大數(shù)據(jù)應(yīng)用安全挑戰(zhàn)
大數(shù)據(jù)具有容量大��、類型多�、價值高����、速度快的4V特性�����。由于大量數(shù)據(jù)集中存儲��,一次成功攻擊所導(dǎo)致的損失巨大�����,因此大數(shù)據(jù)應(yīng)用更容易成為攻擊目標���。同時,大數(shù)據(jù)時代數(shù)據(jù)源多樣化���,數(shù)據(jù)對象范圍與分布更為廣泛��,對數(shù)據(jù)的安全保護更為困難�。大數(shù)據(jù)應(yīng)用采用全新的Hadoop處理架構(gòu)�,內(nèi)在安全機制仍不完善,因此在推動大數(shù)據(jù)技術(shù)應(yīng)用時面臨著很多安全風險和挑戰(zhàn)���,具體包括:第一����,用戶隱私泄露問題隨著大數(shù)據(jù)技術(shù)應(yīng)用的深入將更為嚴重。第二���,大數(shù)據(jù)應(yīng)用信息安全增多�。第三�����,大數(shù)據(jù)應(yīng)用中數(shù)據(jù)往往穿越原有系統(tǒng)數(shù)據(jù)保護邊界��,數(shù)據(jù)屬主與權(quán)限隨之發(fā)生遷移����,導(dǎo)致原有數(shù)據(jù)保護方案失效。第四�����,大數(shù)據(jù)應(yīng)用存在大量外界數(shù)據(jù)接口�,加大了數(shù)據(jù)安全風險。第五�,大數(shù)據(jù)引入Hadoop等新的技術(shù)體系�����,帶來新的安全漏洞與風險。
此外��,大數(shù)據(jù)應(yīng)用仍面臨傳統(tǒng)IT系統(tǒng)中存在的安全技術(shù)與管理風險��,流量攻擊����、病毒、木馬����、口令破解、身份仿冒等各類攻擊行為對大數(shù)據(jù)應(yīng)用仍然有效�����,系統(tǒng)漏洞�����、配置脆弱性���、管理脆弱性等問題在大數(shù)據(jù)環(huán)境中仍然存在����。
大數(shù)據(jù)應(yīng)用安全對策
大數(shù)據(jù)應(yīng)用的核心資源是數(shù)據(jù),對敏感數(shù)據(jù)的安全保護成為大數(shù)據(jù)應(yīng)用安全的重中之重����。同時大數(shù)據(jù)運行環(huán)境涉及網(wǎng)絡(luò)、主機���、應(yīng)用��、計算資源���、存儲資源等各個層面,需要具備縱深的安全防護手段���。因此�,面對上述大數(shù)據(jù)應(yīng)用的安全挑戰(zhàn)���,在進行大數(shù)據(jù)應(yīng)用安全防護時應(yīng)注重兩大核心:隱私保護與計算環(huán)境安全防護�����。
通過重構(gòu)分級訪問控制機制���、解構(gòu)敏感數(shù)據(jù)關(guān)聯(lián)、實施數(shù)據(jù)全生命周期安全防護��,增強大數(shù)據(jù)應(yīng)用隱私保護能力�。
大數(shù)據(jù)應(yīng)用中往往通過對采集到的數(shù)據(jù)進行用戶PII(Personal Identifiable Information,個人可標識信息)與UL(User Label��,用戶標簽)信息分析�����,部分大數(shù)據(jù)應(yīng)用進一步分析PII與UI關(guān)聯(lián)信息���,從而進行定向精準營銷等應(yīng)用�����,這類應(yīng)用對隱私侵害的影響最大����,因此PII與UL兩者關(guān)聯(lián)信息是大數(shù)據(jù)隱私保護的重點����,同時由于PII直接關(guān)聯(lián)各類用戶信息�����,也是大數(shù)據(jù)隱私保護的重點��。
在大數(shù)據(jù)隱私保護中��,應(yīng)基于PII與UL等數(shù)據(jù)的敏感度進行分級�����,進而重構(gòu)數(shù)據(jù)安全訪問控制機制����。將原始數(shù)據(jù)�、UL數(shù)據(jù)、PII數(shù)據(jù)及PII與UL關(guān)聯(lián)數(shù)據(jù)按安全等級由低到高進行分類��,并根據(jù)安全需求實施用戶身份訪問控制�����、加密等不同等級安全策略��,限制數(shù)據(jù)訪問范圍。同時在大數(shù)據(jù)運營中應(yīng)盡可能實現(xiàn)PII數(shù)據(jù)與個人屬性數(shù)據(jù)的解構(gòu)��,將PII數(shù)據(jù)與UL數(shù)據(jù)分開存儲���,并為PII數(shù)據(jù)建立索引���,將UL與PII的關(guān)聯(lián)通過索引表完成����,黑客即使獲得UL信息,也無法獲得用戶的PII信息及對應(yīng)關(guān)系�,同時對索引表進行加密存儲,黑客即使獲得索引表���,也無法得到用戶的PII信息��。
在對數(shù)據(jù)進行分級與解構(gòu)的基礎(chǔ)上���,還應(yīng)對數(shù)據(jù)實施全生命周期的安全防護。重點加強數(shù)據(jù)接口管控�,對數(shù)據(jù)批量導(dǎo)出接口進行審批與監(jiān)控,對數(shù)據(jù)接口進行定期審計與評估�,規(guī)范數(shù)據(jù)接口管理,且在數(shù)據(jù)流出時對敏感數(shù)據(jù)進行脫敏處理�����。同時采用安全通信協(xié)議傳輸數(shù)據(jù),如SSL/TLS����、HTTPS、SFTP等����,并對重要數(shù)據(jù)的傳輸根據(jù)需要進行加密。在數(shù)據(jù)銷毀時���,應(yīng)清除數(shù)據(jù)的所有副本�,保證用戶鑒別信息�、文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或再分配給其他用戶前�����,得到完全清除��。
大數(shù)據(jù)應(yīng)用的新特點帶來了新的挑戰(zhàn)��,隱私保護以及數(shù)據(jù)安全是大數(shù)據(jù)應(yīng)用安全防護的重中之重,同時構(gòu)建涵蓋網(wǎng)絡(luò)���、主機���、終端、應(yīng)用等各層面基礎(chǔ)設(shè)施的縱深安全防御體系也是其安全防護的重要方面�。大數(shù)據(jù)應(yīng)用服務(wù)提供商應(yīng)根據(jù)“三同步”原則,在設(shè)計��、建設(shè)�、運營等階段同步考慮大數(shù)據(jù)安全防護技術(shù)與方案����,構(gòu)建日益完善的大數(shù)據(jù)安全防護體系,進而持續(xù)推動大數(shù)據(jù)應(yīng)用發(fā)展�����。
..
|
