大數(shù)據(jù)安全的風(fēng)險(xiǎn)分析和解決思路

孫翠云

(公安部第三研究所，上海 201204)

隨著信息技術(shù)的快速發(fā)展，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)為科技信息化發(fā)展帶來(lái)了新動(dòng)力，但同時(shí)也給網(wǎng)絡(luò)信息安全帶來(lái)了新挑戰(zhàn)[1]，主要表現(xiàn)在：一是大數(shù)據(jù)和云計(jì)算技術(shù)改變了數(shù)據(jù)的生命周期，打破了數(shù)據(jù)安全閉環(huán)，特別是數(shù)據(jù)資源大量匯聚、集中存儲(chǔ)以后，信息泄露、數(shù)據(jù)濫用等安全風(fēng)險(xiǎn)逐步加大；二是云平臺(tái)的分布計(jì)算本質(zhì)降低了傳統(tǒng)安全防護(hù)手段效能，增加了安全設(shè)施集成部署的難度，現(xiàn)有的信息安全技術(shù)無(wú)法在大數(shù)據(jù)環(huán)境中完全有效地運(yùn)用；三是目前安全運(yùn)行的組織架構(gòu)、人員技能水平、應(yīng)急響應(yīng)能力無(wú)法適應(yīng)大數(shù)據(jù)中心的安全管理要求；四是信息網(wǎng)絡(luò)安全標(biāo)準(zhǔn)滯后于大數(shù)據(jù)、云計(jì)算技術(shù)發(fā)展，不能為大數(shù)據(jù)信息安全提供指導(dǎo)。

當(dāng)前，國(guó)家正大力開(kāi)展大數(shù)據(jù)中心建設(shè)，各省市也成立了大數(shù)據(jù)中心部門(mén)，大數(shù)據(jù)中心作為我國(guó)重要的基礎(chǔ)設(shè)施，在日常工作中的基礎(chǔ)性、全局性作用日趨顯著。隨著世界范圍內(nèi)圍繞信息的獲取、使用、控制的斗爭(zhēng)愈演愈烈，全球網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密和網(wǎng)絡(luò)犯罪等問(wèn)題日漸突出，大數(shù)據(jù)安全問(wèn)題已經(jīng)成為與政治安全、經(jīng)濟(jì)安全、網(wǎng)絡(luò)安全、信息安全、文化安全同等重要[2]，事關(guān)國(guó)家安全的重大戰(zhàn)略要害問(wèn)題。大數(shù)據(jù)中心一旦發(fā)生安全問(wèn)題，造成系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓、病毒暴發(fā)或重要數(shù)據(jù)丟失、泄露，勢(shì)必導(dǎo)致災(zāi)難性后果，給系統(tǒng)正常運(yùn)轉(zhuǎn)、甚至國(guó)家信息體系完整性帶來(lái)重大損失。為此，建立以數(shù)據(jù)安全為核心的大數(shù)據(jù)安全保障體系，確保信息安全與大數(shù)據(jù)發(fā)展同步規(guī)劃、同步建設(shè)、同步運(yùn)行，成為大數(shù)據(jù)建設(shè)最為迫切的重大任務(wù)之一。

1 大數(shù)據(jù)自身面臨的安全威脅和新型攻擊手段

由于大數(shù)據(jù)體量巨大、高速產(chǎn)生、類型多樣、分布協(xié)同，數(shù)據(jù)價(jià)值稀疏，安全防護(hù)手段難以聚集于價(jià)值點(diǎn)上，同時(shí)攻擊者同樣可以使用大數(shù)據(jù)技術(shù)更大限度地收集信息、實(shí)施精準(zhǔn)攻擊；云計(jì)算技術(shù)，導(dǎo)致數(shù)據(jù)所有權(quán)與使用權(quán)分離，在數(shù)據(jù)生命周期內(nèi)的每個(gè)環(huán)節(jié)，都將面臨新的安全問(wèn)題。我們必須從整體著眼、從根源著手，從數(shù)據(jù)自身安全出發(fā)，構(gòu)建全方位監(jiān)探、全流程檢測(cè)、全時(shí)空響應(yīng)的縱深安全防御體系。

首先，從大數(shù)據(jù)收集、存儲(chǔ)、傳輸、使用等階段分析大數(shù)據(jù)自身面臨的安全威脅和新型攻擊手段[3]。

（1）數(shù)據(jù)收集階段的安全威脅

數(shù)據(jù)源頭攻擊問(wèn)題：大數(shù)據(jù)采集過(guò)程中，數(shù)據(jù)源存在潛在的被攻擊威脅。比如，在物聯(lián)網(wǎng)網(wǎng)絡(luò)邊緣中，被滲透的采集終端能夠輕易地繞過(guò)網(wǎng)絡(luò)路由信任機(jī)制核驗(yàn)，使得目標(biāo)用戶接收不到數(shù)據(jù)或接收到虛假數(shù)據(jù)，實(shí)現(xiàn)阻斷、篡改網(wǎng)絡(luò)數(shù)據(jù)或旁路至惡意第三方。為大數(shù)據(jù)資源池提供數(shù)據(jù)的數(shù)據(jù)源要增加額外的互信機(jī)制，在數(shù)據(jù)采集時(shí)要確認(rèn)其數(shù)據(jù)源的真實(shí)性、可靠性。

數(shù)據(jù)海量匯聚問(wèn)題：數(shù)據(jù)海量匯聚沒(méi)有改變數(shù)據(jù)安全的本質(zhì)，但極度放大了數(shù)據(jù)安全的風(fēng)險(xiǎn)。海量數(shù)據(jù)匯聚到大數(shù)據(jù)中心群，為數(shù)據(jù)價(jià)值挖掘提升創(chuàng)造了必要條件，也成為重點(diǎn)攻擊目標(biāo)，而一旦攻擊得手，失竊的信息量難以估量。特別是當(dāng)前缺少數(shù)據(jù)分級(jí)分類管控的技術(shù)措施和管理制度，導(dǎo)致進(jìn)一步提高了數(shù)據(jù)被竊取、泄露、濫用和損毀的風(fēng)險(xiǎn)。

數(shù)據(jù)交換問(wèn)題：大數(shù)據(jù)中心要引接政府機(jī)構(gòu)數(shù)據(jù)、社會(huì)重要行業(yè)數(shù)據(jù)和互聯(lián)網(wǎng)數(shù)據(jù)，同時(shí)還需要向政府重要部門(mén)、社會(huì)公眾和基層提供數(shù)據(jù)服務(wù)，如何確保數(shù)據(jù)交換過(guò)程中的安全是極具挑戰(zhàn)性的問(wèn)題。

（2）數(shù)據(jù)存儲(chǔ)階段的安全威脅

云存儲(chǔ)本身安全問(wèn)題：在大數(shù)據(jù)中心建設(shè)中，海量數(shù)據(jù)需采用云計(jì)算技術(shù)進(jìn)行存儲(chǔ)和管理，滿足對(duì)數(shù)據(jù)管理和使用的要求，但在保障存儲(chǔ)數(shù)據(jù)的完整性、容錯(cuò)性、可恢復(fù)性等方面提出了新的安全挑戰(zhàn)。

NoSQL存儲(chǔ)安全問(wèn)題：對(duì)海量非結(jié)構(gòu)化數(shù)據(jù)需使用NoSQL數(shù)據(jù)存儲(chǔ)技術(shù)進(jìn)行存儲(chǔ)，該技術(shù)自身安全機(jī)制不夠完善，業(yè)務(wù)標(biāo)準(zhǔn)不統(tǒng)一，技術(shù)實(shí)現(xiàn)方式多樣，難以采用統(tǒng)一安全策略和措施對(duì)數(shù)據(jù)進(jìn)行安全防護(hù)。

（3）數(shù)據(jù)傳輸階段的安全威脅

傳輸信道安全問(wèn)題：數(shù)據(jù)傳輸需要各種網(wǎng)絡(luò)協(xié)議相互配合，有些協(xié)議缺少專用數(shù)據(jù)安全保護(hù)機(jī)制，數(shù)據(jù)傳輸過(guò)程中的數(shù)據(jù)泄露、破壞或攔截，都會(huì)帶來(lái)敏感信息外泄等安全問(wèn)題。

數(shù)據(jù)真實(shí)性問(wèn)題：大數(shù)據(jù)中心建設(shè)要實(shí)現(xiàn)數(shù)據(jù)全采集、應(yīng)用全觸網(wǎng)。大數(shù)據(jù)資源池可能會(huì)被惡意用戶或惡意終端節(jié)點(diǎn)注入虛假信息或惡意數(shù)據(jù)，利用數(shù)據(jù)泛在共享機(jī)制迅速擴(kuò)散，嚴(yán)重危害整個(gè)系統(tǒng)的數(shù)據(jù)價(jià)值。

（4）數(shù)據(jù)使用階段的安全威脅

數(shù)據(jù)權(quán)限控制問(wèn)題：大數(shù)據(jù)中心在運(yùn)行過(guò)程中，數(shù)據(jù)資源會(huì)持續(xù)不斷地接入。數(shù)據(jù)權(quán)限控制是實(shí)現(xiàn)數(shù)據(jù)安全共享的有效手段，進(jìn)行數(shù)據(jù)訪問(wèn)權(quán)限細(xì)粒度劃分，構(gòu)造用戶權(quán)限和數(shù)據(jù)權(quán)限（只讀、只寫(xiě)、讀寫(xiě)）相互組合的復(fù)合控制方式，是實(shí)現(xiàn)數(shù)據(jù)權(quán)限控制的可靠途徑。

數(shù)據(jù)授權(quán)不合理問(wèn)題：傳統(tǒng)的授權(quán)模式從應(yīng)用和角色的角度去關(guān)聯(lián)用戶的權(quán)限，不考慮應(yīng)用環(huán)境因素變化引入的風(fēng)險(xiǎn)變化，這種固定的、忽略環(huán)境風(fēng)險(xiǎn)的授權(quán)方式也不能適應(yīng)未來(lái)的業(yè)務(wù)發(fā)展需求，在大數(shù)據(jù)環(huán)境下，如果繼續(xù)嚴(yán)重這種方式，將引發(fā)數(shù)據(jù)過(guò)度暴露、權(quán)限適配錯(cuò)亂等問(wèn)題。

數(shù)據(jù)非常規(guī)使用問(wèn)題：在數(shù)據(jù)分析挖掘過(guò)程中，數(shù)據(jù)分析工具在進(jìn)行數(shù)據(jù)關(guān)聯(lián)、多維分析、數(shù)據(jù)挖掘時(shí)，可能會(huì)非授權(quán)訪問(wèn)敏感數(shù)據(jù)；系統(tǒng)運(yùn)行維護(hù)時(shí)，可能會(huì)丟棄原始數(shù)據(jù)或加工數(shù)據(jù)，導(dǎo)致關(guān)鍵數(shù)據(jù)損失；數(shù)據(jù)交付過(guò)程中，可能會(huì)發(fā)生數(shù)據(jù)分析結(jié)果違規(guī)發(fā)布，缺少數(shù)據(jù)泄露預(yù)案、無(wú)法溯源取證等問(wèn)題。大數(shù)據(jù)中包括大量的個(gè)人相關(guān)信息，因此，個(gè)人隱私信息保護(hù)也是相當(dāng)突出的問(wèn)題。

大數(shù)據(jù)中心是構(gòu)建于傳統(tǒng)IT架構(gòu)之上的全新基礎(chǔ)運(yùn)算環(huán)境，所面臨的安全威脅除了傳統(tǒng)安全威脅，還包括云計(jì)算體系新增的安全威脅。云計(jì)算技術(shù)讓網(wǎng)絡(luò)邊界、應(yīng)用邊界、數(shù)據(jù)邊界變得模糊，以往基于邊界防御的安全體系設(shè)計(jì)也不再適用。我們從虛擬化安全、終端安全、網(wǎng)絡(luò)安全、安全運(yùn)營(yíng)等方面分析大數(shù)據(jù)中心面臨的安全威脅和新型攻擊手段。主要有：

虛擬化安全問(wèn)題：大數(shù)據(jù)應(yīng)用所需的分布式處理能力依賴于虛擬化技術(shù)，虛擬化大幅提升了基礎(chǔ)計(jì)算資源的利用率，同時(shí)也帶來(lái)了很多安全漏洞，比如開(kāi)源的KVM虛擬機(jī)軟件的安全權(quán)限被繞開(kāi)、毒液漏洞等。物理服務(wù)器上的多臺(tái)虛擬機(jī)之間理論上是完全隔離的，但實(shí)際上很多攻擊就是利用虛擬機(jī)之間的物理依賴關(guān)系展開(kāi)攻擊，比如旁通道攻擊、拒絕服務(wù)攻擊等。

終端安全問(wèn)題：大數(shù)據(jù)中心接入終端數(shù)量巨大，地理位置分散，終端存在的操作系統(tǒng)安全漏洞被利用將帶來(lái)極大的安全風(fēng)險(xiǎn)；終端缺乏入網(wǎng)注冊(cè)機(jī)制，對(duì)非法終端沒(méi)有技術(shù)上的準(zhǔn)入控制能力；無(wú)法精確統(tǒng)計(jì)IT資產(chǎn)，也無(wú)法跟蹤硬件資產(chǎn)的歷史使用記錄，也不能及時(shí)掌握資產(chǎn)變動(dòng)情況；終端用戶報(bào)告使用故障時(shí)，需要IT維護(hù)人員趕赴現(xiàn)場(chǎng)處理，消耗大量的人力和時(shí)間解決；內(nèi)網(wǎng)病毒暴發(fā)時(shí)，難以使用統(tǒng)一策略及時(shí)阻斷并控制危害范圍。

網(wǎng)絡(luò)邊界安全問(wèn)題：安全建設(shè)目前側(cè)重于終端和網(wǎng)絡(luò)邊界的防護(hù)，未對(duì)應(yīng)用系統(tǒng)進(jìn)行重點(diǎn)安全保護(hù)，缺少內(nèi)部網(wǎng)絡(luò)安全域劃分，不同安全等級(jí)的業(yè)務(wù)系統(tǒng)之間沒(méi)有有效的安全隔離屏障。整體上缺乏有效的縱深防御安全措施，攻擊者一旦突破邊界防護(hù)，進(jìn)入內(nèi)部網(wǎng)絡(luò)后對(duì)內(nèi)部網(wǎng)絡(luò)威脅較大，一旦出現(xiàn)惡意攻擊可能會(huì)導(dǎo)致難以控制的嚴(yán)重后果。

應(yīng)用系統(tǒng)安全問(wèn)題：大數(shù)據(jù)中心運(yùn)行的業(yè)務(wù)應(yīng)用系統(tǒng)在研制時(shí)很少考慮開(kāi)發(fā)環(huán)境安全和流程安全，系統(tǒng)交付前也很少做嚴(yán)格的滲透測(cè)試和漏洞挖掘，這些業(yè)務(wù)應(yīng)用上云后，其自身應(yīng)用安全風(fēng)險(xiǎn)將會(huì)成百倍地放大。

安全態(tài)勢(shì)感知不足問(wèn)題：目前大數(shù)據(jù)中心對(duì)安全監(jiān)測(cè)數(shù)據(jù)與威脅情報(bào)收集掌握不夠全面，綜合分析能力不強(qiáng)，無(wú)法及時(shí)掌握網(wǎng)絡(luò)整體安全態(tài)勢(shì)，缺少威脅檢測(cè)、預(yù)測(cè)預(yù)警和應(yīng)急響應(yīng)能力。將來(lái)大數(shù)據(jù)中心對(duì)安全態(tài)勢(shì)感知要求更高，特別是對(duì)類似APT的高級(jí)持續(xù)性網(wǎng)絡(luò)威脅，絕不允許出現(xiàn)網(wǎng)絡(luò)入侵者已經(jīng)進(jìn)入平臺(tái)內(nèi)部、我們卻一無(wú)所知的情況。

2 大數(shù)據(jù)安全的解決思路

（1）構(gòu)建“數(shù)據(jù)安全”縱深防御體系

在大數(shù)據(jù)中心建設(shè)項(xiàng)目中，數(shù)據(jù)安全是最核心、最重要的需求。由于大數(shù)據(jù)中心的構(gòu)建，實(shí)現(xiàn)了數(shù)據(jù)的全方位獲取、全網(wǎng)絡(luò)匯聚與全維度整合。中心建成后，將打破各部門(mén)數(shù)據(jù)隔離、拓展數(shù)據(jù)獲取的渠道，這對(duì)數(shù)據(jù)安全的防護(hù)提出了全新的挑戰(zhàn)。數(shù)據(jù)量大、使用人員多、人員分布地域廣、接入終端環(huán)境復(fù)雜，這將是大數(shù)據(jù)中心數(shù)據(jù)運(yùn)營(yíng)的常態(tài)。在這種狀態(tài)下，數(shù)據(jù)安全防護(hù)工作必須在大數(shù)據(jù)中心建設(shè)初期就著手同步規(guī)劃與建設(shè)，避免由于前期疏于考慮數(shù)據(jù)安全，而后期形成難以治理和管控的局面。

大數(shù)據(jù)中心實(shí)現(xiàn)了數(shù)據(jù)的大集中存儲(chǔ)，促進(jìn)了業(yè)務(wù)互通與數(shù)據(jù)共享，但同時(shí)也面臨數(shù)據(jù)訪問(wèn)人員多、權(quán)限分配復(fù)雜、數(shù)據(jù)難以治理等問(wèn)題，這對(duì)數(shù)據(jù)受控訪問(wèn)、身份授權(quán)管理、全網(wǎng)流量協(xié)同等信息安全性方面提出了重大挑戰(zhàn)。

訪問(wèn)的便捷性和權(quán)限的控制力度從來(lái)都是一對(duì)矛盾體，如何在本項(xiàng)目中解決這個(gè)矛盾，使數(shù)據(jù)應(yīng)用效率和數(shù)據(jù)安全防護(hù)達(dá)到平衡，促進(jìn)業(yè)務(wù)發(fā)展，將貫穿于數(shù)據(jù)安全的始終。

由于數(shù)據(jù)是流動(dòng)的，而承載數(shù)據(jù)的載體（基礎(chǔ)架構(gòu)）是相對(duì)靜止的，所以要想在靜態(tài)的載體上控制流動(dòng)的數(shù)據(jù)，就要全面分析數(shù)據(jù)的流徑，在數(shù)據(jù)路徑之上識(shí)別風(fēng)險(xiǎn)點(diǎn)并提出控制措施，實(shí)現(xiàn)在應(yīng)用層、數(shù)據(jù)資源層、網(wǎng)絡(luò)層和基礎(chǔ)平臺(tái)層等各個(gè)層面上的數(shù)據(jù)安全縱深防御能力。這樣數(shù)據(jù)縱深安全的思想就能在項(xiàng)目執(zhí)行階段中具體化到每個(gè)實(shí)實(shí)在在的防控點(diǎn)，充分實(shí)現(xiàn)大數(shù)據(jù)安全防護(hù)體系的內(nèi)生安全可信。

縱深防御的思想是對(duì)攻擊者的攻擊路線層層設(shè)置防護(hù)手段[4]，極大地消耗攻擊者的攻擊資源和時(shí)間，從而迫使攻擊者無(wú)法達(dá)成破壞數(shù)據(jù)和偷盜數(shù)據(jù)的目的。縱深防御通常對(duì)于已知的攻擊手法能起到明顯的防御效果，即使上一層防御失效，還有下一層防御作為后續(xù)的防護(hù)，但是縱深防御無(wú)法實(shí)現(xiàn)對(duì)未知威脅的防護(hù)，尤其是APT攻擊。因此，縱深防御能解決的問(wèn)題是有限的，要想抵御高級(jí)的攻擊行為，就必須采用以縱深防御為基礎(chǔ)，整個(gè)防御體系向積極防御升級(jí)。

（2）構(gòu)建“身份安全”零信任體系

大數(shù)據(jù)中心實(shí)現(xiàn)了各系統(tǒng)眾多關(guān)鍵數(shù)據(jù)的匯聚，傳統(tǒng)基于網(wǎng)絡(luò)的邊界已經(jīng)無(wú)法滿足數(shù)據(jù)級(jí)的安全隔離需求，必須實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證管理的精細(xì)化、動(dòng)態(tài)化的授權(quán)能力。這部分需求的目的是解決人或者接入設(shè)備的身份安全[5]，確保所有接入人員和設(shè)備的身份是安全可信的，所有人員在訪問(wèn)大數(shù)據(jù)中心之前就對(duì)其身份的合法性進(jìn)行驗(yàn)證，只有通過(guò)認(rèn)證，才能訪問(wèn)業(yè)務(wù)數(shù)據(jù)。

由于大數(shù)據(jù)中心的數(shù)據(jù)涉及大量的國(guó)家安全、社會(huì)安全、個(gè)人隱私等敏感信息，所以對(duì)權(quán)限的要求非常嚴(yán)格。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方式采用基于網(wǎng)絡(luò)訪問(wèn)控制列表（ACL）的、靜態(tài)的授權(quán)模式將不再適用，必須采用能夠根據(jù)數(shù)據(jù)的類型、重要程度進(jìn)行靈活授權(quán)的方式，并結(jié)合人員角色進(jìn)行最小化授權(quán)，在不影響業(yè)務(wù)效率的前提下，確保數(shù)據(jù)訪問(wèn)權(quán)限最小化原則，避免因?yàn)闄?quán)限不當(dāng)導(dǎo)致的數(shù)據(jù)泄露。

（3）構(gòu)建大數(shù)據(jù)“安全運(yùn)行”保障體系

安全運(yùn)行管理的核心目標(biāo)是保護(hù)大數(shù)據(jù)的安全。從戰(zhàn)略層面上，建立先進(jìn)的安全運(yùn)行管理平臺(tái)、專業(yè)的安全技術(shù)團(tuán)隊(duì)、全面的安全策略以及高效的運(yùn)行管理機(jī)制。從戰(zhàn)術(shù)層面來(lái)講，建立隊(duì)伍：建立專業(yè)的安全運(yùn)行團(tuán)隊(duì)，包括安全技術(shù)研究團(tuán)隊(duì)、安全運(yùn)營(yíng)團(tuán)隊(duì)、安全運(yùn)維團(tuán)隊(duì)、安全管理團(tuán)隊(duì)等；摸家底：清楚定義保護(hù)的目標(biāo)，如：數(shù)據(jù)分類、分級(jí)，資產(chǎn)建模，采用了哪些防護(hù)手段和措施；判風(fēng)險(xiǎn)：通過(guò)漏洞掃描、配置基線、滲透測(cè)試、對(duì)抗演練等提前找出可能存在的技術(shù)風(fēng)險(xiǎn)；早預(yù)防：通過(guò)補(bǔ)丁管理、系統(tǒng)加固、安全設(shè)備維護(hù)和策略調(diào)優(yōu)、精細(xì)化授權(quán)以及完善的安全規(guī)范和制度；持監(jiān)測(cè)：通過(guò)實(shí)時(shí)收集安全相關(guān)的日志和流量結(jié)合資產(chǎn)模型和用戶模型，利用大數(shù)據(jù)技術(shù)和人工智能技術(shù)進(jìn)行多維度的關(guān)聯(lián)分析和行為分析結(jié)合專業(yè)人員的人工判斷，及時(shí)發(fā)現(xiàn)安全事件；即處置：安全處置團(tuán)隊(duì)按照既定的處置方案進(jìn)行快速的處置，包括事件通報(bào)、調(diào)查取證、配置變更、數(shù)據(jù)修復(fù)等；速改進(jìn)：通過(guò)安全事件的溯源分析，發(fā)現(xiàn)安全措施存在的問(wèn)題并及時(shí)予以改進(jìn)；重流程：整個(gè)安全事件的閉環(huán)處理需要一個(gè)高效的、可重用的流程，并通過(guò)工單系統(tǒng)予以實(shí)現(xiàn)。