大數(shù)據(jù)安全防護(hù)應(yīng)注重兩大核心
移動互聯(lián)�、社交網(wǎng)絡(luò)����、電子商務(wù)等極大地拓展了互聯(lián)網(wǎng)的邊界和應(yīng)用范圍,各種數(shù)據(jù)正在迅速膨脹并變大�,大數(shù)據(jù)應(yīng)用隨之迅猛發(fā)展。但與此同時�,國內(nèi)外數(shù)據(jù)泄露事件頻發(fā),用戶隱私受到極大挑戰(zhàn)����,在數(shù)據(jù)驅(qū)動環(huán)境下,網(wǎng)絡(luò)攻擊也更多地轉(zhuǎn)向存儲重要敏感信息的信息化系統(tǒng)�����。在此背景下����,安全已成為影響大數(shù)據(jù)應(yīng)用發(fā)展的重要因素之一��,大數(shù)據(jù)安全防護(hù)成為大數(shù)據(jù)應(yīng)用發(fā)展的一項重要課題���。
大數(shù)據(jù)應(yīng)用安全挑戰(zhàn)
大數(shù)據(jù)具有容量大��、類型多�、價值高、速度快的4V特性���。由于大量數(shù)據(jù)集中存儲����,一次成功攻擊所導(dǎo)致的損失巨大���,因此大數(shù)據(jù)應(yīng)用更容易成為攻擊目標(biāo)���。同時,大數(shù)據(jù)時代數(shù)據(jù)源多樣化�����,數(shù)據(jù)對象范圍與分布更為廣泛���,對數(shù)據(jù)的安全保護(hù)更為困難�。大數(shù)據(jù)應(yīng)用采用全新的Hadoop處理架構(gòu)�����,內(nèi)在安全機(jī)制仍不完善,因此在推動大數(shù)據(jù)技術(shù)應(yīng)用時面臨著很多安全風(fēng)險和挑戰(zhàn)���,具體包括:第一����,用戶隱私泄露問題隨著大數(shù)據(jù)技術(shù)應(yīng)用的深入將更為嚴(yán)重���。第二��,大數(shù)據(jù)應(yīng)用信息安全暴露點增多��。第三��,大數(shù)據(jù)應(yīng)用中數(shù)據(jù)往往穿越原有系統(tǒng)數(shù)據(jù)保護(hù)邊界����,數(shù)據(jù)屬主與權(quán)限隨之發(fā)生遷移�,導(dǎo)致原有數(shù)據(jù)保護(hù)方案失效�。第四,大數(shù)據(jù)應(yīng)用存在大量外界數(shù)據(jù)接口���,加大了數(shù)據(jù)安全風(fēng)險���。第五��,大數(shù)據(jù)引入Hadoop等新的技術(shù)體系�,帶來新的安全漏洞與風(fēng)險����。
此外,大數(shù)據(jù)應(yīng)用仍面臨傳統(tǒng)IT系統(tǒng)中存在的安全技術(shù)與管理風(fēng)險��,流量攻擊��、病毒�、木馬、口令破解�����、身份仿冒等各類攻擊行為對大數(shù)據(jù)應(yīng)用仍然有效�,系統(tǒng)漏洞、配置脆弱性�、管理脆弱性等問題在大數(shù)據(jù)環(huán)境中仍然存在。
大數(shù)據(jù)應(yīng)用安全對策
大數(shù)據(jù)應(yīng)用的核心資源是數(shù)據(jù)��,對敏感數(shù)據(jù)的安全保護(hù)成為大數(shù)據(jù)應(yīng)用安全的重中之重。同時大數(shù)據(jù)運行環(huán)境涉及網(wǎng)絡(luò)�����、主機(jī)����、應(yīng)用、計算資源���、存儲資源等各個層面����,需要具備縱深的安全防護(hù)手段���。因此�����,面對上述大數(shù)據(jù)應(yīng)用的安全挑戰(zhàn)���,在進(jìn)行大數(shù)據(jù)應(yīng)用安全防護(hù)時應(yīng)注重兩大核心:隱私保護(hù)與計算環(huán)境安全防護(hù)�。
其一�����,通過重構(gòu)分級訪問控制機(jī)制����、解構(gòu)敏感數(shù)據(jù)關(guān)聯(lián)�����、實施數(shù)據(jù)全生命周期安全防護(hù)�����,增強(qiáng)大數(shù)據(jù)應(yīng)用隱私保護(hù)能力��。
大數(shù)據(jù)應(yīng)用中往往通過對采集到的數(shù)據(jù)進(jìn)行用戶PII(Personal Identifiable Information�����,個人可標(biāo)識信息)與UL(User Label��,用戶標(biāo)簽)信息分析����,部分大數(shù)據(jù)應(yīng)用進(jìn)一步分析PII與UI關(guān)聯(lián)信息����,從而進(jìn)行定向精準(zhǔn)營銷等應(yīng)用��,這類應(yīng)用對隱私侵害的影響最大��,因此PII與UL兩者關(guān)聯(lián)信息是大數(shù)據(jù)隱私保護(hù)的重點���,同時由于PII直接關(guān)聯(lián)各類用戶信息��,也是大數(shù)據(jù)隱私保護(hù)的重點����。
在大數(shù)據(jù)隱私保護(hù)中�����,應(yīng)基于PII與UL等數(shù)據(jù)的敏感度進(jìn)行分級�,進(jìn)而重構(gòu)數(shù)據(jù)安全訪問控制機(jī)制。將原始數(shù)據(jù)����、UL數(shù)據(jù)����、PII數(shù)據(jù)及PII與UL關(guān)聯(lián)數(shù)據(jù)按安全等級由低到高進(jìn)行分類��,并根據(jù)安全需求實施用戶身份訪問控制���、加密等不同等級安全策略,限制數(shù)據(jù)訪問范圍�����。同時在大數(shù)據(jù)運營中應(yīng)盡可能實現(xiàn)PII數(shù)據(jù)與個人屬性數(shù)據(jù)的解構(gòu)����,將PII數(shù)據(jù)與UL數(shù)據(jù)分開存儲,并為PII數(shù)據(jù)建立索引�����,將UL與PII的關(guān)聯(lián)通過索引表完成���,黑客即使獲得UL信息���,也無法獲得用戶的PII信息及對應(yīng)關(guān)系��,同時對索引表進(jìn)行加密存儲��,黑客即使獲得索引表���,也無法得到用戶的PII信息。
在對數(shù)據(jù)進(jìn)行分級與解構(gòu)的基礎(chǔ)上�,還應(yīng)對數(shù)據(jù)實施全生命周期的安全防護(hù)。重點加強(qiáng)數(shù)據(jù)接口管控��,對數(shù)據(jù)批量導(dǎo)出接口進(jìn)行審批與監(jiān)控�����,對數(shù)據(jù)接口進(jìn)行定期審計與評估�����,規(guī)范數(shù)據(jù)接口管理��,且在數(shù)據(jù)流出時對敏感數(shù)據(jù)進(jìn)行脫敏處理��。同時采用安全通信協(xié)議傳輸數(shù)據(jù)��,如SSL/TLS�����、HTTPS、SFTP等����,并對重要數(shù)據(jù)的傳輸根據(jù)需要進(jìn)行加密。在數(shù)據(jù)銷毀時���,應(yīng)清除數(shù)據(jù)的所有副本,保證用戶鑒別信息�、文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或再分配給其他用戶前��,得到完全清除�。
其二,做好大數(shù)據(jù)應(yīng)用計算平臺�、分布式探針、網(wǎng)絡(luò)與主機(jī)等基礎(chǔ)設(shè)施安全防護(hù)�,提升大數(shù)據(jù)計算環(huán)境安全防御水平。
大數(shù)據(jù)計算環(huán)境包括網(wǎng)絡(luò)�、主機(jī)、計算平臺���、分布式探針等�����,針對各層面面臨的安全風(fēng)險�����,應(yīng)采取如下安全對策:
首先���,加固大數(shù)據(jù)計算平臺��,提升計算環(huán)境安全性��。引入Kerberos���,建立KDC安全認(rèn)證中心,需要部署多個KDC�����,規(guī)避單點缺陷�;基于Kerberos方式進(jìn)行訪問控制與授權(quán);對所有元數(shù)據(jù)進(jìn)行存儲加密��;在性能允許的情況下可借助KMS等工具對HDFS原始數(shù)據(jù)進(jìn)行透明加密�����,同時配置Web控制臺和MapReduce間的隨機(jī)操作使用SSL進(jìn)行加密,配置HDFS文件傳輸器為加密傳輸�����。
其次�����,加強(qiáng)各類大數(shù)據(jù)應(yīng)用探針的安全防護(hù)���,防止源端數(shù)據(jù)泄露或濫用。對探針設(shè)備進(jìn)行安全加固����,設(shè)置安全的登錄賬號和口令,及時更新系統(tǒng)補(bǔ)丁�,設(shè)置防病毒與入侵檢測;對遠(yuǎn)程操作進(jìn)行嚴(yán)格訪問控制��,限制特定IP地址訪問��;對探針登錄與操作行為進(jìn)行細(xì)粒度審計�;對存儲在本地的數(shù)據(jù)進(jìn)行加密保護(hù)���;在探針公網(wǎng)出口實施異常流量監(jiān)控與DDoS攻擊防護(hù)。
最后�,加強(qiáng)對大數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)、主機(jī)���、終端等基礎(chǔ)設(shè)施運行環(huán)境的安全防護(hù)���。應(yīng)采用傳統(tǒng)安全防護(hù)手段構(gòu)建縱深安全防護(hù)體系,在網(wǎng)絡(luò)層面進(jìn)行安全域劃分��,部署邊界訪問控制����、入侵檢測/防御、異常流量監(jiān)控���、DDoS攻擊防御�、VPN等安全手段�;在主機(jī)層面部署入侵檢測、漏洞掃描��、病毒防護(hù)、操作監(jiān)控��、補(bǔ)丁管理等安全手段�;在終端層面部署準(zhǔn)入控制、終端安全管理�、漏洞掃描、病毒防護(hù)等安全手段��。此外�,應(yīng)構(gòu)建大數(shù)據(jù)統(tǒng)一安全管控、組件監(jiān)測����、資源監(jiān)測等基礎(chǔ)安全服務(wù)設(shè)施,對大數(shù)據(jù)平臺主機(jī)��、網(wǎng)絡(luò)����、大數(shù)據(jù)組件�����、租戶應(yīng)用等數(shù)據(jù)進(jìn)行監(jiān)控分析�,實現(xiàn)大數(shù)據(jù)平臺及時預(yù)警、全面分析、快速響應(yīng)的安全運營能力�。
大數(shù)據(jù)應(yīng)用的新特點帶來了新的挑戰(zhàn),隱私保護(hù)以及數(shù)據(jù)安全是大數(shù)據(jù)應(yīng)用安全防護(hù)的重中之重��,同時構(gòu)建涵蓋網(wǎng)絡(luò)���、主機(jī)�、終端��、應(yīng)用等各層面基礎(chǔ)設(shè)施的縱深安全防御體系也是其安全防護(hù)的重要方面��。大數(shù)據(jù)應(yīng)用服務(wù)提供商應(yīng)根據(jù)“三同步”原則�����,在設(shè)計�、建設(shè)、運營等階段同步考慮大數(shù)據(jù)安全防護(hù)技術(shù)與方案�,構(gòu)建日益完善的大數(shù)據(jù)安全防護(hù)體系,進(jìn)而持續(xù)推動大數(shù)據(jù)應(yīng)用發(fā)展�����。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認(rèn)證考試���,點擊>>>
“CDA報名”
了解CDA考試詳情����;
? 想學(xué)習(xí)CDA考試教材,點擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫��,點擊>>> “CDA題庫” 了解CDA考試詳情���;
? 想了解CDA考試含金量����,點擊>>> “CDA含金量” 了解CDA考試詳情��;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330