查看原文
其他

报告 | 欧洲网络与信息安全局发布大数据安全报告

2016-09-29 CGi 网络空间治理创新
点击上方“网络空间治理创新”可以订阅哦

2016年3月,欧洲网络与信息安全局(ENISA)发布的一项报告称,企业在使用大数据工具系统收集、分析和使用数据时,面临的安全风险正在逐步增加。报告分析了金融、电力、电信运营商等三个行业在大数据应用中面临的安全风险,并基于对行业应用案例的分析,为正在考虑采用或已采用大数据分析的组织提供了建议。


一、大数据面临的安全挑战

在大数据系统支持的关键基础设施的案例中,安全成为了必要的条件。由于大数据系统是复杂多样的,因此,为保障该服务的有效性和持续性,其安全保障措施也必须是统筹全局的。
为了更好的理解安全挑战,报告对金融、电力、电信运营商等三个行业的大数据应用案例进行了研究,识别其中的安全风险。这些大数据应用案例的选择标准是该行业中大数据的成熟度,从而能在收集的信息中提取更多的价值。其中必须要注意的是,大数据是一个相对新颖的概念,大数据社区在确定具体问题,如安全问题的解决方案上还处于初级阶段。


二、大数据应用案例

1.金融行业
(1)金融行业的大数据应用

表1 金融行业大数据应用案例

金融机构(FI)的首席信息(安全)官(CIO/CISO)的任务之一就是合理有效的使用每天产生的大量数据支持企业的运营和操作,并将高安全性的要求考虑在内。对安全性要求的不断增长促进了使用大数据对IT基础设施的信息进行监测和分析的新方法。
银行中使用大数据解决方案而不是安全信息和事件管理(Security Information and Event Management (SIEM))来进行欺诈侦测是极为常见的。大数据分析可以通过组合计算帮助组织在初期阶段对威胁进行侦测。

(2)金融机构大数据SIEM所面临的安全挑战
数据收集设备的可信度:在大数据系统中,数据来源于许多网站,其中包括某些可信度未知的网站。即使该金融机构的管理极为正规化,数据也可从不可信来源中进行收集,这些数据主要用于行为和预测分析。
来源验证和数据过滤:金融机构中先进的SIEM会从银行网络中收集各种各样的硬件设备、软件应用程序,以及社交媒体中收集事件日志信息。在这类信息收集过程中,一个关键的安全挑战就是来源验证,以及大数据应用程序如何信任此类信息。为应对这一挑战,处理应用程序必须验证数据输入的来源是可信任的。
应用软件安全:大数据的应用通常是为了处理大规模数据,安全性并不是其首要的目的。这就造成了一些潜在的安全问题,比如漏洞、身份验证缺陷等。
访问控制和身份认证:用户身份认证和从多个位置对数据进行访问的控制并不充分。这是一个运营商必须采取措施进行应对的巨大挑战;然而,这一问题直接影响的是用户——尤其是在数据的机密性和完整性是首要任务的情况下。
应用程序的互通性:由于当前各个平台之间所存在的差异,系统的整合很可能会引发安全漏洞。由于在大数据模型中,大量的应用程序相互关联,这一安全挑战因而也成为当务之急。不同组件如工作站、应用程序服务器、数据库和网络设备等的集成和关联性是极为棘手的问题,设备之间的互通性使得数据处理和分析中的沟通交流更为困难。


2.电力行业
(1)电力行业大数据应用

表2 能源行业大数据应用案例

在公用事业的使用案例中,大数据主要用于电力基础设施的管理。大数据系统对拥有电厂传统物理模块的电力资产所采取的措施进行收集和整合,通过数学模型来识别电网的故障和成因并进行分类。由智能仪表所产生的大量数据使得数据分析催生利益成为可能。通过大数据分析对基础设施进行管理,将会提供增值服务,如消费者满意度的提升,可靠性以及电网的灵活性(如,预测和防止设备故障,更好的管理操作参数)增强,并改进成本优势(如,根据电网状况改善经济调度,状态检修)。
数据来源主要分布于电力资产(配电站,数字继电器)和用户家庭内部,大部分的智能仪表也在其中。所收集的数据将会与来源于外部界面(如天气预测)和内部数据库(消费者档案,设备等)的数据相整合,这就为整合各种数据集的应用程序框架造成了挑战。

(2)电力行业基础设施和消费者管理中大数据使用所面临的安全挑战
来源验证和数据过滤:组织有权根据电力设备的关键程度,对来源不同的数据给予不同的信任和保护。例如,数字继电器被认为是重要设备,因为任何对继电器的攻击都会改变系统的功能。相反的,电池管理部件的重要性相对较低,因为他们对服务持续性影响较小。智能仪表的信任度也同样较低,因为他们暴露在外部,或者在用户的住宅中,拒绝访问限制了对它的控制。
应用软件安全:大数据通常会结合使用开放式和封闭式源代码软件。多种软件研发模式共存大大增加了大数据系统出现安全问题的概率。
基础设施安全:由于智能仪表是主要的信息收集设备,基础设施安全是一个巨大的挑战。大数据是系统使用最多的用于收集和分析来源于传感器网络、智能仪表等的数据的新工具,因此这一挑战与大数据的实施直接相关。
分布式DoS攻击:在分布式系统中,一个普通的风险就可能会对服务的有效性造成极大的影响。例如,如果发起DDoS攻击,分析程序就会被安装,而这可能会引起错误决策或者决策延迟。
访问控制和身份认证:某些能源开关自动采取行动的可能性也引起了安全问题,因为开关需要访问数据才能采取行动。由于大多数的开关设计并未考虑安全,在访问数据时他们也许不能通过系统的认证,而这就造成了极为关键的访问控制问题。

3.电信运营商
(1)电信运营商大数据应用

表3 电信行业使用案例

电信运营商正致力于开发创新型的以数据为导向的服务,希望该服务能够通过高质量分析基础设施产生的数据产生附加价值。对于电信运营商来说,大数据是一个商业解决方案,其意义远远超过内部流程优化。他们采取了各种各样的方式来研发大数据应用程序运用于他们的基础设施,并向其他行业提供此类服务。比如,电信基础设施收集的信息用于识别趋势和分析网络行为;移动网络中产生的数据,通过大数据进行分析就可以得出消费趋势和模式,更好地了解消费者的行为。

(2)电信运营商大数据分析所面临的安全挑战
来源验证和筛选:大数据应用程序框架所收集的信息是由移动网络中的设备产生的,包含了多个供应商的技术。电信运营商应对基础设施组件进行查证,进而给予信任,并且要确保数据来源的安全。
应用软件安全:使用安全的软件版本。使用开放源代码技术可能会产生人们从未调查和处理过的安全漏洞。
访问控制和身份认证:不同身份的访问控制和身份认证机制由于分散式的模式和系统的各种交互,其控制并不充分。确保特权用户访问的安全,需要完善的安全政策和控制,即部署基于角色任务的访问,阻止在未拥有相关授权的情况下的数据访问。
供应链安全:由于分布式系统的本质,来自于不同供应商的不同设备(智能或非智能)在同时使用。这就带来了供应链安全问题,因为设备的控制权掌握在提供这一产品和服务的组织手中。
数据安全管理:在大数据服务的供应方面,安全应该成为系统的一部分。存储安全应从需求阶段就开始解决。然而,这也依赖于随后的业务模式。
基础设施安全:在大数据供应商基础设施的案例中,安全并不仅仅影响网络物理系统,同样也会对用户的终端造成影响。许多不可信任的设备随时都可以连接到公司网络,对公司的特定信息进行处理,这也引起了终端安全问题。
云计算的安全使用:大数据技术极度依赖于云技术,因此,云安全风险必须进行处理。必须解决如供应商锁定,隔离故障和数据管理等问题。


三、安全挑战列表

通过案例分析和调查,报告确认了以下大数据安全挑战

· 访问控制和认证· 数据安全管理· 来源验证和筛选· 应用软件安全· 基础设施安全


四、建议

建议1:政策制定者应为关键行业中大数据系统的安全使用提供指南
由于大数据商业模式的分布性的本质以及与其他系统的相互依存性,尤其是在大数据支持的关键系统的案例中,针对大数据安全、政策制定者及指南发布中所有的相关专家都应采取全面综合性的方法。当大数据支持的系统对于社会的福祉极为重要之时,应采用自上而下的方式分别在各个组件中进行安全威胁分析和风险评估。

建议2:大数据运营商或供应商应就其产品(设备、服务、云等)对安全标准的遵从性方面进行投资
设备、系统、终端设备和云服务数据的可信度是大数据安全所面临的最大挑战;安全标准的遵守是能够消除这一威胁的缓解手段之一。为了同样适用于SMEs,认证计划必须更为灵活,更具成本效益,并提供逐步的解决方案(自我测试,自我认证等等)。

建议3:关键行业的相关监管机构应鼓励供应商在其产品中提供安全身份认证机制和协议
当前,越来越多的设备成为了网络物理世界中的一份子。这些设备为采取进一步的行动均需要访问相关数据。使用未能提供必要的安全认证机制和协议的设备,将使安全程度降低至不可接受的程度。应鼓励供应商和各行业使用能够确保大数据系统安全的设备和应用程序。

建议4:标准化机构应采纳或创建新的大数据安全标准
目前,大数据领域内未有任何认证。应采纳或创建能够帮助行业设计或向用户提供更好服务的标准。为达到这一目标,标准化机构应创建行业团队,并将受影响行业的监管机构囊括在内,制定共同标准和认证。
建议5:业内人士和供应商应多多投资,通过培训和资格认证提高大数据员工的安全技术水平
由于未来几年内大数据系统的增长趋势,将会需要更多拥有此类技术的技术员工。因此,业内人士应进行投资,对使用和创建安全大数据系统的员工进行培训和资格认证,以应对未来这一领域内的人才短缺问题。


编译:张衠  石晓玲  编辑:叶雪枫    

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存