大數據協同安全機制研究

◆陳世武 李琴

?

大數據協同安全機制研究

◆陳世武1, 3李琴2*通訊作者

（1.北京中測安華科技有限公司 北京 100085；2.中國環境科學研究院環境標準研究所 北京 100012；3.大數據協同安全技術國家工程實驗室 北京 100085）

鑒于大數據安全的復雜性，通過大數據安全協同解決大數據安全問題已成業界共識。本文首先回顧了目前中國大數據安全協同面臨的困境，強調安全協同是走出大數據安全困境的必由之路；然后，分析了大數據協同安全生態，并研究了大數據安全產業協同機制，具體涉及組織協同、數據共享、系統協同、服務協同，以及產學研協同創新；最后，給出了大數據協同安全的建議。

大數據；協同安全；協同機制

0 引言

近年來，隨著各種數據獲取手段、處理技術、挖掘手段的演進，大數據的價值不斷凸顯出來。特別是Hadoop生態圈和云計算基礎架構建立后，人們可以從大數據中挖掘出大量有價值的信息，因此，大數據得到越來越廣泛的應用。比如，電商零售業利用大數據技術分析消費者的購買需求，從而向消費者定向推銷產品；移動通訊運營商利用大數據對用戶進行畫像，以了解用戶的需求；大型央企等國家關鍵基礎設施單位利用大數據安全分析技術發現業務運營中存在的各種問題和安全隱患，等等。

大數據及其分析處理技術的涌現為各種機構的發展提供了前所未有的寶貴機遇，同時也帶來了諸多安全挑戰。大數據安全不僅涉及平臺安全、平臺中的數據安全，也涉及大數據在解決安全問題中的應用。大數據平臺安全包括基礎設施安全、數據平臺安全和運維管理安全等。由于在設計之初沒有充分考慮安全問題，組成大數據平臺的各組件存在安全隱患，各漏洞監測平臺時有大數據平臺組件的各種安全漏洞被曝出。數據安全包括數據自身安全和數據內容安全，大數據平臺中的數據存在被竊取、篡改、隱私挖掘等風險，人們越來越擔心自己的隱私信息被泄露。近年來，關于大數據的安全事件不斷發生，例如斯諾登“棱鏡門”事件、MongoHQ數據泄露事件，以及2018年上半年發生的Facebook用戶數據被濫用事件等。用大數據解決安全問題更是涉及網絡和信息安全的方方面面。另外，還有APT等新型攻擊帶來的安全問題。以上的每一個細分領域均涉及復雜的安全架構和安全技術。

大數據安全問題的復雜性，以及安全形勢的日趨惡化使安全廠商及其他安全從業者逐步認識到：大數據安全問題不是單獨一個或幾個組織能夠解決的，只有通過產業內的廣泛協作才能找到解決問題的出路。為此，奇虎360公司牽頭申請了大數據協同安全技術國家工程實驗室，旨在圍繞提升大數據安全分析能力和保障大數據系統自身安全的需求，建設大數據協同安全技術應用研究平臺。該工程實驗室成立后，已經取得了一些成果，比如鮑旭華等[1]提出了建設大數據驅動的安全生態機制和相關技術。但如何真正實現大數據協同安全仍是一個值得探討的問題，比如如何實現不同組織間的協同工作、如何做到各大數據安全系統的有效融合、數據如何協同共享等。

1 大數據安全協同的困境

與國內安全廠商相比，國外安全廠商關注的安全領域比較專一，往往只做單一的產品，比如卡巴斯基主要專注于殺毒軟件，FireEye專注于威脅情報和沙箱技術，這使得國外的安全廠商更易于形成相互協作的氛圍，安全企業之間更多的是共同協作，將自己單一的產品通過多家公司的共同整合，形成一個解決方案提供給客戶。國外安全廠商的宗旨是尋求合作伙伴，以幫助用戶解決安全問題。

由于文化和價值觀念的不同，國內安全廠商往往追求橫向發展，產品上盲目求全。另外，在威脅情報等數據的共享方面，國內安全廠商往往并不愿意和別人分享。然而，大數據安全是一個很大的領域，專業性非常強，一家廠商做不到大而全，這樣反而很容易擴大受攻擊面，從而失去安全防護的意義。

安全廠商和組織各自為戰造成的另一個問題是：缺乏創新性。一方面，國外在尖端安全技術方面存在嚴格的出口限制，安全廠商若單打獨斗，將很難占領技術高地，勢必對最新的攻擊手法防御力不足；另一方面，“產學研用”是相互關聯、相互促進的過程，缺少任何一個環節都會造成大數據安全產業的盲目發展。比如，如果沒有用戶的反饋作用，產學研就難以把握用戶的真實安全需求，難以針對用戶痛點研發產品或提供解決方案。

另外，缺乏統籌協調也是造成安全協同困難的原因之一，比如，數據交換頻繁導致安全邊界不斷模糊，如何通過生態鏈各方（尤其是信息安全監管部門）協同管控安全風險等問題。

為保證大數據協同安全的可行性，目前國內迫切需要建立起從主管部門、安全廠商、高校、研究機構、行業協會和用戶間的協同安全機制，以多組織協同的方式共同解決大數據安全問題。

2 大數據協同安全生態

大數據協同安全是對“用大數據解決安全問題”思想的延伸，是指利用現有大數據安全技術、措施和設備，將時間上分離、空間上分布而工作上又相互依賴的多個安全機構和安全系統有機組織起來，從而使整個安全系統具有預防、檢測、分析、恢復、對抗等綜合防御能力，使各個安全系統甚至整個大數據安全生態能夠最大程度地發揮功效。大數據協同安全應采用生態式的協同機制，從而在保證協同參與方獲利的基礎上，為消費者提供高質量的服務。大數據協同安全生態涉及安全供應商、專業研究機構、測評機構和最終用戶（市場），國家的相關部門也要參與其中。圖1展示了安全供應商與測評機構、安全供應商與研究機構、安全供應商與市場客戶、研究機構與最終用戶之間的相互關系，以及各級監管部門在安全生態中起到的指導和監督作用。

如圖1所示，大數據協同安全需要圍繞安全標準、安全技術、安全產品、安全服務與安全測評五個維度形成協同安全生態，并需要用戶及時反饋信息，從而促進安全生態的良性循環。其中，政府負責制定大數據安全及產業扶助政策，起到監督、指導作用；專業研究機構根據市場需求，開展安全技術研究、跟蹤國外先進技術發展情況，并基于國家政策輸出大數據安全標準；安全廠商提供大數據安全平臺、大數據安全產品和服務，與專業研究機構合作并提供部分資金支持；測評機構從安全法規遵從性、安全漏洞、安全風險等方面對大數據安全平臺和產品進行評級，出具測評報告，對安全供應商起到監督和促進作用；市場用戶根據自身安全需要提出安全需求，應用并檢驗安全產品和服務，并反饋進一步需求和改進意見。只有通過“產學研用”緊密合作，構成大數據協同安全生態，才能促進大數據協同安全的良性發展。

圖1 大數據協同安全生態

3 大數據安全產業協同

大數據安全產業協同涉及到安全的諸多方面，比如不同組織間如何協同，不同安全廠商的安全產品如何協同，如何以協作的方式對外提供安全服務等。大數據安全產業協同的目的是集產業各方之力，共同應對大數據安全挑戰，為此，我們設計了如圖2所示的大數據協同安全系統的層次結構：

圖2 大數據協同安全系統層次結構

如圖2所示，大數據安全產業協同應在實現組織間協同的基礎上，做好各組織間的數據共享、系統協同，并以協作的方式對外提供服務。同時，應有產學研協同創新促進科研成果和生產力間的相互轉化，保證大數據安全協同不斷良性發展。

3.1 組織協同

組織協同解決的是形成跨地域、跨行業、跨企業、跨部門的不同組織間的協同聯動機制。組織協同是一個很復雜的問題，因為其中涉及不同組織間隱私信息的保護、各組織間信息共享問題，即如何確定哪些信息可以跨組織共享，以及不同組織間的彼此信任問題等。人是活動的主體，因此，組織協同會滲透到大數據安全協同的每個過程，其具體可分為區域協同、政企協同、產業協同、行業協同。考慮到實際發生的情況，本文中的組織協同主要是指安全供應商之間的協同，以及安全供應商和專業安全研究機構之間的協同聯動。

一般來說，實現組織協同的做法是采用跨組織工作流方式。以兩個組織的協同為例，其跨組織工作流框架如圖3所示。

3.2 實驗環境

圖3 跨組織工作流框架

圖3所示的跨組織工作流框架基于工作流視圖。首先，人是實現組織協同的基礎，因此，每一個組織都應設置專人（接口人）負責協同事務的溝通和協調。參與協同工作的組織根據合作協議從合作平臺抽取協同任務，然后在組織內容工作流管理制度約束下進入內部流程進行處理，通過內部集成過程形成對該任務的反饋，輸出給合作平臺。這里的合作平臺是指大數據安全協同的牽頭單位，或參與協同的各個單位共同建設的系統平臺或實驗室。

3.3 數據共享

數據共享是指數據資源（包括威脅情報等）的互聯、共享、開放。網絡威脅情報共享已有不少成功實踐，因此，大數據安全資源的共享可以借鑒威脅情報共享的成功經驗。數據共享可以大數據協同安全的牽頭單位或者由參與大數據安全協同的各組織共同建設的系統平臺或實驗室為中心，各組織通過該中間組織完成數據的匯集和開放共享，這樣做的好處在于：一方面，可以減少組織對直接共享數據的種種顧慮；另一方面，也可以為系統協同提供數據基礎。數據共享流程如圖4所示。

圖4 數據共享流程

在數據的開放共享過程中，應注意以下問題：

（1）被開放共享的數據應遵循統一的格式標準；

（2）數據自身安全問題，應特別注意對敏感數據的保護，以防止隱私信息泄露，因此，在數據開放共享前，應對數據進行脫敏處理；

（3）各組織涉及不同等級的涉密信息，因此，需要采用適當的網絡安全隔離與數據交換技術保證數據信息的完整性和機密性[2]；

（4）制定對參與數據共享的組織的激勵機制。

3.4 系統協同

系統協同是指各組織系統平臺層級的協同工作，即如何實現不同廠商的大數據安全產品的協調聯動，共同解決大數據安全問題。對于安全系統的協同，由于不同安全供應商的安全產品的系統結構和接口沒有遵循統一的標準，導致對該領域的研究比較少。目前對系統協同的研究集中在兩個方面：理論研究和系統協同機制研究。

理論研究方面，目前已有學者提出了一些理論性的原則和方法，比如趙理敏等[3]將協同學理論應用于安全系統協同研究，探討了協同理論用于研究安全系統的可行性和合理性，并從理論上給出了安全協同理論的內涵和研究范疇，提煉出安全系統協同的7個基本原理：安全協同競爭原理、安全不穩定性原理、安全漲落原理、安全序參量原理、安全伺服原理、安全自組織原理和安全協同效應原理，對安全系統協同具有一定的指導意義。

系統協同機制研究方面，劉慶云等[4]研究了多類型安全系統的協同問題，給出了一種由運行系統鏈表、協同請求隊列、信息總線、規則解析引擎和協同執行引擎等部分組成的統一的多類型安全系統協同機制，從而動態地調用不同的安全產品協同完成安全防護工作。如前所述，不同安全廠商的安全產品的結構和接口往往采用不同的標準，因此，該文中提出的系統協同機制對同一安全廠商研發的不同用途的安全產品間的協同具有一定的參考意義，對多來源的安全產品間的協同則意義不大。

對于不同組織間安全系統的協同工作，目前較成熟的做法是系統集成與組織協同相結合，即根據服務對象和服務目標的不同，不同安全廠商的安全產品組合形成不同的集成方案，在集成平臺搭建和后續的運維過程中，不同組織采用跨組織工作流的方式協同工作。

3.5 服務協同

如前所述，系統協同是平臺和產品層面的安全協同。服務協同指的是如何基于融合后的系統對外提供一致的安全服務。大數據安全協同的價值通過服務協同來體現，包括為客戶提供安全技術、安全產品、咨詢服務、安全解決方案等。服務協同的流程見圖5所示。

圖5 大數據協同安全服務流程圖

參與協同的各組織挖掘到客戶需求后，共同對該服務需求展開協同處理：首先對客戶需求進行分析，然后基于服務能力對該需求進行服務匹配，并根據各種服務組合方案對各項服務進行組合，最終將形成的產品、解決方案和安全能力等轉移給客戶，完成一次服務過程。如果客戶對產品或解決方案提出了反饋意見，參與協同的各相關組織根據客戶的反饋信息對服務進行優化，從而以迭代的方式滿足客戶的需求。

3.6 產學研協同創新

產學研協同創新是落實創新驅動發展戰略、促進科研成果向現實生產力轉化的重要過程。該過程并不單純是以企業為技術需求方、高校和科研機構為技術供給方的一種簡單的線性合作關系[5]，而是一種企業、高校和科研機構都參與知識投入、知識創造和知識運用過程的協作過程。大數據協同安全生態系統應包含產學研的互動，并在互動中提升大數據安全產業整體的安全能力。

產學研協同創新成員間的協同行為構成要素包括協同資源、協同能力、協同效應、協同機制和協同環境五個方面，每個方面又可以進一步劃分為多個層級和要點[6]。這五個方面的關系可概括為：協同資源和協同機制為協同能力提供了保證，協同能力和協同的內外部環境使協同效應得以體現。

產學研協同創新機制的設計過程中，應基于利益相關者的視角、采用市場化的形式，這樣才能保證產學研協同創新的有效建立和運作。具體來說，產學研協同創新應以企業、高校和科研機構為主，以政府、行業協會和其他中介機構等利益相關者為輔，在國家法律法規的規范和約束下，政府以宏觀政策的形式進行指導和協調，以促進企業、高校和科研機構的主動合作，建立起集知識創新和示范應用于一體的產學研協同創新機構。同時，在行業協會和其他中介機構等利益相關者的協助下，建立起“學研”與“產”之間協同進步、合作創新的系統平臺，從而進一步便于產學研之間的溝通和協作。通過上述機制，將高校和科研機構的知識創新與企業、行業協會等的社會責任有機協同起來，共同促進大數據安全協同工作的良性、健康發展。

4 結論與建議

在本文中，我們首先從安全廠商和組織、安全協同的統籌協調兩個方面分析了大數據安全協同面臨的困境；然后，我們指出通過國家相關監管部門、安全供應商、高校、科研機構、行業協會等的協同工作，建立起大數據協同安全生態是實現大數據安全協同的有效路徑；接著，我們介紹了大數據安全協同的幾個重要方面，并試圖設計“共贏”的協同機制，包括組織協同、數據開放共享、系統平臺層級的協同、服務協同，以及產學研協同創新。

安全企業間的協同工作是大數據安全協同的核心，為實現有效協同，企業應本著“開放、合作、共贏”的宗旨，在掌握核心業務主動權、加強自身核心競爭力的基礎上，在保證企業核心利益不受損失的前提下，開源企業自身的部分源代碼，通過開源社區或者其他形式回饋給大數據安全生態圈，以提升大數據安全產業整體安全能力；開放安全產品和解決方案的部分標準和協議，或聯合其他安全廠商和組織共同制定行業標準和協議，從而實現多廠商的安全產品的接入，形成一體化安全產品或提供解決方案；形成統一的標準或者產業聯盟，促進安全產業上下游企業更加充分的協同合作。同時，通過引入第三方測評機構對企業的安全產品進行安全評級，將安全廠商的安全能力量化，促進企業安全能力的提升。

總之，為實現有效的大數據協同安全，在協作過程中，國家各級相關監管部門應發揮指導和監督管理的作用，保證大數據安全協同滿足對政策法規的遵從性。同時，做好安全威脅防護產品、解決方案和安全服務協同，用威脅情報等數據的開放共享打通合作壁壘，通過產學研協同實現大數據安全產業中各組織的共同創新。

[1]鮑旭華，曲曉東，鄭新華.大數據驅動的安全協同生態建設[J].大數據，2018.

[2]賈峰.單位網絡安全隔離與數據交換技術的應用[J].網絡安全技術與應用，2018.

[3]趙理敏，吳超，李玫軍.安全協同理論的基礎性問題研究[J].科技促進發展，2017.

[4]劉慶云，楊越峰，劉利軍.多類型安全系統協同機制的研究與實現[J].計算機工程，2006.

[5]洪銀興.產學研協同創新的經濟學分析[J].經濟科學，2014.

[6]錢雨，吳冠霖，孫新波，趙浩彤.產學研協同創新成員協同行為構成要素及關系研究[J].科技進步與對策，2015.