陸寶華

大數(shù)據(jù)安全的“痛點(diǎn)”

陸寶華

(工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室，北京102209)

通過(guò)分析，試圖給出大數(shù)據(jù)系統(tǒng)特出的安全需求，而區(qū)別于其他的IT系統(tǒng)。通過(guò)這些獨(dú)有的安全需求分析，提醒大數(shù)據(jù)的擁有者、生產(chǎn)者和擁有者及從事安全研究和開發(fā)的組織，來(lái)關(guān)注這些安全“痛點(diǎn)”，從而提升大數(shù)據(jù)的保護(hù)能力。

大數(shù)據(jù)；安全；訪問(wèn)控制；審計(jì)完整性保護(hù)；源數(shù)據(jù)

0　引言

大數(shù)據(jù)是近幾年來(lái)的熱門話題，國(guó)家希望通過(guò)大數(shù)據(jù)而產(chǎn)生新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)，推動(dòng)和帶動(dòng)各相關(guān)領(lǐng)域的發(fā)展。貴陽(yáng)作為國(guó)家大數(shù)據(jù)產(chǎn)業(yè)實(shí)驗(yàn)區(qū)，已經(jīng)開展了非常有意義的活動(dòng)。前不久又舉辦了規(guī)模盛大的大數(shù)據(jù)博覽會(huì)，據(jù)說(shuō)有5萬(wàn)人參加，可見人們對(duì)大數(shù)據(jù)的期待和熱情之高。

但是，大數(shù)據(jù)所面臨的安全問(wèn)題是不能忽視的，貴陽(yáng)市委書記陳剛明確的指出“沒有大數(shù)據(jù)安全，就沒有大數(shù)據(jù)產(chǎn)業(yè)”。但是，大數(shù)據(jù)面臨的安全問(wèn)題有哪些，這幾年來(lái)的討論似乎不是那么明確。前不久，一位領(lǐng)導(dǎo)談了大數(shù)據(jù)有四大安全風(fēng)險(xiǎn)，這次在貴陽(yáng)的論壇上，有幾位嘉賓在作演講，但是對(duì)大數(shù)據(jù)的安全“痛點(diǎn)”的分析都覺得沒有說(shuō)到位。

安全保護(hù)，必須知道風(fēng)險(xiǎn)點(diǎn)在哪里，必須要有明確的保護(hù)對(duì)象，必須清楚保護(hù)目標(biāo)是什么。如果這些都不清楚，那么你的保護(hù)策略、手段就很難說(shuō)是有效的，甚至可能會(huì)是有害的。那種“肉爛了在鍋里”的安全觀是錯(cuò)誤的，是要不得的。

筆者也不敢說(shuō)，把大數(shù)據(jù)的安全“痛點(diǎn)”都分析清楚了。但是，確實(shí)是下了一些功夫進(jìn)行了研究。在大數(shù)據(jù)的全生命周期中，存在的風(fēng)險(xiǎn)應(yīng)該有十幾大類。所有的對(duì)網(wǎng)絡(luò)空間的安全威脅，同樣會(huì)威脅在大數(shù)據(jù)系統(tǒng)，如黑客的入侵、惡意代碼的侵害、數(shù)據(jù)的泄露、交易中的抵賴問(wèn)題，等等。這些威脅，對(duì)非大數(shù)據(jù)系統(tǒng)中就存在，并不是大數(shù)據(jù)系統(tǒng)所“特出”的“痛點(diǎn)”。對(duì)于大數(shù)據(jù)的保護(hù)，我們必須清楚大數(shù)據(jù)這些特出的安全“痛點(diǎn)”，這樣才能對(duì)大數(shù)據(jù)系統(tǒng)進(jìn)行有針對(duì)性的保護(hù)，才能有效解決大數(shù)據(jù)系統(tǒng)的安全問(wèn)題。當(dāng)然，那些與其他網(wǎng)絡(luò)空間共有的安全問(wèn)題也必須要關(guān)注和加以解決。

對(duì)于大數(shù)據(jù)安全的“痛點(diǎn)”，筆者認(rèn)為以下的幾個(gè)是大數(shù)據(jù)系統(tǒng)所特出的。是直接對(duì)大數(shù)據(jù)系統(tǒng)構(gòu)成侵害的關(guān)鍵因素。

1　全生命周期的源數(shù)據(jù)的“源”證明

實(shí)際上這是一個(gè)對(duì)源數(shù)據(jù)的完整性保護(hù)問(wèn)題，如果能夠證明，這個(gè)源數(shù)據(jù)從采集端開始，數(shù)據(jù)一直沒有發(fā)生改變，實(shí)際也就證明了這一點(diǎn)。

數(shù)據(jù)的完整性保護(hù)在信息系統(tǒng)中也是必須要有的，似乎并不是大數(shù)據(jù)獨(dú)有的需要。實(shí)際上，對(duì)大數(shù)據(jù)中的源數(shù)據(jù)與元數(shù)據(jù)的保護(hù)，與在信息系統(tǒng)中的數(shù)據(jù)的完整性保護(hù)的目的是不一樣的。

(1)源數(shù)據(jù)完整性保護(hù)目標(biāo)與數(shù)據(jù)完整性保護(hù)目標(biāo)的差異性

在信息系統(tǒng)中，某個(gè)數(shù)據(jù)的完整性保護(hù)，就是防范對(duì)這個(gè)數(shù)據(jù)“自身”的未授權(quán)的改變，并不會(huì)因?yàn)檫@個(gè)數(shù)據(jù)的自身被改變而影響其他的數(shù)據(jù)的完整性。可以通過(guò)哈希值的比較，和校驗(yàn)技術(shù)來(lái)實(shí)現(xiàn)對(duì)完整性的保護(hù)。數(shù)據(jù)不同對(duì)完整性保護(hù)程度的要求也不同。

但是對(duì)大數(shù)據(jù)來(lái)說(shuō)，源數(shù)據(jù)的完整性還要關(guān)系到在整個(gè)數(shù)據(jù)池中與其他源數(shù)據(jù)的關(guān)聯(lián)，其影響不僅是該源數(shù)據(jù)本身，還會(huì)影響到其他的源數(shù)據(jù)。這是大數(shù)據(jù)應(yīng)用所決定的。對(duì)于大數(shù)據(jù)系統(tǒng)來(lái)說(shuō)，通過(guò)關(guān)聯(lián)分析和挖掘是大數(shù)據(jù)應(yīng)用的基礎(chǔ)。大數(shù)據(jù)挖掘是對(duì)整個(gè)數(shù)據(jù)池中的所有相關(guān)的源數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，其中一個(gè)源數(shù)據(jù)被破壞，如果不能剔除，就意味著，整個(gè)數(shù)據(jù)池中的大數(shù)據(jù)都不可用，關(guān)聯(lián)分析的結(jié)果就可能是錯(cuò)誤的。

所以，大數(shù)據(jù)系統(tǒng)中，源數(shù)據(jù)的完整性保護(hù)其目標(biāo)不僅是數(shù)據(jù)自身不被改變，還要考慮到這個(gè)數(shù)據(jù)被改變后，需要清楚這個(gè)源數(shù)據(jù)是在什么時(shí)刻，什么位置被改變的。要能證明這個(gè)“源數(shù)據(jù)”是原始的、干凈的。

對(duì)于任何一個(gè)IT系統(tǒng)來(lái)說(shuō)，不被入侵的概率為0，被入侵是完全可能的，包括各類惡意代碼的感染，被入侵就有可能導(dǎo)致數(shù)據(jù)的泄露和被破壞。只要一個(gè)源數(shù)據(jù)被破壞，如果不能清除，或者恢復(fù)，就意味著整個(gè)“數(shù)據(jù)池”資源不能再被使用，這不能不說(shuō)是極大的浪費(fèi)和損失。

所以，與其說(shuō)是對(duì)源數(shù)據(jù)的完整性保護(hù)要求，不如說(shuō)是對(duì)源數(shù)據(jù)的“源跟蹤保護(hù)”要求。

(2)保護(hù)方法的差異性

對(duì)數(shù)據(jù)的完整性保護(hù)[1]，其保護(hù)措施無(wú)非是利用哈希值進(jìn)行比較利用冗余度來(lái)進(jìn)行校驗(yàn)和恢復(fù)。

而對(duì)于源數(shù)據(jù)來(lái)說(shuō)，僅僅靠對(duì)數(shù)據(jù)的哈希值進(jìn)行比較是不夠的。

哈希值與數(shù)據(jù)塊之間是可能建立一一對(duì)應(yīng)的關(guān)系的。但是，此哈希值所標(biāo)注的數(shù)據(jù)塊是否是源數(shù)據(jù)塊是無(wú)法證明的，入侵者，可以將數(shù)據(jù)塊進(jìn)行改變，同時(shí)產(chǎn)生新的哈希值，并將原來(lái)的哈希值刪除，用新的哈希值來(lái)替代原來(lái)的哈希值。這樣，被改變的哈希值與被改變的數(shù)據(jù)塊之間仍然是對(duì)應(yīng)關(guān)系。

所以，單向函數(shù)只能證明數(shù)據(jù)塊與哈希值的對(duì)應(yīng)關(guān)系，不能為數(shù)據(jù)的“源”提供證明。這一點(diǎn)，是需要解決的。

不得不提的是，對(duì)元數(shù)據(jù)的跟蹤保護(hù)問(wèn)題。元數(shù)據(jù)是對(duì)數(shù)據(jù)進(jìn)行描述的數(shù)據(jù)，我們查尋數(shù)據(jù)文件，是要通過(guò)元數(shù)據(jù)來(lái)查尋的。如果元數(shù)據(jù)出了問(wèn)題，這個(gè)數(shù)據(jù)我們就找不到了。

2　采集的數(shù)據(jù)清洗問(wèn)題

大數(shù)據(jù)是通過(guò)各種采集方法，包括爬蟲爬來(lái)的數(shù)據(jù)，網(wǎng)絡(luò)傳輸中流經(jīng)某節(jié)點(diǎn)的數(shù)據(jù)，各應(yīng)用單位存留的數(shù)據(jù)等等。采集到的數(shù)據(jù)是存在很多問(wèn)題的，是需要整理的，這雖然不完全算是一個(gè)安全問(wèn)題，但我們必須從安全的角度把它看成是大數(shù)據(jù)安全一個(gè)“痛點(diǎn)”?！案兄鞘袛?shù)據(jù)科學(xué)研究院”的朱琳博士認(rèn)為:初始采集的數(shù)據(jù)存在著“錯(cuò)、雜、亂、丟、騙”五大問(wèn)題。其中的，“丟”和“騙”完全是屬于安全的范疇。

關(guān)于欺騙，不僅可能存在于采集端，還可能存在于交易端。

數(shù)據(jù)的真實(shí)性，應(yīng)該是數(shù)據(jù)的一個(gè)獨(dú)立的安全屬性，應(yīng)該作以下定義:

數(shù)據(jù)的真實(shí)性應(yīng)該是指:“數(shù)據(jù)所表征的信息內(nèi)容與事實(shí)相符合”。

方濱興院士以前就提出了，數(shù)據(jù)的真實(shí)性問(wèn)題[2]，并認(rèn)為完整性應(yīng)該被包含在真實(shí)之內(nèi)。對(duì)此，筆者并沒有完全的理解。

數(shù)據(jù)的完整性與數(shù)據(jù)的真實(shí)性應(yīng)該兩相對(duì)獨(dú)立屬性，但是完整性則是真實(shí)性的基礎(chǔ)，完整性被破壞了，真實(shí)性也就不存在了。但是并不能認(rèn)為，完整性包含在真實(shí)性之內(nèi)。完整性的定義是:不被未授權(quán)的改變。與真實(shí)性的定義并不相關(guān)。

數(shù)據(jù)的真實(shí)性，在信息系統(tǒng)中，并不是一個(gè)需要保護(hù)的安全屬性。但是，在大數(shù)據(jù)環(huán)境中，數(shù)據(jù)的真實(shí)性則必須要認(rèn)真對(duì)待。

作為數(shù)據(jù)的安全屬性，學(xué)者一直提到的只有C、I、A，這在過(guò)去是正確的，在信息系統(tǒng)中，真實(shí)性問(wèn)題基本上不需要考慮。但是在大數(shù)據(jù)環(huán)境下，這一屬性則不能忽視。筆者把數(shù)據(jù)的真實(shí)性問(wèn)題歸結(jié)以下幾類:

數(shù)據(jù)與數(shù)據(jù)源都是真實(shí)的，這類數(shù)據(jù)可信；

數(shù)據(jù)是假的但是數(shù)據(jù)源是真的，這類數(shù)據(jù)當(dāng)然不可信；

數(shù)據(jù)是真的但是數(shù)據(jù)源是假的，這類數(shù)據(jù)經(jīng)過(guò)處理后也是可信的；

數(shù)據(jù)和數(shù)據(jù)源都是假的，這類是最典型的欺騙。

3　大數(shù)據(jù)挖掘中的訪問(wèn)控制與大數(shù)據(jù)的濫用

對(duì)于傳統(tǒng)的信息系統(tǒng)來(lái)說(shuō)，存在三個(gè)大的集合，第一是主體集合，第二是客體集合，第三是操作集合，主體通過(guò)操作來(lái)對(duì)客體進(jìn)行訪問(wèn)。其是否允許某一主體訪問(wèn)一特定的客體，是操作系統(tǒng)中的訪問(wèn)監(jiān)控器來(lái)仲裁。

在信息系統(tǒng)中，主體對(duì)客體的訪問(wèn)基本上可以歸結(jié)為讀、寫、執(zhí)行和控制。主體對(duì)客體進(jìn)行訪問(wèn)是需要得到相應(yīng)的授權(quán)。應(yīng)該說(shuō)在信息系統(tǒng)中，這種授權(quán)訪問(wèn)已經(jīng)得到了很好的解決，針對(duì)不同的安全屬性保護(hù)需求，可以采取不同的訪問(wèn)控制模型:對(duì)于機(jī)密性保護(hù)采取BLP模型，對(duì)于完整性保護(hù)則需要采取Biba模型，同時(shí)還有基于角色的訪問(wèn)控制模型RBAC；基于任務(wù)的訪問(wèn)控制模型TBAC[3]。主體客體的訪問(wèn)在獲得授權(quán)的前提下，主體可以或者需要對(duì)客體的全部進(jìn)行訪問(wèn)。主體與客體之間是一一對(duì)應(yīng)的關(guān)系。

但是在大數(shù)據(jù)挖掘[4]過(guò)程中，主體訪問(wèn)的不是一個(gè)客體的全部，僅僅是某些客體的某些特征量，同時(shí)主體對(duì)客體的訪問(wèn)也不應(yīng)該是客體的全部，而只是這些與特征量相關(guān)的信息。這樣原來(lái)的訪問(wèn)控制模型就不能完全的適應(yīng)于這樣模式的訪問(wèn)控制。除了特征信息之外的信息內(nèi)容，是不應(yīng)該授權(quán)進(jìn)行訪問(wèn)的。否則，就可能出現(xiàn)大數(shù)據(jù)的濫用問(wèn)題。

對(duì)于一個(gè)進(jìn)行大數(shù)據(jù)挖掘的人員來(lái)說(shuō)，數(shù)據(jù)資源池中的數(shù)據(jù)，如果不進(jìn)行限制，他即可以依據(jù)給定的特征進(jìn)行挖掘，也可以自定義一些特征進(jìn)行挖掘，對(duì)于自定義的挖掘，就意味著大數(shù)據(jù)的濫用，就可能導(dǎo)致個(gè)人隱私，國(guó)家秘密，企業(yè)秘密等等信息泄露。

對(duì)于大數(shù)據(jù)挖掘來(lái)說(shuō)，源數(shù)據(jù)的完整性是必須保護(hù)的，不允許對(duì)源數(shù)據(jù)進(jìn)行寫操作，但是讀操作，如何讀則必須要研究。

相應(yīng)的，大數(shù)據(jù)挖掘過(guò)程中的審計(jì)[5]問(wèn)題也必須一并解決。

4　個(gè)人隱私與國(guó)家秘密的泄露問(wèn)題

個(gè)人隱私的泄露，很多人都談過(guò)，這里筆者不贅述。

對(duì)于國(guó)家秘密的泄露問(wèn)題，筆者想說(shuō)的不是這些秘密的直接的泄露，而是在大數(shù)據(jù)環(huán)境下通過(guò)已知條件求出的未知信息。

國(guó)家保密局的同志，經(jīng)常愛用一幅照片來(lái)講泄密的問(wèn)題，上個(gè)世紀(jì)60年代，一位攝影家，為鐵人王進(jìn)喜拍的一幅照片。國(guó)外通過(guò)對(duì)這個(gè)照片上王進(jìn)喜的穿戴和背景，推斷出了大慶油田的具體位置。

在大數(shù)據(jù)的環(huán)境下，可以用來(lái)進(jìn)行關(guān)聯(lián)分析的已知信息要比那幅照片上的信息多得多，一個(gè)人或者某些特殊人物的手機(jī)位置信息，用的微信號(hào)；某些工程機(jī)械使用的特殊的油料；某些材料的使用情況；等等。都可能成為推斷某些國(guó)家秘密信息的已知條件。不能因?yàn)榇髷?shù)據(jù)的應(yīng)用，而導(dǎo)致這些重要的秘密信息的泄露，那可是得不償失。

5　針對(duì)大數(shù)據(jù)及大數(shù)據(jù)系統(tǒng)的犯罪取證問(wèn)題

對(duì)于網(wǎng)絡(luò)犯罪，取證是一個(gè)大的難題，盡管多年來(lái)許多人的研究，已經(jīng)取得了一些進(jìn)展，但是達(dá)到還原犯罪過(guò)程和現(xiàn)場(chǎng)的目標(biāo)還是有距離的。

在大數(shù)據(jù)環(huán)境下，這一問(wèn)題會(huì)變得更為復(fù)雜和困難。在數(shù)據(jù)的清洗、挖掘和交易、傳輸儲(chǔ)存等環(huán)節(jié)上，都有可能出現(xiàn)針對(duì)大數(shù)據(jù)系統(tǒng)的犯罪活動(dòng)，如何將這些犯罪行為所產(chǎn)生的痕跡、進(jìn)行認(rèn)定、固定、保存(可證明其原始性的保存)和舉證都是需要研究的課題。

6　大數(shù)據(jù)的權(quán)屬問(wèn)題

這是一個(gè)不得不提的問(wèn)題，大數(shù)據(jù)資源權(quán)屬歸誰(shuí)所有。這需要從法律上和技術(shù)進(jìn)行規(guī)范。

7　結(jié)語(yǔ)

大數(shù)據(jù)，由于其的資源性，并且這種資源更豐富，更全面，更完整，必然對(duì)一些覬覦者有更大的吸引力。本文中，筆者只是給出了大數(shù)據(jù)系統(tǒng)中可能面臨的“特出”的安全“痛點(diǎn)”，并沒有提出相應(yīng)的解決方法，筆者的目的是想引起相關(guān)專家和技術(shù)人員及企業(yè)的重視，來(lái)研究和解決這些問(wèn)題。也希望能引起業(yè)界，對(duì)大數(shù)據(jù)及大數(shù)據(jù)系統(tǒng)特出的安全風(fēng)險(xiǎn)的關(guān)注，引起一些討論和爭(zhēng)論。實(shí)際上，有一些問(wèn)題，已經(jīng)有了比較好的解決方法，有些尚在研究中，愿大家一起努力，為大數(shù)據(jù)的安全，獻(xiàn)計(jì)獻(xiàn)策。另一方面，筆者也想利用此文引發(fā)一些對(duì)大數(shù)據(jù)安全風(fēng)險(xiǎn)的討論，畢竟一個(gè)人的觀點(diǎn)，總是有局限性。集大家的智慧，才能把大數(shù)據(jù)的安全風(fēng)險(xiǎn)分析清楚，并找出解決方法和手段，從而推動(dòng)大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。

[1] 秦潔.基于VFP的數(shù)據(jù)完整性保護(hù)策略[J].信息技術(shù)與信息化，2014(4):248—250.

[2] 方濱興，殷麗華.關(guān)于信息安全定義的研究[J].信息網(wǎng)絡(luò)安全，2008(1):8-9

[3] 李鳳華，蘇铓，史國(guó)振等.訪問(wèn)控制模型研究進(jìn)展及發(fā)展趨勢(shì).電子學(xué)報(bào)，，2012，40(4):805-813.

[4] 程陳.大數(shù)據(jù)挖掘分析[J].軟件，2014，35(4):130-131.

[5] 朱勝奎.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全審計(jì)技術(shù)研究[EB/OL]. http://www.docin.com/p-1399525776.html.

陸寶華(1954—)，退休前為大連市公安局網(wǎng)絡(luò)警察支隊(duì)調(diào)研員，現(xiàn)為工業(yè)控制信息安全國(guó)家工程實(shí)驗(yàn)室專家委員。主要從事信息安全等級(jí)保護(hù)研究，現(xiàn)在的研究方向大數(shù)據(jù)安全、智慧城市安全。主要著作:《信息系統(tǒng)安全原理與應(yīng)用》(2006年，清華大學(xué)出版社)；《信息安全等級(jí)保護(hù)技術(shù)基礎(chǔ)培訓(xùn)教程》；《信息安全等級(jí)保護(hù)基本要求培訓(xùn)教程》。(2009年，電子工業(yè)出版社)?！?/p>

"Pain Points"of Big-Data Security

LU Bao-hua
(National Infosec Technology Engineering Laboratory of Industrial Control System，Beijing 102209，China)

Based on the analysis，the special security requirements different from other IT systems for large-data system are given，and discussion and analysis on these requirement may remind the producers and owners of big data，including the prganizations engaged in security research and development to pay more attention to those security“pain points”，and thus to enhance their ability of big-data protection.

big-data；security；access control；audit integrity protection；source data

TP309

A

1009-8054(2016)08-0108-03

?2016-03-22