大數(shù)據(jù)安全防護技術(shù)

摘 要：大數(shù)據(jù)（Big Data）是當(dāng)前學(xué)術(shù)界和產(chǎn)業(yè)界的研究熱點，正影響著人們?nèi)粘Ｉ罘绞健⒐ぷ髁?xí)慣及思考模式。本文回顧了大數(shù)據(jù)的基本概念，提出大數(shù)據(jù)安全層次體系，在此基礎(chǔ)上分析了大數(shù)據(jù)安全在信息安全標(biāo)準(zhǔn)、法律法規(guī)、數(shù)據(jù)生命周期保護和大數(shù)據(jù)信息平臺4個方面的研究進展。大數(shù)據(jù)安全的發(fā)展需要法律法規(guī)、標(biāo)準(zhǔn)和關(guān)鍵技術(shù)的共同支撐和推動。

關(guān)鍵詞：大數(shù)據(jù) 安全 身份認(rèn)證 訪問控制

當(dāng)今，社會信息化和網(wǎng)絡(luò)化的發(fā)展導(dǎo)致數(shù)據(jù)爆炸式增長。大數(shù)據(jù)時代是安全與發(fā)展并重、機遇與挑戰(zhàn)并存的網(wǎng)絡(luò)時代1。我國也在完善信息安全相關(guān)事宜，2017年6月1日正式實施的《中華人民共和國網(wǎng)絡(luò)安全法》，明確個人信息保護義務(wù)，支持網(wǎng)絡(luò)安全技術(shù)的研究、開發(fā)、應(yīng)用和推廣。2016年12月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，提出“實施國家大數(shù)據(jù)戰(zhàn)略，建立大數(shù)據(jù)安全管理制度，支持大數(shù)據(jù)、云計算等新一代信息技術(shù)創(chuàng)新和應(yīng)用”。大數(shù)據(jù)目前已經(jīng)成為國家信息資源方面重要戰(zhàn)略，但信息安全是大數(shù)據(jù)發(fā)展的重要基石，在充分發(fā)揮大數(shù)據(jù)價值的同時，解決大數(shù)據(jù)安全面臨的問題和挑戰(zhàn)也同樣重要。

1 大數(shù)據(jù)基本概念

在學(xué)術(shù)界，圖靈獎獲得者Jim Gray提出了科學(xué)研究的第四范式，即以大數(shù)據(jù)為基礎(chǔ)的數(shù)據(jù)密集型科學(xué)研究；2008年《Nature》推出了大數(shù)據(jù)專刊對其展開探討；2011年《Science》也推出類似的數(shù)據(jù)處理專刊，IT產(chǎn)業(yè)界行動更為積極，持續(xù)關(guān)注數(shù)據(jù)再利用，挖掘大數(shù)據(jù)的潛在價值。目前，大數(shù)據(jù)已成為繼云計算之后信息技術(shù)領(lǐng)域的另一個信息產(chǎn)業(yè)增長點。2011年5月，美國麥肯錫全球研究院發(fā)布了《大數(shù)據(jù)：創(chuàng)新、競爭和生產(chǎn)力的下一個前沿》報告2，“大數(shù)據(jù)”一詞被正式提出，自此其成為科研、金融和商業(yè)等眾多領(lǐng)域的熱門話題。大數(shù)據(jù)的定義可用4Vs特征表示，典型的有兩類：1）國際數(shù)據(jù)公司的大數(shù)據(jù)定義：使用種類、速度、體量和價值（variety、velocity、volume、value）定義大數(shù)據(jù)。其中：種類（variety）包括結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化等各種類型的數(shù)據(jù)；速度（velocity）意味著大數(shù)據(jù)的采集、處理等環(huán)節(jié)必須快速及時，以便最大化大數(shù)據(jù)的價值；體量（volume）表示數(shù)據(jù)量大；價值（value）指大數(shù)據(jù)具有很大的社會價值。2）美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的大數(shù)據(jù)定義：將IDC的4Vs特征中的“value”替換為“variability”，即“變化”這一特征，突出數(shù)據(jù)隨時間發(fā)生變化的特點。充分理解大數(shù)據(jù)的定義和特征，可以更好地理解大數(shù)據(jù)面臨的各種問題。

2 大數(shù)據(jù)安全體系

在大數(shù)據(jù)架構(gòu)的基礎(chǔ)上，提出一種分層的大數(shù)據(jù)安全體系。

2.1法律、法規(guī)及標(biāo)準(zhǔn)：法律、法規(guī)是約束或規(guī)制大數(shù)據(jù)各環(huán)節(jié)中行為的基礎(chǔ)。大數(shù)據(jù)安全標(biāo)準(zhǔn)是引領(lǐng)和指導(dǎo)大數(shù)據(jù)安全工作落實的規(guī)范。大數(shù)據(jù)安全相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)的制定不僅給予數(shù)據(jù)充分有效的保護，同時也能促進數(shù)據(jù)的開放、共享，推動大數(shù)據(jù)應(yīng)用的發(fā)展。隨著大數(shù)據(jù)的安全問題越來越引起人們的重視，包括美國、英國、歐盟和中國在內(nèi)的很多國家和組織都制定了大數(shù)據(jù)安全相關(guān)的法律法規(guī)和政策以推動大數(shù)據(jù)應(yīng)用和數(shù)據(jù)保護。

2.2大數(shù)據(jù)生命周期層。主要涉及數(shù)據(jù)保護的相關(guān)技術(shù)：數(shù)據(jù)質(zhì)量、數(shù)據(jù)生命周期管理、數(shù)據(jù)權(quán)屬和隱私保護。大數(shù)據(jù)安全與隱私保護已成為國際標(biāo)準(zhǔn)化的熱點和焦點，目前有多個標(biāo)準(zhǔn)化組織都正在開展大數(shù)據(jù)和大數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)化工作。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在2016年4月成立了大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組，主要負(fù)責(zé)制定和完善中國大數(shù)據(jù)安全領(lǐng)域標(biāo)準(zhǔn)體系。其中，一些標(biāo)準(zhǔn)已進入報批或公開征求意見階段，將為中國大數(shù)據(jù)安全的管理、技術(shù)和應(yīng)用提供重要

支撐。

2.3大數(shù)據(jù)綜合應(yīng)用平臺層。主要涉及大數(shù)據(jù)平臺安全保護的相關(guān)技術(shù)：身份認(rèn)證、訪問控制、數(shù)據(jù)加密和審計。傳統(tǒng)的數(shù)據(jù)處理手段無法滿足大數(shù)據(jù)應(yīng)用對海量數(shù)據(jù)進行高速處理的需求，因此涌現(xiàn)出了很多新的技術(shù)，如分布式存儲和處理架構(gòu)、非關(guān)系型數(shù)據(jù)庫等。處理模式和應(yīng)用場景的改變給傳統(tǒng)安全保護技術(shù)帶來巨大挑戰(zhàn)。

3 大數(shù)據(jù)平臺安全關(guān)鍵技術(shù)

3.1 身份認(rèn)證和訪問控制

單點登錄是解決復(fù)雜的云計算環(huán)境中統(tǒng)一身份認(rèn)證和管理的一種方案，單點登錄可以減少了訪問云服務(wù)的時間并節(jié)省了認(rèn)證、授權(quán)和審計的基礎(chǔ)設(shè)施。同時，使用用戶ID和密碼的傳統(tǒng)驗證方式不足以抵御云計算環(huán)境中復(fù)雜的攻擊方式，多因子認(rèn)證在傳統(tǒng)標(biāo)準(zhǔn)安全憑證的基礎(chǔ)上附加使用多種安全憑證，進一步加強認(rèn)證的安全性。目前訪問控制分為兩大類：一是基于屬性加密的訪問控制。基于屬性加密的訪問控制是一種利用密文機制實現(xiàn)客體訪問控制的方法，主要可以分為兩種：基于密鑰策略的屬性加密和基于密文策略的屬性加密。在基于密鑰策略的屬性加密中，引入了訪問結(jié)構(gòu)，密文與屬性集合相關(guān)聯(lián)，密鑰與訪問策略關(guān)聯(lián)，只有當(dāng)用戶提供的屬性集可以達到密鑰的訪問結(jié)構(gòu)時才能解密文件，基于密鑰策略的屬性加密主要用于訪問靜態(tài)數(shù)據(jù)。在基于密文策略的屬性加密中，密文由訪問結(jié)構(gòu)生成，密鑰是用戶的屬性集合，只有當(dāng)用戶的屬性滿足密文中的訪問結(jié)構(gòu)時才能解密該段密文。二是基于角色的訪問控制。角色是否分配給用戶由用戶的信任度決定，信任度由以下因素計算獲得：用戶使用的主機的安全狀態(tài)和網(wǎng)絡(luò)可用性、與角色相關(guān)的服務(wù)提供商的保護狀態(tài)，并提供了量化信任度計算過程的數(shù)學(xué)公式。

3.2 數(shù)據(jù)加密

數(shù)據(jù)加密的一個重要問題是如何對密文數(shù)據(jù)進行處理。對稱加密和非對稱加密為此問題提供了解決方案。一是對稱加密，又稱私鑰加密，即信息的發(fā)送方和接收方用同一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。二是非對稱加密。不像普通的對稱密碼學(xué)中采用相同的密鑰加密、解密數(shù)據(jù)，非對稱密鑰加密技術(shù)采用一對匹配的密鑰進行加密、解密。具有兩個密鑰，一個是公鑰一個是私鑰，它們具有這種性質(zhì)：每把密鑰執(zhí)行一種對數(shù)據(jù)的單向處理，每把的功能恰恰與另一把相反，一把用于加密時，則另一把就用于解密。用公鑰加密的文件只能用私鑰解密，而私鑰加密的文件只能用公鑰解密。 公共密鑰是由其主人加以公開的，而私人密鑰必須保密存放。

作者簡介：楊海軍，男，陜西大荔縣，陸軍邊海防學(xué)院，學(xué)歷，2006級碩士，研究方向，計算機，分布式計算。