侯翠萍

摘 要：大數(shù)據(jù)業(yè)務的快速發(fā)展，使得大數(shù)據(jù)業(yè)務系統(tǒng)產(chǎn)生大量的交易過程數(shù)據(jù)信息。如何在提高大數(shù)據(jù)存儲查詢效率和提高數(shù)據(jù)管理水平的同時，實現(xiàn)高效的大數(shù)據(jù)安全保護成為眾多系統(tǒng)管理者的艱巨任務和直面挑戰(zhàn)。

關鍵詞：大數(shù)據(jù)安全；信息安全；技術革命

當前，大數(shù)據(jù)已經(jīng)成為計算機領域新的熱點話題，也成為IT行業(yè)最為關注的熱門技術之一。如何對大數(shù)據(jù)進行有效的管理；如何保障大數(shù)據(jù)的自身安全；如何利用現(xiàn)有的技術分析手段對潛在的大數(shù)據(jù)安全威脅進行及時有效的預警和處理；如何通過實時的監(jiān)控分析，發(fā)現(xiàn)大數(shù)據(jù)系統(tǒng)內(nèi)部的潛在安全威脅，已經(jīng)成為大數(shù)據(jù)系統(tǒng)所有者和管理者最為關心的問題。

1.數(shù)據(jù)加密

大數(shù)據(jù)本身承載了很多有價值的數(shù)據(jù)信息，加強核心機密數(shù)據(jù)的加密防護仍然是加強大數(shù)據(jù)安全的重心，不容忽視。盡管大數(shù)據(jù)系統(tǒng)平臺采取了實時監(jiān)控、防火墻、殺毒軟件等安全防護措施，有些黑客或病毒仍可以繞過這些安全防護措施，接觸到敏感關鍵數(shù)據(jù)，只有加強對這些敏感關鍵數(shù)據(jù)的加密保護，使任何未經(jīng)授權許可的用戶無法解密獲取到實際的數(shù)據(jù)內(nèi)容，才能有效地保障數(shù)據(jù)信息安全。

數(shù)據(jù)加密可以采用硬件加密和軟件加密兩種方式實現(xiàn)，每種方式都有各自的優(yōu)缺點。對大數(shù)據(jù)的數(shù)據(jù)加密，傳統(tǒng)的數(shù)據(jù)加密方法需要消耗大量的CPU計算時間，嚴重地影響了大數(shù)據(jù)處理系統(tǒng)的性能。采用加解密數(shù)據(jù)文件塊、數(shù)據(jù)文件、數(shù)據(jù)文件目錄、數(shù)據(jù)系統(tǒng)的方法來實現(xiàn)快速的數(shù)據(jù)加解密處理，既可以保障系統(tǒng)的數(shù)據(jù)安全性，又可以提高數(shù)據(jù)處理的效率。

2.訪問控制

訪問控制可分為自主訪問控制和強制訪問控制兩大類。自主訪問控制是指用戶擁有絕對的權限，能夠生成訪問對象，并能決定哪些用戶可以使用訪問。強制訪問控制是指系統(tǒng)對用戶生成的對象進行統(tǒng)一的強制性控制，并按已制定的規(guī)則決定哪些用戶可以使用訪問。近幾年比較熱門的訪問控制模型有基于對象的訪問控制模型、基于任務的訪問控制模型和基于角色的訪問控制模型。

大數(shù)據(jù)系統(tǒng)平臺不斷地接入新的服務器、存儲設備、網(wǎng)絡設備和其他應用資源，控制系統(tǒng)間和服務間的訪問權限，進行訪問權限細粒度劃分，構造用戶權限和數(shù)據(jù)權限（只讀、只寫、讀寫）的復合組合控制方式，提高敏感數(shù)據(jù)的安全性。

3.預測分析

提前預防黑客入侵和病毒傳播是大數(shù)據(jù)安全防護的重要技術和保障手段。通過對一系列歷史數(shù)據(jù)和當前系統(tǒng)實時數(shù)據(jù)的場景關聯(lián)分析，預測將來可能會發(fā)生或?qū)⒁l(fā)生的大數(shù)據(jù)系統(tǒng)安全問題。

根據(jù)發(fā)生系統(tǒng)異常問題所涉及的數(shù)據(jù)對象，結合異常問題所發(fā)生的監(jiān)控點、參考相似或類似問題的分析結果，分析確定問題事件的性質(zhì)，預測可能存在的安全威脅，并對此安全威脅進行跟蹤分析，做好應對此安全威脅的安全防護措施，提高應對安全威脅的安全防護級別，更好地對大數(shù)據(jù)安全進行防護。對大數(shù)據(jù)的安全問題進行可行性預測分析，識別潛在的安全威脅，以達到更好地保護大數(shù)據(jù)系統(tǒng)的目的。通過預測分析的研究，結合機器學習算法，利用異常檢測等新型方法，大幅提升大數(shù)據(jù)安全識別度，更有效地解決大數(shù)據(jù)安全問題。

4.統(tǒng)計分析

自查大數(shù)據(jù)系統(tǒng)內(nèi)部的安全問題，也是降低大數(shù)據(jù)系統(tǒng)安全風險的重要手段，一般可以采用統(tǒng)計分析的方法。統(tǒng)計分析分為統(tǒng)計設計、資料收集、整理匯總、統(tǒng)計分析、信息反饋五個階段。針對大數(shù)據(jù)系統(tǒng)，在資料收集階段可以采用系統(tǒng)IP掃描、系統(tǒng)端口掃描、系統(tǒng)漏洞掃描等方法搜集原始的系統(tǒng)狀態(tài)信息，將原始信息和已有的數(shù)據(jù)信息（包括已經(jīng)發(fā)生的安全問題，及其他類似系統(tǒng)發(fā)生的安全問題）進行匯總整理，在此基礎上通過統(tǒng)計運算得出相應的結論。根據(jù)得出的結論，制定安全問題等級，采取相對應的安全應對措施，預防可能會發(fā)生的安全風險。

5.數(shù)據(jù)稽核

通過系統(tǒng)應用日志對已發(fā)生的系統(tǒng)操作或應用操作的合法性進行審核；通過備份信息審核系統(tǒng)與應用配制信息對比審核，判斷配制信息是否被篡改，從而發(fā)現(xiàn)系統(tǒng)或應用異常安全威脅。對安全系統(tǒng)內(nèi)部系統(tǒng)間或服務間的隱密的存儲通道的稽核，即對發(fā)送和接收信息進行審核，可以降低系統(tǒng)安全風險。SecCloud提出了一種新型的審計方案，在安全云計算的基礎上采用概率采樣技術及指定驗證技術，充分考慮了安全數(shù)據(jù)存儲，安全計算和隱私保護問題。TPA是獨立于云平臺和用戶的第三方審計工具，使用戶能夠?qū)υ破脚_的存儲數(shù)據(jù)安全進行公共稽核。

6.安全漏洞發(fā)現(xiàn)

安全漏洞主要是指計算系統(tǒng)和服務程序由于設計缺陷或人為因素留下的系統(tǒng)后門，利用安全漏洞攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。安全漏洞的分析可以采用白盒測試、黑盒測試、灰盒測試、動態(tài)跟蹤分析等方法。

現(xiàn)階段大數(shù)據(jù)系統(tǒng)多采用開源程序框架和開源程序組件，在服務程序和組件的組合過程中，可能會遺留有安全漏洞或致命性的安全弱點。開源軟件安全加固可以根據(jù)開源軟件中不同的安全類別，使用不同的安全加固體，修復開源軟件中的安全漏洞和安全威脅點。動態(tài)污點分析方法自動檢測覆蓋攻擊，不需要程序源碼和特殊的程序編譯，在運行時執(zhí)行程序二進制代碼覆蓋重寫。

當前，大數(shù)據(jù)安全已經(jīng)成為計算機領域的熱點話題和技術熱點，其重要性直接關系到大數(shù)據(jù)業(yè)務能否全面地推廣，其安全性已經(jīng)成為大數(shù)據(jù)業(yè)務發(fā)展的桎梏。因此，全面分析大數(shù)據(jù)安全的現(xiàn)狀、技術框架、關鍵技術等內(nèi)容十分必要。大數(shù)據(jù)安全是計算機信息安全領域的發(fā)展機遇和重大挑戰(zhàn)，其將引領信息安全領域的又一次重大技術革命。

（作者單位：黑龍江省實驗中學）