文件名称:大数据时代政务大数据安全的研究与设计.pdf
文件大小:2.64MB
文件格式:PDF
更新时间:2022-12-24 15:03:45
文档资料
行 业 信 息 化 安 全 与 容 灾 安 全 与 容 灾 文|朱春琴 大数据时代政务大数据安全的研究与设计 随着技术的发展,数据存储与处理成本显著降低, 人们有能力从支离破碎的看似毫无关系的数据中抽炼出真 知灼见,这就意味着大数据时代的到来。它渗透到了我们 衣食住行的方方面面,悄悄地改变着我们的生活方式,拉 近了我们与现实的距离,我们可以轻松获取以前从未有过 的各种信息,仿佛所有人所有事都触手可及,"地球村" 变成了"地球屋"。在大数据时代,数据的价值不断凸 显,被大家称为智能时代的"石油",掌握了数据就相当 于掌握了未来。利用数据,企业可以分析用户行为,可以 定位潜在消费群体,精准的投放产品;利用数据,企业可 以进行业务转型,成为数据驱动型企业;利用数据,企业 可以更精确的改良产品,适应大众需求…… 在大数据时代,我们每个人都被打上了各种各样的 标签,数据带来了巨大价值的同时,也带来了用户隐私保 护方面的难题,如何在不断挖掘数据中存在的价值的同时 保护好隐私信息和敏感信息,正成为当下新的挑战。近年 来,数据泄露事件频出,在发生数据滥用、内部偷窃、网 络攻击等安全事件时,常常伴随着个人信息泄露,新闻中 经常出现"泄露"、"漏洞"、"隐私"等名词。数据泄 露事件越来越严重,轻则波及数千万人甚至影响几十亿 人,相比以往,2018年数据泄漏事件远远超过往年,成 为个人信息泄露的最高记录年。随着数据挖掘、机器学 习、人工智能等技术的研究和应用,使得大数据分析的能 力越来越强,由于海量数据本身就蕴藏着价值,在对大数 据中多源数据进行综合分析时,通过关联分析可以挖掘出 更多的个人信息,进一步加剧信息泄露的风险。数据安全 事关重要信息和个人隐私,一旦泄露我们将无所遁形,成 为广告营销的对象,防不胜防,甚至成为电信诈骗分子的 目标。对于企业来讲,数据安全可能关乎生死存亡,所以 说数据泄露已经成为企业和消费者的共同"心病",一点 不为过。在大数据时代,要对数据进行安全保护,既要注 意防止因数据丢失而直接导致的个人信息泄露,也要注意 防止因挖掘分析而间接导致的个人信息泄露,这种综合保 护需求带来的安全挑战无疑是巨大的。 一、政务大数据存在的风险 随着江苏省大数据平台的建设,平台内部的各种业 务和信息支撑系统不断增加,网络规模也迅速扩大。大数 据平台作为数据存储、分析及共享的核心和基础,承载着 越来越多的关键政务数据。大数据中心实现了数据大集中 的同时,也导致了数据的风险大集中。而数据是江苏省大 数据管理中心最重要的"隐形"资产,如何识别数据风 险,进而采用有针对性的数据安全防护控制措施,来缓 解、转移、规避数据安全风险,是江苏省大数据管理中心 安全建设必须考虑的一环。 从数据安全的全生命周期角度来看,数据的采集、 传输、存储、共享、使用、销毁等各个阶段,均伴随着不 同程度的风险,例如: 采集和传输阶段:采集前端仿冒、伪造风险,使得 数据交换共享平台存在被入侵的风险。同时,传输链路可 能被监听、嗅探,导致数据被恶意篡改、窃取。 存储阶段:存在DBA 等特权用户越权访问、违规操 作或者误操作,导致数据泄露;还会存在数据库或文件未 加密导致数据直接泄露。 使用阶段:终端用户可能会通过截屏、拍照等方式 窃取数据;内部人员通过应用系统违规窃取或滥用数据; BI分析人员越权、违规操作数据。 共享阶段,传输链路被监听、嗅探,导致数据被篡 改、窃取;外部应用系统假冒数据接收对象获取数据;敏 感数据分发给外部单位;通过无线、蓝牙等外设发送敏感 数据。 销毁阶段,重要存储介质维修或报废前缺乏数据清 85 Informatization-Research 信息化研究 除管控,没有做到安全删除,同样存在数据泄露风险。 二、解决数据安全问题的难点分析 综合分析不难得出,解决大数据安全问题主要存在 以下几个难点: (一)传统的安全措施难以适配 大数据技术先进,架构偏于复杂,为了满足海量数 据分布式存储和高效计算服务,一般采用底层复杂、开放 的分布式计算和存储架构。这些新的技术和架构使得大数 据应用的系统边界变得模糊,传统那些基于边界的安全措 施失去了保护效用。在大数据系统中,数据一般采取分布 式存储方式,数据会动态分散在很多个不同的存储设备, 甚至可能是不同的物理地点存储,这样导致难以准确划定 传统意义上的每个数据集的"边界",传统的基于网关模 式的防护手段就失去了安全防护效果。 (二)平台安全机制严重不足 现有大数据应用大部分采用基于开源的大数据技术 和管理平台,如基于 Hadoop生态架构的 HBase/Hive、 Cassandra/Spark、MongoDB等。这些技术和平台在设 计之初,由于绝大部分是部署在可信的内部网络中的,对 于用户的身份鉴别、授权访问以及安