随着信息化进入3.0阶段,越来越呈现出万物数字化、万物互联化,基于海量数据进行深度学习和数据挖掘的智能化特征。数据安全正式站在了时代的聚光灯下,隆重登场。计算机行业的安全是一个由来已久概念,对于信息安全发展阶段的划分,认为截止到目前,信息安全大致经历了五个时期。

【大数据安全体系介绍之技术体系】

第一个时期是通信安全时期,其主要标志是1949年香农发表的《保密通信的信息理论》。在这个时期主要为了应对频谱信道共用,解决通信安全的保密问题;第二个时期为计算机安全时期,以二十世纪70-80年代为标志《可信计算机评估准则》(TCSEC)。在这个时期主要是为了应对计算资源稀缺,解决计算机内存储数据的保密性、完整性和可用性问题;第三个时期是在二十世纪90年代兴起的网络安全时期,在这个时期主要为了应对网络传输资源稀缺,解决网络传输安全的问题;
第四个时代是信息安全时代,其主要标志是《信息保障技术框架》(IATF)。在这个时期主要为了应对信息资源稀缺,解决信息安全的问题。在这个阶段首次提出了信息安全保障框架的概念,将针对OSI某一层或几层的安全问题,转变为整体和深度防御的理念,信息安全阶段也转化为从整体角度考虑其体系建设的信息安全保障时代。
1、数据的收集方式的多样性、普遍性和技术应用的便捷性同传统的基于边界的防护措施之间的矛盾;2、数据源之间、分布式节点之间甚至大数据相关组件之间的海量、多样的数据传输和东西向数据传输的监控同传统的传输信道管理和南北向数据传输监控之间的矛盾;3、数据的分布式、按需存储的需求同传统安全措施部署滞后之间的矛盾;
4、数据融合、共享、多样场景使用的趋势和需求同安全合规相对封闭的管理要求之间的矛盾;5、数据成果展示的需要同隐蔽安全问题发现之间的矛盾。因此,大数据的安全防护不仅要基于传统的OSI整体防御体系,还要打造基于数据生命周期安全防护策略。
元数据的分类分级管理在大数据环境下要依靠自动化手段来保障效率,由于数据表的新增和变更的速度过快,对每个表进行分类分级的方式是无法实现的,我们采用的是对字段进行敏感的评级的方式,根据元数据的分类分级的敏感的等级和可能的应用场景制定不同的脱敏策略。
数据传输环节主要通过信道加密技术保障数据保密性,可以通过HTTPS、VPN 等技术建立加密传输链路,这项技术比较成熟,就不在这里展开了。
首先,要对数据进行分类分级的前提是良好的数据治理效果。我们当时面对的挑战是整合了全国31个省、340+市公司的各种数据,数据部门的小伙伴花费了整整一年的时间梳理清楚4门28类数据,实现了日均接入数据超过400T,数据质量高达80%以上的数据治理目标,形成“七步走”的数据治理方法和数据质量评价体系,为数据分类分级和数据安全防护奠定了坚实基础。
其次,面对数以千计的数据访问人员,访问近7000台服务器的庞大集群,平台部门也是花费了1年时间将平台集群划分为数据接入区、开发测试区、核心生产区和DMZ区,将数据访问人员按照不同的职能权限限定在相应的区域,初步建立了平台的访问控制机制,为数据安全的管控提供了关键一环。
大数据环境下,数据以多种样式存放,数据一旦泄露如何定位溯源是一个难题,传统的在图片放置明暗水印的方式是无法应对文本格式的溯源需求的。我们设计开发数据水印算法,在日常的业务数据中通过算法编码生成和插入伪数据记录,这些伪数据记录符合该类数据相关字段属性,如数字、价格、姓名或邮箱地址等,形成数据水印。将数据水印采用均匀分布的方式自动化地插入对应数据集合中,以实现数据所有者标记,保障数据所有者权益,同时追踪数据滥用情况,确保了数据发布和销毁阶段及数据泄露后的回溯分析需求,该技术于2015年申请国家发明专利。
电信通过BDCSC(bigdata customer service center)平台为2B用户提供4+1的产品服务,为确保输出接口符合规范和不包含敏感数据,我们设计并实现了出口审计系统,该系统可以对接口输出数据进行自动解密、模式匹配、异常发现等功能,能够及时发现出口数据的泄露风险。

【小结】

大数据时代,使得安全的重心终于回到安全的本质:数据的安全问题上。数据流如水流,无法阻挡且无处不在,在新的挑战面前,以边界防御为主的铁布衫方式越来越显得力不从心,只有内外兼修、苦练内功、在技术、法规和管理方面共同发力方可守卫数据的安全。内容来自FreeBuf.COM