随着社会信息化和物联网技术的快速发展,各个行业领域产生的数据呈现指数级增长,数据呈现出巨大研究价值与商业价值。而安全是大数据发展的重要基石,在充分发挥大数据价值的同时,解决大数据安全面临的问题和挑战也同样重要。
数据安全背景
1.数据安全风险频发
大数据技术迅速普及,已广泛应用在各个行业中。IDC发布的《数据时代2025》预测,全球数据量从2018年的33 ZB增至2025年的175 ZB,增长超过五倍。
美国政府将大数据比喻为“未来的新石油”,一个国家拥有的数据规模和运用数据的能力将成为其综合实力的象征。但机遇来临的同时,也带来了风险与挑战。近几年,数据安全问题层出不穷,各个行业领域内的重要数据被置于极大的风险境地,无论对于个人、企业还是国家来说,数据安全问题都会造成不可逆且无法弥补的严重后果。
2.数据安全政策出台
针对当前数据安全风险频发的现状,各国都采取了相关措施来推动大数据应用和数据保护。以我国为例,自2012年以来,我国先后出台多部保护个人信息、数据安全的法律法规和管理规范,进一步明确企业数据安全保障的责任和义务,提高数据安全管理要求。2017年,网络安全法正式施行,成为我国网络安全领域的第一部基础性法律。2019年颁布的等保2.0明确了对网络系统的等级保护要求。2021年颁布的数据安全法奠定了我国数据安全领域的基础,进一步推动了数据安全管理的进程。
3.数据价值驱动安全
当前,由于各行业系统及网络封闭等客观原因,不同数据之间还存在数据格式不同、数据接口不兼容等问题,阻碍了大数据技术的发展。对此,网络安全法指出,国家鼓励开发网络数据安全保护和利用技术。等保2.0要求,应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用。
综上所述,价值的变化、方式的变化、环境的变化、频发的安全事件、法规的要求,无一不推动数据安全成为信息化时代的重中之重。
数据安全保护技术
数据安全保护技术以数据安全体系架构为基础,针对各种安全问题,明确数据安全的实现步骤,由此衍生了众多数据安全主要产品。
1.数据安全体系架构
图1为数据安全体系框架。该数据安全体系框架以数据安全为核心,以贯彻国家网络空间安全战略、保障关键信息基础设施安全、满足政策合规性要求、统筹全体系数据安全支撑为目标,以相关法律政策为支撑,通过安全叠加演进的方式进行数据安全层面的优化设计,以满足在新形式、新环境下大数据安全防护的整体需要。
图1数据安全体系框架
2.数据安全实现步骤
以该框架为基础,将数据安全实现步骤定义为“4+6+1”,即四个步骤、一个平台、六个阶段。
(1)四个步骤
步骤一为高层参与建设组织,建立开发团队。
步骤二为数据安全能力评估,从数据安全战略、基础安全、跨境数据安全和个人信息保护等方面,客观、量化评估企业数据安全能力,为建立数据安全工作目标和防御保障提供支撑。
步骤三为制度设计。制度分为四级。其中,一级文件明确数据安全工作的目标和基本原则,主要内容包括数据安全相关责任的划分、数据安全工作范围、决策机制、数据安全工作技术路线。二级文件在总体方针的框架下,形成基于数据场景的制度规范,明确相关角色的权利和义务。三级文件是基于二级文件提出的要求,也是指导技术落地的基础。
步骤四为技术设计,从数据的采集传输到存储、处理、交换到最后的销毁阶段涉及到的具体安全问题进行整体安全设计。
(2)六个阶段
针对大数据种类多、体量大等特点,在阶段一的采集阶段进行数据资产梳理与数据分级分类,识别核心数据、重要数据,分析其影响程度,根据级别结果进行分类分级评审,出台数据安全分级保护策略,实现全流程数据处理分级保护。
阶段二为传输阶段。传输链路安全与网络防泄漏技术能在传输阶段保证数据安全可靠,常用技术有:数据还原,通过协议识别和协议交互过程进行监控,完整地还原出协议中携带的原始数据;实时防护,提供审计、告警、拦截、证据留存等多种实时防护手段;流量监控,对网络中的流量进行监控,支持多种部署模式,方便部署;内容识别,对传输的收发地址、传输的内容进行完整性检查,识别出包含敏感数据的异常流量。
阶段三为存储阶段。此阶段主要包括如下内容。①存储媒体的安全。通过制定存储媒体使用、购买、标记的安全制度,记录通过移动存储媒体拷贝敏感数据的行为等方式,保证存储媒体安全。②逻辑存储安全。常见的隐患有数据库被入侵、存储媒体丢失、处置不当导致的全量数据外泄,可利用数据库审计、漏洞扫描、数据库加密等方式进行防护。③数据备份和恢复。使用存储服务器负责接收和存储备份数据,使用备份服务器提供备份管理平台,由备份服务器进行统一操作管理。
阶段四为处理阶段。此阶段稍有不慎就会使数据受到污染与缺失,主要的防护方法有如下几种。①数据脱敏。②数据分析安全。对监控数据、监测数据和响应数据进行多角度分析。③数据正当使用。依托控制访问、审计操作、管理制度,防止数据资源被不正当使用。④数据处理环境安全。可信的环境和主机加固都能进一步确保使用过程中无误。⑤数据导入导出安全。线上导出终端一般使用即时通讯,服务器使用接口,线下使用安全无病毒的U盘或打印机。
阶段五为交换阶段。此阶段由数据共享安全与数据发布安全组成。其中,数据共享是对特定外部组织提供数据的过程中,使用数据脱敏、数据加密、链路加密、数据水印等技术完成数据共享;数据发布是对数据分类分级、发布制度、规范发布流程等方式完成数据共享。
阶段六为销毁阶段。数据销毁工具分为覆写法工具和消磁法工具,存储媒体销毁工具为磁盘销毁工具。
(3)一个平台
图2为数据安全集中管控平台框架。该平台能够对全数据进行全周期的管理,实现了对每一步运行过程中的精确管控,有效降低了数据安全事故的发生率。
图2数据安全集中管控平台框架
3.数据安全主要产品
各个科技公司以数据安全集中管控平台为技术基础,研发众多数据安全产品。以下对相关典型产品进行介绍。
(1)数据库防火墙
数据库防火墙产品是运用在数据存储阶段的安全产品。它通过数据库协议分析与权限管控技术,以及内置的数据库安全漏洞库,实时发现、识别、阻断针对数据库的安全威胁,实现数据库高权限管控、高危操作阻断、可疑行为审计,为用户业务稳定和数据安全保驾护航。
(2)数据库审计
数据库审计系统是一种实现对数据库访问行为的全程监控、高危操作实时告警和安全事件审计追溯的智能化数据库安全防护系统。它不仅能够有效减少核心信息资产的破坏和泄漏,追踪溯源,便于事后追查原因与界定责任,并且能够实现独立审计,完善IT内控机制。
(3)数据脱敏产品
数据脱敏产品分为静态数据脱敏和动态数据脱敏。其中,静态数据脱敏一般用于非生产环境,解决测试、开发库需要生产库的数据量与数据间的关联,以排查问题或进行数据分析。动态数据脱敏一般用于生产环境,用来解决生产环境中不同用户对同一敏感数据读取时进行不同级别的脱敏问题。
(4)数据加密产品
数据库加密产品将数据库敏感数据由明文存储改为密文存储,并在此基础上增加独立于数据库的访问授权机制。任何访问被加密数据的人或应用事先必须经过授权才能访问加密数据,有效防止管理员越权访问及黑客拖库。
(5)数据防泄漏产品
数据防泄漏产品是数据处理阶段的数据安全产品。它的主要作用有:对终端的各种外泄行为进行识别、拦截;对网络流量进行识别、扫描、拦截;对邮件服务器外发邮件进行识别、拦截;对数据资产进行敏感性检查、防护;通过API接口提供在线内容识别服务。
(6)API审计系统
API审计系统通过对Web应用系统的流量进行旁路采集和分析,对操作全审计,监视重点账号操作,监视重要业务模块的访问。发现异常操作和越权行为时,及时对风险API进行标记,做到对API风险的提前预防和管控,同时可对业务系统安全性进行分析,检测常见的Web攻击行为和业务风险。
结语
大数据作为国家基础性战略资源,已广泛应用于各个行业,其安全问题也得到了学术界和产业界的高度重视和积极研究。本文分别从数据安全风险事故和数据安全政策的出台两个角度,分析了大数据面临的安全问题,探讨了大数据价值驱动安全的现状,接着从数据安全体系架构、数据安全实现步骤和数据安全主要产品三个方面介绍了数据安全保护技术。
来源:《网络安全和信息化》杂志
作者:康剑 王建忠 杜绎如