唐瑋杰 黃文明

【 摘 要 】 近些年來，隨著時代經(jīng)濟的飛速發(fā)展以及科學技術(shù)的日新月異，當前計算機技術(shù)以及互聯(lián)網(wǎng)技術(shù)有著越來越廣泛的應用，同時也帶來了一定的數(shù)據(jù)安全問題，對于如何做好大數(shù)據(jù)時代下數(shù)據(jù)安全問題的分析和控制，始終是當前人們關(guān)注的焦點之一。論文就大數(shù)據(jù)時代背景下運用數(shù)據(jù)防泄露和數(shù)據(jù)加固等安全技術(shù)，提出數(shù)據(jù)安全管理體系建設的思路與方法，從而有效地進行數(shù)據(jù)風險管理。

【 關(guān)鍵詞 】 大數(shù)據(jù)；數(shù)據(jù)安全管理體系；數(shù)據(jù)泄露

【 Abstract 】 In recent years， with the rapid development of economy and the rapid development of science and technology， the computer technology and Internet technology has a more and more extensive application， at the same time it also brings some problems of data security， how to do a good job in the era of big data data security problem analysis and control is always the focus of people's attention at present. This paper puts forward the ideas and methods of data security management system based on the background of the era of big data， such as data leakage prevention and data consolidation.

【 Keywords 】 big data；data security management system；data leakage

1 引言

隨著信息技術(shù)快速發(fā)展和各種信息系統(tǒng)等廣泛應用，也隨之產(chǎn)生大量的業(yè)務數(shù)據(jù)，企業(yè)日益依賴于信息技術(shù)來支撐各類業(yè)務系統(tǒng)的穩(wěn)定運行。業(yè)務數(shù)據(jù)已發(fā)展成為企業(yè)和各類使用對象的重要資產(chǎn)，也是企業(yè)最寶貴的財富。數(shù)據(jù)已成為組織重要的核心競爭力，數(shù)據(jù)型組織是必然的發(fā)展方向。但頻繁有信息安全、敏感信息數(shù)據(jù)泄漏的問題發(fā)生，給企業(yè)帶來了巨大的利益損失，對于企業(yè)來說，能夠在信息安全防護中保障數(shù)據(jù)的安全有著極為重要的地位。

在大數(shù)據(jù)時代背景下，各類數(shù)據(jù)給企業(yè)和各類使用對象提供了指導和決策的基礎(chǔ)，成為企業(yè)最重要的資產(chǎn)載體。然而數(shù)據(jù)在收集、存儲、傳輸和使用過程中缺乏必要技術(shù)防護手段，使得大量敏感信息的安全性無法得到有效的保障。數(shù)據(jù)安全是信息安全的源頭，是安全防范的重點，也是難中之難。因此，如何進一步加強數(shù)據(jù)安全建設成為當務之急。

2 大數(shù)據(jù)時代數(shù)據(jù)面臨的安全問題分析

隨著大數(shù)據(jù)技術(shù)的不斷深入應用，大數(shù)據(jù)時代下的信息安全防護所面臨的風險相比以前也發(fā)生了根本性的變化。從信息安全的角度考慮和出發(fā)，大數(shù)據(jù)時代下數(shù)據(jù)安全主要面臨多項挑戰(zhàn)。例如，數(shù)據(jù)質(zhì)量及安全難以保證，尤其是跨系統(tǒng)、跨平臺測試數(shù)據(jù)難以獲取并驗證，數(shù)據(jù)質(zhì)量難以保證；用戶因為對業(yè)務系統(tǒng)不熟悉而導致在使用過程中進行誤操作給業(yè)務系統(tǒng)造成難以恢復的損失；外部非授權(quán)人員（如黑客）多數(shù)據(jù)庫進行惡意入侵，獲取或者刪除數(shù)據(jù)庫里的數(shù)據(jù)；數(shù)據(jù)具有易復制的特征，所有針對數(shù)據(jù)的安全事件發(fā)生后，無法進行有效的追溯和審計；數(shù)據(jù)具有易流動的特征，大量數(shù)據(jù)的匯集不可避免地加大了泄露的風險，在數(shù)據(jù)傳輸過程中或多或少會存在主動或意外的數(shù)據(jù)泄漏；數(shù)據(jù)具有難管理的特征，大數(shù)據(jù)技術(shù)成為黑客的攻擊手段；業(yè)務系統(tǒng)用戶、維護人員、外部訪問用戶在訪問業(yè)務數(shù)據(jù)時，操作數(shù)據(jù)庫的行為缺乏綜合審計。

3 大數(shù)據(jù)時代數(shù)據(jù)安全管理體系

3.1 數(shù)據(jù)安全管理體系建設的必要性

大數(shù)據(jù)（Big Data）是指“無法用現(xiàn)有的軟件工具提取、存儲、搜索、共享、分析和處理的海量的、復雜的數(shù)據(jù)集合”。大數(shù)據(jù)具備數(shù)據(jù)體量巨大、數(shù)據(jù)類型繁多、價值密度低和處理速度快的四個典型特征。數(shù)據(jù)是企業(yè)的重要資產(chǎn)組成部分，幾乎是企業(yè)所有的經(jīng)營活動所依賴的、不可或缺的信息。數(shù)據(jù)就猶如企業(yè)經(jīng)營者的眼睛一樣，通過數(shù)據(jù)可以反映出經(jīng)營的問題，進行相應的正確決策，就猶如舵手依賴導航一樣。

大數(shù)據(jù)作為一種新興的技術(shù)，在目前的環(huán)境下針對大數(shù)據(jù)并沒有建立一套比較完整的數(shù)據(jù)安全管理體系標準，要想從根本上對大數(shù)據(jù)信息安全進行防護，應當優(yōu)先考慮從大數(shù)據(jù)技術(shù)的使用、平臺建設、運行管理、風險評估等各個方面來完善數(shù)據(jù)安全管理體系的標準建設，最終實現(xiàn)大數(shù)據(jù)信息安全可視可控的目標。

3.2 數(shù)據(jù)安全管理體系的技術(shù)架構(gòu)

數(shù)據(jù)安全管理體系需要打造一個統(tǒng)一平臺，通過分層建設、分級防護，達到平臺能力及應用的可成長、可擴充，創(chuàng)造面向數(shù)據(jù)的安全管理體系系統(tǒng)框架。數(shù)據(jù)安全管理體系架構(gòu)自下而上分為：數(shù)據(jù)分析層、數(shù)據(jù)防泄露層、數(shù)據(jù)脫敏層、敏感數(shù)據(jù)隔離交換層和數(shù)據(jù)庫加固層，從而組成完善的數(shù)據(jù)標準體系和安全管理體系。如圖1所示。

數(shù)據(jù)分析層是數(shù)據(jù)安全管理體系的基本條件。數(shù)據(jù)分析層通過收集和歸一各類業(yè)務系統(tǒng)產(chǎn)生的海量信息數(shù)據(jù)，運用實時關(guān)聯(lián)分析技術(shù)、智能推理技術(shù)和風險管理技術(shù)，對各類海量數(shù)據(jù)事件進行統(tǒng)一加工分析，實現(xiàn)對數(shù)據(jù)安全風險的統(tǒng)一監(jiān)控管理和未知風險預警處理。

敏感數(shù)據(jù)隔離交換層通過數(shù)據(jù)指紋采集、內(nèi)容檢測和響應處理三個步驟，突破深度內(nèi)容識別的關(guān)鍵技術(shù)，從而解決了困擾用戶的既可以網(wǎng)絡連通，有保證了數(shù)據(jù)交換的安全性，同時也極大地提高了工作效率。

數(shù)據(jù)防泄露層針對數(shù)據(jù)易流動、易復制、難管理的特征，通過深度內(nèi)容分析和事務安全關(guān)聯(lián)分析來識別、監(jiān)視和保護靜止的數(shù)據(jù)、移動的數(shù)據(jù)以及使用中的數(shù)據(jù)，達到敏感數(shù)據(jù)利用的事前、事中、事后完整保護，實現(xiàn)數(shù)據(jù)的合規(guī)使用，同時防止主動或意外的數(shù)據(jù)泄漏，保障企業(yè)數(shù)據(jù)資產(chǎn)可控、可信、可充分利用。

數(shù)據(jù)脫敏層通過獨特的數(shù)據(jù)抽取方法使用戶能夠快速創(chuàng)建小容量子集，對敏感信息進行脫敏、變形，由此提高數(shù)據(jù)管理人員的工作效率，同時規(guī)避信息風險，對客戶等資產(chǎn)安全，敏感信息提供完善的保護。

數(shù)據(jù)庫監(jiān)控與加固層是保護數(shù)據(jù)安全的最后一道防線，其核心是讓數(shù)據(jù)變得更加牢固。數(shù)據(jù)庫監(jiān)控與加固層具有數(shù)據(jù)庫狀態(tài)監(jiān)控、數(shù)據(jù)庫審計、數(shù)據(jù)庫風險掃描、訪問控制等多種引擎，可提供黑白名單和例外策略、用戶登錄控制、用戶訪問權(quán)限控制，并且具有實時監(jiān)控數(shù)據(jù)庫訪問行為和靈活的告警功能。

3.3 數(shù)據(jù)安全管理體系平臺技術(shù)實現(xiàn)

3.3.1 數(shù)據(jù)安全分析技術(shù)

以安全對象管理為基礎(chǔ)，以風險管理為核心，以安全事件為主線，運用實時關(guān)聯(lián)分析技術(shù)（如Hadoop、Spark、HDFS、MapReduce等），智能推理技術(shù)和風險管理技術(shù)，通過對海量信息數(shù)據(jù)進行深度歸一化分析，結(jié)合有效的網(wǎng)絡監(jiān)控管理，安全預警響應和工單處理等功能，實現(xiàn)對數(shù)據(jù)安全信息深度解析，最終幫助企業(yè)實現(xiàn)整網(wǎng)安全風險態(tài)勢的統(tǒng)一分析和管理。

3.3.2 敏感數(shù)據(jù)隔離交換技術(shù)

利用深度內(nèi)容識別技術(shù)，首先對用戶定義為敏感、涉密的數(shù)據(jù)進行特征的提取，可以包括非結(jié)構(gòu)化數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)、二進制文件等，形成敏感數(shù)據(jù)的特征庫，當有新的文件需要傳輸?shù)臅r候，系統(tǒng)對新文件進行實時的特征比對，敏感數(shù)據(jù)禁止傳輸。通過管理中心統(tǒng)一下發(fā)策略，可以在存儲敏感數(shù)據(jù)的服務器或者文件夾中利用用戶名和口令主動獲取數(shù)據(jù)，對相關(guān)的文件數(shù)據(jù)進行檢測，并根據(jù)檢測結(jié)果進行的處置。

3.3.3 數(shù)據(jù)防泄露技術(shù)

數(shù)據(jù)控制類技術(shù)：主要采用軟件控制、端口控制等有效手段對計算機的各種端口和應用實施嚴格的控制和審計，對數(shù)據(jù)的訪問、傳輸及推理進行嚴格的控制和管理。通過深度內(nèi)容識別的關(guān)鍵技術(shù)，進行發(fā)送人和接收人的身份檢測、文件類型檢測、文件名檢測和文件大小檢測，來實現(xiàn)對敏感數(shù)據(jù)在傳輸過程中進行有效管控，定時檢查、事件安全事后審計，防止未經(jīng)允許的數(shù)據(jù)信息被泄露，保障數(shù)據(jù)資產(chǎn)可控、可信、可充分利用。

數(shù)據(jù)過濾類技術(shù)：在網(wǎng)絡出口處部署數(shù)據(jù)過濾設備，分析網(wǎng)絡常見的協(xié)議（比如TCP、HTTP、POP3、FTP、即時通訊等），對上述所涉及到的協(xié)議內(nèi)容進行分析、過濾，設置過濾規(guī)則和關(guān)鍵字過濾出相關(guān)內(nèi)容，防止敏感數(shù)據(jù)的泄露。

3.3.4 數(shù)據(jù)加密技術(shù)

為了保證大數(shù)據(jù)在傳輸過程中的安全性，需要對信息數(shù)據(jù)進行相應的加密處理。通過數(shù)據(jù)加密系統(tǒng)對要上傳的數(shù)據(jù)流進行加密，對要下載的數(shù)據(jù)同樣要經(jīng)過對應的解密系統(tǒng)才能查看。因此需要在客戶端和服務端分別設置一個統(tǒng)一的文件加/解密系統(tǒng)對傳輸數(shù)據(jù)進行處理。同時，為了增強其安全性，應該將密鑰與加密數(shù)據(jù)分開存放。借鑒Linux系統(tǒng)中Shadow文件的作用，該文件實現(xiàn)了口令信息和賬戶信息的分離，在賬戶信息庫中的口令字段只用一個x作為標示，不再存放口令信息。

3.3.5 數(shù)據(jù)庫安全加固技術(shù)

數(shù)據(jù)庫安全加固核心技術(shù)為數(shù)據(jù)庫狀態(tài)監(jiān)控、數(shù)據(jù)庫風險掃描、數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻和數(shù)據(jù)庫透明加密技術(shù)。通過構(gòu)建數(shù)據(jù)庫安全加固平臺，以“第三者”的角度觀察和記錄網(wǎng)絡中對數(shù)據(jù)庫的一切訪問行為，從源頭保護數(shù)據(jù)，建立縱深防護體系。

4 總結(jié)分析

4.1 大數(shù)據(jù)背景下的數(shù)據(jù)安全管理建設的著重點與突破點

通過對大數(shù)據(jù)背景下數(shù)據(jù)安全所存在的問題進行深入分析，我們可以從幾個方面作為重點和突破口。

首先是進行大數(shù)據(jù)技術(shù)的安全防護技術(shù)創(chuàng)新。大數(shù)據(jù)時代各類數(shù)據(jù)信息安全威脅不盡相同，只有不斷的進行技術(shù)創(chuàng)新，提前預防預警安全風險，實現(xiàn)安全可視的目標。

其次是加強立法和監(jiān)管力度。由于大數(shù)據(jù)具備的幾個典型特征，在海量數(shù)據(jù)收集、傳輸、存儲和處理過程會比較不集中，可控性差，因此需要在國家相應政策指導通力配合，大力推進對數(shù)據(jù)使用的安全統(tǒng)一標準體系，完善其管理和監(jiān)督力度。

最后運用大數(shù)據(jù)技術(shù)結(jié)合其他技術(shù)提升安全防護能力。比如大數(shù)據(jù)技術(shù)與現(xiàn)今的云安全技術(shù)等相結(jié)合，統(tǒng)一平臺，統(tǒng)一歸納分析，多層次安全防護。

4.2 大數(shù)據(jù)背景下的數(shù)據(jù)安全管理面臨挑戰(zhàn)

4.2.1 信息數(shù)據(jù)泄露問題

傳統(tǒng)網(wǎng)絡安全保護，難以匹配信息化的數(shù)據(jù)轉(zhuǎn)型，數(shù)據(jù)外泄事件屢有發(fā)生，棱鏡門、CSDN密碼泄漏、如家開房信息泄漏、Sony個人信息泄漏等。這些事件，對組織造成重大的甚至無法彌補的經(jīng)濟損失與聲譽損失?，F(xiàn)在，組織的數(shù)據(jù)不僅涉及企業(yè)自身，還涉及個人隱私、國家利益等，國家、行業(yè)有關(guān)數(shù)據(jù)安全的法律、法規(guī)、制度也越來越多，數(shù)據(jù)防泄漏是要求的重點。大數(shù)據(jù)具備信息大和易流通的特征，若不加以嚴格控制使用，其所含的商業(yè)信息或私密信息就可能被泄露。

4.2.2 數(shù)據(jù)存儲問題

大數(shù)據(jù)在存儲過程中帶來了一系列新的安全問題，數(shù)據(jù)大集中的后果是復雜多樣的數(shù)據(jù)存儲在一起。大數(shù)據(jù)分析往往需要多類數(shù)據(jù)相互參考，而在過去并不會有這種數(shù)據(jù)混合訪問的情況，因此大數(shù)據(jù)應用也催生出一些新的、需要考慮的安全性問題，安全防護手段的更新升級速度無法跟上數(shù)據(jù)量非線性增長的步伐，就會暴露大數(shù)據(jù)安全防護的漏洞。

5 結(jié)束語

大數(shù)據(jù)時代已然到來，隨之而來的也有一些不可避免的機遇和挑戰(zhàn)。根據(jù)梳理出的當前大數(shù)據(jù)安全與隱私保護的相關(guān)關(guān)鍵技術(shù)，我們可以看出，當前國內(nèi)外針對大數(shù)據(jù)安全與隱私保護的相關(guān)研究還不充分，也沒有相應完整的信息數(shù)據(jù)安全管理體系。

因此，數(shù)據(jù)安全防護任重道遠，只有通過有效的技術(shù)手段和相關(guān)政策法規(guī)等相完美結(jié)合，才能從根本上解決大數(shù)據(jù)安全與數(shù)據(jù)泄露的保護問題。當然，安全也不是絕對的，在進攻和防守永不停歇的安全領(lǐng)域，只有不斷的進行技術(shù)創(chuàng)新，才是有效保障數(shù)據(jù)安全的重要解決方式。

參考文獻

[1] 劉銀平，穆良知.基于大數(shù)據(jù)分析的云安全管理系統(tǒng)設計[J].中國信息安全，2015.

[2] 吳蓓，劉海光.淺析大數(shù)據(jù)時代的信息安全[J].計算機光盤軟件與應用，2013.

[3] 于慧勇.大數(shù)據(jù)時代的信息安全風險與防護[J].計算機光盤軟件與應用，2014.

[4] 馮偉.大數(shù)據(jù)時代信息安全面臨的挑戰(zhàn)與機遇[J].中國科技投資，2012.

[5] 李小平.終端安全風險管理[M].北京：機械工業(yè)出版社.

[6] 黃偉.淺談數(shù)據(jù)防泄露技術(shù)[J].科技風.

作者簡介：

唐瑋杰（1985-），男，壯族，廣西南寧人，畢業(yè)于桂林電子科技大學，本科，學士；主要研究方向和關(guān)注領(lǐng)域：計算機與信息安全。

黃文明（1963-），男，漢族，江蘇人，畢業(yè)于南京工學院，本科，桂林電子科技大學計算機與信息安全學院軟件工程系，教授，主任；主要研究方向和關(guān)注領(lǐng)域：計算機與信息安全。