亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        大數(shù)據(jù)時代安全可信防御體系

        2018-02-22 07:53:50梁繼良孫家彥韓暉
        網(wǎng)絡(luò)空間安全 2018年12期
        關(guān)鍵詞:數(shù)據(jù)安全體系

        梁繼良,孫家彥,韓暉

        (北京優(yōu)炫股份有限公司, 北京 100081)

        1 引言

        當(dāng)前,隨著“互聯(lián)網(wǎng)+”、大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等新技術(shù)興起,特別是大數(shù)據(jù)技術(shù)創(chuàng)新應(yīng)用,使我們具備了對海量數(shù)據(jù)的處理和分析能力,數(shù)據(jù)挖掘、數(shù)據(jù)利用的時代已經(jīng)來臨。與此同時,數(shù)據(jù)匯聚、數(shù)據(jù)分析等帶來的安全問題也給我們帶來前所未有的挑戰(zhàn)。

        從國家層面而言,大數(shù)據(jù)已經(jīng)影響到國家安全的方方面面。比如,通過對人口健康數(shù)據(jù)、基因數(shù)據(jù)的挖掘可以得出國民身體健康的趨勢,通過對移動支付的數(shù)據(jù)挖掘可以得出精準(zhǔn)的國民消費等金融數(shù)據(jù),通過對文化大數(shù)據(jù)分析可以得出國民的文化喜好和心理意識等,這些數(shù)據(jù)都可能會影響到國家各個領(lǐng)域的安全。最近,酒店上億條數(shù)據(jù)泄露,臉書(Facebook)信息被泄露分析,類似安全事件的發(fā)生同時給國家安全敲響了警鐘。

        從個人層面而言,首先,信息的泄露給不法分子盜取個人信息提供了可乘之機,同時個人信息的非法獲取、交易和利用已經(jīng)形成了完整的黑色產(chǎn)業(yè)鏈條。個人信息泄露,輕則造成財產(chǎn)受損,重則可能會影響到個人的人身安全。其次,個人信息被廣泛收集利用,包括我們的行為、習(xí)慣、社交關(guān)系等均被記錄下來,一旦數(shù)據(jù)被竊取,通過大數(shù)據(jù)分析個人信息,互聯(lián)網(wǎng)商家可以給每個用戶定向提供搜索結(jié)果,如最近被爆出的“大數(shù)據(jù)殺熟”等現(xiàn)象。在目前相關(guān)數(shù)據(jù)保護法律和監(jiān)管要求不明確、不完善的情況下,只通過社會責(zé)任感、行業(yè)自律來要求這些掌握著大數(shù)據(jù)資源的企業(yè)“不作惡”是很困難的。

        2 大數(shù)據(jù)時代安全需求

        大數(shù)據(jù)的利用分析已經(jīng)成為信息時代發(fā)展的決策性依據(jù),大數(shù)據(jù)的特征是數(shù)據(jù)量大、種類繁多、速度快以及數(shù)據(jù)價值低。數(shù)據(jù)只有在充分挖掘、流動、共享和交換下才能實現(xiàn)其最大價值,國家高度重視數(shù)據(jù)資源推動國家現(xiàn)代化建設(shè)的巨大作用,同時國家對于大數(shù)據(jù)時代的數(shù)據(jù)安全予以高度的重視,如何保障數(shù)據(jù)安全已成為保護國家安全和個人安全的技術(shù)難題。

        大數(shù)據(jù)優(yōu)先考慮的是為大量數(shù)據(jù)提供速度,所以安全性通常放在最后考慮。因為沒有對數(shù)據(jù)進行特定的分類存儲和傳輸,從而導(dǎo)致不同技術(shù)的整合引入了新的安全挑戰(zhàn),產(chǎn)生了安全隱患。在大數(shù)據(jù)系統(tǒng)支持關(guān)鍵基礎(chǔ)設(shè)施的情況下,安全必須考慮在內(nèi)。由于大數(shù)據(jù)系統(tǒng)是復(fù)雜且異構(gòu)的,所以安全保障必須是整體性的,以確保服務(wù)的可用性和連續(xù)性。

        2.1 技術(shù)難點

        大數(shù)據(jù)時代,數(shù)據(jù)被眾多聯(lián)網(wǎng)設(shè)備、應(yīng)用軟件所采集,數(shù)據(jù)來源廣泛,數(shù)據(jù)種類多樣,如何保證所采集的數(shù)據(jù)真實可信以及對輸入數(shù)據(jù)進行完整性校驗,變得至關(guān)重要,若利用虛假數(shù)據(jù)進行分析處理,將影響結(jié)果的正確性,甚至造成重大決策失誤。海量多源數(shù)據(jù)在大數(shù)據(jù)平臺匯聚,來自多個用戶的數(shù)據(jù)可能存儲在同一個數(shù)據(jù)池中,并分別被不同用戶使用,要在看不見他人數(shù)據(jù)內(nèi)容的前提下對數(shù)據(jù)進行加工利用,即實現(xiàn)數(shù)據(jù)“可用不可見”,必須強化數(shù)據(jù)隔離和訪問控制,否則將引發(fā)數(shù)據(jù)泄露風(fēng)險。大數(shù)據(jù)技術(shù)促使數(shù)據(jù)生命周期由傳統(tǒng)的單鏈條逐漸演變成為復(fù)雜多鏈條形態(tài),增加了共享、交易等環(huán)節(jié),且數(shù)據(jù)應(yīng)用場景和參與角色愈加多樣化,使得數(shù)據(jù)安全需求外延擴展。

        2.1.1 安全威脅防護難點

        針對外部黑客攻擊如SQL注入、APT可持續(xù)攻擊、釣魚、木馬僵尸等常見攻擊如何及時主動的防護,并對攻擊行為全面審計,方便追蹤溯源是目前解決大數(shù)據(jù)安全的重要難點。

        2.1.2 主機系統(tǒng)安全加固難點

        Window、unix、linux系統(tǒng)存在各種各樣的漏洞,漏洞極容易被利用造成惡意攻擊,最終造成數(shù)據(jù)泄露等重大安全問題。內(nèi)部用戶權(quán)限過大帶來的安全問題同樣需要重視,如何實現(xiàn)權(quán)限精細(xì)化管理已經(jīng)成為主機安全的挑戰(zhàn)之一。

        2.1.3 網(wǎng)絡(luò)安全難點

        網(wǎng)絡(luò)中存在各種各樣的網(wǎng)絡(luò)安全問題,如DDos攻擊、蠕蟲木馬、webshell等攻擊行為容易導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)篡改等問題,網(wǎng)絡(luò)安全域劃分不合理帶來的內(nèi)部安全邊界問題,如何全面保障網(wǎng)絡(luò)安全顯得尤為重要。

        2.1.4 存儲安全難點

        存儲安全難點主要包括保密性、完整性和安全備份三個方面。

        數(shù)據(jù)保密性:對數(shù)據(jù)安全加密、脫敏,防止敏感數(shù)據(jù)被內(nèi)外人員竊取造成重大的經(jīng)濟損失。

        數(shù)據(jù)完整性:保障數(shù)據(jù)傳輸過程中的完整,防止數(shù)據(jù)傳輸過程中被插入惡意內(nèi)容或者病毒。

        數(shù)據(jù)安全備份:對于重要的數(shù)據(jù)及時備份,防止服務(wù)器宕機損壞難以恢復(fù)完整數(shù)據(jù)。

        2.2 安全需求

        大數(shù)據(jù)技術(shù)在行業(yè)中的應(yīng)用越發(fā)的廣泛,所暴露出來的大數(shù)據(jù)安全問題,越發(fā)嚴(yán)重。

        運維入口:開發(fā)人員賬號混用、操作無詳細(xì)記錄、高危險誤操作無法控制、敏感數(shù)據(jù)泄露。

        應(yīng)用入口:敏感數(shù)據(jù)泄露、數(shù)據(jù)訪問無詳細(xì)記錄、應(yīng)用冒名訪問開放接口。

        平臺安全:大數(shù)據(jù)平臺是政府使用數(shù)據(jù)資源的基礎(chǔ)平臺,大數(shù)據(jù)平臺除了面臨傳統(tǒng)的惡意代碼、攻擊軟件套件、物理損壞與丟失等安全威脅外,還包括身份認(rèn)證、數(shù)據(jù)加密手段適用性問題。

        服務(wù)安全:應(yīng)對基于Web的攻擊、Web應(yīng)用程序攻擊/注入攻擊、拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚、用戶身份盜竊等威脅,抵御信息泄露、網(wǎng)絡(luò)癱瘓、服務(wù)中斷等安全風(fēng)險。

        數(shù)據(jù)安全:數(shù)據(jù)自身安全非常重要,涉及數(shù)據(jù)生命周期各階段相關(guān)的數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等活動。

        權(quán)限問題:在進行大數(shù)據(jù)分析中,必須做到權(quán)責(zé)分明,厘清數(shù)據(jù)權(quán)屬關(guān)系,防止數(shù)據(jù)流通過程中的非法使用,保障數(shù)據(jù)安全流通。在權(quán)利歸屬不明確的情況下,責(zé)任的歸屬也難以界定,相關(guān)數(shù)據(jù)安全難以保障。但是,目前數(shù)據(jù)權(quán)屬仍缺乏法律支撐,數(shù)據(jù)使用尤其是跨境流動所產(chǎn)生的安全風(fēng)險日益凸顯。

        APT攻擊防御:APT是黑客針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為,是一種蓄謀已久的“惡意網(wǎng)絡(luò)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃,并具備高度的隱蔽性。APT攻擊以竊取核心資料為目的,對政府部門大數(shù)據(jù)應(yīng)用產(chǎn)生重大安全威脅,因此必須在大數(shù)據(jù)中高度防范此類攻擊。

        應(yīng)用復(fù)雜性高:目前各地區(qū)和機構(gòu)在進行業(yè)務(wù)領(lǐng)域信息化建設(shè)時大都根據(jù)自身需求建立獨立的信息系統(tǒng),這些信息系統(tǒng)架構(gòu)各異、數(shù)據(jù)格式不同,導(dǎo)致數(shù)據(jù)在安全共享、交換和處理時的復(fù)雜度大幅提升。

        個人隱私保護難:大數(shù)據(jù)中包含特別敏感的個人隱私信息,必須依法進行管控和保護,對涉及的數(shù)據(jù)的管理方式要以相應(yīng)的法律法規(guī)做指導(dǎo),在數(shù)據(jù)的收集、存儲、挖掘等應(yīng)用時,需要解決個人隱私保護的難題。

        大數(shù)據(jù)聚合分析風(fēng)險:在對大數(shù)據(jù)加工計算的過程中,如何保障不會因為大數(shù)據(jù)的聚合分析而實現(xiàn)“去匿名化”,依然是亟待解決的難題。

        供應(yīng)鏈安全:數(shù)據(jù)在移動網(wǎng)絡(luò)設(shè)備中產(chǎn)生,而這些設(shè)備是由多家供應(yīng)商提供。同時,存在大數(shù)據(jù)平臺系統(tǒng)第三方供給代建設(shè)、代維護等問題,在特定階段,部分設(shè)備的操作權(quán)在供應(yīng)商手中,這意味著供應(yīng)鏈的各環(huán)節(jié)存在安全風(fēng)險。

        數(shù)據(jù)集中管理:在大數(shù)據(jù)業(yè)務(wù)應(yīng)用發(fā)展的驅(qū)動下,數(shù)據(jù)由原來的各系統(tǒng)分散存儲轉(zhuǎn)變?yōu)榇髷?shù)據(jù)平臺集中存儲模式,大數(shù)據(jù)資源的安全風(fēng)險更加集中,一旦發(fā)生安全事件將涉及海量客戶信息及公司數(shù)據(jù)資產(chǎn)。

        平臺組件開源:大數(shù)據(jù)平臺多使用開源軟件,這些軟件設(shè)計初衷主要考慮高效數(shù)據(jù)處理,缺乏安全性保障,存在安全隱患。

        敏感數(shù)據(jù)共享:在內(nèi)部信息系統(tǒng)建設(shè)相對分散,敏感數(shù)據(jù)跨部門、跨系統(tǒng)共享留存比較常見,其中一旦存在系統(tǒng)安全防護措施不當(dāng),均可能發(fā)生敏感數(shù)據(jù)泄漏,造成“一點突破、全網(wǎng)皆失”的嚴(yán)重后果。

        3 安全可信防御體系設(shè)計

        如圖1所示,大數(shù)據(jù)安全可信防御體系,由網(wǎng)絡(luò)邊界安全、操作系統(tǒng)安全增強、數(shù)據(jù)(庫)安全、業(yè)務(wù)安全、運維安全五個版塊組成,圍繞各種類型數(shù)據(jù)資產(chǎn),從外到內(nèi)、從上到下打造立體、縱深防御體系,及時、主動識別潛在威脅,構(gòu)建大數(shù)據(jù)應(yīng)用更加可信的計算環(huán)境。

        網(wǎng)絡(luò)邊界安全NGFW、漏洞掃描等下一代智能邊界防護產(chǎn)品,動態(tài)調(diào)整防護策略,及時感知網(wǎng)絡(luò)安全,面對未知威脅,能獲得更好的防護效果。

        操作系統(tǒng)安全增強:操作系統(tǒng)增強系統(tǒng),是在操作系統(tǒng)現(xiàn)有功能之上,新增的安全加強層,全權(quán)接管內(nèi)外部交互,提供更加嚴(yán)格、更自主可控的安全管控能力,大大增強操作系統(tǒng)層面的安全。

        數(shù)據(jù)(庫)安全:數(shù)據(jù)庫管理系統(tǒng),完全自主可控,安全更有保障。通過數(shù)據(jù)庫管理系統(tǒng),以及數(shù)據(jù)庫審計、數(shù)據(jù)脫敏、數(shù)據(jù)庫透明加密等外圍安全產(chǎn)品,可以確保各類型數(shù)據(jù)在抽取、傳輸、存儲、讀寫、共享等操作過程的安全性。

        業(yè)務(wù)安全:業(yè)務(wù)監(jiān)控系統(tǒng),實時監(jiān)測交易成功率、響應(yīng)時長等性能指標(biāo),及時預(yù)警異常情況,使相關(guān)人員實時掌控業(yè)務(wù)系統(tǒng)健康狀況。

        圖1 安全可信防御體系架構(gòu)設(shè)計

        運維安全:一體化運維服務(wù)管理平臺,通過對各網(wǎng)元日志、流量的綜合分析,及時發(fā)現(xiàn)異常行為,及時感知外部入侵和攻擊,維護信息系統(tǒng)安全。

        4 安全可信防御體系關(guān)鍵技術(shù)

        組織的網(wǎng)絡(luò)安全是一個綜合性全方位的安全防御體系,而不是單個安全產(chǎn)品或者多個產(chǎn)品簡單堆砌的安全。而一個綜合性的全方位的安全防御體系由點、線、面組成,既要有橫向的東西向的防御,也有縱向的南北向防御 ,從主機安全到網(wǎng)絡(luò)安全到應(yīng)用安全最后數(shù)據(jù)安全,形成一個綜合有效的安全防御體系。

        點是指主機和終端,除了部署傳統(tǒng)的網(wǎng)絡(luò)防病毒軟件實現(xiàn)對入侵到主機和終端病毒防御以外,還需要對操作系統(tǒng)實現(xiàn)強制訪問控制。

        目前,我國絕大部分企事業(yè)單位使用的主機和終端的操作系統(tǒng)都是國外廠商輸出的,基本都處于c1或者c2的等級,屬于自主訪問控制級別無法實現(xiàn)操作系統(tǒng)的基本的安全可信,通過在主機和終端設(shè)備部署國產(chǎn)化操作系統(tǒng)增強系統(tǒng),對用戶操作指令直接調(diào)用內(nèi)核的行為進行強制訪問控制,所有程序?qū)?nèi)核的調(diào)用指令都會被訪問控制列表過濾,如果是管理員授權(quán)允許的行為則放行,如果是未被授權(quán)禁止行為將被拒絕,最終實現(xiàn)主機和終端強制訪問控制;對于主機終端數(shù)據(jù)的采用可信國產(chǎn)NewSQL(結(jié)構(gòu)化、半結(jié)構(gòu)和非結(jié)構(gòu))數(shù)據(jù)庫并結(jié)合數(shù)據(jù)庫審計系統(tǒng)、數(shù)據(jù)庫加密系統(tǒng)實現(xiàn)數(shù)據(jù)庫用戶指令的監(jiān)控審計并對存儲的數(shù)據(jù)進行加密,夯實數(shù)據(jù)的安全可信防御體系,最終達到主機、終端的安全可信性。

        線的安全可信防御主要指在網(wǎng)絡(luò)邊界出口部署下一代防火墻、重要區(qū)域部署區(qū)域防火墻(包括虛擬防火墻),對流經(jīng)防火墻的L2到L7層的內(nèi)容進行檢查和策略的匹配、內(nèi)容分析、病毒查殺,形成安全可信防御體系的第一道防御屏障,在主干網(wǎng)或重要的網(wǎng)絡(luò)內(nèi)部署IPS入侵防御系統(tǒng),對于繞過防火墻或者內(nèi)部發(fā)起的攻擊入侵行為進行分析并能夠及時發(fā)現(xiàn)、及時阻斷入侵和攻擊。通過對防火墻、路由器、交換機、負(fù)載均衡等設(shè)備策略配置情況的分析利用大數(shù)據(jù)平臺綜合判斷分析,實現(xiàn)對數(shù)據(jù)鏈路可通達的可視化,發(fā)現(xiàn)刪除冗余策略、策略收斂,并根據(jù)具體數(shù)據(jù)鏈路的實際情況進行安全加固和優(yōu)化,最終形成以下一代防火墻、WAF、IPS為線的安全可信的防御體系。

        圖2 操作系統(tǒng)安全等級

        安全可信防御體系的面則需要對整個防御體系的點、線串接起來,能夠?qū)χ鳈C、終端設(shè)備、網(wǎng)絡(luò)設(shè)備的位置、性能、狀態(tài)、運行情況、配置做到實時監(jiān)控。并通過大數(shù)據(jù)平臺能夠?qū)@些設(shè)備產(chǎn)生的日志、事件進行關(guān)聯(lián)分析;實現(xiàn)對安全策略是否有效的分析評估和攻擊入侵事件的追蹤溯源,幫助網(wǎng)絡(luò)安全管理者對網(wǎng)絡(luò)內(nèi)部存在的脆弱性發(fā)現(xiàn)分析;結(jié)合威脅情報分析系統(tǒng)對預(yù)測將要發(fā)生的攻擊并給出安全加固建議;智能深度學(xué)習(xí)網(wǎng)絡(luò)內(nèi)各種正常的業(yè)務(wù)操作行為,并畫像建模,對未知的攻擊入侵行為進行主動防御;最終實現(xiàn)網(wǎng)絡(luò)安全事前預(yù)防、事中檢測防御、事后審計分析形成點、線、面綜合性安全可信的安全防御體系。

        5 安全防御體系優(yōu)勢分析

        傳統(tǒng)的信息安全,受限于技術(shù)發(fā)展,采用被動防御方式。隨著大數(shù)據(jù)分析技術(shù)、云計算技術(shù)、SDN技術(shù)、安全情報收集的發(fā)展,信息系統(tǒng)安全檢測技術(shù)對安全態(tài)勢的分析越來越準(zhǔn)確,對安全事件預(yù)警越來越及時精準(zhǔn),安全防御逐漸由被動防御向主動防御轉(zhuǎn)變。安全防御體系的優(yōu)勢在于,當(dāng)入侵行為對信息系統(tǒng)發(fā)生影響之前,通過構(gòu)建的點、線、面綜合性安全可信的安全防御體系,能夠及時精準(zhǔn)預(yù)警,實時構(gòu)建彈性防御體系,避免、轉(zhuǎn)移、降低信息系統(tǒng)面臨的風(fēng)險。安全防御體系優(yōu)勢如下:

        更智能的自我學(xué)習(xí)能力:本防御體系具備更智能的自我學(xué)習(xí)、自我更新能力,通過對本組織相關(guān)的人員機構(gòu)數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、用戶操作行為數(shù)據(jù)、運維操作數(shù)據(jù)、內(nèi)外部威脅數(shù)據(jù)、脆弱性數(shù)據(jù)信息等的不斷采集,不斷刷新,將會持續(xù)構(gòu)建出更敏感、更有效的數(shù)據(jù)安全分析控制體系,識別內(nèi)外部威脅更加精準(zhǔn),更加及時。

        更高效的可信聯(lián)防機制:可信防御體系以國產(chǎn)核心系統(tǒng)為可信基,各子系統(tǒng)作為一個整體有機集合、無縫對接,可以加快威脅情報、防御能力在各組織、各環(huán)節(jié)、各階段、各時間周期的繼承、流轉(zhuǎn)、共享,能明顯提升應(yīng)對威脅的能力和處理速度。

        6 結(jié)束語

        本文對大數(shù)據(jù)時代安全可信防御體系進行了探索研究,涉及點、線、面三個環(huán)節(jié),提出了安全可信的方法進行主動立體化多維防御,采用主機防護、邊界行為分析與過濾的安全防護、核心數(shù)據(jù)審計、加密、脫敏以及采用安全可靠的基礎(chǔ)數(shù)據(jù)庫軟件進行主動防御,設(shè)計構(gòu)建了多維度的縱深防御技術(shù)體系,為網(wǎng)絡(luò)與信息系統(tǒng)的安全可信主動防御提供技術(shù)支撐與方法參考。

        猜你喜歡
        數(shù)據(jù)安全體系
        構(gòu)建體系,舉一反三
        探索自由貿(mào)易賬戶體系創(chuàng)新應(yīng)用
        中國外匯(2019年17期)2019-11-16 09:31:14
        云計算中基于用戶隱私的數(shù)據(jù)安全保護方法
        電子制作(2019年14期)2019-08-20 05:43:42
        建立激勵相容機制保護數(shù)據(jù)安全
        大數(shù)據(jù)云計算環(huán)境下的數(shù)據(jù)安全
        電子制作(2017年20期)2017-04-26 06:57:48
        云環(huán)境中數(shù)據(jù)安全去重研究進展
        大數(shù)據(jù)安全搜索與共享
        健全大數(shù)據(jù)安全保障體系研究
        如何建立長期有效的培訓(xùn)體系
        “曲線運動”知識體系和方法指導(dǎo)
        国产精品一久久香蕉国产线看观看| 秋霞在线视频| 农村欧美丰满熟妇xxxx| 亚洲成a人片在线看| 亚洲精品区二区三区蜜桃| 亚洲人成网站色在线入口口| 夜夜添夜夜添夜夜摸夜夜摸 | 国产成人精品三级麻豆| 少妇激情一区二区三区久久大香香 | 无码国内精品久久人妻| 少妇激情av一区二区| 亚洲日产国无码| 亚洲国产精品情侣视频| 亚洲精品久久久久中文字幕| 丰满岳乱妇在线观看中字无码| 天堂av在线免费播放| 国产麻豆精品传媒av在线| 中文字幕人妻被公上司喝醉| 国产精品短视频| 中文字幕一区二区网址| 国产精品一区二区av麻豆| 最新亚洲精品国偷自产在线 | 日韩三级一区二区三区| 99久久久无码国产精品6| 中文字幕Aⅴ人妻一区二区苍井空| 男的和女的打扑克的视频| 亚洲狠狠婷婷综合久久久久| 欧美人与禽zozzo性伦交| 在线观看免费人成视频| 久久精品亚洲国产成人av| 中文字幕av久久亚洲精品| 一本一道av无码中文字幕| 婷婷五月亚洲综合图区| 国产av熟女一区二区三区蜜臀 | 少妇被粗大进猛进出处故事| 三年在线观看免费大全下载| 欧美xxxx新一区二区三区| 侵犯了美丽丰满人妻中文字幕| 手机福利视频| 精品免费福利视频| 久久精品国产亚洲av网在 |