大數據安全研究
隨著人工智能、云計算、移動互聯網和物聯網等技術的融合發展,傳統的基于邊界安全域和基于已知特征庫的網絡安全防護方式已經無法有效應對大數據環境下新的安全威脅。
通過對大數據環境下面臨的安全問題和挑戰進行分析,提出基于大數據分析和威脅情報共享為基礎的大數據協同安全防護體系,將大數據安全技術框架、數據安全治理、安全測評和運維管理相結合,在數據分類分級和全生命周期安全的基礎上,體系性的解決大數據不同層次的安全問題。
基于該安全防護體系,分析了數據安全的關鍵技術及其目前的發展現狀,并展望和分析了大數據安全領域面臨的挑戰。全面的分析和研究了大數據安全的威脅、政策、標準、方案、關鍵技術和挑戰,對開展大數據安全建設和工程應用有重要參考意義。
以大數據為代表的數據化、數字化是全球信息技術發展趨勢之一。大數據技術的發展,引發了全球范圍內技術、學術、產業以及安全的變革,已經成為全球發展的趨勢,是國家和企業間的競爭焦點,直接關系到國家安全、社會穩定、經濟發展和民計民生等諸多方面。
數據是網絡的血液,是信息化時代得以持續發展的核心。云計算和物聯網技術的快速發展,引發了數據規模的爆炸式增長和數據模式的高度復雜化。大數據技術成為繼云計算技術之后,各國競相爭奪的信息化戰略高地。
十八大以來,我國陸續發布《促進大數據發展行動綱要》、《大數據產業發展規劃(2016-2020)》和《國家網絡空間安全戰略》等一系列重大文件,在夯實國家網絡安全戰略任務中,提出實施國家大數據戰略、建立大數據安全管理制度、支持大數據信息技術創新和應用的綱領性要求。這些重要文件,為相關產業的融合發展、健康發展打開了巨大政策空間。
但是在大數據技術催生了大量創新業務應用模式并在黨政軍行業大規模應用的同時,也帶來了許多前所未有的安全威脅,數據泄露、惡意代碼、非法訪問、拒絕服務攻擊、賬戶劫持、不安全的API、基于大數據技術的新型攻擊等安全問題,已成為大數據產業健康發展的最大障礙。
以數據為視角進行信息安全建設,對數據全生命周期為主線進行分類分級保護,明確“數據從哪里來(Where)、放在什么環境下(What)、允許誰(Who),什么時候(When)、對哪種信息(Which)、執行什么操作(How)”,做到全生命周期、全流轉過程“可管可控”,滿足“大數據參與者數據安全的要求”,是當前大數據安全建設的重要目標。
01 大數據安全問題挑戰
傳統的信息安全側重于信息內容(信息資產)的管理,更多地將信息作為企業/機構的自有資產進行相對靜態的管理,無法適應業務上實時動態的大規模數據流轉和大量用戶數據處理的特點。
大數據5V的特性和新的技術架構顛覆了傳統的數據管理方式,在數據來源、數據處理使用和數據思維等方面帶來革命性的變化,這給大數據安全防護帶來了嚴峻的挑戰。大數據的安全不僅是大數據平臺的安全,而是以數據為核心,圍繞數據全生命周期的安全。數據在全生命周期各階段流轉過程中,在數據采集匯聚、數據存儲處理、數據共享使用等方面都面臨新的安全挑戰。
1.1 大數據采集匯聚安全
大數據環境下,隨著IoT技術特別是5G技術的發展,出現了各種不同的終端接入方式和各種各樣的數據應用。來自大量終端設備和應用的超大規模數據源輸入,對鑒別大數據源頭的真實性提出了挑戰:數據來源是否可信,源數據是否被篡改都是需要防范的風險。
數據傳輸需要各種協議相互配合,有些協議缺乏專業的數據安全保護機制,數據源到大數據平臺的數據傳輸可能給大數據帶來安全風險。數據采集過程中存在的誤差造成數據本身的失真和偏差,數據傳輸過程中的泄漏、破壞或攔截會帶來隱私泄露、謠言傳播等安全管理失控的問題。因此,大數據傳輸中信道安全、數據防破壞、數據防篡改和設備物理安全等幾個方面都需要著重考慮。
1.2 大數據存儲處理安全
大數據平臺處理數據的模式與傳統信息系統對數據的處理模式不同。傳統數據的產生、存儲、計算、傳輸都對應明確界限的實體(視為分段式),可以清晰地通過拓撲的方式表示。這種分段式處理信息的方式,用邊界防護相對有效。
但在大數據平臺上,采用新的處理范式和數據處理方式(MapReduce、列存儲等),存儲平臺同時也是計算平臺,采用分布式存儲、分布式數據庫、NewSQL、NoSQL、分布式并行計算、流式計算等技術,一個平臺內可以同時采用多種數據處理模式,完成多種業務處理,導致邊界模糊,傳統的安全防護方式難以奏效。
(1)大數據平臺的分布式計算涉及多臺計算機和多條通信鏈路,一旦出現多點故障,容易導致分布式系統出現問題。此外,分布式計算涉及的組織較多,在安全攻擊和非授權訪問防護方面比較脆弱。
(2)分布式存儲由于數據被分塊存儲在各個數據節點,傳統的安全防護在分布式存儲方式下很難奏效。
①數據的安全域劃分無效;
②細粒度的訪問存儲訪問控制不健全,用作服務器軟件的NoSQL 未有足夠的安全內置訪問控制措施,以致客戶端應用程序需要內建安全措施,因此產生授權過程身份驗證和輸入驗證等安全問題;
③分布式節點之間的傳輸網絡易受到攻擊、劫持和破壞使得存儲數據的完整性、機密性難以保證;
④數據的分布式存儲,增大了各個存儲節點暴露的風險,在開放的網絡化社會,對于攻擊者而言更容易找到侵入點,以相對低成本就可以獲得“滾雪球”的收益,一旦遭受攻擊,失竊的數據量和損失是十分巨大的;
⑤傳統的數據存儲加密技術,在性能效率上面很難滿足高速、大容量數據的加密要求。總結大數據的分布式存儲主要的安全挑戰歸結為兩方面:數據丟失和數據泄露的風險。
(3)大數據平臺的訪問控制的安全隱患主要體現在:大數據應用中的用戶多樣性和業務場景多樣性帶來的權限控制多樣性和精細化要求,超過了平臺自身訪問控制能夠實現的安全級別,策略控制無法滿足權限的動態性需求,傳統的角色訪問控制不能將角色、活動和權限有效地對應起來。因此,在大數據架構下的訪問控制機制還需要對這些新問題進行分析和探索。
(4)針對大數據的新型安全攻擊中最具代表性的是高級持續性攻擊(APT) 。由于APT的潛伏性和低頻活躍性,使其持續性成為一個不確定的實時過程,產生的異常行為不易被捕獲。傳統的基于內置攻擊事件庫的特征實時匹配檢測技術,對檢測APT攻擊無效。大數據應用為入侵者實施可持續的數據分析和攻擊提供了極好的隱藏環境,一旦攻擊得手,失竊的信息量甚至是難以估量的。
(5)基礎設施安全的核心是數據中心的設備安全問題,包括傳統的安全風險和特有的安全風險,傳統的安全防范手段如網絡防DDOS攻擊、存儲加密、容災備份、服務器的安全加固、防病毒、接入控制、自然環境安全等;特有的安全風險,主要來自大數據服務所依賴的云計算技術引起的風險,包括如虛擬化軟件安全、虛擬服務器安全、容器安全,以及由于云服務引起的商業風險等。
(6)服務接口安全。由于大數據平臺支撐的業務應用多種多樣,對外提供的服務接口千差萬別,這對攻擊者通過服務接口攻擊大數據平臺帶來機會,因此,如何保證不同的服務接口安全是大數據平臺的又一巨大挑戰。
(7)數據挖掘分析使用安全。大數據的應用核心是數據挖掘,從數據中挖掘出高價值信息為企業所用,是大數據價值的體現。然而使用數據挖掘技術,為企業創造價值的同時,容易產生隱私泄露的問題。如何防止數據濫用和數據挖掘導致的數據泄密和隱私泄露問題,是大數據安全一個最主要的挑戰性問題。
1.3 大數據共享使用安全
(1)數據的保密問題。
頻繁的數據流轉和交換使得數據泄露不再是一次性的事件,眾多非敏感的數據可以通過二次組合形成敏感的數據。通過大數據的聚合分析能形成更有價值的衍生數據,如何更好地在數據使用過程中對敏感數據進行加密、脫敏、管控、審查等,阻止外部攻擊者采取數據竊密、數據挖掘、根據算法模型參數梯度分析對訓練數據的特征進行逆向工程推導等攻擊行為,避免隱私泄露,仍然是大數據環境下的巨大挑戰。
(2)數據保護策略問題。
大數據環境下,匯聚不同渠道、不同用途和不同重要級別的數據,通過大數據融合技術形成不同的數據產品,使大數據成為有價值的知識,發揮巨大作用。如何對這些數據進行保護,以支撐不同用途、不同重要級別、不同使用范圍的數據充分共享、安全合規的使用,確保大數據環境下高并發多用戶使用場景中數據不被泄露、不被非法使用,是大數據安全的又一個關鍵性問題。
(3)數據的權屬問題。
大數據場景下,數據的擁有者、管理者和使用者與傳統的數據資產不同,傳統的數據是屬于組織和個人的,而大數據具有不同程度的社會性。一些敏感數據的所有權和使用權并沒有被明確界定,很多基于大數據的分析都未考慮到其中涉及的隱私問題。在防止數據丟失、被盜取、被濫用和被破壞上存在一定的技術難度,傳統的安全工具不再像以前那么有用。如何管控大數據環境下數據流轉、權屬關系、使用行為和追溯敏感數據資源流向,解決數據權屬關系不清、數據越權使用等問題是一個巨大的挑戰。
02 大數據安全發展現狀
2.1 國際發展現狀
隨著大數據的安全問題越來越引起人們的重視,包括美國、歐盟和中國在內的很多國家、地區和組織都制定了大數據安全相關的法律法規和政策,以推動大數據應用和數據保護。
美國于2012年2月23日,發布《網絡環境下消費者數據的隱私保護-在全球數字經濟背景下保護隱私和促進創新的政策框架》,正式提出《消費者隱私權利法案》,規范大數據時代隱私保護措施。并在《白皮書》中呼吁國會盡快通過《消費者隱私權利法案》,以確定隱私保護的法治框架。
歐盟早在1995年就發布了《保護個人享有的與個人數據處理有關的權利以及個人數據自由流動的指令》(簡稱《數據保護指令》),為歐盟成員國保護個人數據設立了最低標準。2015年,歐盟通過《通用數據保護條例》(GDPR),該條例對歐盟居民的個人信息提出更嚴的保護標準和更高的保護水平。
在《2014至2017年數字議程》中,德國提出于2015年出臺《信息保護基本條例》,加強大數據時代的信息安全。2015年2月25日,德國要求設置強硬的歐盟數據保護法規。
澳大利亞于2012年7月發布了《信息安全管理指導方針:整合性信息的管理》,為大數據整合中所涉及到的安全風險提供了最佳管理實踐指導。11月24日,對1988年的《隱私法》進行重大修訂,將信息隱私原則和國民隱私原則統一修改為澳大利亞隱私原則,并于2014年3月正式生效,規范了私人信息數據從采集、存儲、安全、使用、發布到銷毀的全生命周期管理。
在數據安全的標準化方面,美國走在前列,在大數據安全方面,ITU-T SG17制定了《移動互聯網服務中的大數據分析安全要求和框架》《大數據即服務安全指南》《電子商務業務數據生命周期管理安全參考框架》等,NIST發布了《SP 1500-4 NIST 大數據互操作框架:第四冊 安全與隱私保護》等標準,ISO/IEC也發布了關于隱私保護框架、隱私保護能力評估模型、云中個人信息保護等標準,對大數據的安全框架和原則進行了標準化定義。
在數據安全的產品解決方案和技術方面,國外知名機構和安全公司紛紛推出先進的產品和解決方案。著名咨詢公司Forrester提出“零信任模型”(Zero Trust Model),谷歌基于此理念設計和實踐了BeyondCorp體系,企業可不借助VPN而在不受信任的網絡環境中安全的開展業務;IBM InfoSphere Guardium能夠管理集中和分布式數據庫的安全與合規周期;老牌殺毒軟件廠商賽門鐵克(Symantac)將病毒防護、內容過濾、數據防泄漏、云安全訪問代理(CASB)等進行整合,提供了包含數據和網絡安全軟件及硬件的解決方案;操作系統霸主微軟聚焦代碼級數據安全,推出了Open Enclave SDK開源框架,協助開發者創建以保護應用數據為目的的可信應用程序。CipherCloud聯合Juniper推出了云環境下數據安全的產品解決方案,提供云端企業應用的安全訪問和可視化監控。
2.2 國內發展現狀
鑒于大數據的戰略意義,我國高度重視大數據安全問題,近幾年發布了一系列大數據安全相關的法律法規和政策。
2013年7月,工業和信息化部公布了《電信和互聯網用戶個人信息保護規定》,明確電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的規則和信息安全保障措施要求。
2015年8月,國務院印發了《促進大數據發展行動綱要》,提出要健全大數據安全保障體系,完善法律法規制度和標準體系。
2016年3月,第十二屆全國全國人民代表大會第四次會議表決通過了《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》提出把大數據作為基礎性戰略資源,明確指出要建立大數據安全管理制度,實行數據資源分類分級管理,保障安全、高效、可信。
在產業界和學術界,對大數據安全的研究已經成為熱點。國際標準化組織、產業聯盟、企業和研究機構等都已開展相關研究以解決大數據安全問題。2012年,云安全聯盟(CSA)成立了大數據工作組,旨在尋找大數據安全和隱私問題的解決方案。2016年,全國信息安全標準化技術委員會正式成立大數據安全標準特別工作組,負責大數據和云計算相關的安全標準化研制工作。
在標準化方面,國家層面制定了《大數據服務安全能力要求》《大數據安全管理指南》《大數據安全能力成熟度模型》等數據安全標準。由于數據與業務關系緊密,各行業也紛紛出臺了各自的數據安全分級分類標準,典型的如《銀行數據資產安全分級標準與安全管理體系建設方法》《電信和互聯網大數據安全管控分類分級實施指南》《JR/T 0158-2018證券期貨業數據分類分級指引》等,對各自業務領域的敏感數據按業務線條進行分類,按敏感等級(數據泄漏后造成的影響)進行數據分級。安全防護系統可以根據相應級別的數據采用不同嚴格程度的安全措施和防護策略。
在大數據安全產品領域,形成了平臺廠商和第三方安全廠商的兩類發展模式。阿里巴巴不但是全國最大規模電子商務公司,也是最大規模公有云服務商,圍繞其掌握的電子商務、智慧城市數據,致力于數據治理,反欺詐等數據安全工作;通信巨頭華為依賴其布局全球的通信運維網絡,建立了可共享訪問的“華為安全中心平臺”,可實時查看全球正在發生的攻擊事件;第三方安全廠商陣營,除了有衛士通、深信服、綠盟等傳統綜合性網絡安全企業,諸多創業公司也如雨后春筍般出現,包括明朝萬達、天空衛士、中安威士等,上述企業圍繞數據防泄漏(LDP)、內部威脅防護(ITP)和數據安全態勢等產品的數據安全整體解決方案和產品也各有優勢;與此同時,物流行業霸主順豐深知數據安全重要性,也在自身業務領域積極開展了圍繞物流全生命周期、基于區塊鏈的數據安全實踐,成效顯著。
03 大數據安全保障框架
大數據與傳統數據資產相比,具有較強的社會屬性。如圖1所示,為實現安全防護目標,需要融合安全治理、技術、標準、運維和測評來系統性地解決大數據的安全問題。從安全治理著眼,以安全技術、安全運維和安全測評為支撐,構建流程、策略、制度、測評多重保障體系。同時,需要以標準為保障,實現安全互聯協同,達到多維立體的防護。
圖1 大數據安全保障框架
3.1 大數據安全總體技術框架
大數據的安全技術體系是支撐大數據安全管理、安全運行的技術保障。以“密碼基礎設施、認證基礎設施、可信服務管理、密鑰管理設施、安全監測預警”五大安全基礎設施服務,結合大數據、人工智能和分布式計算存儲能力,解決傳統安全解決方案中數據離散、單點計算能力不足、信息孤島和無法聯動的問題。大數據的總體安全技術框架如圖2所示。
圖2 大數據安全技術框架
3.2 大數據安全治理
大數據的安全治理體系的目標是確保大數據“合法合規”的安全流轉,保障大數據安全的情況下,讓其價值最大化,來支撐企業的業務目標的實現。大數據的安全治理體系建設過程中行使數據的安全管理、運行監管和效能評估的職能。主要內容包括:
(1)構架大數據安全治理的治理流程、治理組織結構、治理策略和確保數據在流轉過程中的訪問控制、安全保密和安全監管等安全保障機制。
(2)制定數據治理過程中的安全管理架構,包括人員組成,角色分配、管理流程和對大數據的安全管理策略等。
(3)明確大數據安全治理中元數據、數據質量、數據血緣、主數據管理和數據全生命周期安全治理方式,包括安全治理標準、治理方式、評估標準、異常和應急處置措施以及元數據、數據質量、數據標準等。
(4)對大數據環境下數據主要參與者,包括數據提供者(數據源)、大數據平臺、數據管理者和數據使用者制定明確的安全治理目標,規劃安全治理策略。
3.3 大數據安全測評
大數據的安全測評是保證大數據安全提供服務的支撐保障,目標是驗證評估所有保護大數據的安全策略、安全產品和安全技術的有效性和性能等。確保所有使用的安全防護手段都能滿足大數據中主要參與者安全防護的需求。主要內容包括:
(1)構建大數據安全測評的組織結構、人員組成、責任分工和安全測評需要達到的目標等。
(2)明確大數據場景下安全測評的標準、范圍、計劃、流程、策略和方式等,大數據環境下的安全分析按評估方法包括基于場景的數據流安全評估、基于利益攸關者的需求安全評估等。
(3)制定評估標準,明確各個安全防護手段需要達到的安全防護效能,包括功能、性能、可靠性、可用性、保密性、完整性等。
(4)按照《大數據安全能力成熟度模型》評估安全態勢并形成相關的大數據安全評估報告等,作為大數據安全建設能夠投入應用的依據。
3.4 大數據安全運維
大數據的安全運維以技術框架為支撐,主要確保大數據系統平臺能安全持續穩定可靠運行, 在大數據系統運行過程中行使資源調配、系統升級、服務啟停、容災備份、性能優化、應急處置、應用部署和安全管控等職能。具體的職責包括:
(1)構建大數據安全運維體系的組織形式、運維架構、安全運維策略、權限劃分等。
(2)制定不同安全運維流程和運維的重點方向等,包括基礎設施安全管控、病毒防護、平臺調優、資源分配和系統部署、應用和數據的容災備份等業務流程。
(3)明確安全運維的標準規范和規章制度,由于運維人員具有較大的操作權限,為防范內部人員風險,要對大數據環境的核心關鍵部分、對危險行為做到事前、事中和事后有記錄、可跟蹤和能審計。
04 大數據安全防護技術體系
4.1 以數據為中心的安全防護要素
近幾年,隨著人工智能、云計算、大數據技術和移動互聯網等新技術的應用,網絡攻防環境正在發生快速的變化。傳統的基于邊界安全域和已知特征庫的防護方式,已經無法應對新的安全威脅。
本文提出的大數據安全防護技術體系,基于威脅情報共享和采用大數據分析技術,實現大數據安全威脅的快速響應,集安全態勢感知、監測預警、快速響應和主動防御為一體,基于數據分級分類實施不同的安全防護策略,形成協同安全防護體系。圍繞以數據為核心,以安全機制為手段,以涉及數據的承載主體為目標,以數據參與者為關注點,構建大數據安全協同主動防護體系。
以數據為中心進行安全防護的要素如圖3所示。
圖3 以數據為中心的安全防護要素組成
(1)數據是指需要防護的大數據對象,此處指大數據流轉的各個階段包括采集、傳輸、存儲、處理、共享、使用和銷毀。
(2)安全策略是指對大數據對象進行安全防護的流程、策略、配置和方法等,如根據數據的不同安全等級和防護需求,實施主動防御、訪問控制、授權、隔離、過濾、加密、脫敏等。
(3)安全產品指在對大數據進行安全防護時使用的具體產品,如數據庫防火墻、審計、主動防御系統、APT檢測、高速密碼機、數據脫敏系統、云密碼資源池、數據分級分類系統等。
(4)防護主體是指需要防護的承載大數據流轉過程的軟硬件載體,包括服務器、網絡設備、存儲設備,大數據平臺、應用系統等。
(5)參與者是指參與大數據流轉過程中的改變大數據狀態和流轉過程的主體,主要包括大數據提供者、管理者、使用者和大數據平臺等。
4.2 主動防御的大數據協同安全防護體系
傳統的安全防護技術注重某一個階段或者某一個點的安全防護,在大數據環境下需要構建具有主動防御能力的大數據協同安全防護體系,在總體上達到“協同聯動,體系防御”的安全防御效果。
大數據協同安全防護體系必須具備威脅的自動發現、策略決策的智能分析、防御策略的全局協同、安全資源的自動控制調度以及安全執行效果的綜合評估等特征。其中威脅的自動發現和防御策略的全局協同是實現具有主動防御能力大數據協同安全防護體系的基礎。
大數據的安全并不僅僅是大數據平臺的安全,大數據的安全應該以數據生命周期為主線,兼顧滿足各個參與者的安全訴求。大數據的安全動態協同防護體系架構如圖4所示。
圖4 主動防御的大數據協同安全防護體系
4.3 大數據協同安全防護流程
大數據協同安全防護強調的是安全策略全局調配的協同性,安全防護手段的主動性,以威脅的自動發現和風險的智能分析為前提,采用大數據的分析技術通過安全策略的全局自動調配和防護手段的全局聯動。具有主動防御能力的大數據協同安全防護流程如圖5所示。
圖5 大數據協同安全防護流程
05 大數據安全關鍵技術
5.1 數據采集
(1)數據智能分級分類標注技術
對數據進行分類分級,按照數據的不同類別和敏感級別實施不同的安全防護策略,施加不同的安全防護手段,是目前業界主流的實踐。而對于數據來說,不同業務涉及的數據不同,分類就不同。
分類通常是按照實際業務場景進行數據類別劃分。分級是實施安全防護的基礎,是按照數據屬性的高低不同和泄漏后造成的影響危害程度來進行不同數據等級的劃分。數據等級劃分的三要素包括影響對象、影響范圍和影響程度。分類與分級相輔相成,數據分類分級是安全策略設計的前提。
數據智能分級分類標注技術主要實現對結構化、非結構化、半結構化的數據按照內容屬性、安全屬性、簽名屬性等不同視角進行標注,標記的方法包括基于元數據的標注技術、數據內容的標記技術、數據屬性的標注等,為后續數據的分級分類存儲、數據的檢索、數據的隱私保護、數據追蹤溯源和數據的權責分析提供依據。
數據分級分類標簽有很多種,按照嵌入對象的格式可分為結構化數據標簽、非結構化數據標簽;按照標簽的形式可分為嵌入文件格式的標簽和數字水印。
(2)數據源安全關鍵技術
數據源可信驗證技術,該技術主要是保證采集數據的數據源是安全可信的,確保采集對象是可靠的,沒有假冒對象。包括可信認證以及生物認證技術等。
(3)內容安全檢測技術
對采集的數據集進行結構化、非結構化數據內容的安全性檢測,確保數據中不攜帶病毒或者其他非安全性質的數據內容。數據的安全檢測常用的有基于規則的監測技術、基于機器學習的安全檢測技術和有限狀態機的安全檢測技術等。
5.2 數據傳輸安全
該技術較為成熟,主要針對大數據數據流量大、傳輸速度快的特點,確保數據動態流動過程中,大流量數據的安全傳輸,從數據的機密性和完整性方面保證數據傳輸的安全。該技術主要包括高速網絡傳輸加密技術、跨域安全交換、威脅監測技術等。
5.3 安全存儲計算
(1)大數據安全存儲技術
大數據安全存儲技術主要是解決針對云環境下多租戶、大批量異構數據的安全存儲,實現安全存儲主要包括冗余備份和分布式存儲下的密碼技術、存儲隔離、訪問控制等技術。
大數據環境下的密碼技術主要實現分布式計算環境下的密碼服務資源池技術、密鑰訪問控制技術、密碼服務集群密鑰動態配置管理技術、密碼服務引擎池化技術,提供高效、并發密碼服務能力和密鑰管理功能,滿足大數據海量數據的分布式計算、分布式存儲的加解密服務需求。
存儲隔離技術主要是針對數據不同的安全等級對數據進行隔離存儲,包括邏輯隔離和物理隔離兩種方案;分級分類存儲是按照數據的重要程度和安全程度,結合隔離存儲實現數據的安全存儲和訪問控制。
與上述疊加式安全思想不同,文獻提出的可信固態硬盤設計,基于存儲內安全(In-Storage Security)思想,把對數據的訪問控制從主機上的系統軟件下放到底層存儲,內部在保持塊接口的前提下實現了數據的細粒度訪問。在針對一些保密要求不高的安全場景下,相比于采用加密手段的存儲安全解決方案,效率更高,策略更靈活。
(2)備份恢復技術
備份恢復技術主要是實現對大數據環境下的特殊數據,如元數據、密集度很高的數據或者高頻次訪問的數據進行,通過非安全手段實現的安全防護技術,通過數據同步、數據復制、數據鏡像、冗余備份和災難恢復等方式實現的安全保護。
5.4 數據安全共享
(1)區塊鏈
區塊鏈是包含了分布式數據存儲、點對點傳輸、共識機制、加密算法等技術的創新應用模式,具有去中心、去信任、集體維護和可靠數據庫等特點。
區塊鏈技術使用多個計算節點共同參與和記錄,相互驗證信息有效性,可有效確保數據不被篡改,即對數據信息進行防偽,又提供了數據流轉的可追溯路徑;分布式節點的共識機制使得即使單一節點遭受攻擊,也不會影響區塊鏈系統的整體運行,這種分布式存儲及加密機制可有效降低數據集中管理的風險,在一定程度上提高數據的安全性,并最大限度保護隱私。
(2)跨網跨域數據交換
數據在跨網跨域之間進行交換,需要對數據交換內容、交換行為、交換過程做到可管、可視、可控。跨網跨域交換技術利用信息加密、可信計算、身份認證、簽名和摘要、內容識別等技術為數據提供跨地域、跨領域、跨部門的多源異構海量數據安全共享交換能力,確保數據在共享交換過程中的安全。
(3)監控審計
為了對數據安全共享中的異常事件、違規行為和業務運行情況等進行全面的了解和事后安全查漏補缺等處理,監控審計技術主要通過分析的各種安全事件日志,通過關聯分析、數字取證、事件追蹤溯源、異常行為的監控、數據血緣分析等,同時通過實時監控確保數據共享的安全。
(4)共享審查
共享審查技術,是數據在共享發布后,為了確保數據有償共享、無償共享、分時共享、分區共享、定向共享、主動分發等不同的數據共享機制下,數據的安全共享和數據安全保護策略,包括合規性、安全性、敏感消息發現等審查策略,支撐未來不同數據共享模式下的數據安全。
5.5 密文計算
密文計算技術針對大數據環境中密文數據應用困難的問題,提高以密文狀態存儲的敏感數據的計算效率和安全性。主要研究內容包括:同態加密技術、安全多方計算技術、可驗證計算技術、密文檢索等技術。
(1)同態加密
同態加密分為有限同態加密和全同態加密兩大類。全同態加密(FHE)技術允許對密文數據進行任意次數多項式函數運算。基于格上運算困難問題和基于軍陣近似特征向量的GSW同態加密方案是目前主要的兩類全同態加密方案。
前者具有抗量子計算攻擊的潛質,是一種帶噪聲的加密方案,通過自舉進行噪聲控制,可以有效控制噪聲增長,讓同態運算的次數變多,性能提高。后者將密文構造成一個矩陣進行運算,避免了密文維數膨脹,只需公鑰就可以進行同態運算。
全同態加密可以用于云環境下的數據密文計算、安全多方計算、基于同態加密的隱私保護機器學習模型訓練、聯邦學習等場景。同態加密只保證數據的機密性,而不保證完整性。全同態加密可與可驗證計算結合,提供機密性和完整性的安全保證。目前,全同態加密的效率仍然是實用化的瓶頸,亟待進一步突破。
(2)安全多方計算
MPC(安全多方計算)在1986年由姚期智院士提出以來,經過三十多年的發展,目前已朝多個分支發展:零知識證明、可驗證計算、門限密碼學等。目前,該領域的研究,計算效率已大幅提高,主要用于解決針對具體應用的高效安全多方計算協議、特殊安全模型設計等。
目前多數的安全多方計算基于電路模型設計,包括混淆電路(garbled circuit)、秘密共享(secret sharing)、RAM模型等。計算效率和安全性依然是多方安全計算的瓶頸性問題,針對多方安全計算的高擴展性協議、與區塊鏈技術結合的隱私智能合約、安全多方計算的形式化證明等是當前的研究熱點。
(3)聯邦學習
聯邦學習(Federated Learning)最早于2016年由谷歌提出,原本用于解決安卓終端在本地更新模型的問題,保障數據交換時候的終端數據、個人數據隱私,在多參與方或多計算節點之間開展高效的機器學習。根據數據集的不同,聯邦學習分為橫向聯邦學習、縱向聯邦學習和聯邦遷移學習。目前聯邦學習正發展成為下一代人工智能協同算法和協作網絡的基礎。
在聯邦學習中,需要共享數據的用戶通過加密樣本對齊、加密模型訓練、效果激勵形成閉環的學習機制。在工程實現中,可以通過同態加密技術,將本地模型參數和特征參數進行加密后共享到可信的第三方,在不暴露自身數據的情況下,通過可信的第三方中心進行損失計算和梯度匯總,并對匯總結果計算總梯度值,將結果解密分發給各參與方,各參與方再根據第三方中心反饋的結果,完成本地模型參數更新,完成模型特征共享和聯合訓練。
聯邦學習在人工智能和大數據應用場景下,可以實現數據隔離、信息和模型參數的加密計算和交換,并能夠保證計算模型質量無損,可以實現參與各方保持獨立性情況下,滿足用戶隱私保護和數據安全的需求,是目前研究的熱點之一。存在的難點是,如何應對數據中毒、模型更新中毒、模型規避攻擊、梯度參數反向數據推理等對抗攻擊和隱私泄露。
(4)可驗證計算
在非信任的開放云環境中,攻擊者有可能通過惡意軟件或供應鏈攻擊破壞計算機并試圖破壞數據的完整性。可驗證計算(Verifiable Computing)允許數據所有者檢查數據和計算的完整性。
該方案與全同態加密結合使用,可以提供機密性和完整性的綜合解決方案。在可驗證計算方案中,數據所有者將其數據以及所需計算的規范提供給我們稱為證明方的某個(通常功能更強大的)實體。然后證明者輸出指定計算的結果以及 “證明”,證明該輸出是正確的。文獻將可驗證計算歸為MPC的分支。
在文獻中,對比了同態加密、安全多方計算和可驗證計算在不同云安全場景下的適應性和乘法計算性能:VC性能最優,全同態加密性能最差。可驗證計算可以較好的解決非信任云環境下的數據完整性保護問題。
(5)密文檢索
密文檢索技術提出密文檢索服務架構,研究優化存儲架構和檢索算法等提升檢索效率的方法,研究支持多關鍵詞查詢、模糊查詢、語義查詢等多場景下的密文數據多功能檢索服務的實現方法。密文檢索技術是在保證數據機密性的情況下,保證數據檢索的高效性和精確性的關鍵技術。大數據環境下的密文檢索技術研究有重要的應用價值。
5.6 數據使用安全
數據使用安全技術主要是實現數據在對外提供服務的過程中,防止存在非法數據內容信息,如謠言新聞、政治敏感信息、誣陷言論、色情暴力、淫穢信息的肆意傳播。實現數據使用安全的關鍵技術有數據內容監測防護、數據隱私保護和身份認證等。數據內容監測防護是實現監測公開的數據不存在非法信息,隱私數據保護是對敏感的數據進行隱藏、過濾或者屏蔽等防止隱私敏感數據泄露,身份認證是實現對數據的使用范圍進行控制。
(1)細粒度訪問控制技術
大數據平臺為用戶提供數據訪問服務,在數據訪問過程中存在數據被非授權使用的安全風險,從而導致數據泄露、推導或惡意傳播。因此大數據需要提供訪問控制技術。
傳統的訪問控制,如基于權限規則控制技術、自主訪問控制技術和基于安全級的訪問控制技術等,在大數據環境中,各種層出不窮的創新業務模式下控制效果相對有限,在大數據環境下基于業務場景和數據流的安全需求,實現基于任務的訪問控制和基于屬性訪問控制。實現對不同場景訪問控制授權策略來靈活設定用戶對共享數據的使用權限,從而實現數據細粒度的安全使用和共享。
(2)數據脫敏技術
數據脫敏技術針對海量、多源、異構數據在匯聚過程中面臨的敏感及隱私數據泄露問題,實現大數據環境下隱私數據不被泄露,同時通過脫敏后的數據不影響數據的可用性。
研究數據共享與管理、數據交換與應用、跨領域數據流通的特定場景下敏感及隱私數據安全受控交換技術,促進數據資源安全匯聚、共享和交換,確保大數據敏感信息不泄露。通過脫敏規則對某些敏感信息進行數據變形,從而實現大數據環境下隱私數據不被泄露,同時保證脫敏后的數據不影響可用性。
數據脫敏技術主要包括脫敏目標確定、脫敏策略制定以及脫敏實現。脫敏目標確定較為關鍵的部分是數據敏感程度的分級和確認,是脫敏策略制定的依據。在制定脫敏策略時,選擇脫敏算法是重點和難點,可用性和隱私保護的平衡是關鍵,既要考慮系統開銷,滿足業務系統的需求,又要兼顧最小可用原則,最大限度的保護用戶隱私。
目前的脫敏技術主要分為如下三種:
第一種基于數據加密的技術:采用一定的加密算法覆蓋、替換信息中的敏感部分以保護實際信息的方法。例如,采用密碼學的算法(如散列、加密等)對原始數據進行變換。該方法屬于低層次脫敏。
第二種基于數據失真的技術:使敏感數據只保留部分屬性,而不影響業務功能的方法,例如,采用隨機干擾、亂序、匿名化模型(K-匿名化、I-多樣化)等技術處理原始信息內容,但要求一些統計方面的性質仍舊保持不變。該方法使用的是不可逆算法,適用于群體信息統計或(和)需要保持業務屬性的場景。
第三種可逆的置換算法,兼具可逆和保證業務屬性的特征,可以通過位置變換、表映射、算法映射等方式實現。
在具體的脫敏實現時,按照作用位置、實現原理不同,數據脫敏可以劃分為靜態數據脫敏和動態數據脫敏,兩者的區別在于,是否在使用敏感數據時才進行脫敏。
5.7 數據安全銷毀
(1)殘留數據粉碎技術
殘留數據粉碎技術是為了確保刪除的數據不存在非法殘留信息和從刪除數據中進行恢復,而造成數據信息的泄露。殘留數據粉碎技術主要包括實現數據的分布式環境下的元數據刪除技術、緩存數據的刪除技術、回收站數據的刪除技術和磁盤殘留信息的刪除與寫入技術等。
(2)銷毀流程完整性驗證技術
數據銷毀流程完整性驗證技術,就是要確保數據的刪除不存在非法的數據留存或者殘留信息,不再由于竊取或者非正常操作造成泄露。數據銷毀的完整性驗證技術可以使用流程閉環、分組限刪除元數據和業務數據、多次讀寫等方式實現數據的銷毀流程閉環,確保數據不存在留存副本。
5.8 數據安全管理
(1)安全態勢感知與監測預警技術
安全態勢感知技術是實現對整個平臺的基礎設施,平臺系統和數據流轉過程的安全勢態進行探測、分析和可視化呈現,包括不同時間段的態勢,不同維度的態勢。通過安全威脅情報知識和各類安全態勢信息的大數據分析,讓管理人員對大數據環境的安全現狀實時掌握,支撐對整個大數據系統精細化運維和管理。
監測預警技術為大數據環境下從數據源、大數據平臺和大數據流轉提供全方位、全視角的統一威脅發現與預警能力,通過主動發現危險信號為整個平臺協同安全防護提供信息。包括高級威脅監測識別、危險入侵預警、威脅信號主動推動等。
(2)安全元數據管理和數據監管技術
安全元數據管理技術是在大數據平臺的數據資產元數據的基礎之上增加安全屬性,包括增加數據的標簽、安全級別等屬性,來實現對數據資產的血緣分析與追蹤溯源等安全操作。
數據監管技術是確保保證數據被合法使用、正確流轉和共享交換。包括流轉過程中的數據權屬關系、使用行為、數據流向、風險系數等,現數據資源全生命周期流轉過程的全過程可管、可控。
(3)安全策略管理
安全策略管理模塊實現對數據安全要求的策略基線的維護和管理,同時根據監測預警模塊反饋的威脅信息,生成全局動態協同數據安全防護決策策略。數據安全防護決策策略具有持續動態變化的特性,可以把形成的數據安全防護策略包傳遞給安全組件管理模塊,由該模塊實現從策略到配置的轉換,將策略落實到大數據網絡平臺中,從而實現真正的協同防護聯動。
(4)安全審計技術
為了對大數據平臺中的異常事件、違規行為和業務運行情況等進行全面的了解和事后安全查漏補缺等處理,大數據安全審計技術通過各種安全審計策略對大數據基礎設施、系統平臺和應用服務的各種安全信息進行關聯分析、數字取證、事件追蹤溯源、數據追查取證和血緣分析等。
06 研究展望與挑戰
6.1 針對黨政軍等領域高安全敏感數據,數據安全合規性是第一需求,需要在相關法律、標準規范約束下,形成體系化的解決方案和產品
目前大數據和云平臺廠商聚焦于IAAS層安全和數據平臺(DAAS)安全,IT設備廠商聚焦于IAAS層安全,而第三方安全廠商聚焦于數據安全(包括云應用安全)。能夠提供云和大數據整體安全解決方案和相關產品的安全廠商缺乏,體系性的安全防護解決方案和產品欠缺。針對黨政軍等高敏感領域的私有云環境,鮮有廠商能夠提供整體安全解決方案和產品。
另外,從云和大數據安全的標準化方面來看,國際、國內、行業相關的云和大數據安全標準還不健全,核心標準還在制定中,需要加快標準化進程,盡快制定針對行業的相關標準,形成完善的數據安全標準體系。
6.2 數據是流動的價值,需要在大數據安全中樹立數據全生命周期管控理念,執行多維度防護措施
在軍隊和黨政大數據和云應用環境中,主要的角色有云服務提供者、云服務使用者和云服務監管者。在數據權屬方面,與公有云類似,數據的所有權屬于云服務使用者(如軍隊或政府各業務部門),云服務提供者(部隊或政府各信息服務部門)和監管者(部隊或政府各信息通信指揮管理機構)一般不具有對用戶(云服務使用者)數據的擁有權和使用權。
需要有效利用密碼技術在數據的存儲、傳輸、交換共享、使用等環節進行多維度的防護,提供分層、分域、分級別的多維度數據安全防控手段。亟待提供的大數據安全防護需求包括:
數據存儲安全需求,防御多租戶環境下的數據存儲安全隱患,通過加密手段滿足云存儲加密、對象存儲系統加密、塊存儲加密、鏡像加密、網盤加密等需求;數據計算使用安全需求,防御多租戶環境下的計算安全隱患,通過綜合運用密碼和權限管理技術滿足密文計算、云主機預啟動授權需求、應用系統敏感數據加密需求、桌面云終端用戶認證需求和云數據庫加密需求;數據傳輸安全需求,防御虛擬網絡環境下的數據傳輸安全隱患,通過運用密碼技術滿足網絡安全傳輸需求、租戶之間的安全互聯需求、租戶安全接入需求和租戶本地網絡與VPC安全互聯需求等;數據可信共享安全需求,避免云計算環境下的信任危機,通過運用密碼技術實現為云中的身份認證、云應用系統權限管理、云環境下應用系統的信任服務及跨域認證需求。
6.3 在數據安全方面,要突出一體化安全設計,與云平臺廠商深度合作
隨著云計算基礎設施的逐步建立和完善,數據資源遷入云中成為常態和必然趨勢。此時數據安全需求更多體現為大數據安全需求。實際情況是大數據平臺廠商對大數據平臺本身的安全防護投入較少,如主流的大數據開源框架Hadoop,僅主要實現了認證(依賴Kerberos)和權限管控(Sentry)。
國內外較有影響力的大數據平臺提供商也因為依賴Hadoop技術體制,在數據安全方面幾乎沒有新的增量。因此,大數據環境與云計算環境緊密綁定成為業界解決大數據安全的現實做法,通過云平臺本身來提升大數據平臺的安全性。這種功能協作易于實現,但同時也帶來了更多的安全隱患。在云基礎設施安全保護方面,在公有或混合云中,用戶的數據駐留在第三方實際控制并管理的服務器上,服務器啟動過程易受攻擊。
因此,需要采用運行時保護技術,對服務器硬件、固件提供驗證;在宿主操作系統安全保護方面,虛擬機逃逸是一種可以利用虛擬機軟件或者虛擬機中運行軟件的漏洞進行攻擊,并且攻擊者還通常會利用宿主操作系統本身的漏洞,通過網絡方式入侵宿主操作系統,從而輕易穿透云安全防護體系,攻擊用戶虛擬機或者云上的數據。
因此,需要加固宿主操作系統,修補系統漏洞,控制本地訪問,提升網絡訪問的認證強度;在虛擬化層安全防護方面,存在鏡像、模板和快照文件缺乏保護措施、虛擬化環境超級管理員權限大不可信、虛擬機間可能相互攻擊和控制、虛擬客戶機內部監控手段缺失、老舊硬件設備兼容性軟件代碼安全漏洞等現象,需要采取一體化設計的思路,通過虛擬機防火墻、數據中心網絡安全路由交換以及實時、中立的強監管措施進行防范。
6.4 在云端數據和應用安全防護方面,要針對云端應用特點提供不同粒度防護
Web是用戶訪問大數據中心常用的技術體制,云端Web應用運行在開放的云環境中,面臨多種安全威脅,需要對常見的Web漏洞(如SQL注入、跨站腳本、惡意指令等)、惡意掃描工具、異常訪問等進行安全防護,基于可靈活配置的動態策略,執行對應用的全面保護。
大數據應用在接受用戶訪問時,既要快捷高效,也要保證按需受控,對不同角色用戶賦予的權限應盡可能細粒度控制,滿足大數據資源、云資源和云應用安全接入和訪問需求。具體可根據不同的策略對用戶接入進行限制與管理,比如通過用戶登錄IP地址、用戶接入時間點、用戶接入次數等進行接入限制;提供增強認證服務,如加入CA認證、雙因子認證等;云上應用提供更細粒度訪問權限和操作權限,避免非法訪問行為。
用戶使用大數據的過程中,大數據平臺管理員(內部人員)可能惡意或過失危害大數據平臺用戶的信息安全,導致用戶數據丟失、泄露,嚴重時甚至危及國家安全。所以對大數據平臺管理員進行行為審計功能,能夠在危害發生前,起到震懾不法分子作用,危害發生后可用于對事件的追溯和證據的提取,同時也幫助大數據的用戶隨時了解管理員的行為,消除大數據用戶的安全顧慮。另一方面要對大數據應用的用戶行為進行審計,能通過分析審計數據,排查惡意用戶的行為。
6.5 智能、便捷、高效、透明成為數據安全防護的必然需求
隨著網絡環境越來越復雜、攻擊手段越來越隱蔽,數據安全運維的難度也越來越大。在云和大數據時代,安全分析人員要處理的數據規模與其處理能力嚴重不匹配,攻擊報警得不到及時響應,應急處理效率低下,已有安防手段協同困難,對安全人員技術要求高。這造成用戶雖部署了安全設備仍然被入侵,部分用戶對增加安全防護手段后,系統性能下降、使用不便有顧慮。通過提高分析人員數量來應對大數據的思路顯然不可行。
可行的方法一是防護模式方面,基于SECAAS的思想,利用安全資源池、密碼資源池、SDS(軟件定義安全)、SDP(軟件定義邊界)和CASB(云安全代理)等實現方式,實現安全保密能力的云服務化提供,并形成體系化協同防護的能力;二是利用人工智能技術提升對安全大數據的處理能力,提供輔助決策能力,提升對安全威脅監測分析的能力和對安全事件的響應速度。
作為數據安全的極為重要的關鍵技術,基于格困難問題的同態加密具有抗量子攻擊的特性。目前已經從第一代的基于理想格和基于最大近似公因子問題的加密方案、第二代的基于格上LWE(Learning with Error)同態加密,發展到了目前的第三代:基于矩陣近似特征向量的GSW同態加密方案。同態加密自舉的效率問題、安全性設計(如抗側信道攻擊等)、電路隱私等目前仍然是該技術的難點,阻礙其投入實際廣泛應用。
另一方面,數據分級分類在具體工程實踐中,面臨巨大的技術挑戰。人工標注和分類分級效率滿足不了大數據環境的使用需求,智能化自動化的數據分級分類將是需要重點突破的技術。
由于各業務領域對數據的分類和分級標準不一,要做到智能化,需要根據不同業務領域設計相應的智能分級分類算法。對于不斷產生的新類別的數據和計算過程中產生的中間數據的動態分級分類,則需要更為智能化的算法來進行標注。
07 結 語
大數據環境下數據的安全成為防護的核心,新的安全威脅如數據泄漏、數據隱私保護、數據機密性和完整性保護、惡意內部人員、高級持續性威脅(APT)、數據丟失、數據濫用和惡意使用、數據共享等都面臨著新的技術挑戰。
本文結合工程實踐,提出了大數據協同安全防護體系,并對其原理、架構和關鍵技術進行描述,可對實際工程應用提供借鑒。未來,我們將繼續對數據智能分級分類標注、密文計算、多方安全計算等核心關鍵技術進行進一步的研究,并實現工程化實際應用。
