孫翠云

(公安部第三研究所，上海 201204)

隨著信息技術(shù)的快速發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)為科技信息化發(fā)展帶來了新動力，但同時也給網(wǎng)絡(luò)信息安全帶來了新挑戰(zhàn)[1]，主要表現(xiàn)在：一是大數(shù)據(jù)和云計算技術(shù)改變了數(shù)據(jù)的生命周期，打破了數(shù)據(jù)安全閉環(huán)，特別是數(shù)據(jù)資源大量匯聚、集中存儲以后，信息泄露、數(shù)據(jù)濫用等安全風險逐步加大；二是云平臺的分布計算本質(zhì)降低了傳統(tǒng)安全防護手段效能，增加了安全設(shè)施集成部署的難度，現(xiàn)有的信息安全技術(shù)無法在大數(shù)據(jù)環(huán)境中完全有效地運用；三是目前安全運行的組織架構(gòu)、人員技能水平、應(yīng)急響應(yīng)能力無法適應(yīng)大數(shù)據(jù)中心的安全管理要求；四是信息網(wǎng)絡(luò)安全標準滯后于大數(shù)據(jù)、云計算技術(shù)發(fā)展，不能為大數(shù)據(jù)信息安全提供指導。

當前，國家正大力開展大數(shù)據(jù)中心建設(shè)，各省市也成立了大數(shù)據(jù)中心部門，大數(shù)據(jù)中心作為我國重要的基礎(chǔ)設(shè)施，在日常工作中的基礎(chǔ)性、全局性作用日趨顯著。隨著世界范圍內(nèi)圍繞信息的獲取、使用、控制的斗爭愈演愈烈，全球網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密和網(wǎng)絡(luò)犯罪等問題日漸突出，大數(shù)據(jù)安全問題已經(jīng)成為與政治安全、經(jīng)濟安全、網(wǎng)絡(luò)安全、信息安全、文化安全同等重要[2]，事關(guān)國家安全的重大戰(zhàn)略要害問題。大數(shù)據(jù)中心一旦發(fā)生安全問題，造成系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓、病毒暴發(fā)或重要數(shù)據(jù)丟失、泄露，勢必導致災(zāi)難性后果，給系統(tǒng)正常運轉(zhuǎn)、甚至國家信息體系完整性帶來重大損失。為此，建立以數(shù)據(jù)安全為核心的大數(shù)據(jù)安全保障體系，確保信息安全與大數(shù)據(jù)發(fā)展同步規(guī)劃、同步建設(shè)、同步運行，成為大數(shù)據(jù)建設(shè)最為迫切的重大任務(wù)之一。

1 大數(shù)據(jù)自身面臨的安全威脅和新型攻擊手段

由于大數(shù)據(jù)體量巨大、高速產(chǎn)生、類型多樣、分布協(xié)同，數(shù)據(jù)價值稀疏，安全防護手段難以聚集于價值點上，同時攻擊者同樣可以使用大數(shù)據(jù)技術(shù)更大限度地收集信息、實施精準攻擊；云計算技術(shù)，導致數(shù)據(jù)所有權(quán)與使用權(quán)分離，在數(shù)據(jù)生命周期內(nèi)的每個環(huán)節(jié)，都將面臨新的安全問題。我們必須從整體著眼、從根源著手，從數(shù)據(jù)自身安全出發(fā)，構(gòu)建全方位監(jiān)探、全流程檢測、全時空響應(yīng)的縱深安全防御體系。

首先，從大數(shù)據(jù)收集、存儲、傳輸、使用等階段分析大數(shù)據(jù)自身面臨的安全威脅和新型攻擊手段[3]。

（1）數(shù)據(jù)收集階段的安全威脅

數(shù)據(jù)源頭攻擊問題：大數(shù)據(jù)采集過程中，數(shù)據(jù)源存在潛在的被攻擊威脅。比如，在物聯(lián)網(wǎng)網(wǎng)絡(luò)邊緣中，被滲透的采集終端能夠輕易地繞過網(wǎng)絡(luò)路由信任機制核驗，使得目標用戶接收不到數(shù)據(jù)或接收到虛假數(shù)據(jù)，實現(xiàn)阻斷、篡改網(wǎng)絡(luò)數(shù)據(jù)或旁路至惡意第三方。為大數(shù)據(jù)資源池提供數(shù)據(jù)的數(shù)據(jù)源要增加額外的互信機制，在數(shù)據(jù)采集時要確認其數(shù)據(jù)源的真實性、可靠性。

數(shù)據(jù)海量匯聚問題：數(shù)據(jù)海量匯聚沒有改變數(shù)據(jù)安全的本質(zhì)，但極度放大了數(shù)據(jù)安全的風險。海量數(shù)據(jù)匯聚到大數(shù)據(jù)中心群，為數(shù)據(jù)價值挖掘提升創(chuàng)造了必要條件，也成為重點攻擊目標，而一旦攻擊得手，失竊的信息量難以估量。特別是當前缺少數(shù)據(jù)分級分類管控的技術(shù)措施和管理制度，導致進一步提高了數(shù)據(jù)被竊取、泄露、濫用和損毀的風險。

數(shù)據(jù)交換問題：大數(shù)據(jù)中心要引接政府機構(gòu)數(shù)據(jù)、社會重要行業(yè)數(shù)據(jù)和互聯(lián)網(wǎng)數(shù)據(jù)，同時還需要向政府重要部門、社會公眾和基層提供數(shù)據(jù)服務(wù)，如何確保數(shù)據(jù)交換過程中的安全是極具挑戰(zhàn)性的問題。

（2）數(shù)據(jù)存儲階段的安全威脅

云存儲本身安全問題：在大數(shù)據(jù)中心建設(shè)中，海量數(shù)據(jù)需采用云計算技術(shù)進行存儲和管理，滿足對數(shù)據(jù)管理和使用的要求，但在保障存儲數(shù)據(jù)的完整性、容錯性、可恢復性等方面提出了新的安全挑戰(zhàn)。

NoSQL存儲安全問題：對海量非結(jié)構(gòu)化數(shù)據(jù)需使用NoSQL數(shù)據(jù)存儲技術(shù)進行存儲，該技術(shù)自身安全機制不夠完善，業(yè)務(wù)標準不統(tǒng)一，技術(shù)實現(xiàn)方式多樣，難以采用統(tǒng)一安全策略和措施對數(shù)據(jù)進行安全防護。

（3）數(shù)據(jù)傳輸階段的安全威脅

傳輸信道安全問題：數(shù)據(jù)傳輸需要各種網(wǎng)絡(luò)協(xié)議相互配合，有些協(xié)議缺少專用數(shù)據(jù)安全保護機制，數(shù)據(jù)傳輸過程中的數(shù)據(jù)泄露、破壞或攔截，都會帶來敏感信息外泄等安全問題。

數(shù)據(jù)真實性問題：大數(shù)據(jù)中心建設(shè)要實現(xiàn)數(shù)據(jù)全采集、應(yīng)用全觸網(wǎng)。大數(shù)據(jù)資源池可能會被惡意用戶或惡意終端節(jié)點注入虛假信息或惡意數(shù)據(jù)，利用數(shù)據(jù)泛在共享機制迅速擴散，嚴重危害整個系統(tǒng)的數(shù)據(jù)價值。

（4）數(shù)據(jù)使用階段的安全威脅

數(shù)據(jù)權(quán)限控制問題：大數(shù)據(jù)中心在運行過程中，數(shù)據(jù)資源會持續(xù)不斷地接入。數(shù)據(jù)權(quán)限控制是實現(xiàn)數(shù)據(jù)安全共享的有效手段，進行數(shù)據(jù)訪問權(quán)限細粒度劃分，構(gòu)造用戶權(quán)限和數(shù)據(jù)權(quán)限（只讀、只寫、讀寫）相互組合的復合控制方式，是實現(xiàn)數(shù)據(jù)權(quán)限控制的可靠途徑。

數(shù)據(jù)授權(quán)不合理問題：傳統(tǒng)的授權(quán)模式從應(yīng)用和角色的角度去關(guān)聯(lián)用戶的權(quán)限，不考慮應(yīng)用環(huán)境因素變化引入的風險變化，這種固定的、忽略環(huán)境風險的授權(quán)方式也不能適應(yīng)未來的業(yè)務(wù)發(fā)展需求，在大數(shù)據(jù)環(huán)境下，如果繼續(xù)嚴重這種方式，將引發(fā)數(shù)據(jù)過度暴露、權(quán)限適配錯亂等問題。

數(shù)據(jù)非常規(guī)使用問題：在數(shù)據(jù)分析挖掘過程中，數(shù)據(jù)分析工具在進行數(shù)據(jù)關(guān)聯(lián)、多維分析、數(shù)據(jù)挖掘時，可能會非授權(quán)訪問敏感數(shù)據(jù)；系統(tǒng)運行維護時，可能會丟棄原始數(shù)據(jù)或加工數(shù)據(jù)，導致關(guān)鍵數(shù)據(jù)損失；數(shù)據(jù)交付過程中，可能會發(fā)生數(shù)據(jù)分析結(jié)果違規(guī)發(fā)布，缺少數(shù)據(jù)泄露預案、無法溯源取證等問題。大數(shù)據(jù)中包括大量的個人相關(guān)信息，因此，個人隱私信息保護也是相當突出的問題。

大數(shù)據(jù)中心是構(gòu)建于傳統(tǒng)IT架構(gòu)之上的全新基礎(chǔ)運算環(huán)境，所面臨的安全威脅除了傳統(tǒng)安全威脅，還包括云計算體系新增的安全威脅。云計算技術(shù)讓網(wǎng)絡(luò)邊界、應(yīng)用邊界、數(shù)據(jù)邊界變得模糊，以往基于邊界防御的安全體系設(shè)計也不再適用。我們從虛擬化安全、終端安全、網(wǎng)絡(luò)安全、安全運營等方面分析大數(shù)據(jù)中心面臨的安全威脅和新型攻擊手段。主要有：

虛擬化安全問題：大數(shù)據(jù)應(yīng)用所需的分布式處理能力依賴于虛擬化技術(shù)，虛擬化大幅提升了基礎(chǔ)計算資源的利用率，同時也帶來了很多安全漏洞，比如開源的KVM虛擬機軟件的安全權(quán)限被繞開、毒液漏洞等。物理服務(wù)器上的多臺虛擬機之間理論上是完全隔離的，但實際上很多攻擊就是利用虛擬機之間的物理依賴關(guān)系展開攻擊，比如旁通道攻擊、拒絕服務(wù)攻擊等。

終端安全問題：大數(shù)據(jù)中心接入終端數(shù)量巨大，地理位置分散，終端存在的操作系統(tǒng)安全漏洞被利用將帶來極大的安全風險；終端缺乏入網(wǎng)注冊機制，對非法終端沒有技術(shù)上的準入控制能力；無法精確統(tǒng)計IT資產(chǎn)，也無法跟蹤硬件資產(chǎn)的歷史使用記錄，也不能及時掌握資產(chǎn)變動情況；終端用戶報告使用故障時，需要IT維護人員趕赴現(xiàn)場處理，消耗大量的人力和時間解決；內(nèi)網(wǎng)病毒暴發(fā)時，難以使用統(tǒng)一策略及時阻斷并控制危害范圍。

網(wǎng)絡(luò)邊界安全問題：安全建設(shè)目前側(cè)重于終端和網(wǎng)絡(luò)邊界的防護，未對應(yīng)用系統(tǒng)進行重點安全保護，缺少內(nèi)部網(wǎng)絡(luò)安全域劃分，不同安全等級的業(yè)務(wù)系統(tǒng)之間沒有有效的安全隔離屏障。整體上缺乏有效的縱深防御安全措施，攻擊者一旦突破邊界防護，進入內(nèi)部網(wǎng)絡(luò)后對內(nèi)部網(wǎng)絡(luò)威脅較大，一旦出現(xiàn)惡意攻擊可能會導致難以控制的嚴重后果。

應(yīng)用系統(tǒng)安全問題：大數(shù)據(jù)中心運行的業(yè)務(wù)應(yīng)用系統(tǒng)在研制時很少考慮開發(fā)環(huán)境安全和流程安全，系統(tǒng)交付前也很少做嚴格的滲透測試和漏洞挖掘，這些業(yè)務(wù)應(yīng)用上云后，其自身應(yīng)用安全風險將會成百倍地放大。

安全態(tài)勢感知不足問題：目前大數(shù)據(jù)中心對安全監(jiān)測數(shù)據(jù)與威脅情報收集掌握不夠全面，綜合分析能力不強，無法及時掌握網(wǎng)絡(luò)整體安全態(tài)勢，缺少威脅檢測、預測預警和應(yīng)急響應(yīng)能力。將來大數(shù)據(jù)中心對安全態(tài)勢感知要求更高，特別是對類似APT的高級持續(xù)性網(wǎng)絡(luò)威脅，絕不允許出現(xiàn)網(wǎng)絡(luò)入侵者已經(jīng)進入平臺內(nèi)部、我們卻一無所知的情況。

2 大數(shù)據(jù)安全的解決思路

（1）構(gòu)建“數(shù)據(jù)安全”縱深防御體系

在大數(shù)據(jù)中心建設(shè)項目中，數(shù)據(jù)安全是最核心、最重要的需求。由于大數(shù)據(jù)中心的構(gòu)建，實現(xiàn)了數(shù)據(jù)的全方位獲取、全網(wǎng)絡(luò)匯聚與全維度整合。中心建成后，將打破各部門數(shù)據(jù)隔離、拓展數(shù)據(jù)獲取的渠道，這對數(shù)據(jù)安全的防護提出了全新的挑戰(zhàn)。數(shù)據(jù)量大、使用人員多、人員分布地域廣、接入終端環(huán)境復雜，這將是大數(shù)據(jù)中心數(shù)據(jù)運營的常態(tài)。在這種狀態(tài)下，數(shù)據(jù)安全防護工作必須在大數(shù)據(jù)中心建設(shè)初期就著手同步規(guī)劃與建設(shè)，避免由于前期疏于考慮數(shù)據(jù)安全，而后期形成難以治理和管控的局面。

大數(shù)據(jù)中心實現(xiàn)了數(shù)據(jù)的大集中存儲，促進了業(yè)務(wù)互通與數(shù)據(jù)共享，但同時也面臨數(shù)據(jù)訪問人員多、權(quán)限分配復雜、數(shù)據(jù)難以治理等問題，這對數(shù)據(jù)受控訪問、身份授權(quán)管理、全網(wǎng)流量協(xié)同等信息安全性方面提出了重大挑戰(zhàn)。

訪問的便捷性和權(quán)限的控制力度從來都是一對矛盾體，如何在本項目中解決這個矛盾，使數(shù)據(jù)應(yīng)用效率和數(shù)據(jù)安全防護達到平衡，促進業(yè)務(wù)發(fā)展，將貫穿于數(shù)據(jù)安全的始終。

由于數(shù)據(jù)是流動的，而承載數(shù)據(jù)的載體（基礎(chǔ)架構(gòu)）是相對靜止的，所以要想在靜態(tài)的載體上控制流動的數(shù)據(jù)，就要全面分析數(shù)據(jù)的流徑，在數(shù)據(jù)路徑之上識別風險點并提出控制措施，實現(xiàn)在應(yīng)用層、數(shù)據(jù)資源層、網(wǎng)絡(luò)層和基礎(chǔ)平臺層等各個層面上的數(shù)據(jù)安全縱深防御能力。這樣數(shù)據(jù)縱深安全的思想就能在項目執(zhí)行階段中具體化到每個實實在在的防控點，充分實現(xiàn)大數(shù)據(jù)安全防護體系的內(nèi)生安全可信。

縱深防御的思想是對攻擊者的攻擊路線層層設(shè)置防護手段[4]，極大地消耗攻擊者的攻擊資源和時間，從而迫使攻擊者無法達成破壞數(shù)據(jù)和偷盜數(shù)據(jù)的目的。縱深防御通常對于已知的攻擊手法能起到明顯的防御效果，即使上一層防御失效，還有下一層防御作為后續(xù)的防護，但是縱深防御無法實現(xiàn)對未知威脅的防護，尤其是APT攻擊。因此，縱深防御能解決的問題是有限的，要想抵御高級的攻擊行為，就必須采用以縱深防御為基礎(chǔ)，整個防御體系向積極防御升級。

（2）構(gòu)建“身份安全”零信任體系

大數(shù)據(jù)中心實現(xiàn)了各系統(tǒng)眾多關(guān)鍵數(shù)據(jù)的匯聚，傳統(tǒng)基于網(wǎng)絡(luò)的邊界已經(jīng)無法滿足數(shù)據(jù)級的安全隔離需求，必須實現(xiàn)統(tǒng)一的身份認證管理的精細化、動態(tài)化的授權(quán)能力。這部分需求的目的是解決人或者接入設(shè)備的身份安全[5]，確保所有接入人員和設(shè)備的身份是安全可信的，所有人員在訪問大數(shù)據(jù)中心之前就對其身份的合法性進行驗證，只有通過認證，才能訪問業(yè)務(wù)數(shù)據(jù)。

由于大數(shù)據(jù)中心的數(shù)據(jù)涉及大量的國家安全、社會安全、個人隱私等敏感信息，所以對權(quán)限的要求非常嚴格。傳統(tǒng)的網(wǎng)絡(luò)安全防護方式采用基于網(wǎng)絡(luò)訪問控制列表（ACL）的、靜態(tài)的授權(quán)模式將不再適用，必須采用能夠根據(jù)數(shù)據(jù)的類型、重要程度進行靈活授權(quán)的方式，并結(jié)合人員角色進行最小化授權(quán)，在不影響業(yè)務(wù)效率的前提下，確保數(shù)據(jù)訪問權(quán)限最小化原則，避免因為權(quán)限不當導致的數(shù)據(jù)泄露。

（3）構(gòu)建大數(shù)據(jù)“安全運行”保障體系

安全運行管理的核心目標是保護大數(shù)據(jù)的安全。從戰(zhàn)略層面上，建立先進的安全運行管理平臺、專業(yè)的安全技術(shù)團隊、全面的安全策略以及高效的運行管理機制。從戰(zhàn)術(shù)層面來講，建立隊伍：建立專業(yè)的安全運行團隊，包括安全技術(shù)研究團隊、安全運營團隊、安全運維團隊、安全管理團隊等；摸家底：清楚定義保護的目標，如：數(shù)據(jù)分類、分級，資產(chǎn)建模，采用了哪些防護手段和措施；判風險：通過漏洞掃描、配置基線、滲透測試、對抗演練等提前找出可能存在的技術(shù)風險；早預防：通過補丁管理、系統(tǒng)加固、安全設(shè)備維護和策略調(diào)優(yōu)、精細化授權(quán)以及完善的安全規(guī)范和制度；持監(jiān)測：通過實時收集安全相關(guān)的日志和流量結(jié)合資產(chǎn)模型和用戶模型，利用大數(shù)據(jù)技術(shù)和人工智能技術(shù)進行多維度的關(guān)聯(lián)分析和行為分析結(jié)合專業(yè)人員的人工判斷，及時發(fā)現(xiàn)安全事件；即處置：安全處置團隊按照既定的處置方案進行快速的處置，包括事件通報、調(diào)查取證、配置變更、數(shù)據(jù)修復等；速改進：通過安全事件的溯源分析，發(fā)現(xiàn)安全措施存在的問題并及時予以改進；重流程：整個安全事件的閉環(huán)處理需要一個高效的、可重用的流程，并通過工單系統(tǒng)予以實現(xiàn)。