大数据安全防护应注重两大核心

移动互联、社交网络、电子商务等极大地拓展了互联网的边界和应用范围,各种数据正在迅速膨胀并变大,大数据应用随之迅猛发展。但与此同时,国内外数据泄露事件频发,用户隐私受到极大挑战,在数据驱动环境下,网络攻击也更多地转向存储重要敏感信息的信息化系统。在此背景下,安全已成为影响大数据应用发展的重要因素之一,大数据安全防护成为大数据应用发展的一项重要课题。

大数据12

大数据应用安全挑战

大数据具有容量大、类型多、价值高、速度快的4V特性。由于大量数据集中存储,一次成功攻击所导致的损失巨大,因此大数据应用更容易成为攻击目标。同时,大数据时代数据源多样化,数据对象范围与分布更为广泛,对数据的安全保护更为困难。大数据应用采用全新的Hadoop处理架构,内在安全机制仍不完善,因此在推动大数据技术应用时面临着很多安全风险和挑战,具体包括:第一,用户隐私泄露问题随着大数据技术应用的深入将更为严重。第二,大数据应用信息安全暴露点增多。第三,大数据应用中数据往往穿越原有系统数据保护边界,数据属主与权限随之发生迁移,导致原有数据保护方案失效。第四,大数据应用存在大量外界数据接口,加大了数据安全风险。第五,大数据引入Hadoop等新的技术体系,带来新的安全漏洞与风险。

此外,大数据应用仍面临传统IT系统中存在的安全技术与管理风险,流量攻击、病毒、木马、口令破解、身份仿冒等各类攻击行为对大数据应用仍然有效,系统漏洞、配置脆弱性、管理脆弱性等问题在大数据环境中仍然存在。

大数据应用安全对策

大数据应用的核心资源是数据,对敏感数据的安全保护成为大数据应用安全的重中之重。同时大数据运行环境涉及网络、主机、应用、计算资源、存储资源等各个层面,需要具备纵深的安全防护手段。因此,面对上述大数据应用的安全挑战,在进行大数据应用安全防护时应注重两大核心:隐私保护与计算环境安全防护。

其一,通过重构分级访问控制机制、解构敏感数据关联、实施数据全生命周期安全防护,增强大数据应用隐私保护能力。

大数据应用中往往通过对采集到的数据进行用户PII(Personal Identifiable Information,个人可标识信息)与UL(User Label,用户标签)信息分析,部分大数据应用进一步分析PII与UI关联信息,从而进行定向精准营销等应用,这类应用对隐私侵害的影响最大,因此PII与UL两者关联信息是大数据隐私保护的重点,同时由于PII直接关联各类用户信息,也是大数据隐私保护的重点。

在大数据隐私保护中,应基于PII与UL等数据的敏感度进行分级,进而重构数据安全访问控制机制。将原始数据、UL数据、PII数据及PII与UL关联数据按安全等级由低到高进行分类,并根据安全需求实施用户身份访问控制、加密等不同等级安全策略,限制数据访问范围。同时在大数据运营中应尽可能实现PII数据与个人属性数据的解构,将PII数据与UL数据分开存储,并为PII数据建立索引,将UL与PII的关联通过索引表完成,黑客即使获得UL信息,也无法获得用户的PII信息及对应关系,同时对索引表进行加密存储,黑客即使获得索引表,也无法得到用户的PII信息。

在对数据进行分级与解构的基础上,还应对数据实施全生命周期的安全防护。重点加强数据接口管控,对数据批量导出接口进行审批与监控,对数据接口进行定期审计与评估,规范数据接口管理,且在数据流出时对敏感数据进行脱敏处理。同时采用安全通信协议传输数据,如SSL/TLS、HTTPS、SFTP等,并对重要数据的传输根据需要进行加密。在数据销毁时,应清除数据的所有副本,保证用户鉴别信息、文件、目录和数据库记录等资源所在的存储空间被释放或再分配给其他用户前,得到完全清除。

其二,做好大数据应用计算平台、分布式探针、网络与主机等基础设施安全防护,提升大数据计算环境安全防御水平。

大数据计算环境包括网络、主机、计算平台、分布式探针等,针对各层面面临的安全风险,应采取如下安全对策: