|
随着互联网、物联网、云计算等技术的快速发展,全球数据量出现爆炸式增长。与此同时,云计算为这些海量的多样化数据提供了存储和运算平台,分布式计算等数据挖掘技术又使得大数据分析规律、研判趋势的能力**增强。在大数据不断向各个行业渗透、深刻影响国家的政治、经济、民生和国防的同时,其安全问题也将对个人隐私、社会稳定和国家安全带来巨大的潜在威胁,如何应对面临巨大挑战。 一、大数据时代,须避免“在刀尖上跳舞” IDC预计,到2020年全球数据总量将超过40ZB,过去几年每年递增85%,未来会发展更快。大数据已成为继云计算之后信息技术领域的另一个信息产业增长点。据Gartner预测,到2016年全球在大数据的总花费将达2320亿美元。 随着未来大数据的广泛应用,涉及国家安全的政府和公用事业领域的大量数据资源也将进一步开放,但目前由于相关配套法律法规和监管机制尚不健全,极有可能造成国家关键数据资源的流失。 随着大数据挖掘分析技术的不断发展,个人隐私保护和数据安全变得非常紧迫。一是大数据环境下人们对个人信息的控制权明显下降,导致个人数据能够被广泛、详实的收集和分析。二是大数据被应用于攻击手段,黑客可最大限度地收集更多有用信息,为发起攻击做准备,大数据分析让黑客的攻击更精准。三是随着大数据技术发展,更多信息可以用于个人身份识别,个人身份识别信息的范围界定困难,隐私保护的数据范围变得模糊。四是以往建立在“目的明确、事先同意、使用限制”等原则之上的个人信息保护制度,在大数据场景下变得越来越难以操作。 大数据时代美国情报机构已抢占先机,美国通过遍布在全球的国安局监听机构如地面卫星站、国内监听站、海外监听站等采集各种信息,对采集到的海量数据进行快速预处理、解密还原、分析比对、深度挖掘,并生成相关情报,供上层决策。2013年6月底,美中情局前雇员斯诺登爆料,美国情报机关通过思科路由器对中国内陆移动运营商、中国教育和科研计算机网等骨干网络实施长达4年之久的长期监控,以获取网内海量短信数据和流量数据。 基础设施安全防护能力不足引发数据资产失控。一是基础通信网络关键产品缺乏自主可控,成为大数据安全缺口。我国运营企业网络中,国外厂商设备的现网存量很大,国外产品存在原生性后门等隐患,一旦被远程利用,大量数据信息存在被窃取的安全风险。二是我国大数据安全保障体系不健全,防御手段能力建设处于起步阶段,尚未建立起针对境外网络数据和流量的监测分析机制,对棱镜监听等深层次、复杂、高隐蔽性的安全威胁难以有效防御、发现和处置。 二、国外大数据安全相关举措及我国应对思路 目前世界各国均通过出台国家战略、促进数据融合与开放、加大资金投入等推动大数据应用。相比之下,各国在涉及大数据安全方面的保障举措则起刚刚起步,主要集中在通过立法加强对隐私数据的保护。德国在2009年对《联邦数据保护法》进行修改并生效,约束范围包括互联网等电子通信领域,旨在防止因个人信息泄露导致的侵犯隐私行为;印度在2012年批准国家数据共享和开放政策的同时,通过拟定非共享数据清单以保护涉及国家安全、公民隐私、商业秘密和知识产权等数据信息;美国在2014年5月发布《大数据:把握机遇,守护价值》白皮书表示,在大数据发挥正面价值的同时,应该警惕大数据应用对隐私、公平等长远价值带来的负面影响,建议推进消费者隐私法案、通过全国数据泄露立法、修订电子通信隐私法案等。 我国在布局、鼓励和推动大数据发展应用的同时,也应提早谋划、积极应对大数据带来的安全挑战,从战略制定、法律法规、基础设施防护等方面应对大数据安全问题。 将大数据资源保护上升为国家战略,建立分级分类安全管理机制。一是把数据资源视为国家战略资源,将大数据资源保护纳入到国家网络空间安全战略框架中,构建大数据环境下的信息安全体系,提高应急处置能力和安全防范能力,提升服务能力和运作效率。二是通过国家层面的战略布局,明确大数据资源保护的整体规划和近远期重点工作。三是对国内大数据资源按实施分级分类安全保护思路,保障数据安全、可靠,积极开展大数据安全风险评估工作,针对不同级别大数据特点加强安全防范。五是尽快制定不同级别的大数据采集、存储、备份、迁移、处理和发布等关键环节的安全规范和标准,配套完善相应的监管措施。 完善法律法规,加大个人信息保护监管力度。一是积极推动个人信息保护法律的立法工作,探索通过技术标准、行业自律等手段解决法律出台前的个人信息保护问题。加快《网络安全法》的出台,在《网络安全法》中对电信和互联网行业用户信息保护作出明确法律界定,为相关工作开展提供法律依据。二是加强对个人隐私保护的行政监管,同时要加大对侵害个人隐私行为的打击力度,建立对个人隐私保护的测评机制,推动大数据行业的自律和监督。 加强国家信息基础设施保护,提升大数据安全保障与防范能力。一是促进技术研究和创新,通过加大财政支持力度,激励关系国家安全和稳定的政府和国有企事业单位采用安全可控的产品,提升我国基础设施关键设备的安全可控水平。二是加强大数据信息安全系统建设,针对大数据的收集、处理、分析、挖掘等过程设计与配置相应的安全产品,并组成统一的、可管控的安全系统,推动建立国家级、企业级的网络个人信息保护态势感知、监控预警、测评认证平台。三是充分利用大数据技术应对网络攻击,通过大数据处理技术实现对网络异常行为的识别和分析,基于大数据分析的智能驱动型安全模型,把被动的事后分析变成主动的事前防御;基于大数据的网络攻击追踪,实现对网络攻击行为的溯源。 三、大数据平台安全防护的总体思路 大数据平台的安全防护建设思路,要从管理+技术两个维度来考虑。在技术层面,我们要考虑物理设施的安全,终端安全(见本博上一篇文章:“安全可控”--打造终端安全生态环境)、网络安全和云平台安全等方面。在平台安全管理方面,我们要强化数据权限控制、数据脱敏和隐私保护和数据可信赖管理。 除此之外,就是合规性。我们要健全安全管理制度,在大数据安全法律法规的框架下,完善信息安全管理制度、信息安全监管和人才与核心技术建设。 基础安全:在传统的网络安全的基础上,重点考虑符合大数据安全特性的防护措施。 平台安全管理:大数据平台自身的安全应对。我们来看一下大数据平台安全风险要素,即平台(系统和应用)、数据、人,因此我们要从两个维度来考虑,一是系统层、数据层、平台层和应用层;二是系统安全、数据安全、应用安全和运维安全。
大数据安全同其他安全一样,三分靠技术,七分靠管理。我们要建立大数据平台安全管理体系,制定大数据安全管理制度,为大数据安全建设和落地提供管理上的指引,并进一步提出流程方面的要求、检查方面的要求、相应办法和培训计划。 天融信(河北)平台服务商 应用性能管理河北咨询平台 咨询电话:03118****616 微信咨询:85054458 长按二维码直接识别关注 专注云计算、虚拟化与信息安全的独立自媒体 河北华信逸腾科技有限公司是河北省领先的虚拟化和云计算解决方案咨询与服务提供商,河北省唯一一家Vmware企业级合作伙伴。公司成立于2004 年,一直专注于虚拟化数据中心建设、云平台建设与信息安全领域。公司有具国家信息安全服务一级、河北省政府信息安全应急响应支撑单位等资质,是河北首家全方位为客户提供信息安全解决方案、产品、服务、咨询、评估与认证的服务性企业。 |
|
|
来自: xiaohuizuo > 《大数据》
