大数据环境下的数据安全治理探讨V.docx

《大数据环境下的数据安全治理探讨V.docx》由会员分享，可在线阅读，更多相关《大数据环境下的数据安全治理探讨V.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、大数据环境下的数据安全探讨引言当今，社会信息化和网络化的发展导致数据爆炸式增长。全球数据量大约每两年翻一番，意味着人类在最近两年产生的数据量相当于之前产生的全部数据量，据国际数据公司IDC预测，到2020年，全球将总共拥有35ZB的数据量，相较于2019 年，数据量将增长近30倍。这也预示着大数据时代的到来。在我国大数据已经上升为国家战略。2019年6月，国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见，提出要充分运用大数据先进理念、技术和资源，加强对市场主体的服务和监管。2019年9月，国务院印发促进大数据发展行动纲要，要求大力推动政府信息系统和公共数据互联开放共享，促进大数据产

2、业健康发展，切实保障数据安全。2019年3月，十二届全国人大四次会议表决通过的关于国民经济和社会发展第十三个五年规划纲要，提出要实施国家大数据战略，同时要求强化信息安全保障。目前大数据的发展仍面临诸多安全问题。大数据不仅意味着海量的数据，也意味着更复杂、更敏感的数据，这些数据的大量汇集使得一次攻击可能获得更多收益，从而导致大数据系统面临的威胁大大增加。同时随着数据挖掘手段的进步，人们可以从大数据中挖掘出更多有价值的信息，其中可能关乎个人敏感信息、企业秘密甚至国家机密，因而进一步吸引黑客攻击。近年来，关于大数据的安全事件不断发生，例如“棱镜门”事件、MongoHQ数据泄露事件、婚外情网站Ashl

3、ey Madison用户信息泄漏事件、多省社保信息泄漏事件等，大数据引发的安全问题日益凸显。因此，非常有必要对大数据环境下的数据安全进行探讨研究。1. 大数据安全面临的风险正如Gartner所说：“大数据安全是一场必要的斗争”。当前，大数据已经渗透到各个行业领域，逐渐成为一种生产要素发挥着重要作用，成为未来竞争的至高点。2019年4月15日，全国首家大数据交易所贵阳大数据交易所正式挂牌运营并完成首批大数据交易。然而，大数据掀起新一轮生产率提高和生活方式改变的同时，随之而来的是信息安全挑战。可以说大数据交易和应用已经大大超前于大数据安全的发展。1.1 个人隐私安全问题在现有隐私保护法规不健全、隐

4、私保护技术不完善的条件下，互联网上的个人隐私泄露失去管控，微信、微博、QQ等社交软件掌握着用户的社会关系，监控系统记录着人们的聊天、上网、出行记录，网上支付、购物网站记录着人们的消费行为。但在大数据时代，人们面临的威胁不仅限于个人隐私泄露，还在于基于大数据对人的状态和行为的预测。例如，购物平台可以通过收集用户行为信息，推测其感兴趣或者可能购买的物品，并推送相关的广告。此类行为会对用户产生一些不必要的困扰，甚至威胁人身安全。近年来，国内多省社保系统个人信息泄露、12306账号信息泄露、连锁酒店开房记录泄漏、携程用户信用卡信息泄露等大数据安全事件表明，大数据未被妥善处理会对用户隐私造成极大的侵害。

5、因此，在大数据环境下，如何管理好数据，在保证数据使用效益的同时保护个人隐私，是大数据时代面临的巨大挑战之一。1.2 数据存储和处理安全问题伴随着大数据技术的快速发展，越来越多的大数据安全隐患被暴露出来，集中体现在数据存储和处理环节。例如，大数据环境下数据的管理者常常不是数据的所有者，使得数据在存储和处理过程中更容易被滥用，从而侵害数据所有者的权益；大数据的分布式存储使得对数据的访问控制更难实现，从而导致大数据环境下数据泄露更容易出现；大数据的数据来源可信性问题更突出，包括虚假信息和伪造数据、传播失真和陈旧数据等。同时，大数据系统通常离不开云计算环境，云计算为大数据提供了存储场所、访问通道、虚拟

6、化的数据处理空间，因此云平台中存储数据的安全问题也成为阻碍大数据发展的主要因素。美国国家标准技术研究院(NIST)指出安全是公共云计算面临的最大障碍，潜在风险包括：一是云计算环境复杂，产生了比较大的受攻击面；二是多租户共享计算资源，增加了网络和计算基础设施的风险，一个用户的数据和应用可能在无意中暴露给其他用户；三是公共云计算通过互联网交付，用户的应用和数据面临来自网络和暴露接口的威胁；四是用户失去了对系统和数据在物理和逻辑上的控制。1.3 基础设施安全问题近年来，针对大数据基础设施的攻击事件越来越多，例如，2019年欧洲反垃圾邮件机构Spamhaus曾遭遇300G攻击，导致全球互联网大堵塞；2

7、019年针对美国云安全服务公司Cloudflare的一次400G攻击，造成包括4chan和维基解密在内的78.5万个网站安全服务受到影响；2019年12月阿里云遭遇大规模DDoS攻击峰值高达450G。网上的恶意应用程序、木马越来越多，且呈现团队作业形态，对重要的大数据基础设施进行频繁的攻击、渗透、窃取。大数据基础设施是确保大数据安全运行的基础，攻击者往往会通过非授权访问、在网络传输过程中破坏数据完整性、造成信息泄露和丢失、传播网络病毒等方式对大数据基础设施造成安全威胁，进而破坏大数据基础设施的正常运行。2. 大数据安全保障对策2.1 完善个人隐私保护的法律体系个人隐私保护是一个复杂的社会问题，

8、除了需要先进的保护技术外，还需要结合国家制定的相关政策法规来保护好个人隐私，确保个人免遭人身安全的威胁以及财产损失。在保护隐私的问题上，国外给予了相当的重视，并且制定了较为完善的法律政策。例如美国制定了联邦隐私权法、电子通信隐私法、儿童网上隐私保护法；欧盟制定了个人数据保护指令、电信事业个人数据处理及隐私保护指令、Internet上个人隐私权保护的一般原则等相关法令。国内近些年也出台了加强网络信息保护的决定、电信和互联网用户个人信息保护规定、国家网络安全法（草案）等涉及个人信息保护的法规条例。但是在大数据时代，这些保护条例尚不能很好地满足个人隐私数据保护的需求。因此，应根据大数据的特点以及个人

9、隐私数据的特征建立完善的个人隐私保护法律法规，做到法律和行业规范与技术进步保持同步。从而规范各类主体对个人隐私数据的采集、存储、使用和发布。2.2 加强大数据安全标准建设大数据安全标准是保障大数据安全、促进大数据发展的重要支撑。大数据安全标准化工作已成为世界各国关注大数据技术、应用及产业发展并重的基础性工作。国际上正在开展大数据标准化研究的工作组主要包括ISO/IEC JTC1 SC32、ISO/IEC JTC1 WG9、ITU-T SG13、CSA大数据工作组等，其中CSA的大数据工作组对大数据安全标准方面进行研究，陆续发布了大数据安全与隐私十大挑战、大数据安全最佳实践和基于大数据的安全情报

10、分析等大数据安全相关文档。在国内，2019年成立了“全国信标委大数据标准工作组”，该工作组于2019年7月发布大数据标准白皮书第1版。2019年全国信息安全标准化技术委员会成立了“大数据安全标准特别工作组”，在该工作组6月份召开的第一次会议上讨论了大数据安全标准体系，决定先行研究制定云计算安全标准路线图、大数据安全标准路线图，作为工作组标准化建设工作开展的指南。总体而言，国内大数据安全标准体系的建设还处于起步阶段，急需加强大数据安全标准的工作，积极研究和明确我国的大数据安全标准化思路，尽快制定大数据安全相关的国家标准，例如大数据安全参考架构、大数据服务安全能力要求等，为我国大数据产业的健康发展

11、保驾护航。2.3 加强大数据安全治理在数据战日益激烈的大数据时代，数据资产的优劣已成为组织间竞争的重要筹码，越来越多的组织开始重视数据治理，将数据治理视为组织发展的重要战略。为此，国内外的一些组织在该领域进行了相关研究与实践，并取得了一定成果。国际数据管理协会（DAMA）在DMBOK中总结了数据管理的“十大职能”；数据治理协会（DGI）从组织、规则和过程3个层面，总结了数据治理的十大关键要素，提出了DGI数据治理框架；IBM数据治理委员会通过结合数据特性和实践经验，有针对性地提出了数据治理的成熟度模型和要素模型；国际信息系统审计和控制协会（ISACA）提出的COBIT5对治理和管理作了严格的区

12、分, 是国际公认的权威信息技术管理和控制标准。2019年11月，在荷兰召开的SC40/WG1第二次工作组会议上，中国代表提出数据治理白皮书的框架设想。借鉴上述组织提出的数据治理的原则、关键要素、成熟度模型等理论，结合大数据环境下对数据安全带来的新挑战，本文探讨提出一种结合云平台与大数据的数据安全治理模型框架，从治理的目标、保障机制、治理任务、监督审计4个方面讨论大数据安全治理的思路与过程。技术框架下图所示：图1 数据安全治理框架数据安全治理框架主要包括治理目标、保障机制、云平台数据安全治理以及监督与评估四个部分。1) 治理目标治理目标是指数据安全治理需要达到的目标定位，即确保云平台中海量数据的

13、存储、使用、传输安全，防止数据泄露、丢失。主要包括价值实现、运营合规和风险可控三个方面，其中：价值实现：是指组织应与利益相关方沟通，建立统一的对数据价值的理解，用以指导数据治理责任主体制定通过数据安全治理预期的收益目标，并持续开展对价值实现过程的评估、指导和监督，以满足利益相关方对数据安全治理的预期。运营合规：是指组织应建立符合法律、规范和行业准则的数据合规管理体系，并通过评价评估、数据审计和优化改进保证数据的合规，促进数据价值的实现。风险可控：是指组织应建立数据风险管理机制，识别数据带来的风险，评估组织的风险容忍度，指导风险应对机制和策略的建设，并评估和监督风险管理的实施。2) 保障机制保障

14、机制主要指在实施数据安全治理过程中需要具备的相关保障以确保数据安全治理的执行，包括战略、组织、架构和实施环境。其中：战略：在大数据安全治理过程中，大数据战略应与组织的整体战略保持一致，满足业务战略和IT战略的需求和要求，规划组织内外部数据资源及未来的数据需求，并根据业务需求持续改进数据质量，提高大数据利用率，为业务创新和战略决策提供有力支持，实现数据的服务创新和价值创造。组织：应健全数据安全治理的组织机制，明确数据安全管理的角色和责任，指导数据安全管理机构及制度的建立，并开展评估和监督，以确保数据安全治理的实施。架构：组织应建立满足业务战略的数据架构、架构管理策略和管理体系，并持续开展评估、监

15、督和改进，以满足数据战略的要求。实施环境：主要包括内外部环境和促成因素，内部环境是指组织应识别政策、法律、法规要求，并采取措施以实现数据安全治理目标；外部环境主要指竞争环境，即组织应识别竞争环境中影响数据安全治理目标实现的信息，并在需要时更新；促成因素主要指组织的人员、能力、技术支撑、文化等相关因素。3) 云平台数据安全治理云平台数据的安全治理是大数据安全治理的主要治理任务，同时也是其重要的组成部分，主要包括四个方面：云平台中存储静态数据的安全治理、终端访问云数据的安全治理、云平台中传输数据的安全治理以及其他方面。其中：静态数据：指云平台中存储静态数据的安全治理，包括数据分级分类、敏感数据的发

16、现定位、违规存储和违规处置。终端访问：是指对终端访问云平台数据的安全治理，包括安全控制、设备控制、打印控制以及扩展控制。传输数据：是指对云平台中传输数据的安全治理，包括传输监控、违规发现、违规处置以及动态展现。其他方面：是指在组织的运营实施中，通常还会涉及到数据的交易、归档、销毁等过程，因此大数据的安全治理应该与数据的实际情况相结合，采取加密、脱敏、保留交易记录、规范交易接口、建立数据归档与销毁机制等治理措施。4) 监督与评估监督与评估是指监督数据安全治理的实施过程，评估数据安全治理实施的符合性和质量。通过定期开展对数据存储、传输、使用环节的安全审计，对数据安全管理能力进行监督，并且反馈监督与

17、评估的结果及建议，持续改进数据安全治理的实施过程，提升数据安全治理实施的有效性。2.4 构建数据安全管控系统大数据环境下在数据采集、存储、处理、传输等过程中面临诸多安全风险，需要对数据的全生命周期进行安全管控。本文根据前述数据安全治理框架的思路，提出一种典型的数据安全管控体系以供探讨：在数据资产分类分级的基础上，对数据的采集、传输、存储、使用、销毁等各阶段，从内容识别、网络服务、加密技术、安全认证、安全协议等方面制定数据资产的安全要求和防护策略，对不同数据采用相应的安全技术手段，从而组成一个安全有机体。下图是一个典型的数据安全管控系统的架构图。图 2 数据安全管控系统典型架构数据安全管控系统通

18、过对云、管、端各个环节的检测，在数据采集、存储、传输、使用的关键阶段，对敏感数据资产的分布进行识别和监管，对违规传输、越权使用等事件进行警示、管理和审计，从而落实数据的安全防护策略，全面动态监测大数据系统的安全状态，对系统中的数据加强前期预警、运行监测、事后审计，最终实现对数据的全过程动态管控。同时结合对承载数据的信息系统采用边界安全、通道安全和终端安全等防护措施，完善大数据系统的安全保障，实现业务信息的“防泄露、防篡改、反控制”。3. 结语大数据堪比金矿，被喻为“未来世界的新石油”，已经成为了这个信息时代的核心竞争力之一。大数据在带来诸多便利和机遇的同时，也带来了巨大的安全隐患。因此，只有处理好大数据技术和大数据安全技术，大数据才可以真正成为促进时代进步的驱动力。第 10 页