蔣太軍

摘要：大數(shù)據(jù)應(yīng)用廣泛意味著潛在安全風(fēng)險(xiǎn)系數(shù)的提升，也為安全稽查工作提出更高要求，風(fēng)險(xiǎn)評(píng)估過(guò)程需要精準(zhǔn)到位。本文以大數(shù)據(jù)環(huán)境為背景，首先分析了安全稽查的重要性和存在的問(wèn)題，探討風(fēng)險(xiǎn)評(píng)估的要求，隨后分析一種服務(wù)于安全風(fēng)險(xiǎn)評(píng)估的系統(tǒng)。

關(guān)鍵詞：大數(shù)據(jù);安全稽查;風(fēng)險(xiǎn)評(píng)估

引言：在大數(shù)據(jù)成為各行業(yè)重要資源的背景下，加強(qiáng)配套安全稽查力度至關(guān)重要;通過(guò)稽查工作及時(shí)排查大數(shù)據(jù)風(fēng)險(xiǎn)，保證大數(shù)據(jù)環(huán)境安全穩(wěn)定。因此有必要分析一種評(píng)估系統(tǒng)，加強(qiáng)對(duì)大數(shù)據(jù)風(fēng)險(xiǎn)的稽查評(píng)估能力。

一、安全稽查與風(fēng)險(xiǎn)評(píng)估分析

1.安全稽查分析。針對(duì)大數(shù)據(jù)環(huán)境的安全稽查，需要掌握精度、實(shí)時(shí)性等多方面的要求，不僅要精準(zhǔn)落實(shí)數(shù)據(jù)稽查任務(wù)，稽查結(jié)果也要反映及時(shí)。由于各類平臺(tái)數(shù)據(jù)資產(chǎn)類型較多，安全稽查前需要對(duì)各類數(shù)據(jù)資產(chǎn)進(jìn)行分類，并根據(jù)分類結(jié)果創(chuàng)建接口，保證接口與分類的對(duì)應(yīng)性。數(shù)據(jù)虛擬資產(chǎn)可能應(yīng)用在存儲(chǔ)、調(diào)度、傳輸、安全等多個(gè)領(lǐng)域，安全稽查設(shè)計(jì)要考慮組件資產(chǎn)的各種類型。關(guān)于集群環(huán)境資源，主要涉及到基礎(chǔ)與安全設(shè)備兩種類型，進(jìn)一步細(xì)分為CPU、內(nèi)存、防火墻等多種資源。因此大數(shù)據(jù)安全稽查面對(duì)的數(shù)據(jù)資產(chǎn)類型非常復(fù)雜，根據(jù)全部類型數(shù)據(jù)資產(chǎn)建立統(tǒng)一稽查藍(lán)圖，實(shí)現(xiàn)安全稽查的統(tǒng)籌效應(yīng)。

2.風(fēng)險(xiǎn)評(píng)估分析?，F(xiàn)行大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估機(jī)制存在實(shí)時(shí)性不足、響應(yīng)能力偏弱的弊端，風(fēng)險(xiǎn)評(píng)估的依據(jù)一般是后臺(tái)日志文件、風(fēng)險(xiǎn)告警記錄等內(nèi)容，風(fēng)險(xiǎn)評(píng)估過(guò)程側(cè)重于數(shù)據(jù)平臺(tái)整體，仍然呈現(xiàn)出事后評(píng)價(jià)的特征，有可能延誤最佳風(fēng)險(xiǎn)處理時(shí)機(jī)。在確定風(fēng)險(xiǎn)評(píng)估檢測(cè)屬性的前提下，設(shè)置每個(gè)屬性的正常閾值區(qū)間，為執(zhí)行基線評(píng)估模型提供依據(jù)。按照基線評(píng)估模型反饋的結(jié)果，提升安全風(fēng)險(xiǎn)檢測(cè)的主動(dòng)性，對(duì)大數(shù)據(jù)平臺(tái)中所有組件和屬性進(jìn)行檢測(cè)，根據(jù)檢測(cè)結(jié)果生成風(fēng)險(xiǎn)報(bào)告并給出整改建議。對(duì)大數(shù)據(jù)平臺(tái)組件安全性的評(píng)價(jià)更加全面，覆蓋運(yùn)行和防護(hù)兩個(gè)方面，最大限度發(fā)現(xiàn)平臺(tái)組件中存在的安全問(wèn)題和漏洞。因此在風(fēng)險(xiǎn)評(píng)估分析中著重發(fā)揮專業(yè)評(píng)估模型的作用，將稽查結(jié)果和組件風(fēng)險(xiǎn)評(píng)估結(jié)果綜合使用;結(jié)合大數(shù)據(jù)平臺(tái)風(fēng)險(xiǎn)防范的通用標(biāo)準(zhǔn)體系，確定每一類結(jié)果的影響和分量，保證風(fēng)險(xiǎn)評(píng)估結(jié)果的代表性，為制定安全風(fēng)險(xiǎn)等級(jí)、擬定安全風(fēng)險(xiǎn)整改方案提供較高參考價(jià)值的依據(jù)。

二、系統(tǒng)設(shè)計(jì)思路

1.平臺(tái)對(duì)接層。該層次實(shí)現(xiàn)系統(tǒng)與大數(shù)據(jù)平臺(tái)的對(duì)接效果，平臺(tái)對(duì)接層中提供了數(shù)據(jù)對(duì)接需要使用的接口和模板，充分適應(yīng)當(dāng)前主流數(shù)據(jù)資源格式以及數(shù)據(jù)資產(chǎn)的采集過(guò)程。在平臺(tái)對(duì)接層中內(nèi)置多套資源模板，盡可能適應(yīng)更多數(shù)據(jù)平臺(tái)的對(duì)接場(chǎng)景。

2.數(shù)據(jù)采集管理層。該層次實(shí)現(xiàn)大數(shù)據(jù)環(huán)境內(nèi)平臺(tái)的檢測(cè)和接入功能，對(duì)接入到本平臺(tái)的大數(shù)據(jù)平臺(tái)進(jìn)行自動(dòng)檢測(cè)，掌握接入平臺(tái)的數(shù)據(jù)資產(chǎn)變動(dòng)狀況，實(shí)現(xiàn)平臺(tái)數(shù)據(jù)資產(chǎn)管理效果。本系統(tǒng)實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)接口的統(tǒng)一效應(yīng)，對(duì)接入平臺(tái)的數(shù)據(jù)按照接口標(biāo)準(zhǔn)處理，確保數(shù)據(jù)按照統(tǒng)一標(biāo)準(zhǔn)保存在系統(tǒng)數(shù)據(jù)庫(kù)中，為評(píng)估數(shù)據(jù)資產(chǎn)的安全風(fēng)險(xiǎn)狀況奠定基礎(chǔ)。因此安全稽查層包括數(shù)據(jù)資產(chǎn)的發(fā)現(xiàn)、導(dǎo)入、變更管理、模板管理等環(huán)節(jié)。

3.安全稽查層。負(fù)責(zé)數(shù)據(jù)資產(chǎn)的安全稽查任務(wù)，系統(tǒng)內(nèi)置數(shù)據(jù)稽查引擎，針對(duì)接入系統(tǒng)的平臺(tái)數(shù)據(jù)信息進(jìn)行全面安全稽查。借助安全稽查層建立數(shù)據(jù)安全稽查方案，確保數(shù)據(jù)資產(chǎn)稽查過(guò)程的體系化效應(yīng)。通過(guò)安全稽查層實(shí)現(xiàn)稽查方案自動(dòng)生成效果，執(zhí)行數(shù)據(jù)資產(chǎn)稽查任務(wù)時(shí)，按照稽查方案中的步驟。安全稽查方案中包括需要稽查的數(shù)據(jù)資產(chǎn)信息、身份以及數(shù)據(jù)規(guī)模，確定數(shù)據(jù)資產(chǎn)的狀態(tài)變更風(fēng)險(xiǎn)。借助安全稽查層還能夠完成安全防護(hù)能力的驗(yàn)證任務(wù)，驗(yàn)證過(guò)程具有全面性的特征，涉及到認(rèn)證、加密、脫敏等多個(gè)環(huán)節(jié)，綜合評(píng)價(jià)系統(tǒng)的安全稽查能力。資產(chǎn)安全稽查負(fù)責(zé)對(duì)組件資產(chǎn)、物理資產(chǎn)的身份與狀態(tài)稽查，以及對(duì)安全設(shè)備的身份、狀態(tài)稽查;安全能力稽查負(fù)責(zé)對(duì)授權(quán)、加密、脫敏以及其他安全能力的稽查。

4.風(fēng)險(xiǎn)評(píng)估層。系統(tǒng)風(fēng)險(xiǎn)評(píng)估體系中包含基線掃描與驗(yàn)證、安全評(píng)估等多個(gè)環(huán)節(jié)，提供風(fēng)險(xiǎn)評(píng)估過(guò)程使用的模板。針對(duì)接入數(shù)據(jù)進(jìn)行安全稽查后，根據(jù)反饋的安全稽查結(jié)果形成基線掃描過(guò)程中需要使用的模板，將模板與數(shù)據(jù)稽查引擎相結(jié)合，形成基線掃描任務(wù);執(zhí)行基線掃描任務(wù)就可以對(duì)系統(tǒng)組件進(jìn)行全面掃描，通過(guò)掃描能夠確定組件的性能特征，驗(yàn)證組件是否健壯安全。風(fēng)險(xiǎn)評(píng)估過(guò)程結(jié)合大數(shù)據(jù)技術(shù)，風(fēng)險(xiǎn)評(píng)估系統(tǒng)正常運(yùn)行的關(guān)鍵在于大數(shù)據(jù)組件的狀態(tài)，及時(shí)檢出大數(shù)據(jù)組件可能存在的風(fēng)險(xiǎn)。組件評(píng)估與風(fēng)險(xiǎn)評(píng)估結(jié)果有關(guān)，影響評(píng)估結(jié)果的另外兩個(gè)因素則是安全稽查層中涉及到的數(shù)據(jù)資產(chǎn)和安全防護(hù)能力的稽查結(jié)果，針對(duì)三個(gè)數(shù)據(jù)結(jié)果合理分配權(quán)重，計(jì)算風(fēng)險(xiǎn)評(píng)估最終結(jié)果，評(píng)價(jià)接入平臺(tái)存在的安全風(fēng)險(xiǎn)。基線掃描包括手動(dòng)和定時(shí)兩種方式，提供的評(píng)估模板包括安全性與合規(guī)性模板，也可以根據(jù)需求定制模板，安全性評(píng)估包括非合規(guī)項(xiàng)風(fēng)險(xiǎn)等級(jí)計(jì)算、組件風(fēng)險(xiǎn)等級(jí)評(píng)估等環(huán)節(jié)，

5.數(shù)據(jù)應(yīng)用層。安全風(fēng)險(xiǎn)評(píng)估的最終結(jié)果需要體現(xiàn)在系統(tǒng)界面，通過(guò)數(shù)據(jù)應(yīng)用層實(shí)現(xiàn)評(píng)估結(jié)果的展示效果。分析評(píng)估結(jié)果以多種形式通過(guò)系統(tǒng)界面展示，為控制大數(shù)據(jù)環(huán)境風(fēng)險(xiǎn)給出依據(jù)。數(shù)據(jù)應(yīng)用層實(shí)現(xiàn)了風(fēng)險(xiǎn)監(jiān)控機(jī)制，針對(duì)監(jiān)控到的平臺(tái)風(fēng)險(xiǎn)發(fā)出警報(bào)，提醒用戶及時(shí)應(yīng)對(duì)平臺(tái)風(fēng)險(xiǎn)。

結(jié)束語(yǔ)：安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的應(yīng)用，顯著提升安全稽查過(guò)程的主動(dòng)性，并為風(fēng)險(xiǎn)評(píng)估過(guò)程提供有效依據(jù)，更好地排查預(yù)防大數(shù)據(jù)環(huán)境的隱患因素。通過(guò)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的主動(dòng)精準(zhǔn)防控，確保大數(shù)據(jù)平臺(tái)的整體安全性。

參考文獻(xiàn)

[1]馬英. 大數(shù)據(jù)時(shí)代的數(shù)據(jù)資產(chǎn)保護(hù)[J]. 數(shù)據(jù)通信，2021，（04）：37-41.

[2]楊銳，公偉，王曙光，張明狀，劉金琳. 數(shù)據(jù)安全和隱私保護(hù)標(biāo)準(zhǔn)體系研究初探[J]. 大眾標(biāo)準(zhǔn)化，2021，（16）：1-3.

[3]王偉潔，周千荷. 國(guó)外數(shù)據(jù)安全保護(hù)的最新進(jìn)展、特點(diǎn)及啟示[J]. 科技中國(guó)，2021，（07）：34-36.

[4]卜云，高傳海，李文芳，徐偉剛，周全. 大數(shù)據(jù)架構(gòu)下電力系統(tǒng)風(fēng)險(xiǎn)評(píng)估[J]. 電網(wǎng)與清潔能源，2021，37（01）：77-83.

[5]王靜宇，劉思睿. 大數(shù)據(jù)風(fēng)險(xiǎn)訪問(wèn)控制研究進(jìn)展[J]. 計(jì)算機(jī)科學(xué)，2020，47（07）：56-65.D8014BDB-7B5D-4207-8D8B-E7C4155A44CB