的機器學習算法在最短的時間內實現數據價值的“提純”是當下急需解決的問題。

（4） 處理速度要求快（Velocity）

相比于傳統數據，大數據具有處理速度要求快的典型特點，通過分析IDC“數字宇宙”報告我們得知：全球數據使用量到2020年預計會達到35.2ZB（1 ZB=1000EB）。只有更高的數據處理速度才能夠應對海量數據。

2 大數據信息安全面臨新挑戰

海量數據的集中必然會帶來信息安全風險高度集中的問題，在大數據時代，如何保障信息安全成為急需解決的難題，其中的信息安全風險如下所示：

（1） 大數據成為網絡攻擊的主要目標

在虛擬世界中，由于大數據更加容易被發現，引起了社會的廣泛關注。首先，大數據不僅代表海量的數據，還是更加敏感和復雜數據的代表，對于潛在攻擊者而言，大數據更具吸引力。其次，由于數據的高度聚集性，一旦黑客成功攻擊了大數據網站，便會得到更多數據，使黑客能夠以較低的成本獲得較大的“收益率”。以大數據的主要載體云計算平臺為例，早在2009年12月，亞馬遜云計算服務就曾遭到僵尸網絡攻擊；2013年3月，黑客成功攻擊了云計算筆記應用Evernote，使大量用戶名、加密密碼以及電子郵件地址被泄露。[2]

（2） 大數據加大隱私泄露風險

網絡空間中的數據來源十分廣闊，它可以源自電子郵件、社交網絡、傳感器等，由于大數據具有高度聚集性的特點，在某種程度上使用戶面臨著信息泄露的風險。首先，大數據大都會牽扯到個人隱私、客戶信息以及企業運營數據等，由于上述數據采取集中存儲的方式，從而提高了數據泄漏的可能性，即使這些數據沒有被濫用，也會對我們的人身安全構成較大的威脅。此外，對于某些帶有敏感性色彩的數據而言，并未明確界定其所有權和使用權，以大數據為基礎的數據大都未將個人的隱私保護考慮其中。例如，2013年7月，蘋果公司開發者網站遭到入侵，部分開發者的姓名、郵寄地址或電子郵件地址被竊取。

（3） 大數據成為高級可持續攻擊的載體

病毒、木馬等惡意代碼能夠輕易隱藏到海量的非結構化數據中，難以通過傳統的防護措施檢測出來。傳統的檢測以某個時間點為依據，對具有威脅性的數據進行實時匹配檢測，然而，高級可持續攻擊（APT）屬于實施過程的范疇，由于其具有不被實時檢測出來的特點，所以傳統的防護措施對它束手無策，此外，APT攻擊代碼主要隱藏在大量數據中，從而提高了檢測難度。再加上大數據具有價值低密度的特點，從而使安全分析工具無法對其價值進行分析，黑客通過在大數據中隱藏攻擊，進一步加大了安全服務提供商的分析難度。如果黑客所發起的攻擊能夠誤導安全廠商提取和檢索目標信息，那么安全監測便會偏離正確的方向。

3 大數據信息安全等級保護

大數據依托網絡技術，借助數據挖掘和關聯分析等技術手段來分析并處理分布式存儲的異構海量數據。存儲載體、計算平臺和網絡環境處于不同的信息系統之中，基于我國當下的信息安全等級保護制度，不斷提高保證大數據信息安全的能力，有利于保障大數據安全。

（1） 大數據物理和環境安全

由于大數據存在海量、復雜、需要實時處理等特點，因此傳統的IT基礎設施的處理能力遠遠不能滿足大數據業務運行需求，而云計算的超大規模及高可擴展性能夠賦予用戶前所未有的計算和存儲能力，所以云計算平臺成為承載大數據IT基礎設施的必然選擇，而云計算環境存在邊界模糊的特點，數據的實際存儲位置往往不受用戶的控制，數據甚至有可能在用戶不知情的情況下，被存儲到了境外的數據中心，從而改變數據的司法管轄關系，導致用戶數據的所有權及機密性很難得到保障。因此，必須有相應的法律或規范來約束云服務提供商，使之確保用于大數據業務運行和數據處理及存儲的物理設備位于中國境內。[3]

（2） 大數據網絡和通信安全

大數據網絡架構設計上應重點關注大數據網絡傳輸的冗余和彈性，使網絡結構能滿足大數據系統處理突發大流量、低時延要求，同時增加對大數據基礎設施網絡資源的隔離措施。在邊界防護方面應使得大數據系統網絡邊界受控，尤其大數據應用與大數據基礎設施之間及不同大數據應用之間的網絡邊界，其數據流均需通過防護設備的受控接口進行通信，并在分散的節點間設置身份驗證、非授權訪問網絡行為識別等措施。大數據內部重要網絡節點應配備完善的訪問控制措施，來實現不同流量類型、傳輸方向的精細化訪問控制，實時監控網絡流量，識別來自大數據系統外部及大數據應用之間的異常流量，并加以阻斷，同時對大數據系統與外部系統、不同大數據應用之間等關鍵網絡節點對惡意代碼進行檢測和清除。確保使用加密通道進行大數據對外提供服務，并采用加密技術對傳輸的敏感數據、隱私數據進行加密，防止網絡通信被竊聽和嗅探。

（3） 大數據設備和計算安全

大數據設備和計算安全應重點關注大數據基礎設施平臺的重要計算、存儲和服務資源的隔離、監控、訪問控制和使用審計，大數據基礎設施管理用戶應進行權限分離，僅使大數據應用對其擁有的存儲空間、數據庫的管理權限，并對涉及敏感、隱私的數據執行細粒度的訪問控制，增加大數據應用與大數據基礎設施各自職責的劃分，管理各自部分的審計數據，增加對大數據基礎設施非授權使用的檢測和防護要求，在遭受各類非授權訪問等入侵行為時，應提供告警機制，并采取措施保證遭受入侵后不影響大數據服務的正常提供，同時對承載大數據運行的設備性能、網絡鏈路、資源隔離情況、安全設備和服務器運行情況等進行統一監控。

（4） 大數據應用和數據安全

關注不同平臺角色的身份認證問題，所有交互都要實現嚴格的認證以確認使用者身份的合法性，不同平臺的角色履行各自的安全職責要求，支持細粒度的審計，并保證取證信息的完整性和可靠性，應重視大數據攻擊技術研發，做到攻防兼備，大數據應用的開發、設計過程應全面考慮并最大限度地規避可能的安全問題，并為安全審計數據的匯集提供接口，可供第三方審計，當系統使用數據源提供的數據時，應檢驗數據的有效性，增加對大數據應用的資源占用情況進行監控和管理，為每個大數據應用占用的資源分配最大限額，發現運行異常情況時應提供告警。關注大數據全生命周期模型中數據的可靠性、保密性，以及敏感和隱私數據的保護。

（5） 大數據管理安全

大數據管理安全包括確立安全管理策略、建立健全安全管理制度、建立安全管理平臺、開展信息安全意識培訓等。重點要建立數據訪問和授權的管理制度，尤其關注敏感數據、隱私數據的授權和審批，在安全方案設計方面，大數據基礎設施應開放接口，允許接入第三方安全產品，實現對大數據系統的網絡、主機、應用、數據層的全方位安全防護，并驗證或評估所提供的安全措施的有效性，增加對大數據基礎設施和大數據應用的監控和審計，實現大數據基礎設施的統一管理和運維。

4 大數據信息安全等級保護關鍵防護措施[4]

信息安全等級保護講究縱深防御，層層設卡，通過不同的安全防護措施的部署，能有效降低或避免各類風險，最大限度的保障企業或組織的信息資產安全，華三通信通過對多個不同行業、不同信息系統等級保護建設方案的總結，認為保障大數據安全，關鍵要做到以下幾點：

非授權者進不來—邊界防護

重要信息得不到—訪問控制

保密信息看不懂—加密措施

關鍵信息改不了—可信驗證

系統服務癱不成—恢復系統

攻擊行為賴不掉—安全審計

5 結束語

總而言之，伴隨著數據量級的不斷提高，以往的信息處理能力已不能適應大數據時代的要求，伴隨著大數據技術的發展，諸如：關聯分析和數據挖掘，在一定程度上改變以往的計算環境。因此，應以可信、可控、可管為目的構建大數據等級保護技術框架，管理和技術并重，全方位提高信息安全防護能力。

參考文獻：

[1] 楊秀蓮.探析大數據環境如何維護個人數據安全[J].才智，2017（23）.

[2] 李英，張濤.大數據時代數據安全隱私保護研究[J].河南科技，2017（15）.

[3] 齊愛民，祝高峰.論云存儲中數據安全的法律保護[J].重慶大學學報：社會科學版，2017（01）.

[4] 馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014（01）.