淺談大數據安全保護技術

武警山東總隊參謀部綜合信息保障中心信息運維室 吳燕輝

隨著時代的發(fā)展，大數據技術在社會各個領域的應用越來越廣泛，涵蓋國家、企業(yè)、個人等多個層面，并發(fā)揮著較為重要的作用。但需要注意的是，其快速發(fā)展的同時，也產生了一系列的風險和弊端，例如：隱私泄露、攻擊者越來越多等。另外，大數據技術的特點充分體現了跨學科的性質，這種不斷引進更多全新技術的方式，也為大數據的發(fā)展和使用埋下了更多的潛在風險和弊端。因此，數據安全就變得更為重要，不能保證安全情況下的大數據，就不能實現健康的發(fā)展，這就強調了安全保護的重要意義。大數據技術在社會發(fā)展和進步當中的不斷推進，數據開放和保護這兩個層面已然成為了重要的研究方向和重點內容，基于此，筆者對安全保護的相關技術進行了分析和論述。大家都能夠看到，當前社會充分體現了“互聯(lián)網+”的重要性，在這當中，數據是其中必不可少的一個重要環(huán)節(jié)，其中的能量不言而喻[1]。

1 關于大數據的分析

1.1 概念界定

巨量數據是大數據的又一個名稱，代表著大量、快速增長、多樣化等特征的一種信息化資產形式，通常來說要借助一種新型的處理形式對數據信息進行充分的加工處理，從而為用戶進行決策、程序優(yōu)化等內容提供依據。其具有Volume（大量）、Velocity（高速）等多種特征[2]。

1.2 優(yōu)缺點

大數據在社會發(fā)展當中的使用就像是煤礦一樣具有很大的價值優(yōu)勢：（1）對問題、故障等進行充分分析，為企業(yè)節(jié)約成本投入；（2）在交通方面，能夠實現路線規(guī)劃，為改善交通擁堵提供參考；（3）借助對SKU（庫存進出計量的單位）的充分解析，能夠對價格進行合理界定并對庫存進行及時清理，從而實現利潤的最大化；（4）通過數據反映的信息進行用戶分析，為企業(yè)的發(fā)展提供具有針對性的營銷指導；（5）實現在海量客戶當中尋找到最有價值客戶的目的；（6）對客戶點擊的情況進行數據的深入挖掘和分析，對欺詐行為的識別和規(guī)避起到重要作用。從這些作用都能夠看出，大數據技術在各層面的價值。

比如：在美國的醫(yī)院，充分運用大數據技術為一個患有CMT腓骨肌萎縮癥的病人及病人的家屬開展基因序列的檢測，借助技術軟件實現對數據的全面分析和比對，實現了快速查找病因及其致病的位置，為這一疾病的預防和治療提出了更多的參考和數據依據。但是，大數據在給社會發(fā)展帶來便利的時候，也產生了較大的潛在風險。我國曾有一個科學院院長：白春禮提出，有近半數的數據信息都存在被泄露的潛在危險，這也對數據安全提出了更多更高的要求和挑戰(zhàn)。在當前社會，小到用手機號碼就能夠輕松查詢到個人的身份證信息、資產信息等內容，甚至包括外出、打車等信息記錄，并對其位置做出實時的準確定位。這些都表明，處于數據信息時代，數據的安全和保護是非常重要的。

2 大數據安全保護技術研究

2.1 大數據安全保護核心

從以上分析可以看出，大數據技術和信息的重要充分體現在其有價值的特征上。數據庫是對大量數據信息進行儲存的重要媒介，一旦遇到數據攻擊，后果將會不堪設想，且數據的本源具有廣泛、多元等特征，這也給數據保護帶來了更大的困難和挑戰(zhàn)。目前具有的信息處理架構，例如Hadoop，其還存在內在安全運行機制不健全的問題，因此，在大數據技術的使用上仍存在信息泄露、不安全點位較多等問題，這些問題使得原本制定的數據保護方案不能充分發(fā)揮其作用，從而帶來了系統(tǒng)上的漏洞等問題[3]，基于此，筆者認為，在數據保護的過程當中，環(huán)境安全和隱私保護是非常重要的兩個重要環(huán)節(jié)。

一方面，在隱私保護上，可以借助對訪問控制的分級進行全新打造和建構的策略，這種體現全生命周期的方式，能夠充分提高隱私保護的安全性。大數據技術在使用的過程當中，數據采集是第一步，其主要用于用戶在PII（個人信息標識）和UL（用戶標簽）兩個層面及其相互之間的關聯(lián)性進行解析，從而實現精準性營銷的目的。這種方式對用戶的隱私保護會產生較大的作用和影響，因此，必須要對這兩個方面的數據給予高度關注，所以，對訪問控制進行重新打造和建構的策略，充分體現對數據信息的基礎性和安全性的重視，在此基礎上建立并實施用戶的身份訪問限制、加密等措施。此外，要借助技術手段對數據進行系統(tǒng)脫敏，對不同種類的數據信息采取分別存儲的方式，并借助索引的方式實現數據信息之間的充分關聯(lián)，在這種情況下，即使遇到了信息泄漏的情況，其他的數據信息也能夠保證安全，且采取的對索引進行技術加密的方式，也能夠實現對應PII數據的精準對接。此外，也要對數據的各個接口處進行較為嚴密的控制，在數據流出的過程中，要注意進行脫敏化，在進行數據傳輸時，充分借助安全協(xié)議的方式，對重要性高的數據信息進行充分加密。在要對數據信息進行銷毀的過程中，也要明確數據的副本信息，確保信息清理的完全性。

另一方面，要對數據的安全防護給予更高的關注，不斷提升其安全性能。（1）要對計算平臺進行不斷的加強，可以采取KDC認證，引進Kerberos技術等方式，在此基礎上進行用戶權限和訪問的授予和把控。針對數據信息的存儲方面，在技術條件許可的情況下，可以借助KMS技術，對HDFS數據進行加密。也可以通過對Web和MapReduce之間的配合進行數據的加密。（2）對數據探針給予更多關注，通過采取設置個人賬號和密碼登錄的方式，對可能存在的漏洞進行充分檢驗，一旦發(fā)現問題及時修補，借助防火墻的作用對遠程訪問進行有效控制，并對IP地址進行一定的限制，對運用探針登錄等方式開展審計，對數據進行充分的加密。同時，也要對網絡、主機等方面的安全性能進行鞏固和強化，對網絡安全的區(qū)域進行明確劃分，設置邊界訪問，充分采取終端控制，對可能存在的漏洞進行實時監(jiān)測，開展有效的防護病毒措施及安全管控措施。

2.2 大數據安全保護技術

數據信息的處理涵蓋采集、預處理、分析、挖掘、采集等步驟，具有循環(huán)性特征，包括發(fā)布、儲存、挖掘、使用等4個重要環(huán)節(jié)，在每個環(huán)節(jié)都可能遇到危險。

（1）在發(fā)布方面，大數據具有來源多樣性、發(fā)布動態(tài)性、用戶同一性、數據量巨大等多種特點，這就更加突出了數據保護的重要意義，在此過程中，可用信息是需要遵守的重要前提條件，在此基礎上，才能實現存在泄漏風險信息的快速、高效去除。在這一過程中，也發(fā)展出了涉及多方面的匿名技術以實現數據保護的目的。

（2）在存儲方面，傳統(tǒng)的加密技術能夠實現數據保護的目的，但其存在支出多、限制數據共享等弊端，從而對大數據技術作用的充分發(fā)揮產生了較大的限制。基于此，有諸多學者進行了探討并提出了很多具有較高可行性的加密技術，屬性加密就是其中的一種方式，這種方式指的是只有在用戶密鑰具有解密的條件的情況下，才能實現數據的解密，也就是說，在兩個密鑰當中同時具備A，b、A、c各兩個屬性，如果需要進行解密的數據文件當中具有A這一屬性，那么，在這兩個密鑰當中，都能夠實現數據文件的解密，但如果需要進行解密的數據文件當中具有c這一屬性，則只有在密鑰當中具有同樣屬性的才能對數據文件進行解密。基于此技術，有學者提出了密文策略屬性加密等多種對數據信息進行加密的方式。需要注意的是，對文件只進行加密是遠遠不夠的，還要充分借助審計技術的使用，特別是在云存儲的過程中，這種技術的使用能夠充分保證數據信息的安全性，避免被篡改、泄漏等風險。

（3）在挖掘方面，借助對敏感規(guī)則的數據信息進行修改許可的方式，實現對規(guī)則進行隱藏的目的。此外，也可以通過對生成的具有敏感性的規(guī)則信息當中的項集采取直接進行隱藏的方式，這兩種方式通常在對具有關聯(lián)性的規(guī)則進行相關數據信息的挖掘過程當中使用的較為普遍。除此之外，分類、聚類結果等也是挖掘當中的重要內容，其中，分類具有對結果產生保護性、降低信息的敏感度等作用，聚類具有能夠通過幾何變換的方式，實現敏感數據的直接隱藏，并進行使用。

（4）在訪問限制方面，當前使用較為廣泛的是基于角色技術，指的是為數據用戶進行不同角色的分配，在這一環(huán)節(jié)之前，要對角色進行充分挖掘并建立一定的訪問限制。除此之外，還包括基于屬性的技術，指的是借助用戶、環(huán)境等不同的屬性性能來搭建權限。

（5）在數據脫敏方面，數據脫敏也叫做數據漂白，在其中，規(guī)則、數據、環(huán)境三個要素是非常核心和至關重要的。規(guī)則具有可恢復性，也就意味著經過脫敏的數據能夠借助一些技術和方法進行恢復，使用較多的就是解密算法的加入。除此之外，也包括不能恢復的數據，也就意味著經過脫敏處理后，其數據信息將不能得到恢復。敏感數據主要指用戶的姓名、隱私信息等。環(huán)境指的是經過脫敏后的數據信息將在什么樣的大環(huán)境下被采用。在數據平臺上，數據的存儲一般都是借助結構化的形式，也就是在數據表中通過行列的使用，進行數據的存儲，通過這種方式，能夠實現數據信息的精準定位，通常用于身份證號等用戶個人信息的額存儲。其中也包括半識別列，也就是雖然不能通過數據實現用戶個人的精準定位，但能夠通過多列的數據信息以及之間的關聯(lián)性進行用戶個人的有效識別，涵蓋性別、生日、收入等信息內容。其他的信息則不被成為用戶的敏感信息。所以，在脫敏過程中，一般采用替換法，借助虛擬數據的使用，對真實的數據信息進行替換，例如，借助字典數據表的方式，實現真實值和隨機值的一一對應，并和字典表當中的內容進行更替，例如，在性別上，可以借助不同的字母來表示。

3 大數據安全的開放問題

3.1 大數據安全標準缺口

關于數據安全的相關研究及其標準的制定尚不完善，在國際上，很多組織也在積極開展各項研究工作，從而對數據安全的標準化進行缺口的彌補。在研究的過程當中，國際上也不斷提出了諸多新的研究課題，例如：云服務可信接入架構等，由此可以看出，隱私保護是一個得到了全球關注的重要話題。

全國信息安全標準化技術委員會針對數據安全標準提出了一定的工作建議，其中，個人信息安全、數據共享、出境安全、審查標準等內容得到了突出強調，這也充分體現出了在后續(xù)工作中的方向。當前，數據安全的標準化過程還處于不斷發(fā)展和完善的過程當中，在積極推進的過程當中，要充分體現急用先行，成熟先上的重要行為準則[4]。在進行數據安全標準的制定過程中，也要對當中較為緊急的數據應用安全標準進行積極制定，包括出境、交易等方面。

3.2 大數據安全關鍵技術難點

目前已經具備的信息安全相關技術手段尚不能對數據安全給予充分保護，結合大數據技術固有的風險形式，還存在諸多需要不斷探索的技術形式。

隱私保護因其特點而得到了廣泛關注。在使用過程中，已經產生了一些解決該問題的方法。差分隱私是其中一種，這種方式借助對噪聲的使用而達到數據信息失真的目的，實現了對數據信息的保護，但其因為使用過程較為繁雜，因而使用效率較低。除此之外，全同態(tài)加密也是一種隱私保護技術，這種技術的使用較為常見，但其具有性能低的弊端，這一弊端限制了其在大環(huán)境當中的使用和推廣。所以，探索出更為高效的方法也是值得不斷深入的方向。

加密技術在數據保護方式當中具有基礎性和重要性，其中，可搜索加密算法在使用過程當中通過對場景和數據進行加密設置的方式，達到了訪問限制的目的，訪問限制提出的新要求也對這種技術提出了新的方向。此外，建立在屬性基礎上的加密方式采取將控制策略加入到用戶使用的密鑰或者是數據信息當中的方式，為低效率提出了具體的解決措施，也能夠充分體現密鑰的可擴展性和數據信息的靈活性。當前，這種技術使用較多的是基于橢圓曲線基礎的雙線性映射構建技術，但其因成本高、數據量大的弊端，限制了其廣泛推廣和使用。

從信息安全熱點話題來看，細粒度的訪問控制技術關注度較高。這種技術雖然已經出現了一系列的解決措施，但仍存在一定的困難和問題，例如：訪問控制粒度的合理選取、延展性、提高效率等問題。

3.3 大數據安全分析的技術難點

大數據技術的應用和發(fā)展具有雙面性，合理有效使用，能夠充分發(fā)揮作用，但也可能成為黑客進行網絡攻擊的重要途徑。在對數據安全技術進行充分研究的過程中，也要充分借助各種數據處理技術的支撐作用，實現數據信息的關聯(lián)分析、可視分析等多種數據應用目的。大數據技術的推廣和使用，為信息安全提供了一定的價值，但也不能忽視其中存在的問題和弊端。網絡通信檢測、網絡特征提取等方面的技術還有需要不斷探索和突破的空間，從而不斷提升網絡信息安全對于風險的預判、處理等方面的能力。

4 結語

伴隨大數據技術的深入推進和發(fā)展，數據安全所產生的風險和問題也將日趨加重，這就突出了數據保護相關研究的重要意義。數據安全是數據技術發(fā)展的前提和基礎，所以，要將不斷提升數據安全的保護作為安全技術研究的根本性課題。本文從大數據概念、優(yōu)缺點、安全保護技術和安全開發(fā)問題等方面對大數據安全保護進行了分析，希望能夠為相關領域研究提供一些借鑒。