大數(shù)據時代下的數(shù)據安全管理體系討論

唐瑋杰 黃文明

【 摘 要 】 近些年來，隨著時代經濟的飛速發(fā)展以及科學技術的日新月異，當前計算機技術以及互聯(lián)網技術有著越來越廣泛的應用，同時也帶來了一定的數(shù)據安全問題，對于如何做好大數(shù)據時代下數(shù)據安全問題的分析和控制，始終是當前人們關注的焦點之一。論文就大數(shù)據時代背景下運用數(shù)據防泄露和數(shù)據加固等安全技術，提出數(shù)據安全管理體系建設的思路與方法，從而有效地進行數(shù)據風險管理。

【 關鍵詞 】 大數(shù)據；數(shù)據安全管理體系；數(shù)據泄露

【 Abstract 】 In recent years， with the rapid development of economy and the rapid development of science and technology， the computer technology and Internet technology has a more and more extensive application， at the same time it also brings some problems of data security， how to do a good job in the era of big data data security problem analysis and control is always the focus of people's attention at present. This paper puts forward the ideas and methods of data security management system based on the background of the era of big data， such as data leakage prevention and data consolidation.

【 Keywords 】 big data；data security management system；data leakage

1 引言

隨著信息技術快速發(fā)展和各種信息系統(tǒng)等廣泛應用，也隨之產生大量的業(yè)務數(shù)據，企業(yè)日益依賴于信息技術來支撐各類業(yè)務系統(tǒng)的穩(wěn)定運行。業(yè)務數(shù)據已發(fā)展成為企業(yè)和各類使用對象的重要資產，也是企業(yè)最寶貴的財富。數(shù)據已成為組織重要的核心競爭力，數(shù)據型組織是必然的發(fā)展方向。但頻繁有信息安全、敏感信息數(shù)據泄漏的問題發(fā)生，給企業(yè)帶來了巨大的利益損失，對于企業(yè)來說，能夠在信息安全防護中保障數(shù)據的安全有著極為重要的地位。

在大數(shù)據時代背景下，各類數(shù)據給企業(yè)和各類使用對象提供了指導和決策的基礎，成為企業(yè)最重要的資產載體。然而數(shù)據在收集、存儲、傳輸和使用過程中缺乏必要技術防護手段，使得大量敏感信息的安全性無法得到有效的保障。數(shù)據安全是信息安全的源頭，是安全防范的重點，也是難中之難。因此，如何進一步加強數(shù)據安全建設成為當務之急。

2 大數(shù)據時代數(shù)據面臨的安全問題分析

隨著大數(shù)據技術的不斷深入應用，大數(shù)據時代下的信息安全防護所面臨的風險相比以前也發(fā)生了根本性的變化。從信息安全的角度考慮和出發(fā)，大數(shù)據時代下數(shù)據安全主要面臨多項挑戰(zhàn)。例如，數(shù)據質量及安全難以保證，尤其是跨系統(tǒng)、跨平臺測試數(shù)據難以獲取并驗證，數(shù)據質量難以保證；用戶因為對業(yè)務系統(tǒng)不熟悉而導致在使用過程中進行誤操作給業(yè)務系統(tǒng)造成難以恢復的損失；外部非授權人員（如黑客）多數(shù)據庫進行惡意入侵，獲取或者刪除數(shù)據庫里的數(shù)據；數(shù)據具有易復制的特征，所有針對數(shù)據的安全事件發(fā)生后，無法進行有效的追溯和審計；數(shù)據具有易流動的特征，大量數(shù)據的匯集不可避免地加大了泄露的風險，在數(shù)據傳輸過程中或多或少會存在主動或意外的數(shù)據泄漏；數(shù)據具有難管理的特征，大數(shù)據技術成為黑客的攻擊手段；業(yè)務系統(tǒng)用戶、維護人員、外部訪問用戶在訪問業(yè)務數(shù)據時，操作數(shù)據庫的行為缺乏綜合審計。

3 大數(shù)據時代數(shù)據安全管理體系

3.1 數(shù)據安全管理體系建設的必要性

大數(shù)據（Big Data）是指“無法用現(xiàn)有的軟件工具提取、存儲、搜索、共享、分析和處理的海量的、復雜的數(shù)據集合”。大數(shù)據具備數(shù)據體量巨大、數(shù)據類型繁多、價值密度低和處理速度快的四個典型特征。數(shù)據是企業(yè)的重要資產組成部分，幾乎是企業(yè)所有的經營活動所依賴的、不可或缺的信息。數(shù)據就猶如企業(yè)經營者的眼睛一樣，通過數(shù)據可以反映出經營的問題，進行相應的正確決策，就猶如舵手依賴導航一樣。

大數(shù)據作為一種新興的技術，在目前的環(huán)境下針對大數(shù)據并沒有建立一套比較完整的數(shù)據安全管理體系標準，要想從根本上對大數(shù)據信息安全進行防護，應當優(yōu)先考慮從大數(shù)據技術的使用、平臺建設、運行管理、風險評估等各個方面來完善數(shù)據安全管理體系的標準建設，最終實現(xiàn)大數(shù)據信息安全可視可控的目標。

3.2 數(shù)據安全管理體系的技術架構

數(shù)據安全管理體系需要打造一個統(tǒng)一平臺，通過分層建設、分級防護，達到平臺能力及應用的可成長、可擴充，創(chuàng)造面向數(shù)據的安全管理體系系統(tǒng)框架。數(shù)據安全管理體系架構自下而上分為：數(shù)據分析層、數(shù)據防泄露層、數(shù)據脫敏層、敏感數(shù)據隔離交換層和數(shù)據庫加固層，從而組成完善的數(shù)據標準體系和安全管理體系。如圖1所示。

數(shù)據分析層是數(shù)據安全管理體系的基本條件。數(shù)據分析層通過收集和歸一各類業(yè)務系統(tǒng)產生的海量信息數(shù)據，運用實時關聯(lián)分析技術、智能推理技術和風險管理技術，對各類海量數(shù)據事件進行統(tǒng)一加工分析，實現(xiàn)對數(shù)據安全風險的統(tǒng)一監(jiān)控管理和未知風險預警處理。

敏感數(shù)據隔離交換層通過數(shù)據指紋采集、內容檢測和響應處理三個步驟，突破深度內容識別的關鍵技術，從而解決了困擾用戶的既可以網絡連通，有保證了數(shù)據交換的安全性，同時也極大地提高了工作效率。

數(shù)據防泄露層針對數(shù)據易流動、易復制、難管理的特征，通過深度內容分析和事務安全關聯(lián)分析來識別、監(jiān)視和保護靜止的數(shù)據、移動的數(shù)據以及使用中的數(shù)據，達到敏感數(shù)據利用的事前、事中、事后完整保護，實現(xiàn)數(shù)據的合規(guī)使用，同時防止主動或意外的數(shù)據泄漏，保障企業(yè)數(shù)據資產可控、可信、可充分利用。

數(shù)據脫敏層通過獨特的數(shù)據抽取方法使用戶能夠快速創(chuàng)建小容量子集，對敏感信息進行脫敏、變形，由此提高數(shù)據管理人員的工作效率，同時規(guī)避信息風險，對客戶等資產安全，敏感信息提供完善的保護。

數(shù)據庫監(jiān)控與加固層是保護數(shù)據安全的最后一道防線，其核心是讓數(shù)據變得更加牢固。數(shù)據庫監(jiān)控與加固層具有數(shù)據庫狀態(tài)監(jiān)控、數(shù)據庫審計、數(shù)據庫風險掃描、訪問控制等多種引擎，可提供黑白名單和例外策略、用戶登錄控制、用戶訪問權限控制，并且具有實時監(jiān)控數(shù)據庫訪問行為和靈活的告警功能。

3.3 數(shù)據安全管理體系平臺技術實現(xiàn)

3.3.1 數(shù)據安全分析技術

以安全對象管理為基礎，以風險管理為核心，以安全事件為主線，運用實時關聯(lián)分析技術（如Hadoop、Spark、HDFS、MapReduce等），智能推理技術和風險管理技術，通過對海量信息數(shù)據進行深度歸一化分析，結合有效的網絡監(jiān)控管理，安全預警響應和工單處理等功能，實現(xiàn)對數(shù)據安全信息深度解析，最終幫助企業(yè)實現(xiàn)整網安全風險態(tài)勢的統(tǒng)一分析和管理。

3.3.2 敏感數(shù)據隔離交換技術

利用深度內容識別技術，首先對用戶定義為敏感、涉密的數(shù)據進行特征的提取，可以包括非結構化數(shù)據、結構化數(shù)據、二進制文件等，形成敏感數(shù)據的特征庫，當有新的文件需要傳輸?shù)臅r候，系統(tǒng)對新文件進行實時的特征比對，敏感數(shù)據禁止傳輸。通過管理中心統(tǒng)一下發(fā)策略，可以在存儲敏感數(shù)據的服務器或者文件夾中利用用戶名和口令主動獲取數(shù)據，對相關的文件數(shù)據進行檢測，并根據檢測結果進行的處置。

3.3.3 數(shù)據防泄露技術

數(shù)據控制類技術：主要采用軟件控制、端口控制等有效手段對計算機的各種端口和應用實施嚴格的控制和審計，對數(shù)據的訪問、傳輸及推理進行嚴格的控制和管理。通過深度內容識別的關鍵技術，進行發(fā)送人和接收人的身份檢測、文件類型檢測、文件名檢測和文件大小檢測，來實現(xiàn)對敏感數(shù)據在傳輸過程中進行有效管控，定時檢查、事件安全事后審計，防止未經允許的數(shù)據信息被泄露，保障數(shù)據資產可控、可信、可充分利用。

數(shù)據過濾類技術：在網絡出口處部署數(shù)據過濾設備，分析網絡常見的協(xié)議（比如TCP、HTTP、POP3、FTP、即時通訊等），對上述所涉及到的協(xié)議內容進行分析、過濾，設置過濾規(guī)則和關鍵字過濾出相關內容，防止敏感數(shù)據的泄露。

3.3.4 數(shù)據加密技術

為了保證大數(shù)據在傳輸過程中的安全性，需要對信息數(shù)據進行相應的加密處理。通過數(shù)據加密系統(tǒng)對要上傳的數(shù)據流進行加密，對要下載的數(shù)據同樣要經過對應的解密系統(tǒng)才能查看。因此需要在客戶端和服務端分別設置一個統(tǒng)一的文件加/解密系統(tǒng)對傳輸數(shù)據進行處理。同時，為了增強其安全性，應該將密鑰與加密數(shù)據分開存放。借鑒Linux系統(tǒng)中Shadow文件的作用，該文件實現(xiàn)了口令信息和賬戶信息的分離，在賬戶信息庫中的口令字段只用一個x作為標示，不再存放口令信息。

3.3.5 數(shù)據庫安全加固技術

數(shù)據庫安全加固核心技術為數(shù)據庫狀態(tài)監(jiān)控、數(shù)據庫風險掃描、數(shù)據庫審計、數(shù)據庫防火墻和數(shù)據庫透明加密技術。通過構建數(shù)據庫安全加固平臺，以“第三者”的角度觀察和記錄網絡中對數(shù)據庫的一切訪問行為，從源頭保護數(shù)據，建立縱深防護體系。

4 總結分析

4.1 大數(shù)據背景下的數(shù)據安全管理建設的著重點與突破點

通過對大數(shù)據背景下數(shù)據安全所存在的問題進行深入分析，我們可以從幾個方面作為重點和突破口。

首先是進行大數(shù)據技術的安全防護技術創(chuàng)新。大數(shù)據時代各類數(shù)據信息安全威脅不盡相同，只有不斷的進行技術創(chuàng)新，提前預防預警安全風險，實現(xiàn)安全可視的目標。

其次是加強立法和監(jiān)管力度。由于大數(shù)據具備的幾個典型特征，在海量數(shù)據收集、傳輸、存儲和處理過程會比較不集中，可控性差，因此需要在國家相應政策指導通力配合，大力推進對數(shù)據使用的安全統(tǒng)一標準體系，完善其管理和監(jiān)督力度。

最后運用大數(shù)據技術結合其他技術提升安全防護能力。比如大數(shù)據技術與現(xiàn)今的云安全技術等相結合，統(tǒng)一平臺，統(tǒng)一歸納分析，多層次安全防護。

4.2 大數(shù)據背景下的數(shù)據安全管理面臨挑戰(zhàn)

4.2.1 信息數(shù)據泄露問題

傳統(tǒng)網絡安全保護，難以匹配信息化的數(shù)據轉型，數(shù)據外泄事件屢有發(fā)生，棱鏡門、CSDN密碼泄漏、如家開房信息泄漏、Sony個人信息泄漏等。這些事件，對組織造成重大的甚至無法彌補的經濟損失與聲譽損失。現(xiàn)在，組織的數(shù)據不僅涉及企業(yè)自身，還涉及個人隱私、國家利益等，國家、行業(yè)有關數(shù)據安全的法律、法規(guī)、制度也越來越多，數(shù)據防泄漏是要求的重點。大數(shù)據具備信息大和易流通的特征，若不加以嚴格控制使用，其所含的商業(yè)信息或私密信息就可能被泄露。

4.2.2 數(shù)據存儲問題

大數(shù)據在存儲過程中帶來了一系列新的安全問題，數(shù)據大集中的后果是復雜多樣的數(shù)據存儲在一起。大數(shù)據分析往往需要多類數(shù)據相互參考，而在過去并不會有這種數(shù)據混合訪問的情況，因此大數(shù)據應用也催生出一些新的、需要考慮的安全性問題，安全防護手段的更新升級速度無法跟上數(shù)據量非線性增長的步伐，就會暴露大數(shù)據安全防護的漏洞。

5 結束語

大數(shù)據時代已然到來，隨之而來的也有一些不可避免的機遇和挑戰(zhàn)。根據梳理出的當前大數(shù)據安全與隱私保護的相關關鍵技術，我們可以看出，當前國內外針對大數(shù)據安全與隱私保護的相關研究還不充分，也沒有相應完整的信息數(shù)據安全管理體系。

因此，數(shù)據安全防護任重道遠，只有通過有效的技術手段和相關政策法規(guī)等相完美結合，才能從根本上解決大數(shù)據安全與數(shù)據泄露的保護問題。當然，安全也不是絕對的，在進攻和防守永不停歇的安全領域，只有不斷的進行技術創(chuàng)新，才是有效保障數(shù)據安全的重要解決方式。

參考文獻

[1] 劉銀平，穆良知.基于大數(shù)據分析的云安全管理系統(tǒng)設計[J].中國信息安全，2015.

[2] 吳蓓，劉海光.淺析大數(shù)據時代的信息安全[J].計算機光盤軟件與應用，2013.

[3] 于慧勇.大數(shù)據時代的信息安全風險與防護[J].計算機光盤軟件與應用，2014.

[4] 馮偉.大數(shù)據時代信息安全面臨的挑戰(zhàn)與機遇[J].中國科技投資，2012.

[5] 李小平.終端安全風險管理[M].北京：機械工業(yè)出版社.

[6] 黃偉.淺談數(shù)據防泄露技術[J].科技風.

作者簡介：

唐瑋杰（1985-），男，壯族，廣西南寧人，畢業(yè)于桂林電子科技大學，本科，學士；主要研究方向和關注領域：計算機與信息安全。

黃文明（1963-），男，漢族，江蘇人，畢業(yè)于南京工學院，本科，桂林電子科技大學計算機與信息安全學院軟件工程系，教授，主任；主要研究方向和關注領域：計算機與信息安全。