折宇超
摘要:數(shù)據(jù)的爆發(fā)式增長凸顯出了數(shù)據(jù)安全的重要性,大數(shù)據(jù)目前在收集、存儲、使用的過程中都存在相應的安全風險,對人們的生活與工作有著嚴重的影響。本文分析了目前大數(shù)據(jù)信息安全存在的問題,并對這些問題提出了相應的解決措施。
關鍵詞:大數(shù)據(jù) 信息系統(tǒng)安全 數(shù)據(jù)安全
引言
大數(shù)據(jù)的發(fā)展離不開“互聯(lián)網(wǎng)+”時代的到來,互聯(lián)網(wǎng)使得各類移動/PC平臺的后臺數(shù)據(jù)不斷增加?;诓煌悇e的大數(shù)據(jù)進行的數(shù)據(jù)分析技術可以挖掘大數(shù)據(jù)中蘊含的潛在規(guī)律,為各行各業(yè)提供決策支持,但是數(shù)據(jù)一旦泄露,后果非常嚴重。在學校,數(shù)字化校園平臺的建設使得各個系統(tǒng)互連互通,數(shù)字化校園的中心數(shù)據(jù)庫中存儲了各個業(yè)務系統(tǒng)需要交換共享的以及大數(shù)據(jù)分析平臺需要的大量數(shù)據(jù),數(shù)字化校園使得一個業(yè)務系統(tǒng)的數(shù)據(jù)可以共享給另一個業(yè)務系統(tǒng),這就增加了數(shù)據(jù)的流動性與透明性,也使得數(shù)據(jù)安全越來越成為一個值得關注的問題。
1大數(shù)據(jù)安全概述
1.1大數(shù)據(jù)概述
結合云計算與物聯(lián)網(wǎng)技術的發(fā)展,大數(shù)據(jù)無處不在,已經(jīng)滲透進了人們生活的方方面面。大數(shù)據(jù)具有4V特征,即規(guī)模性、多樣性、高速性和價值性。規(guī)模性指得是“數(shù)量大”,隨著電子商務和社交網(wǎng)絡的快速發(fā)展,越來越多的用戶信息呈現(xiàn)爆發(fā)式的增長。多樣性指得是數(shù)據(jù)形式的多樣性,比如存在諸如視頻、圖片、郵件、結構化的系統(tǒng)數(shù)據(jù)等。第三個特征高速性指得是大數(shù)據(jù)可以通過互聯(lián)網(wǎng)進行傳播、云計算進行處理等,比傳統(tǒng)媒介的交換速度快。最后一個價值性是大數(shù)據(jù)的核心特征,它指的是可以使用機器學習和關聯(lián)分析等方法對海量數(shù)據(jù)進行挖掘分析,得出有價值的數(shù)據(jù)結果。
1.2數(shù)據(jù)安全概述
在使用數(shù)據(jù)的同時,數(shù)據(jù)的安全隱私成為一個關鍵的問題,國家已經(jīng)出臺了《國家網(wǎng)絡安全法》并且制定了《信息安全技術信息系統(tǒng)安全等級保護基本要求》等一系列標準,這里面包括了數(shù)據(jù)安全的相關規(guī)定和要求,但是實際的信息系統(tǒng)仍然會出現(xiàn)數(shù)據(jù)泄露問題,比如58同城全國簡歷遭泄露,淘寶每條僅售3毛事件等?,F(xiàn)在各種APP軟件都在收集用戶個人信息,個人信息的安全已經(jīng)難以保障,而圍繞個人信息數(shù)據(jù)形成的黑色產(chǎn)業(yè)鏈正在“悄無聲息”地運營著。小到被垃圾短信轟炸,大到影響家國政治,例如希拉里郵件門、樸槿惠郵件門等等。解決大數(shù)據(jù)時代背景下的數(shù)據(jù)安全問題已經(jīng)變得刻不容緩。
2我國大數(shù)據(jù)應用中存在的安全問題
2.1數(shù)據(jù)搜集、傳輸過程中存在的安全問題
當用戶打開各種手機應用程序時,這些應用通過用戶同意協(xié)議的方式收集了很多與該應用無關的用戶個人數(shù)據(jù),比如用戶的短信息、電話號碼等。在用戶使用應用平臺進行購物時,平臺會收集用戶輸入的相關信息并存儲,進一步分析用戶的購物習慣來對用戶進行一些產(chǎn)品的推薦,有時這些產(chǎn)品的推薦并不是在當時購物的網(wǎng)站上,而是出現(xiàn)在其余一些不相關的網(wǎng)站,這就造成了用戶個人隱私的泄露。
在數(shù)據(jù)傳輸?shù)倪^程中,沒有采用https傳輸數(shù)據(jù),而采用http等明文傳輸數(shù)據(jù)的協(xié)議傳輸本身沒有加密的數(shù)據(jù),更有甚者是采用http的get方法傳輸明文信息,把用戶的信息參數(shù)直接暴露在URL里,用戶隱私安全存在著極大地隱患。
2.2數(shù)據(jù)存儲、處理過程中存在的安全問題
有些網(wǎng)絡運營商包括學校會在服務器端以明文的方式存儲數(shù)據(jù),存在安全隱患,服務器一旦被入侵,存儲的數(shù)據(jù)可能以明文的方式泄露,個人隱私受到威脅。
在數(shù)據(jù)處理的過程中,敏感數(shù)據(jù)沒有經(jīng)過脫敏處理,直接使用也會造成敏感數(shù)據(jù)的泄露。比如在數(shù)據(jù)交換共享的過程中、數(shù)據(jù)挖掘的過程中、數(shù)據(jù)分析的過程中如果沒有經(jīng)過脫敏處理,接觸到數(shù)據(jù)的人員就可能盜取信息中人員的身份證號、密碼、銀行賬號等。在數(shù)據(jù)經(jīng)過比如靜態(tài)數(shù)據(jù)脫敏后,所得到的數(shù)據(jù)仍然可以用來分析生產(chǎn)庫的數(shù)據(jù)量與數(shù)據(jù)間的關聯(lián)關系等,不會影響數(shù)據(jù)的使用,但肉眼已經(jīng)無法識別原始的數(shù)據(jù)是什么,這就在一定程度上保護了用戶的信息安全。
2.3 傳統(tǒng)的大數(shù)據(jù)平臺的安全防御體系存在的安全問題
大數(shù)據(jù)平臺及其相關的信息系統(tǒng)存儲著用戶及系統(tǒng)的大量信息,它的安全性至關重要,傳統(tǒng)的信息安全技術防護手段是基于規(guī)則的,只能使用單一的規(guī)則匹配來判定攻擊,隨著現(xiàn)在病毒及攻擊技術的快速變形和發(fā)展,傳統(tǒng)的防御手段已經(jīng)滿足不了當代信息系統(tǒng)及大數(shù)據(jù)平臺的安全需求。即使在整個大數(shù)據(jù)平臺所在的信息系統(tǒng)的不同層次上部署各種各樣的防護軟件,只要它們內(nèi)部基于的防護規(guī)則是相同的,就起不到多層次防御的效果,會出現(xiàn)“一次免殺、處處免殺”的效果,這也就違背了部署多個防護軟件的初衷。于是,使用縱深防御的安全防護手段就追在眉睫。
3提高大數(shù)據(jù)安全保護的對策
3.1加強信息安全加密與數(shù)據(jù)脫敏處理
為保證數(shù)據(jù)的信息安全,可以采用數(shù)據(jù)加密或者脫敏技術。加密技術是基于密碼學的一門保護數(shù)據(jù)安全的技術,對于已加密的數(shù)據(jù),即使采用http協(xié)議傳輸數(shù)據(jù),基于現(xiàn)在的對稱和非對稱密碼算法,只要竊聽者沒有加密數(shù)據(jù)對應的秘鑰,即使數(shù)據(jù)被竊聽,也不會造成信息泄露。脫敏技術又稱數(shù)據(jù)漂白,對敏感信息進行變形、轉換、混淆,去除或掩蓋數(shù)據(jù)中的敏感信息,使數(shù)據(jù)可以被安全的利用,做到到數(shù)據(jù)泄露風險可控。
3.2建立具有縱深防御能力的大數(shù)據(jù)平臺的安全防御體系
為保證大數(shù)據(jù)平臺及所在信息系統(tǒng)的信息安全,應加強多層次且層層聯(lián)動的信息安全防御,即“縱深防御”,構筑層次化、多樣化的信息安全技術體系來保障信息和信息系統(tǒng)的安全。縱深防御的安全體系應考慮各安全層面和各類安全技術以及相互間的動態(tài)關系和依賴度等因素。在考慮的上述因素之后,無論是縱深防御的安全體系是采用了基于規(guī)則的匹配還是現(xiàn)在的UEBA(用戶實體行為分析)技術,無論在物理、網(wǎng)絡、系統(tǒng)軟件、應用、數(shù)據(jù)這六個層面采用了多類技術,或多個安全層面使用了一類技術,都可以實現(xiàn)縱深防御的安全體系。這就使得即使攻擊者已經(jīng)攻破某一層或者某一類安全防御手段時,也沒辦法破壞整個信息基礎設施,從而保障整個信息系統(tǒng)及大數(shù)據(jù)平臺的安全。
3.3 建立分級授權的完整保密責任體系和責任調查機制
在大數(shù)據(jù)平臺及相關的信息系統(tǒng)中進行分級授權,設置超級管理員、系統(tǒng)管理員、運行監(jiān)控員、二級業(yè)務分管員等角色,每種不同的角色具有不同的操作權限,應按照“誰主管、誰負責,誰使用,誰負責”的原則,切實加強大數(shù)據(jù)平臺及對應信息系統(tǒng)的安全主體責任。明確每一級人員的主要職責,逐級簽訂安全責任書,做到責任層層落實、崗位職責分明,嚴格將大數(shù)據(jù)平臺及其信息系統(tǒng)的安全責任落實到每個處室、每個科室、每個人身上。大數(shù)據(jù)平臺及其相關的信息系統(tǒng)應具有可審計性,對數(shù)據(jù)的訪問要保證可回溯,當發(fā)生數(shù)據(jù)泄露時,要保證能夠通過審計日志找到對應的泄露人員對其進行責任調查。
4結語
隨著大數(shù)據(jù)時代的到來,大數(shù)據(jù)的數(shù)據(jù)安全顯得至關重要。在信息系統(tǒng)建設時,應該做好信息搜集、傳輸、處理、存儲時的隱私保護工作,防止用戶的敏感信息泄露。作為系統(tǒng)的使用者和管理者,首先應該避免將密碼設置為弱口令,然后應該遵循“縱深防御”的理念使用防火墻、Web應用防護系統(tǒng)等網(wǎng)絡安全設備,同時應建立完備的保密責任體系和責任調查機制,做好大數(shù)據(jù)分析平臺及對應信息系統(tǒng)的使用和管理工作。從而使得隨著信息化的快速發(fā)展,人們可以更加合理的開發(fā)和利用數(shù)據(jù)信息。
參考文獻
[1]劉丹.基于縱深防御的信息安全技術體系架構及應用研究[J].重慶電子工程職業(yè)學院學報,2016.
[2]朱菊芬,彭麗萍,王繼剛,熊宏齊,東南大學實驗室安全工作的探索與實踐[J]實驗技術與管理,2 018,35 (10):6-9.