唐瑋杰 黃文明

【 摘 要 】 近些年來，隨著時(shí)代經(jīng)濟(jì)的飛速發(fā)展以及科學(xué)技術(shù)的日新月異，當(dāng)前計(jì)算機(jī)技術(shù)以及互聯(lián)網(wǎng)技術(shù)有著越來越廣泛的應(yīng)用，同時(shí)也帶來了一定的數(shù)據(jù)安全問題，對(duì)于如何做好大數(shù)據(jù)時(shí)代下數(shù)據(jù)安全問題的分析和控制，始終是當(dāng)前人們關(guān)注的焦點(diǎn)之一。論文就大數(shù)據(jù)時(shí)代背景下運(yùn)用數(shù)據(jù)防泄露和數(shù)據(jù)加固等安全技術(shù)，提出數(shù)據(jù)安全管理體系建設(shè)的思路與方法，從而有效地進(jìn)行數(shù)據(jù)風(fēng)險(xiǎn)管理。

【 關(guān)鍵詞 】 大數(shù)據(jù)；數(shù)據(jù)安全管理體系；數(shù)據(jù)泄露

【 Abstract 】 In recent years， with the rapid development of economy and the rapid development of science and technology， the computer technology and Internet technology has a more and more extensive application， at the same time it also brings some problems of data security， how to do a good job in the era of big data data security problem analysis and control is always the focus of people's attention at present. This paper puts forward the ideas and methods of data security management system based on the background of the era of big data， such as data leakage prevention and data consolidation.

【 Keywords 】 big data；data security management system；data leakage

1 引言

隨著信息技術(shù)快速發(fā)展和各種信息系統(tǒng)等廣泛應(yīng)用，也隨之產(chǎn)生大量的業(yè)務(wù)數(shù)據(jù)，企業(yè)日益依賴于信息技術(shù)來支撐各類業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行。業(yè)務(wù)數(shù)據(jù)已發(fā)展成為企業(yè)和各類使用對(duì)象的重要資產(chǎn)，也是企業(yè)最寶貴的財(cái)富。數(shù)據(jù)已成為組織重要的核心競(jìng)爭力，數(shù)據(jù)型組織是必然的發(fā)展方向。但頻繁有信息安全、敏感信息數(shù)據(jù)泄漏的問題發(fā)生，給企業(yè)帶來了巨大的利益損失，對(duì)于企業(yè)來說，能夠在信息安全防護(hù)中保障數(shù)據(jù)的安全有著極為重要的地位。

在大數(shù)據(jù)時(shí)代背景下，各類數(shù)據(jù)給企業(yè)和各類使用對(duì)象提供了指導(dǎo)和決策的基礎(chǔ)，成為企業(yè)最重要的資產(chǎn)載體。然而數(shù)據(jù)在收集、存儲(chǔ)、傳輸和使用過程中缺乏必要技術(shù)防護(hù)手段，使得大量敏感信息的安全性無法得到有效的保障。數(shù)據(jù)安全是信息安全的源頭，是安全防范的重點(diǎn)，也是難中之難。因此，如何進(jìn)一步加強(qiáng)數(shù)據(jù)安全建設(shè)成為當(dāng)務(wù)之急。

2 大數(shù)據(jù)時(shí)代數(shù)據(jù)面臨的安全問題分析

隨著大數(shù)據(jù)技術(shù)的不斷深入應(yīng)用，大數(shù)據(jù)時(shí)代下的信息安全防護(hù)所面臨的風(fēng)險(xiǎn)相比以前也發(fā)生了根本性的變化。從信息安全的角度考慮和出發(fā)，大數(shù)據(jù)時(shí)代下數(shù)據(jù)安全主要面臨多項(xiàng)挑戰(zhàn)。例如，數(shù)據(jù)質(zhì)量及安全難以保證，尤其是跨系統(tǒng)、跨平臺(tái)測(cè)試數(shù)據(jù)難以獲取并驗(yàn)證，數(shù)據(jù)質(zhì)量難以保證；用戶因?yàn)閷?duì)業(yè)務(wù)系統(tǒng)不熟悉而導(dǎo)致在使用過程中進(jìn)行誤操作給業(yè)務(wù)系統(tǒng)造成難以恢復(fù)的損失；外部非授權(quán)人員（如黑客）多數(shù)據(jù)庫進(jìn)行惡意入侵，獲取或者刪除數(shù)據(jù)庫里的數(shù)據(jù)；數(shù)據(jù)具有易復(fù)制的特征，所有針對(duì)數(shù)據(jù)的安全事件發(fā)生后，無法進(jìn)行有效的追溯和審計(jì)；數(shù)據(jù)具有易流動(dòng)的特征，大量數(shù)據(jù)的匯集不可避免地加大了泄露的風(fēng)險(xiǎn)，在數(shù)據(jù)傳輸過程中或多或少會(huì)存在主動(dòng)或意外的數(shù)據(jù)泄漏；數(shù)據(jù)具有難管理的特征，大數(shù)據(jù)技術(shù)成為黑客的攻擊手段；業(yè)務(wù)系統(tǒng)用戶、維護(hù)人員、外部訪問用戶在訪問業(yè)務(wù)數(shù)據(jù)時(shí)，操作數(shù)據(jù)庫的行為缺乏綜合審計(jì)。

3 大數(shù)據(jù)時(shí)代數(shù)據(jù)安全管理體系

3.1 數(shù)據(jù)安全管理體系建設(shè)的必要性

大數(shù)據(jù)（Big Data）是指“無法用現(xiàn)有的軟件工具提取、存儲(chǔ)、搜索、共享、分析和處理的海量的、復(fù)雜的數(shù)據(jù)集合”。大數(shù)據(jù)具備數(shù)據(jù)體量巨大、數(shù)據(jù)類型繁多、價(jià)值密度低和處理速度快的四個(gè)典型特征。數(shù)據(jù)是企業(yè)的重要資產(chǎn)組成部分，幾乎是企業(yè)所有的經(jīng)營活動(dòng)所依賴的、不可或缺的信息。數(shù)據(jù)就猶如企業(yè)經(jīng)營者的眼睛一樣，通過數(shù)據(jù)可以反映出經(jīng)營的問題，進(jìn)行相應(yīng)的正確決策，就猶如舵手依賴導(dǎo)航一樣。

大數(shù)據(jù)作為一種新興的技術(shù)，在目前的環(huán)境下針對(duì)大數(shù)據(jù)并沒有建立一套比較完整的數(shù)據(jù)安全管理體系標(biāo)準(zhǔn)，要想從根本上對(duì)大數(shù)據(jù)信息安全進(jìn)行防護(hù)，應(yīng)當(dāng)優(yōu)先考慮從大數(shù)據(jù)技術(shù)的使用、平臺(tái)建設(shè)、運(yùn)行管理、風(fēng)險(xiǎn)評(píng)估等各個(gè)方面來完善數(shù)據(jù)安全管理體系的標(biāo)準(zhǔn)建設(shè)，最終實(shí)現(xiàn)大數(shù)據(jù)信息安全可視可控的目標(biāo)。

3.2 數(shù)據(jù)安全管理體系的技術(shù)架構(gòu)

數(shù)據(jù)安全管理體系需要打造一個(gè)統(tǒng)一平臺(tái)，通過分層建設(shè)、分級(jí)防護(hù)，達(dá)到平臺(tái)能力及應(yīng)用的可成長、可擴(kuò)充，創(chuàng)造面向數(shù)據(jù)的安全管理體系系統(tǒng)框架。數(shù)據(jù)安全管理體系架構(gòu)自下而上分為：數(shù)據(jù)分析層、數(shù)據(jù)防泄露層、數(shù)據(jù)脫敏層、敏感數(shù)據(jù)隔離交換層和數(shù)據(jù)庫加固層，從而組成完善的數(shù)據(jù)標(biāo)準(zhǔn)體系和安全管理體系。如圖1所示。

數(shù)據(jù)分析層是數(shù)據(jù)安全管理體系的基本條件。數(shù)據(jù)分析層通過收集和歸一各類業(yè)務(wù)系統(tǒng)產(chǎn)生的海量信息數(shù)據(jù)，運(yùn)用實(shí)時(shí)關(guān)聯(lián)分析技術(shù)、智能推理技術(shù)和風(fēng)險(xiǎn)管理技術(shù)，對(duì)各類海量數(shù)據(jù)事件進(jìn)行統(tǒng)一加工分析，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的統(tǒng)一監(jiān)控管理和未知風(fēng)險(xiǎn)預(yù)警處理。

敏感數(shù)據(jù)隔離交換層通過數(shù)據(jù)指紋采集、內(nèi)容檢測(cè)和響應(yīng)處理三個(gè)步驟，突破深度內(nèi)容識(shí)別的關(guān)鍵技術(shù)，從而解決了困擾用戶的既可以網(wǎng)絡(luò)連通，有保證了數(shù)據(jù)交換的安全性，同時(shí)也極大地提高了工作效率。

數(shù)據(jù)防泄露層針對(duì)數(shù)據(jù)易流動(dòng)、易復(fù)制、難管理的特征，通過深度內(nèi)容分析和事務(wù)安全關(guān)聯(lián)分析來識(shí)別、監(jiān)視和保護(hù)靜止的數(shù)據(jù)、移動(dòng)的數(shù)據(jù)以及使用中的數(shù)據(jù)，達(dá)到敏感數(shù)據(jù)利用的事前、事中、事后完整保護(hù)，實(shí)現(xiàn)數(shù)據(jù)的合規(guī)使用，同時(shí)防止主動(dòng)或意外的數(shù)據(jù)泄漏，保障企業(yè)數(shù)據(jù)資產(chǎn)可控、可信、可充分利用。

數(shù)據(jù)脫敏層通過獨(dú)特的數(shù)據(jù)抽取方法使用戶能夠快速創(chuàng)建小容量子集，對(duì)敏感信息進(jìn)行脫敏、變形，由此提高數(shù)據(jù)管理人員的工作效率，同時(shí)規(guī)避信息風(fēng)險(xiǎn)，對(duì)客戶等資產(chǎn)安全，敏感信息提供完善的保護(hù)。

數(shù)據(jù)庫監(jiān)控與加固層是保護(hù)數(shù)據(jù)安全的最后一道防線，其核心是讓數(shù)據(jù)變得更加牢固。數(shù)據(jù)庫監(jiān)控與加固層具有數(shù)據(jù)庫狀態(tài)監(jiān)控、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫風(fēng)險(xiǎn)掃描、訪問控制等多種引擎，可提供黑白名單和例外策略、用戶登錄控制、用戶訪問權(quán)限控制，并且具有實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫訪問行為和靈活的告警功能。

3.3 數(shù)據(jù)安全管理體系平臺(tái)技術(shù)實(shí)現(xiàn)

3.3.1 數(shù)據(jù)安全分析技術(shù)

以安全對(duì)象管理為基礎(chǔ)，以風(fēng)險(xiǎn)管理為核心，以安全事件為主線，運(yùn)用實(shí)時(shí)關(guān)聯(lián)分析技術(shù)（如Hadoop、Spark、HDFS、MapReduce等），智能推理技術(shù)和風(fēng)險(xiǎn)管理技術(shù)，通過對(duì)海量信息數(shù)據(jù)進(jìn)行深度歸一化分析，結(jié)合有效的網(wǎng)絡(luò)監(jiān)控管理，安全預(yù)警響應(yīng)和工單處理等功能，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全信息深度解析，最終幫助企業(yè)實(shí)現(xiàn)整網(wǎng)安全風(fēng)險(xiǎn)態(tài)勢(shì)的統(tǒng)一分析和管理。

3.3.2 敏感數(shù)據(jù)隔離交換技術(shù)

利用深度內(nèi)容識(shí)別技術(shù)，首先對(duì)用戶定義為敏感、涉密的數(shù)據(jù)進(jìn)行特征的提取，可以包括非結(jié)構(gòu)化數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)、二進(jìn)制文件等，形成敏感數(shù)據(jù)的特征庫，當(dāng)有新的文件需要傳輸?shù)臅r(shí)候，系統(tǒng)對(duì)新文件進(jìn)行實(shí)時(shí)的特征比對(duì)，敏感數(shù)據(jù)禁止傳輸。通過管理中心統(tǒng)一下發(fā)策略，可以在存儲(chǔ)敏感數(shù)據(jù)的服務(wù)器或者文件夾中利用用戶名和口令主動(dòng)獲取數(shù)據(jù)，對(duì)相關(guān)的文件數(shù)據(jù)進(jìn)行檢測(cè)，并根據(jù)檢測(cè)結(jié)果進(jìn)行的處置。

3.3.3 數(shù)據(jù)防泄露技術(shù)

數(shù)據(jù)控制類技術(shù)：主要采用軟件控制、端口控制等有效手段對(duì)計(jì)算機(jī)的各種端口和應(yīng)用實(shí)施嚴(yán)格的控制和審計(jì)，對(duì)數(shù)據(jù)的訪問、傳輸及推理進(jìn)行嚴(yán)格的控制和管理。通過深度內(nèi)容識(shí)別的關(guān)鍵技術(shù)，進(jìn)行發(fā)送人和接收人的身份檢測(cè)、文件類型檢測(cè)、文件名檢測(cè)和文件大小檢測(cè)，來實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)在傳輸過程中進(jìn)行有效管控，定時(shí)檢查、事件安全事后審計(jì)，防止未經(jīng)允許的數(shù)據(jù)信息被泄露，保障數(shù)據(jù)資產(chǎn)可控、可信、可充分利用。

數(shù)據(jù)過濾類技術(shù)：在網(wǎng)絡(luò)出口處部署數(shù)據(jù)過濾設(shè)備，分析網(wǎng)絡(luò)常見的協(xié)議（比如TCP、HTTP、POP3、FTP、即時(shí)通訊等），對(duì)上述所涉及到的協(xié)議內(nèi)容進(jìn)行分析、過濾，設(shè)置過濾規(guī)則和關(guān)鍵字過濾出相關(guān)內(nèi)容，防止敏感數(shù)據(jù)的泄露。

3.3.4 數(shù)據(jù)加密技術(shù)

為了保證大數(shù)據(jù)在傳輸過程中的安全性，需要對(duì)信息數(shù)據(jù)進(jìn)行相應(yīng)的加密處理。通過數(shù)據(jù)加密系統(tǒng)對(duì)要上傳的數(shù)據(jù)流進(jìn)行加密，對(duì)要下載的數(shù)據(jù)同樣要經(jīng)過對(duì)應(yīng)的解密系統(tǒng)才能查看。因此需要在客戶端和服務(wù)端分別設(shè)置一個(gè)統(tǒng)一的文件加/解密系統(tǒng)對(duì)傳輸數(shù)據(jù)進(jìn)行處理。同時(shí)，為了增強(qiáng)其安全性，應(yīng)該將密鑰與加密數(shù)據(jù)分開存放。借鑒Linux系統(tǒng)中Shadow文件的作用，該文件實(shí)現(xiàn)了口令信息和賬戶信息的分離，在賬戶信息庫中的口令字段只用一個(gè)x作為標(biāo)示，不再存放口令信息。

3.3.5 數(shù)據(jù)庫安全加固技術(shù)

數(shù)據(jù)庫安全加固核心技術(shù)為數(shù)據(jù)庫狀態(tài)監(jiān)控、數(shù)據(jù)庫風(fēng)險(xiǎn)掃描、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻和數(shù)據(jù)庫透明加密技術(shù)。通過構(gòu)建數(shù)據(jù)庫安全加固平臺(tái)，以“第三者”的角度觀察和記錄網(wǎng)絡(luò)中對(duì)數(shù)據(jù)庫的一切訪問行為，從源頭保護(hù)數(shù)據(jù)，建立縱深防護(hù)體系。

4 總結(jié)分析

4.1 大數(shù)據(jù)背景下的數(shù)據(jù)安全管理建設(shè)的著重點(diǎn)與突破點(diǎn)

通過對(duì)大數(shù)據(jù)背景下數(shù)據(jù)安全所存在的問題進(jìn)行深入分析，我們可以從幾個(gè)方面作為重點(diǎn)和突破口。

首先是進(jìn)行大數(shù)據(jù)技術(shù)的安全防護(hù)技術(shù)創(chuàng)新。大數(shù)據(jù)時(shí)代各類數(shù)據(jù)信息安全威脅不盡相同，只有不斷的進(jìn)行技術(shù)創(chuàng)新，提前預(yù)防預(yù)警安全風(fēng)險(xiǎn)，實(shí)現(xiàn)安全可視的目標(biāo)。

其次是加強(qiáng)立法和監(jiān)管力度。由于大數(shù)據(jù)具備的幾個(gè)典型特征，在海量數(shù)據(jù)收集、傳輸、存儲(chǔ)和處理過程會(huì)比較不集中，可控性差，因此需要在國家相應(yīng)政策指導(dǎo)通力配合，大力推進(jìn)對(duì)數(shù)據(jù)使用的安全統(tǒng)一標(biāo)準(zhǔn)體系，完善其管理和監(jiān)督力度。

最后運(yùn)用大數(shù)據(jù)技術(shù)結(jié)合其他技術(shù)提升安全防護(hù)能力。比如大數(shù)據(jù)技術(shù)與現(xiàn)今的云安全技術(shù)等相結(jié)合，統(tǒng)一平臺(tái)，統(tǒng)一歸納分析，多層次安全防護(hù)。

4.2 大數(shù)據(jù)背景下的數(shù)據(jù)安全管理面臨挑戰(zhàn)

4.2.1 信息數(shù)據(jù)泄露問題

傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)，難以匹配信息化的數(shù)據(jù)轉(zhuǎn)型，數(shù)據(jù)外泄事件屢有發(fā)生，棱鏡門、CSDN密碼泄漏、如家開房信息泄漏、Sony個(gè)人信息泄漏等。這些事件，對(duì)組織造成重大的甚至無法彌補(bǔ)的經(jīng)濟(jì)損失與聲譽(yù)損失?，F(xiàn)在，組織的數(shù)據(jù)不僅涉及企業(yè)自身，還涉及個(gè)人隱私、國家利益等，國家、行業(yè)有關(guān)數(shù)據(jù)安全的法律、法規(guī)、制度也越來越多，數(shù)據(jù)防泄漏是要求的重點(diǎn)。大數(shù)據(jù)具備信息大和易流通的特征，若不加以嚴(yán)格控制使用，其所含的商業(yè)信息或私密信息就可能被泄露。

4.2.2 數(shù)據(jù)存儲(chǔ)問題

大數(shù)據(jù)在存儲(chǔ)過程中帶來了一系列新的安全問題，數(shù)據(jù)大集中的后果是復(fù)雜多樣的數(shù)據(jù)存儲(chǔ)在一起。大數(shù)據(jù)分析往往需要多類數(shù)據(jù)相互參考，而在過去并不會(huì)有這種數(shù)據(jù)混合訪問的情況，因此大數(shù)據(jù)應(yīng)用也催生出一些新的、需要考慮的安全性問題，安全防護(hù)手段的更新升級(jí)速度無法跟上數(shù)據(jù)量非線性增長的步伐，就會(huì)暴露大數(shù)據(jù)安全防護(hù)的漏洞。

5 結(jié)束語

大數(shù)據(jù)時(shí)代已然到來，隨之而來的也有一些不可避免的機(jī)遇和挑戰(zhàn)。根據(jù)梳理出的當(dāng)前大數(shù)據(jù)安全與隱私保護(hù)的相關(guān)關(guān)鍵技術(shù)，我們可以看出，當(dāng)前國內(nèi)外針對(duì)大數(shù)據(jù)安全與隱私保護(hù)的相關(guān)研究還不充分，也沒有相應(yīng)完整的信息數(shù)據(jù)安全管理體系。

因此，數(shù)據(jù)安全防護(hù)任重道遠(yuǎn)，只有通過有效的技術(shù)手段和相關(guān)政策法規(guī)等相完美結(jié)合，才能從根本上解決大數(shù)據(jù)安全與數(shù)據(jù)泄露的保護(hù)問題。當(dāng)然，安全也不是絕對(duì)的，在進(jìn)攻和防守永不停歇的安全領(lǐng)域，只有不斷的進(jìn)行技術(shù)創(chuàng)新，才是有效保障數(shù)據(jù)安全的重要解決方式。

參考文獻(xiàn)

[1] 劉銀平，穆良知.基于大數(shù)據(jù)分析的云安全管理系統(tǒng)設(shè)計(jì)[J].中國信息安全，2015.

[2] 吳蓓，劉海光.淺析大數(shù)據(jù)時(shí)代的信息安全[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013.

[3] 于慧勇.大數(shù)據(jù)時(shí)代的信息安全風(fēng)險(xiǎn)與防護(hù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014.

[4] 馮偉.大數(shù)據(jù)時(shí)代信息安全面臨的挑戰(zhàn)與機(jī)遇[J].中國科技投資，2012.

[5] 李小平.終端安全風(fēng)險(xiǎn)管理[M].北京：機(jī)械工業(yè)出版社.

[6] 黃偉.淺談數(shù)據(jù)防泄露技術(shù)[J].科技風(fēng).

作者簡介：

唐瑋杰（1985-），男，壯族，廣西南寧人，畢業(yè)于桂林電子科技大學(xué)，本科，學(xué)士；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)與信息安全。

黃文明（1963-），男，漢族，江蘇人，畢業(yè)于南京工學(xué)院，本科，桂林電子科技大學(xué)計(jì)算機(jī)與信息安全學(xué)院軟件工程系，教授，主任；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)與信息安全。