查看原文
其他

大数据安全白皮书:传统的安全防御技术无法抵御外部攻击

钱柳君 蒋琳 隐私护卫队 2018-11-28

当今,大数据被广泛应用于金融、医疗等各个领域,与之相关的勒索攻击和数据泄露问题也随之而来。据媒体报道,2017年上半年全球范围内数据泄露总量为19亿条,比2016年下半年增长160%。


7月12日,中国信息通信研究院安全研究所在2018第十七届中国互联网大会闭幕论坛上发布《大数据安全白皮书(2018年)》(以下简称“白皮书”)。白皮书指出,构建完善的大数据安全技术体系,还面临着传统安全监测技术不足、传统隐私保护技术失效等技术挑战。

大数据安全技术总体视图的三个层次

据了解,中国信息通信研究院通过分析当前大数据的安全需求,以技术为切入点,提出了大数据安全技术总体视图,构建了包含大数据平台安全、数据安全和个人隐私保护三个层次的大数据安全技术体系。


白皮书介绍,大数据平台安全是对大数据平台传输、存储、运算等资源和功能的安全保障;数据安全是平台为支撑数据流动安全提供的安全功能;隐私保护是指利用去标识化、匿名化等技术,保障个人数据在平台上处理、流转过程中不泄露个人隐私或个人不愿意被外界知道的信息。


三者之间并非毫无联系。白皮书指出,大数据平台安全、数据安全和个人隐私保护是自下而上、依次承载的关系。大数据平台既要保障自身基础组件安全,还要为运行的数据和应用提供安全机制保障;数据安全防护技术除了保障平台安全外,也要为业务应用中的数据流动过程提供有效的安全防护手段;而在数据安全基础之上,还必须加强对个人敏感信息的安全保护。

黑客可利用网络攻击破坏数据真实性

目前,中国大数据安全技术仍不够成熟。在大数据平台安全、数据安全、个人隐私保护等方面,还面临着艰巨的技术挑战。


白皮书指出,大数据平台在Hadoop开源模式下缺乏整体的安全规划,自身的安全机制只能解决部分安全问题,对组件漏洞和恶意后门的防范能力也不足。大规模的分布式存储和计算架构也增加了安全配置工作的难度。


同时,数据类型、用户角色和应用需求不断细化,使得传统的访问控制方案无法准确为用户指定可以访问的数据范围,难以满足最小授权原则。此外,大数据复杂的数据存储和流动场景也让数据加密变得十分困难。随着新型高级网络攻击手段的出现,传统的检测、防御技术无法有效抵御外部攻击。


值得注意的是,除了数据泄露威胁外,数据在采集、处理、流动等环节也面临着很多风险。在数据采集环节,由于目前还没有严格的数据真实性、可信度鉴别和监测手段,无法识别虚假或恶意的数据。如果黑客利用网络攻击破坏数据的真实性,将会影响到数据分析的结果。


随着企业之间深入进行数据合作和共享,数据处理过程中的机密性保障问题也逐渐突显出来。频繁的数据共享和交换促使数据流动路径复杂化,导致追踪溯源变得十分困难。


白皮书还强调,大数据处理、分析数据的方式和能力对个人隐私安全带来了严峻挑战。去标识、掩码等传统隐私保护技术,无法应对大数据场景下多源数据分析挖掘引发的隐私泄露问题,同时也难以适应大数据的非关系型数据库。

隐私保护核心技术仍处在理论研究阶段

大数据的安全问题催生了相关安全技术和产品的研发,但是,目前我国大数据安全技术研发的速度远远落后于产业发展的速度,加快大数据安全技术的发展已经成为业界的共识。


白皮书提出,站在总体安全观的高度上,构建大数据安全综合防御体系,建立覆盖数据收集、传输、存储、处理、共享、销毁全生命周期的安全防护体系,引入用户和组件的身份认证、数据操作安全审计、数据脱敏等隐私保护机制,实现从被动防御到主动检测的转变。


企业应增强数据采集、运算、溯源等关键环节的保障能力,强化数据安全监测、预警、控制和应急处理能力,以关键环节和关键技术为突破点,完善大数据安全技术体系。


由于计算开销大、存储开销大、缺乏评价标准等问题还未解决,隐私保护核心技术仍处在理论研究阶段。因此,白皮书提出,应鼓励企业、科研机构研究同态加密、多方安全计算、匿名化等隐私保护算法,推动数据脱敏、数据审计等手段的应用,实现数据利用和隐私保护之间的平衡。


此外,白皮书还强调,应重视大数据安全评测技术的研发,建立大数据平台及大数据服务安全评估体系,加快第三方评估机构和人员资质认证等配套管理制度建设。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存