大數(shù)據(jù)安全的技術(shù)架構(gòu)和管理策略研究

沙金

（上海計(jì)算機(jī)軟件技術(shù)開(kāi)發(fā)中心，上海201112）

0 引言

在大數(shù)據(jù)時(shí)代，信息安全在數(shù)據(jù)采集、傳輸、存儲(chǔ)、管理、分析和發(fā)布等多個(gè)方面都面臨著新常態(tài)，使用和破壞存在于大數(shù)據(jù)生命周期的整個(gè)過(guò)程中，大數(shù)據(jù)面臨著成為網(wǎng)絡(luò)攻擊的明顯目標(biāo)，增加了隱私泄露的風(fēng)險(xiǎn)，以及大數(shù)據(jù)技術(shù)被適用于攻擊方法，并成為高級(jí)可持續(xù)攻擊（APT）的載體。

在大數(shù)據(jù)的深入研究和應(yīng)用中可以看出在大數(shù)據(jù)環(huán)境中，數(shù)據(jù)量大，數(shù)據(jù)類(lèi)型多樣，數(shù)據(jù)組成復(fù)雜，因此傳統(tǒng)的數(shù)據(jù)安全機(jī)制面臨數(shù)據(jù)隔離的要求更高、存儲(chǔ)系統(tǒng)的安全防護(hù)存在漏洞等多重挑戰(zhàn)且急需更新和優(yōu)化。因此，迫切需要通過(guò)研究關(guān)鍵技術(shù)，構(gòu)建全面的大數(shù)據(jù)安全管理技術(shù)架構(gòu)和制定安全管理戰(zhàn)略來(lái)應(yīng)對(duì)這些挑戰(zhàn)。

1 大數(shù)據(jù)安全問(wèn)題和技術(shù)現(xiàn)狀

1. 1 大數(shù)據(jù)安全問(wèn)題及挑戰(zhàn)

在安全架構(gòu)，數(shù)據(jù)隱私，數(shù)據(jù)管理和數(shù)據(jù)完整性以及主動(dòng)安全保護(hù)方面，對(duì)大數(shù)據(jù)安全和隱私保護(hù)而言是十分重要的，然而如今主要面臨以下十大技術(shù)挑戰(zhàn)：

（1）分布式計(jì)算涉及更多組織，更容易受到安全攻擊和未經(jīng)授權(quán)的訪問(wèn)。

（2）非關(guān)系型數(shù)據(jù)庫(kù)結(jié)構(gòu)化查詢(xún)統(tǒng)計(jì)需要加強(qiáng)，應(yīng)用層需要保障數(shù)據(jù)一致性，訪問(wèn)控制安全機(jī)制存在漏洞。

（3）大量的交易數(shù)據(jù)和日志是黑客攻擊的焦點(diǎn)，需要確保安全的數(shù)據(jù)存儲(chǔ)和交易日志。

（4）輸入驗(yàn)證/過(guò)濾的移動(dòng)終端重點(diǎn)有很大的安全不定性，敏感數(shù)據(jù)的訪問(wèn)監(jiān)控、非法內(nèi)容的控制等方面需要加強(qiáng)。

（5）利用系統(tǒng)漏洞，拒絕服務(wù)攻擊（DoS）和破壞性高的高級(jí)持續(xù)威脅（APT）攻擊的攻擊需要實(shí)時(shí)安全監(jiān)控。

（6）數(shù)據(jù)挖掘過(guò)程中，有著對(duì)隱私保護(hù)的挑戰(zhàn)，需要在挖掘并分析數(shù)據(jù)時(shí)保護(hù)數(shù)據(jù)的可擴(kuò)展性和可組合性

（7）有必要研究結(jié)構(gòu)更好，效率更高，并滿(mǎn)足特定功能的加密方案，使用端對(duì)端的加密的數(shù)據(jù)保護(hù)來(lái)保證數(shù)據(jù)中心的安全性。

（8）大數(shù)據(jù)規(guī)模可觀，數(shù)據(jù)多樣，業(yè)務(wù)連續(xù)性高，用戶(hù)群龐大，數(shù)據(jù)擁有者無(wú)法控制全部數(shù)據(jù)資源。數(shù)據(jù)機(jī)密訪問(wèn)控制需要細(xì)化粒度并提高可擴(kuò)展性。

（9）審計(jì)在細(xì)粒度上仍然不能完全涵蓋所有數(shù)據(jù)的關(guān)鍵信息，因此有必要開(kāi)發(fā)細(xì)粒度審計(jì)技術(shù)。

（10）在大數(shù)據(jù)環(huán)境中，數(shù)據(jù)可追溯技術(shù)的數(shù)據(jù)標(biāo)記的可靠性，數(shù)據(jù)標(biāo)記與數(shù)據(jù)內(nèi)容之間的綁定的安全性問(wèn)題更加突出。

1. 2 大數(shù)據(jù)安全技術(shù)現(xiàn)狀

目前，傳統(tǒng)的安全防護(hù)技術(shù)仍然是大數(shù)據(jù)安全防護(hù)技術(shù)的基礎(chǔ)。雖然有部分發(fā)展但是仍然有更進(jìn)一步的空間。與大數(shù)據(jù)安全相關(guān)的某些關(guān)鍵技術(shù)也在研究中，并開(kāi)始取得了一些進(jìn)展。

（1）數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密是在對(duì)信息進(jìn)行數(shù)學(xué)編碼和解碼的基礎(chǔ)上，利用特定算法改變?cè)械男畔?shù)據(jù)使其不可讀或無(wú)意義，以保障數(shù)據(jù)機(jī)密性。熊金波等人[1]提出一種角色對(duì)稱(chēng)加密算法，并基于其提出一套云數(shù)據(jù)安全去重方案，實(shí)現(xiàn)云數(shù)據(jù)授權(quán)去重。李順東等人[2]提出了一套基于ElGamal加密算法的云外包計(jì)算下的同態(tài)加密方案，據(jù)此解決了保密的字符串排序問(wèn)題。

（2）身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)通過(guò)驗(yàn)證被認(rèn)證對(duì)象的屬性來(lái)驗(yàn)證用戶(hù)是否為有效的合法性，從而防止非法用戶(hù)訪問(wèn)系統(tǒng)，從而驗(yàn)證被認(rèn)證對(duì)象的真實(shí)性。游林等人[3]基于RLWE的同態(tài)加密和消息編碼技術(shù)，提出了基于同態(tài)加密和生物特征的身份認(rèn)證方案，實(shí)現(xiàn)在加密域匹配用戶(hù)身份信息。來(lái)齊齊等人[4]構(gòu)造了一個(gè)光滑并且密文尺寸較小的基于身份的新型哈希證明系統(tǒng)，提出一種新型的對(duì)隱私信息進(jìn)行保護(hù)的密碼方案。

（3）訪問(wèn)控制技術(shù)

訪問(wèn)控制是指在驗(yàn)證用戶(hù)之后，根據(jù)用戶(hù)的身份和用戶(hù)所屬的預(yù)定義組來(lái)限制信息項(xiàng)訪問(wèn)或功能使用。李鳳華等人[5]實(shí)現(xiàn)了單一網(wǎng)絡(luò)空間到復(fù)雜網(wǎng)絡(luò)環(huán)境中的訪問(wèn)控制機(jī)制映射，并提出一套完整的訪問(wèn)控制管理模型。羅楊等人[6]提出了一種為RESTful接口訪問(wèn)控制提供語(yǔ)法一致的策略描述語(yǔ)言，進(jìn)而提出了一種基于遺傳算法的RESTful權(quán)限劃分方法。

（4）安全審計(jì)技術(shù)

安全審計(jì)是記錄和監(jiān)控正常流程，異常情況和安全事件的手段，以防止違反信息安全策略，實(shí)現(xiàn)責(zé)任認(rèn)定、性能調(diào)整和安全評(píng)估。周穎等人[7]提出了一種基于污點(diǎn)分析的SQL注入行為檢測(cè)模型，并基于此模型解決了PHP應(yīng)用程序中的SQL注入問(wèn)題。金瑜等人[8]為減少用戶(hù)端和服務(wù)器端計(jì)算量，并同時(shí)支持加密數(shù)據(jù)去重和數(shù)據(jù)完整性驗(yàn)證，提出一種新的安全審計(jì)方案。

（5）跟蹤與取證技術(shù)

數(shù)據(jù)溯源技術(shù)是為了確定數(shù)據(jù)的來(lái)源或文件的溯源與恢復(fù)而存在的技術(shù)。劉耀宗等人[9]提出了一種基于區(qū)塊鏈技術(shù)的RFID大數(shù)據(jù)溯源安全模型。任丹妮等人[10]針對(duì)網(wǎng)絡(luò)惡意刷流量現(xiàn)象，提出一種面向SDN的網(wǎng)絡(luò)溯源系統(tǒng)以實(shí)現(xiàn)輔助惡意流量追溯分析。

（6）恢復(fù)與銷(xiāo)毀技術(shù)

數(shù)據(jù)恢復(fù)技術(shù)是在丟失原始數(shù)據(jù)后恢復(fù)原始數(shù)據(jù)。數(shù)據(jù)銷(xiāo)毀技術(shù)旨在破壞敏感數(shù)據(jù)以防止數(shù)據(jù)被盜。張江濤等人[11]提出一種基于壓縮感知中的采用內(nèi)點(diǎn)法的基追蹤算法實(shí)現(xiàn)對(duì)測(cè)井大數(shù)據(jù)中的缺失數(shù)據(jù)進(jìn)行恢復(fù)。于游等人[12]提出了一種基于加密存儲(chǔ)的磁盤(pán)快速銷(xiāo)毀的方案，以解決磁盤(pán)敏感數(shù)據(jù)銷(xiāo)毀速度較慢，無(wú)法應(yīng)對(duì)緊急時(shí)刻快速銷(xiāo)毀需求的問(wèn)題。

2 大數(shù)據(jù)安全技術(shù)體系架構(gòu)

本文結(jié)合了ISO N IS T的大數(shù)據(jù)參考框架和大數(shù)據(jù)安全與隱私保護(hù)參考框架[13]，針對(duì)如何保證大數(shù)據(jù)安全和提高隱私保護(hù)提出了技術(shù)體系的參考模型。

在技術(shù)體系中大數(shù)據(jù)安全和隱私保護(hù)的安全保護(hù)技術(shù)主要分為四個(gè)層次，即設(shè)施層、數(shù)據(jù)層、接口層和系統(tǒng)層。大數(shù)據(jù)安全技術(shù)架構(gòu)設(shè)計(jì)如圖1所示。

圖1大數(shù)據(jù)安全技術(shù)架構(gòu)設(shè)計(jì)

設(shè)施層的安全防護(hù)主要用于應(yīng)對(duì)終端、云平臺(tái)和大數(shù)據(jù)基礎(chǔ)設(shè)施設(shè)備的安全問(wèn)題，包含針對(duì)平臺(tái)崩潰、設(shè)備失效、電磁破壞等，采用的主要安全防護(hù)技術(shù)有：云平臺(tái)安全防護(hù)技術(shù)、大數(shù)據(jù)基礎(chǔ)設(shè)施安全防護(hù)技術(shù)、終端安全防護(hù)技術(shù)等，大數(shù)據(jù)基礎(chǔ)設(shè)施安全主要保護(hù)大數(shù)據(jù)網(wǎng)絡(luò)設(shè)施、存儲(chǔ)設(shè)施、計(jì)算設(shè)施及其物理環(huán)境。

數(shù)據(jù)處理生命周期中的安全問(wèn)題通過(guò)數(shù)據(jù)層安全保護(hù)解決，例如數(shù)據(jù)竊取、數(shù)據(jù)篡改、數(shù)據(jù)混淆等，采用數(shù)據(jù)存儲(chǔ)安全技術(shù)、數(shù)據(jù)發(fā)布與應(yīng)用安全技術(shù)、數(shù)據(jù)采集安全技術(shù)、數(shù)據(jù)挖掘安全技術(shù)、隱私數(shù)據(jù)保護(hù)安全技術(shù)等構(gòu)成所需要的安全防護(hù)技術(shù)。

接口層安全保護(hù)主要針對(duì)數(shù)據(jù)提供者、數(shù)據(jù)消費(fèi)者、大數(shù)據(jù)處理提供商、大數(shù)據(jù)框架提供商、系統(tǒng)協(xié)調(diào)員等之間的接口所面臨的安全問(wèn)題，包括隱私泄露、未識(shí)別人員的入侵、未經(jīng)授權(quán)的訪問(wèn)、數(shù)據(jù)意外丟失等，使用的關(guān)鍵技術(shù)包括數(shù)據(jù)提供商-大數(shù)據(jù)應(yīng)用提供商接口安全控制技術(shù)，大數(shù)據(jù)應(yīng)用提供商-數(shù)據(jù)消費(fèi)者之間的接口安全控制技術(shù)，大數(shù)據(jù)應(yīng)用提供商-大數(shù)據(jù)框架提供商接口安全控制技術(shù)，大數(shù)據(jù)框架提供商和系統(tǒng)控制器內(nèi)部的安全控制技術(shù)。

系統(tǒng)層安全保護(hù)主要用于解決系統(tǒng)面臨的安全問(wèn)題，包括僵尸攻擊、平臺(tái)攻擊、運(yùn)行干擾、遠(yuǎn)程控制、APT攻擊、業(yè)務(wù)風(fēng)險(xiǎn)等。使用的關(guān)鍵技術(shù)包括實(shí)時(shí)安全檢測(cè)，安全事件管理，大數(shù)據(jù)安全態(tài)勢(shì)感知以及防御高級(jí)持續(xù)性威脅攻擊。

3 大數(shù)據(jù)安全管理策略

3. 1 構(gòu)建強(qiáng)壯的系統(tǒng)架構(gòu)

為了提高數(shù)據(jù)庫(kù)的可用性和安全性，應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器通常采用“雙節(jié)點(diǎn)熱備份”模式。系統(tǒng)數(shù)據(jù)中心采用多個(gè)虛擬化管理平臺(tái)，形成集群，服務(wù)器、虛擬化管理平臺(tái)和磁盤(pán)陣列，實(shí)現(xiàn)全冗余，消除所有單點(diǎn)故障，提高容災(zāi)半徑。當(dāng)設(shè)備出現(xiàn)問(wèn)題時(shí)，集群系統(tǒng)將會(huì)自動(dòng)運(yùn)行并將服務(wù)切換到另一臺(tái)服務(wù)器，以確保服務(wù)不會(huì)中斷且數(shù)據(jù)不會(huì)丟失。故障恢復(fù)后，可以重建災(zāi)難恢復(fù)結(jié)構(gòu)。

3. 2 建立完善備份機(jī)制

數(shù)據(jù)備份是數(shù)據(jù)安全的常規(guī)保證。其將邏輯備份與物理備份相結(jié)合，并定期在備份介質(zhì)上存儲(chǔ)系統(tǒng)數(shù)據(jù)。當(dāng)需要恢復(fù)系統(tǒng)時(shí)，備份數(shù)據(jù)將從備份媒體傳輸?shù)缴a(chǎn)系統(tǒng)。備份數(shù)據(jù)無(wú)法確保其有效性，因此需要定期驗(yàn)證，為縮小影響建議在訓(xùn)練環(huán)境下模擬數(shù)據(jù)恢復(fù)。數(shù)據(jù)庫(kù)和各種物理文件等物理備份可以使用第三方軟件執(zhí)行備份操作。

導(dǎo)出/導(dǎo)入是Oracle提供的邏輯備份/恢復(fù)工具。通過(guò)提取數(shù)據(jù)庫(kù)的數(shù)據(jù)字典信息和數(shù)據(jù)信息，并將其以二進(jìn)制文件形式保存，以實(shí)現(xiàn)邏輯備份功能。將導(dǎo)出的二進(jìn)制文件還原到源數(shù)據(jù)庫(kù)或其他數(shù)據(jù)庫(kù)，以實(shí)現(xiàn)數(shù)據(jù)恢復(fù)功能。數(shù)據(jù)庫(kù)的邏輯校驗(yàn)操作可以在邏輯備份過(guò)程中執(zhí)行，同時(shí)也可以在導(dǎo)出過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密操作，以防止數(shù)據(jù)濫用問(wèn)題的發(fā)生。可以在數(shù)據(jù)恢復(fù)過(guò)程中生成訓(xùn)練環(huán)境。

3. 3 建立數(shù)據(jù)庫(kù)縱深防御體系

數(shù)據(jù)庫(kù)需要構(gòu)建包括數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)審計(jì)、訪問(wèn)控制、數(shù)據(jù)加密和屏蔽在內(nèi)的縱深防御體系，如圖2所示。

圖2數(shù)據(jù)庫(kù)縱深防御體系

（1）數(shù)據(jù)庫(kù)防火墻

數(shù)據(jù)庫(kù)防火墻用于對(duì)應(yīng)用程序合規(guī)性進(jìn)行檢測(cè)，并劃分出應(yīng)用程序的紅名單和黑名單。在實(shí)際情況中會(huì)存在程序員不驗(yàn)證用戶(hù)輸入的漏洞，此類(lèi)漏洞會(huì)給惡意數(shù)據(jù)的輸入和SQL語(yǔ)句的篡改創(chuàng)造機(jī)會(huì)，進(jìn)而導(dǎo)致數(shù)據(jù)的盜用。因此需要通過(guò)建立數(shù)據(jù)庫(kù)防火墻來(lái)監(jiān)控?cái)?shù)據(jù)庫(kù)事務(wù)，對(duì)程序合規(guī)性實(shí)時(shí)監(jiān)測(cè)，以防止SQL注入攻擊的發(fā)生。

（2）數(shù)據(jù)庫(kù)審計(jì)

數(shù)據(jù)庫(kù)審計(jì)是依照用戶(hù)、操作時(shí)間、終端IP地址、操作對(duì)象、操作行為和返回代碼六個(gè)要素監(jiān)視和記錄數(shù)據(jù)庫(kù)中給定用戶(hù)的操作行為[13]。由于用戶(hù)通過(guò)中間層應(yīng)用程序服務(wù)器訪問(wèn)數(shù)據(jù)庫(kù)以連接到數(shù)據(jù)庫(kù)服務(wù)器，因此，Oracle審計(jì)記錄無(wú)法獲取B/S結(jié)構(gòu)接入終端的用戶(hù)名和IP地址，只能跟蹤應(yīng)用程序服務(wù)器的IP地址和連接到數(shù)據(jù)庫(kù)的應(yīng)用程序服務(wù)器的用戶(hù)信息。因此，審計(jì)工作需要結(jié)合應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)以獲得最終的審計(jì)需求。

（3）訪問(wèn)控制與口令字選擇

訪問(wèn)控制用于確保數(shù)據(jù)免受惡意攻擊。訪問(wèn)控制通過(guò)對(duì)用戶(hù)授權(quán)進(jìn)行限制來(lái)賦予指定用戶(hù)訪問(wèn)數(shù)據(jù)的能力，通過(guò)制定安全策略可以防止數(shù)據(jù)濫用。基于角色的訪問(wèn)控制（RBAC）模型由用戶(hù)Users、角色Roles、權(quán)限Permissions、會(huì)話(huà)Sessions和限制Constraints五類(lèi)實(shí)體組成，通過(guò)在用戶(hù)和權(quán)限之間添加角色，對(duì)數(shù)據(jù)庫(kù)資源的訪問(wèn)權(quán)限將封裝在角色中。用戶(hù)通過(guò)分配的角色間接訪問(wèn)系統(tǒng)資源，并在系統(tǒng)資源范圍內(nèi)執(zhí)行操作。

口令問(wèn)題同樣需要重視。為了確保數(shù)據(jù)庫(kù)的安全性，有必要隔離數(shù)據(jù)庫(kù)的系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員，同時(shí)需要定期更改密碼，加強(qiáng)密碼強(qiáng)度，防止密碼被盜。此外，面向不同業(yè)務(wù)需求，可以通過(guò)為每個(gè)應(yīng)用程序管理員創(chuàng)建一個(gè)獨(dú)立帳戶(hù)進(jìn)行特定授權(quán)。通過(guò)數(shù)據(jù)庫(kù)配置文件Profile控制普通用戶(hù)帳戶(hù)，僅賦予系統(tǒng)管理員為鎖定用戶(hù)解鎖的權(quán)限。

（4）數(shù)據(jù)加密和屏蔽

數(shù)據(jù)中的敏感信息通常需要加密處理，以防泄露，但數(shù)據(jù)加密可能會(huì)造成數(shù)據(jù)庫(kù)原始數(shù)據(jù)無(wú)法正常使用，因此需要采用特定加密技術(shù)保障數(shù)據(jù)隱私的同時(shí)不損害數(shù)據(jù)的可使用性。為實(shí)現(xiàn)上述需求，可以通過(guò)選擇透明數(shù)據(jù)加密技術(shù)進(jìn)行敏感信息的加密操作，只要數(shù)據(jù)被讀取就會(huì)自動(dòng)加密，且不影響基礎(chǔ)架構(gòu)。

數(shù)據(jù)屏蔽用于保證測(cè)試、開(kāi)發(fā)環(huán)境的數(shù)據(jù)安全。數(shù)據(jù)屏蔽的目標(biāo)對(duì)象是開(kāi)發(fā)和測(cè)試數(shù)據(jù)庫(kù)中的個(gè)人信息等敏感信息，識(shí)別敏感數(shù)據(jù)后可以對(duì)敏感字段選擇適當(dāng)?shù)钠帘胃袷剑O(shè)定屏蔽規(guī)則，替換敏感字段等，以實(shí)現(xiàn)敏感信息和普通數(shù)據(jù)的隔離。

4 結(jié)語(yǔ)

隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)安全保護(hù)面臨了全新的挑戰(zhàn)，傳統(tǒng)的安全架構(gòu)、數(shù)據(jù)隱私、數(shù)據(jù)管理等方面已經(jīng)出現(xiàn)諸多不足，亟需改進(jìn)。面向大數(shù)據(jù)安全保護(hù)中數(shù)據(jù)層、應(yīng)用層、接口層和系統(tǒng)層四個(gè)層級(jí)的安全保護(hù)維度，研究了大數(shù)據(jù)安全的關(guān)鍵技術(shù)，提供有效的技術(shù)框架來(lái)解決大數(shù)據(jù)安全問(wèn)題，并提出了一個(gè)大數(shù)據(jù)安全管理策略，包括強(qiáng)大的系統(tǒng)架構(gòu)，完善的備份機(jī)制和深度數(shù)據(jù)庫(kù)防御系統(tǒng)。只有優(yōu)化大數(shù)據(jù)安全保護(hù)機(jī)制和方法，才能有效降低大數(shù)據(jù)時(shí)代數(shù)據(jù)資產(chǎn)的風(fēng)險(xiǎn)，從而更好地保護(hù)和控制大數(shù)據(jù)安全。