26.1 大数据安全威胁与需求分析
26.1.1 大数据相关概念发展
数据成为信息时代的重要资源。随着数字化、网络化、智能化等相关信息技术的应用发展,数据产生及获取日益方便,数据规模已超出了传统数据库存储及分析处理能力范围,从而形成大数据的新概念。一般来说,大数据是指非传统的数据处理工具的数据集,具有海晕的数据规模、快速的数据流转、多样的数据类型和价值密度低等特征。大数据的种类和来源非常多,包括结构化、半结构化和非结构化数据。大数据正在逐步影响着国家治理、城市发展、企业生产、商业变革以及个人生活。有关大数据的新兴网络信息技术应用不断出现,主要包括大规模数据分析处理、数据挖掘、分布式文件系统、分布式数据库、云计算平台、互联网和存储系统。
26.1.2 大数据安全威胁分析
大数据发展与应用面临的安全挑战:
1.“数据集“安全边界日渐模糊,安全保护难度提升
2. 敏感数据泄露安全风险增大
3. 数据失真与大数据污染安全风险
4. 大数据处理平台业务连续性与拒绝服务
5.个人数据广泛分布于多个数据平台,隐私保护难度加大
6. 数据交易安全风险
7.大数据滥用
26.1.3 大数据安全法规政策
《电信和互联网用户个人信息保护规定》该规定于于2013年9月1日起施行。
《中华人民共和国消费者权益保护法(2013 修正)》于2014年3月15起施行。
《中华人民共和国网络安全法》于2017年6月1日起施行。
《信息安全技术个人信息安全规范》于2020年10月1日实施
26.1.4 大数据安全需求分析
大数据安全需求涉及多个方面,主要内容如下。
1.大数据自身安全
2.大数据安全合规
3. 大数据跨境安全
4. 大数据隐私保护
5. 大数据处理平台安全
6. 大数据业务安全
7. 大数据安全运营
--------------------
26.2 大数据安全保护机制与技术方案
大数据被列为网络安全等级保护 2.0 的重要保护对象,本节主要内容是大数据安全防护对象,主要包括大数据自身及其平台、业务、隐私、运营等方面的安全保护技术 。
26.2.1 大数据安全保护机制
大数据安全保护是一个综合的、复杂性的安全工程,涉及数据自身安全、数据处理平台安全、数据业务安全、数据隐私安全、数据运营安全以及数据安全法律政策与标准规范。围绕大数据的安全保护,常见的基本安全机制主要有数据分类分级、数据源认证、数据溯源、数据用户标识和鉴别、数据资源访问控制、数据隐私保护、数据备份与恢复、数据安全审计与监测、数据安全管理等。
26.2.2 大数据自身安全保护技术
大数据自身安全是指有关数据本身的安全问题,如数据的真实性、数据的完整性、数据的机密性、数据的准确性等。
26.2.3 大数据平台安全保护技术
大数据平台涉及物理环境、网络通信、操作系统、数据库、应用系统、数据存储等安全保护。通常采用安全分区、防火墙、系统安全加固、数据防泄露等安全技术用于保护大数据平台。其中,防火墙又可细分为网络防火墙、数据库防火墙、应用防火墙,这些防火墙分别用于大数据平台的安全区域之间隔离及访问控制。
26.2.4 大数据业务安全保护技术
大数据业务安全主要包括业务授权、业务逻辑安全、业务合规性等安全内容。其中,业务授权主要基于角色的访问控制技术,按照业务功能的执行所需要的权限进行分配。业务逻辑安全针对业务流程进行安全控制,避免安全缺陷导致业务失控。业务合规性是指业务满足政策法规及安全标准规范要求。敏感数据安全检查、系统安全配置基准数据监控等技术常用于解决业务合规性安全需求。
26.2.5 大数据隐私安全保护技术
隐私是指与个体相关的非公开的信息。隐私保护成为大数据时代新的安全需求。针对个人信息安全保护,国家颁布了《信息安全技术个人信息安全规范》(于2020年10月1日实施)等法规政策及标准规范。围绕隐私保护,主要的技术有数据身份匿名、数据差分隐私、数据脱敏、数据加密、数据访问控制等。
26.2.6 大数据运营安全保护技术
大数据运营安全是指大数据平台及数据的运行维护及数据资源经营过程的安全。大数据平台及数据的运行维护包括大数据处理系统的安全维护、安全策略更新及安全设备配置、数据资源容灾备份、安全事件监测与应急响应等。
26.2.7 大数据安全标准规范
大数据安全标准规范有利千提升数据安全整体保障能力。全国信息安全标准化技术委员会在2016 年成立大数据安全标准特别工作组,主要负责制定和完善我国大数据安全领域标准体系,组织开展大数据安全相关技术和标准研究。目前,已制定的 国家标准主要有《信息安令技术个人信息安全规范》《信息安全技术大数据服务安全能力要求》《信息安全技术大数据安全管理指南》《信息安全技术数据交易服务安全要求》《信息安全技术个人信息去标识化指南》等。
--------------------
26.3 大数据安全综合应用案例分析
26.3.1 阿里巴巴大数据安全实践
1. 业务安全管控
在业务模式设计上,大数据安全平台依据电商自身的业务特性和其数据权属关系的边界,建立了以私域数据为基础的店铺内服务闭环、以公域数据为基础的平台内渠道闭环和价值闭环,从而确保了业务整体对数据的授权边界是合理清晰的、对数据的处理逻辑是基千可用不可见的安全原则以及数据的应用产出是基千数据价值而不是裸数据输出的。
2. 数据安全管控
此大数据安全平台基千数据业务链路构建了全面的数据管控体系,主要包括数据加工前、数据加工中、数据加工后、数据合规等方面的数据安全管控,如表所示。
3. 生态安全管控
通过对数据ISV的准入准出、基于垂直化行业的标签体系建立以及数据生态的市场管理机制建立,确保业务和安全间找到有效的平衡点。
阿里巴巴形成了以数据生命周期为中心的大数据安全管理理念,如图所示。
26.3.2 京东大数据安全实践
京东万象数据服务平台利用区块链技术对流通的数据进行确权溯源,数据买家在数据服务平台上购买的每一笔
交易信息都会在区块链中存储起来,数据买家通过获得交易凭证可以看到该笔交易的数字证书以及该笔交易信息在区块链中的存储地址,待买家需要进行数据确权时,登录用户中心进入查询平台,输入交易凭证中的相关信息,查询到存储在区块链中的该笔交易信息,从而完成交易数据的溯源确权。
26.3.3 上海数据交易中心安全保护
上海市数据交易准则有个人数据保护原则、数据互联规则、流通数据处理准则、流通数据禁止清单、交易要素标准体系。
个人数据保护原则的主要内容如下:
•告知同意原则。
•禁止公开原则。
•选择退出原则。
•数据正确原则。
•维护权益原则。
•应急补救原则。
流通数据处理基本原则主要如下:
•保护个人权益原则。
•诚实守信原则。
•保护正当数据权益原则 。
•数据安全原则。
26.3.4 华为大数据安全实践
1. 网络安全
Fusionlnsight 集群支持通过网络平面隔离的方式保证网络安全。
2. 主机安全
通过对 Fusionlnsight 集群内节点的操作系统安全加固等手段保证节点正常运行,包括更新最新补丁、操作系统内核安全加固、操作系统权限控制、端口管理、部署防病毒软件等。
3. 用户安全
平台提供身份认证、权限控制、审计控制等安全措施,防止用户假冒、越权、恶意操作等安全威胁。
4. 数据安全
平台提供集群容灾、备份、数据完整性、数据保密性等安全服务,以保证用户数据的安全。
26.3.5 科学数据安全管理
《科学数据管理办法》由国务院办公厅印发,该办法提出了科学数据安全和保密管理的要求,部分具体要求如下:
第二十五条涉及国家秘密、国家安全、社会公共利益、商业秘密和个人隐私的科学数据,不得对外开放共享;确需对外开放的,要对利用目的、用户资质、保密条件等进行审查,并严格控制知悉范围。
第二十六条涉及国家秘密的科学数据的采集生产、加工整理、管理和使用,按照国家有关保密规定执行。
第二十七条主管部门和法人单位应加强科学数据全生命周期安全管理,制定科学数据安全保护措施;加强数据下载的认证、授权等防护管理,防止数据被恶意使用。
第二十八条法人单位和科学数据中心应按照国家网络安全管理规定,建立网络安全保障体系,采用安全可靠的产品和服务,完善数据管控、属性管理、身份识别、行为追溯、黑名单等管理措施,健全防篡改、防泄露 、防攻击、防病毒等安全 防护体系 。
第二十九条科学数据中心应建立应急管理和容灾备份机制,按照要求建立应急管理系统,对重要的科学数据进行异地备份。
26.3.6 支付卡行业数据安全规范
在国际上,支付卡行业数据安全标准(PCI—DSS) 是 PCI 安全标准委员会制定的数据安全规范。
PCI—DSS 包括以下 6 大类要求:
•构建和维护安全的网络;
•保护持卡人数据;
•维护漏洞管理程序;
•实施严格的存储控制措施;
•定期监控和测试网络;
•维护信息安全策略。