数据成为信息时代的重要资源。正如麦肯锡公司所提到,在商业、经济及其他领域中,经营和决策将日益基于数据和分析而作出,而并非基于经验和直觉。随着数字化、网络化、智能化等相关信息技术的应用发展,数据产生及获取日益方便,数据规模已超出了传统数据库存储及分析处理能力范围,从而形成大数据的新概念。
随着大数据的应用推进,各种各样的数据被汇聚和大量集中,大数据发展与应用面临着复杂严峻的安全挑战。
这些安全挑战包括“数据集“安全边界日渐模糊、敏感数据泄露、数据失真与大数据污染、数据交易安全风险、大数据滥用等等。
01
—
大数据安全保护机制
大数据安全保护是一个综合的、复杂性的安全工程,涉及数据自身安全、数据处理平台安全、数据业务安全、数据隐私安全、数据运营安全以及数据安全法律政策与标准规范。
围绕大数据的安全保护,常见的基本安全机制主要有数据分类分级、数据源认证、数据溯源、数据用户标识和鉴别、数据资源访问控制、数据隐私保护、数据备份与恢复、数据安全审计与监测、数据安全管理等。
02
—
大数据自身安全保护技术
大数据自身安全是指有关数据本身的安全问题,如数据的真实性、数据的完整性、数据的
机密性、数据的准确性等。
目前,数字签名可以验证数据来源的真实性,Hash 算法用于确保数据的完整性,加密算法则用来保护数据的机密性。
03
—
大数据平台安全保护技术
大数据平台涉及物理环境、网络通信、操作系统、数据库、应用系统、数据存储等安全保护。通常采用安全分区、防火墙、系统安全加固、数据防泄露等安全技术用于保护大数据平台。
其中,防火墙又可细分为网络防火墙、数据库防火墙、应用防火墙,这些防火墙分别用于大数据平台的安全区域之间隔离及访问控制。
04
—
大数据业务安全保护技术
大数据业务安全主要包括业务授权、业务逻辑安全、业务合规性等安全内容。其中,业务授权主要基于角色的访问控制技术,按照业务功能的执行所需要的权限进行分配。
业务逻辑安全针对业务流程进行安全控制,避免安全缺陷导致业务失控。
业务合规性是指业务满足政策法规及安全标准规范要求。
敏感数据安全检查、系统安全配置基准数据监控等技术常用于解决业务合规性安全需求。
05
—
大数据隐私安全保护技术
隐私是指与个体相关的非公开的信息。隐私保护成为大数据时代新的安全需求。
针对个人信息安全保护,国家颁布了《信息安全技术个人信息安全规范》(于2020 年10 月1 日实施)等法规政策及标准规范。
图片
围绕隐私保护,主要的技术有数据身份匿名、数据差分隐私、数据脱敏、数据加密、数据访问控制等。
06
—
大数据运营安全保护技术
大数据运营安全是指大数据平台及数据的运行维护及数据资源经营过程的安全。
大数据平台及数据的运行维护包括大数据处理系统的安全维护、安全策略更新及安全设备配置、数据资源容灾备份、安全事件监测与应急响应等。
网络入侵检测、网络安全态势感知、网络攻击取证、网络威胁情报分析、安全堡垒机等技术常用于大数据平台运维安全保护。
数据资源经营过程安全涉及数据使用、数据交易、数据跨境流动等安全问题。数据脱敏、数据监控、数据安全网关等常用于数据经营安全保护。
07
—
大数据安全标准规范
大数据安全标准规范有利于提升数据安全整体保障能力。全国信息安全标准化技术委员会在2016 年成立大数据安全标准特别工作组,主要负责制定和完善我国大数据安全领域标准体系,组织开展大数据安全相关技术和标准研究。
目前, 已制定的国家标准主要有《信息安全技术个人信息安全规范》、《信息安全技术大数据服务安全能力要求》、《信息安全技术大数据安全管理指南》、《信息安全技术数据交易服务安全要求》、《信息安全技术个人信息去标识化指南》等。