譚彬+劉曉峰+邱嵐+梁業(yè)裕

摘 要：大數(shù)據(jù)時代，不僅人們的生活方式、工作性質(zhì)發(fā)生了巨大的變化，而且以往的業(yè)務(wù)運營模式也發(fā)生了重要改變。但與之相伴隨的是，在這一變化過程中，都面臨著諸多的信息安全問題，重視研究解決大數(shù)據(jù)安全問題，保障數(shù)據(jù)安全已成為大數(shù)據(jù)安全管理的重要課題。論文結(jié)合大數(shù)據(jù)安全管理的相關(guān)理論，首先闡述了當(dāng)前大數(shù)據(jù)安全管理的現(xiàn)狀，其次分析了大數(shù)據(jù)安全管理規(guī)范制定的相關(guān)問題，最后提出了行之有效的技術(shù)解決方案。

關(guān)鍵詞：大數(shù)據(jù)安全；關(guān)鍵技術(shù)；信息安全

中圖分類號： TP309 文獻(xiàn)標(biāo)識碼：A

Big Data Sacurity Management and Key Technologies Research

Tan Bin， Liu Xiao-feng， Qiu Lan， Liang Ye-yu

（China Mobile Group Guangxi Co. Ltd.， GuangxiNanning 530021）

Abstract： In the era of big data， not only the lifestyle of people but also the nature of work have changed greatly， and the business operation mode of the past has also changed significantly. But accompanied with it， in the process of this change， many information security problems are facing， attaches great importance to the research solve the problem of large data security， data security has become a big data security management important topic. In this paper， based on the relevant theory of big data security management， first elaborated the present situation of the current big data security management， secondly analyses the related questions of big data security management specification， finally puts forward the effective technical solution， hope to provide reference for the realization of the big data security management.

Key words： Big Data Security； Key Technical； Information Security

1 引言

互聯(lián)網(wǎng)上的數(shù)據(jù)信息具有可訪問性、持久性、全面性三大特點。在大數(shù)據(jù)時代，只要任何信息被發(fā)到了網(wǎng)絡(luò)上，就再無可控之說，會被不特定個體所取得，并且網(wǎng)絡(luò)上的信息包羅萬象，不僅涉及個人的方方面面，而且涵蓋社會和國家的各個領(lǐng)域。因此，如何建立健全適應(yīng)大數(shù)據(jù)要求管理規(guī)范，如何開發(fā)大數(shù)據(jù)的效能，如何正確引導(dǎo)和開發(fā)大數(shù)據(jù)思維模式，已是當(dāng)務(wù)之急。

2 大數(shù)據(jù)安全管理分析

在信息技術(shù)中，安全和隱私一直是重點問題。大數(shù)據(jù)時代，隨著數(shù)據(jù)的增多，數(shù)據(jù)安全面臨著更嚴(yán)峻的安全風(fēng)險，傳統(tǒng)的保護方法已經(jīng)不適用于大數(shù)據(jù)，大數(shù)據(jù)安全管理在新形勢下面臨著新的挑戰(zhàn)。

2.1大數(shù)據(jù)安全管理的主要內(nèi)容

2.1.1大數(shù)據(jù)的隱私

大數(shù)據(jù)時代，數(shù)據(jù)的隱私問題主要包括兩個方面：一方面是用戶個人隱私的保護，隨著數(shù)據(jù)信息采集技術(shù)的不斷發(fā)展，在用戶無法察覺的時候就能容易地獲得用戶的個人興趣、習(xí)慣、身體特征等隱私信息；另一方面，個人隱私數(shù)據(jù)在存放、傳輸和使用的過程中，也有被泄露的風(fēng)險。目前，大多社交網(wǎng)絡(luò)數(shù)據(jù)公司都試圖利用大數(shù)據(jù)的分析能力，來挖掘數(shù)據(jù)中有價值的信息或其中的隱私，因此面對大數(shù)據(jù)時代，用戶個人信息的隱私保護將成為重要的課題。

2.1.2 數(shù)據(jù)質(zhì)量

數(shù)據(jù)質(zhì)量影響著大數(shù)據(jù)的利用，低質(zhì)量的數(shù)據(jù)不僅浪費了傳輸和存儲資源，甚至無法被利用。制約數(shù)據(jù)質(zhì)量的因素有很多，生成、采集、傳輸和存儲的過程，都可能影響數(shù)據(jù)質(zhì)量。數(shù)據(jù)質(zhì)量具體表現(xiàn)在數(shù)據(jù)的完整性、準(zhǔn)確性、一致性、冗余性。雖然有很多提升數(shù)據(jù)質(zhì)量的措施，但是數(shù)據(jù)質(zhì)量的問題是不可能完全根除的。因此，需要研究一種方法，可以實時對數(shù)據(jù)質(zhì)量進(jìn)行自動化檢測，并可以自行修復(fù)部分出現(xiàn)質(zhì)量問題的數(shù)據(jù)[1]。

2.1.3 大數(shù)據(jù)安全機制

大數(shù)據(jù)在數(shù)據(jù)規(guī)模和數(shù)據(jù)種類方面的復(fù)雜性，給數(shù)據(jù)加密帶來了挑戰(zhàn)。以前針對中小規(guī)模數(shù)據(jù)的加密方法在性能上無法滿足大數(shù)據(jù)的要求，需要研究高效的大數(shù)據(jù)密碼學(xué)。針對結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，需要研究如何有效地進(jìn)行安全管理、訪問控制和安全通信。此外，在多租戶的模式下，需要在保證效率的前提下，實現(xiàn)租戶數(shù)據(jù)的隔離性、保密性、完整性、可用性、可控性和可追蹤性。

通過以上分析，可以看出大數(shù)據(jù)的安全問題已經(jīng)成為了人們研究的重要課題，然而，目前在大數(shù)據(jù)安全管理方面，包括大數(shù)據(jù)的管理規(guī)范、可信性問題、針對各應(yīng)用領(lǐng)域的大數(shù)據(jù)備份與恢復(fù)技術(shù)、大數(shù)據(jù)完整性維護技術(shù)、大數(shù)據(jù)安全保密技術(shù)等關(guān)鍵技術(shù)還需進(jìn)行深入研究。

2.2 大數(shù)據(jù)安全威脅的主要形式endprint

大數(shù)據(jù)安全威脅問題，主要來自五個方面。

（1）黑客攻擊由原來的單一無目的攻擊轉(zhuǎn)變成為有組織目的性很強的團體攻擊犯罪，在攻擊中主要以獲取經(jīng)濟利益為目的，采取極具針對性的集團化攻擊模式。

（2）互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)存在未修復(fù)的安全漏洞，給僵尸網(wǎng)絡(luò)、病毒、DDoS流量攻擊、蠕蟲、惡意間諜軟件等侵入留下可乘之機，對業(yè)務(wù)系統(tǒng)的信息安全造成很大威脅[2]。

（3）病毒木馬的威脅。很多木馬程序和密碼嗅探程序等多種病毒不斷更新?lián)Q代對網(wǎng)絡(luò)數(shù)據(jù)實施攻擊，竊取用戶信息，直接威脅信息安全。

（4）信息在使用過程泄露。互聯(lián)網(wǎng)的各種交互、交易信息是通過網(wǎng)絡(luò)傳輸?shù)?，同時有些業(yè)務(wù)交易平臺在信息傳輸、使用、存儲、銷毀等環(huán)節(jié)未建立保護信息的有效機制，致使信息很容易出現(xiàn)泄露風(fēng)險，包括傳輸過程中采用未加密協(xié)議，數(shù)據(jù)包被截獲還原等。

（5）網(wǎng)絡(luò)業(yè)務(wù)服務(wù)過程中信息系統(tǒng)和內(nèi)部控制制度存在缺陷，或業(yè)務(wù)過程中不適當(dāng)?shù)牟僮鞫紩l(fā)信息安全風(fēng)險。

3 大數(shù)據(jù)安全管理規(guī)范分析

3.1數(shù)據(jù)操作人員管理

一方面大數(shù)據(jù)時代需要的是復(fù)合型人才，要求既懂得互聯(lián)網(wǎng)信息安全技術(shù)，又懂得業(yè)務(wù)專業(yè)知識。但目前，這種復(fù)合型人才比較稀缺，大數(shù)據(jù)正處于快速發(fā)展期，人才培養(yǎng)已經(jīng)滯后于時代的發(fā)展。由此，企業(yè)既可采取校企聯(lián)合培養(yǎng)模式，并在培養(yǎng)過程中注重學(xué)科間交叉來吸收新型人才，又可建立信息安全人才培訓(xùn)機制，定期對員工進(jìn)行培訓(xùn)，來不斷提高企業(yè)員工工作能力[3]。

另一方面在具體工作實踐中要注意兩個規(guī)范：一是崗位規(guī)范，為了便于授權(quán)管理和統(tǒng)計，應(yīng)對用戶賬號的使用、角色等組合方式進(jìn)行權(quán)限分配，如創(chuàng)建工作組，權(quán)限的賦予或取消都針對該組成員進(jìn)行；二是專人要求，這就要求用戶身份必須具備唯一性，也即是賬號的設(shè)置和使用只針對唯一的使用人，并且該使用人承擔(dān)該賬號使用的相應(yīng)責(zé)任。

3.2 規(guī)范數(shù)據(jù)操作流程

對于傳統(tǒng)企業(yè)來說，一般都有比較完善的業(yè)務(wù)操作流程，而對于在大數(shù)據(jù)時代成立的新型企業(yè)，由于發(fā)展比較晚，發(fā)展速度相對比較快，很多規(guī)模不大企業(yè)都沒有完善的業(yè)務(wù)操作流程標(biāo)準(zhǔn)，致使在實際業(yè)務(wù)開展中，操作人員無操作規(guī)范流程約束，操作方法不熟練，存在信息安全隱患。由此，企業(yè)應(yīng)根據(jù)自身特點，借鑒傳統(tǒng)完善的做法，建立適合自身發(fā)展和安全的操作流程標(biāo)準(zhǔn)。如數(shù)據(jù)授權(quán)流程：用戶應(yīng)經(jīng)過申請、審批、開通、變更等相關(guān)操作。

對于要求注銷或變更數(shù)據(jù)的請求，應(yīng)有書面的審批記錄。用戶具體權(quán)限應(yīng)結(jié)合用戶需求，按照最小權(quán)限原則進(jìn)行授權(quán)。當(dāng)用戶賬戶有所變動時，其訪問權(quán)限也應(yīng)隨之變動。

4 大數(shù)據(jù)安全管理及利用關(guān)鍵技術(shù)

4.1 安全管理機制分析

4.1.1 完善安全管理規(guī)范

加強對數(shù)據(jù)獲取、傳輸、存儲、使用流程的管控是保證大數(shù)據(jù)安全的重要內(nèi)容，即要建立對內(nèi)部數(shù)據(jù)使用的范圍、數(shù)據(jù)的流轉(zhuǎn)等進(jìn)行規(guī)范化控制管理，以防止敏感數(shù)據(jù)信息被非法授權(quán)查看、復(fù)制和破壞。由此，企業(yè)機構(gòu)可根據(jù)各自的監(jiān)管要求，結(jié)合自身實踐，落實數(shù)據(jù)管理規(guī)范化，加快數(shù)據(jù)管理制度建設(shè)進(jìn)程，健全敏感數(shù)據(jù)信息保護管理制度，制定生產(chǎn)系統(tǒng)數(shù)據(jù)的敏感信息分級分類、部門權(quán)限職責(zé)。流程審批，以及在生產(chǎn)過程中數(shù)據(jù)提取與處理、數(shù)據(jù)使用規(guī)范要求和督查審計等制度。

此外，在物理環(huán)境層面對數(shù)據(jù)進(jìn)行管理也是大數(shù)據(jù)環(huán)境下保障數(shù)據(jù)安全的一項重要措施，如對重要數(shù)據(jù)邊界落實安全域劃分與隔離。當(dāng)把生產(chǎn)數(shù)據(jù)收集起來進(jìn)行數(shù)據(jù)統(tǒng)計分析、數(shù)據(jù)挖掘時，應(yīng)該先對生產(chǎn)數(shù)據(jù)進(jìn)行模糊化處理，這樣在保證數(shù)據(jù)有效性及可用性的前提下，通過對數(shù)據(jù)中涉及客戶敏感信息或商業(yè)機密等信息進(jìn)行完全脫敏，降低安全風(fēng)險[4]。

4.1.2 加強信息保護管理

（1）制定隱私法：大數(shù)據(jù)時代，互聯(lián)網(wǎng)行業(yè)對個人隱私的侵犯及對個人隱私數(shù)據(jù)的使用較為普遍。這需要法律工作者從大數(shù)據(jù)發(fā)展的角度去看待隱私權(quán)，制定和完善相關(guān)法律和法規(guī)，在支持利用大數(shù)據(jù)提高社會整體運行效率的同時，防止數(shù)據(jù)濫用或非法使用。

（2）數(shù)據(jù)使用權(quán)：在很多情況下，企業(yè)在未取得個人明確同意的情況下，即對個人數(shù)據(jù)進(jìn)行二次使用和交易。對這種進(jìn)行二次使用和交易的行為應(yīng)進(jìn)行規(guī)范。

（3）遺忘權(quán)：對不同種類個人數(shù)據(jù)的可利用時間應(yīng)該進(jìn)行細(xì)化，避免后續(xù)可能的法律爭議?！斑z忘權(quán)”可激勵數(shù)據(jù)使用者在授權(quán)處置期限內(nèi)，盡可能地挖掘出數(shù)據(jù)的潛在價值。這是大數(shù)據(jù)時代的平衡，企業(yè)可以使用數(shù)據(jù)價值，但相應(yīng)地必須承擔(dān)其獲取并處置個人數(shù)據(jù)的責(zé)任，并負(fù)有在特定時間后刪除個人敏感數(shù)據(jù)的義務(wù)。

4.2 關(guān)鍵技術(shù)分析

4.2.1 構(gòu)建信息安全“云”防御

大數(shù)據(jù)信息安全管理體系架構(gòu)設(shè)計理念是一個管理中心支撐下的三重防御。一個管理中心主要對云平臺管理，包括云中心安全監(jiān)控、云中心安全審計、虛擬存儲安全管理、虛擬節(jié)點安全管理等。三重防護分別是安全計算環(huán)境防護、安全區(qū)域邊界防護和安全通信網(wǎng)絡(luò)防護。安全計算環(huán)境防護主要對虛擬化可信基礎(chǔ)設(shè)施進(jìn)行防護，可以使用第三方安全代理：首先對存儲資源進(jìn)行存儲防護功能聚合，主要從虛擬存儲引擎、密文檢索、數(shù)據(jù)隱私保護、數(shù)據(jù)可信存儲四個方面進(jìn)行聚合；其次對于計算資源進(jìn)行節(jié)點防護功能聚合，主要從遠(yuǎn)程可信驗證、可信連接、可信遷移、可信測評四個方面聚合；最后從網(wǎng)絡(luò)防護功能聚合，主要從虛擬網(wǎng)絡(luò)安全審計、虛擬網(wǎng)絡(luò)流量監(jiān)控、安全域訪問控制、安全策略動態(tài)遷移四個方面集合。安全區(qū)域邊界防護即是對云邊界防護，主要包括IDS入侵檢測、安全審計、內(nèi)容過濾、惡意代碼防范、訪問控制、身份認(rèn)證。安全通信網(wǎng)絡(luò)防護即是對網(wǎng)絡(luò)防護，包括VPN、網(wǎng)絡(luò)加速、流量控制管理、核心設(shè)備冗余。

4.2.2 加強大數(shù)據(jù)威脅檢測

大數(shù)據(jù)威脅檢測技術(shù)是云防御中主動防御理念中主要的方法。對于互聯(lián)網(wǎng)信息防護，傳統(tǒng)防御理念是等到病毒攻擊發(fā)起攻擊時，發(fā)現(xiàn)病毒后再進(jìn)行防御。而主動防御的理念是，不給病毒程序執(zhí)行攻擊的機會，在云端防御中就可以將病毒、木馬等攻擊程序，利用大數(shù)據(jù)威脅檢測技術(shù)檢測出來，然后解除潛在的威脅。endprint

在大數(shù)據(jù)威脅檢測中，首先要發(fā)揮大數(shù)據(jù)收集、分析能力，互聯(lián)網(wǎng)金融業(yè)務(wù)量很大，業(yè)務(wù)范圍也很廣，大數(shù)據(jù)技術(shù)的應(yīng)用一定要結(jié)合金融業(yè)務(wù)知識，通過云平臺收集數(shù)據(jù)時不能違反法律規(guī)定，也不能侵犯用戶的隱私權(quán)，因此要求在大數(shù)據(jù)檢測中要做到合法收集信息，在客戶端允許的情況下檢測威脅存在的情況。在檢測中，主要是通過云平臺存儲關(guān)于各種攻擊描述，利用大數(shù)據(jù)技術(shù)去檢測巨量數(shù)據(jù)，當(dāng)然數(shù)據(jù)中包括存儲的靜態(tài)數(shù)據(jù)，運行的APP插件、運行各種程序和進(jìn)程。通過分析比對，得出該數(shù)據(jù)是否具有威脅，如有威脅將會立即報告云安全平臺，通過安全平臺處理威脅。

5 結(jié)束語

總的來說，大數(shù)據(jù)的出現(xiàn)，不僅改變了社會經(jīng)濟生活，也影響了我們每個人的生活方式和思維方式。面對大數(shù)據(jù)的安全風(fēng)險，為了確保大數(shù)據(jù)合規(guī)，就需要更加全面細(xì)致的梳理企業(yè)大數(shù)據(jù)合規(guī)的要求，并采用有效的技術(shù)手段和系統(tǒng)平臺對大數(shù)據(jù)合規(guī)管理予以支撐，確保大數(shù)據(jù)的持續(xù)合規(guī)。本文通過研究得出幾項結(jié)論。

（1）大數(shù)據(jù)的安全管理，需有規(guī)范的數(shù)據(jù)申請、審批、變形處理流程，并在數(shù)據(jù)生命周期的各階段進(jìn)行全面管控，需要制定和落實敏感信息保護制度。同時，企業(yè)及機構(gòu)的操作人員也需要提高數(shù)據(jù)保護意識，強化敏感信息的保護職責(zé)。

（2）技術(shù)上采用適用于大數(shù)據(jù)的安全保護措施，以應(yīng)對可能來自黑客的攻擊，重視云計算過程和移動端信息的保護。在規(guī)則上，隱私保護方面，需要明確企業(yè)、機構(gòu)對數(shù)據(jù)的具體使用權(quán)限，規(guī)范相關(guān)機構(gòu)使用涉及用戶隱私信息的過程，規(guī)范企業(yè)對用戶的隱私信息進(jìn)行收集的行為，確定對隱私保護的底線，明確用戶對自身相關(guān)隱私信息的權(quán)益。在數(shù)據(jù)安全方面，則需要規(guī)范對數(shù)據(jù)生命周期中每一個階段的數(shù)據(jù)的獲取流程，確定明確的權(quán)限區(qū)分，確保不同權(quán)限的人僅能夠獲取與其權(quán)限相對應(yīng)的數(shù)據(jù)。

參考文獻(xiàn)

[1] 王偉，高能，江麗娜.云計算安全需求分析研究[J].信息網(wǎng)絡(luò)安全，2012（08）.

[2] 謝琪，吳吉義，王貴林，劉文浩，陳德人，于秀源.云計算中基于可轉(zhuǎn)換代理簽密的可證安全的認(rèn)證協(xié)議[J].中國科學(xué)：信息科學(xué)，2012（03）.

[3] 汪全勝，王慶武.網(wǎng)絡(luò)空間個人數(shù)據(jù)的權(quán)利保護[J].情報理論與實踐，2014（1）：33.

[4] 維克托·邁爾-舍恩伯格，肯尼思·庫克耶.大數(shù)據(jù)時代[J].教育科學(xué)論壇，2016（10）.endprint