信安软考 第26章 大数据安全需求分析与安全保护工程

一、大数据安全威胁与需求分析

• 随着数字化、网络化、智能化等相关信息技术的应用发展，数据产生及获取日益方便，数据规模已超出了传统数据库存储及分析处理能力范围，从而形成大数据的新概念。一般来说大数据是指非传统的数据处理工具的数据集，具有海量的数据规模、快速的数据的数据流转、多样的数据类型和价值密度低的特征。
• 大数据发展与应用面临着复杂严峻的安全挑战：

  （1）“数据集”安全边界日益模糊，安全保护难度提升

  （2）敏感数据泄露安全风险增大

  （3）数据失真与大数据污染安全风险

  （4）大数据处理平台业务连续性与拒绝服务

  （5）个人数据 广泛分布于多个数据平台，隐私保护难度加大

  （6）数据交易安全风险

  （7）大数据滥用

• 国内近几年发布有关大数据安全保护的政策法规文件

• • 《气象资料共享管理办法》
  • 《中国人民银行关于银行金融机构做好个人金融信息保护工作的通知》
  • 《全国人大代表大会常务委员会关于加强网络信息保护的决定》
  • 《电信和互联网用户个人信息保护规定》
  • 《中国人民共和国消费者权益保护法（2013修正）》
  • 《地图管理条例》
  • 《中华人民共和国网络安全法》
  • 《网络预约出租汽车经营服务管理暂行办法
  • 《网络出版服务管理规定》
  • 《人口健康信息管理办法（试行）》
  • 《保险公司开业验收引导》
  • 《保险机构信息化监管规定（征求意见稿）》

• 大数据安全需求涉及多个方面

  （1）大数据自身安全（涉及数据的采集、存储、使用、传输、共享、发布、销毁等全生命周期多个方面）

  （2）大数据安全合规（合规的管理机制，满足安全政策法规要求

  （3）大数据跨境安全（数据跨国安全）

  （4）大数据隐私保护（保障个人隐私）

  （5）大数据处理平台安全（涉及物理环境、网络通信、操作系统、数据库、应用系统、数据存储）

  （6）大数据业务安全（保护数据的安全流动和共享，防止数据扩散、数据滥用问题）

  （7）大数据安全运营（如大数据分类分级、安全服务及平台的安全维护）

二、大数据安全保护机制与安全技术方案

  大数据被列为网络安全等级保护2.0的重要保护对象，主要包括大数据自身及其平台、业务、隐私、运营等方面的安全保护技术

• 大数据安全保护机制：大数据安全保护是一个综合的、复杂性的安全工程，涉及数据自身安全、数据处理平台安全、数据业务安全、数据隐私安全 、数据运营安全以及数据安全法律政策与标准规范。
• 大数据自身安全保护技术：大数据自身安全是指有关数据本身的安全问题，如数据真实性、数据的完整性、数据的机密性、数据的准确性等。（分别通过数字签名、Hash算法、加密算法来解决）
• 大数据平台安全保护技术：大数据平台设计物理环境、操作系统、数据库、应用系统、数据存储等安全保护。通常用安全分区、防火墙、系统安全加固、数据防泄漏等安全技术用于保护大数据平台。
• 大数据业务安全保护技术：业务安全包括业务授权、业务逻辑安全、业务合规性等安全内容。
• 大数据隐私安全保护技术：（国家颁布了《信息安全技术 个人信息安全规范》（2020.10.1实施）主要的技术有数据身份匿名、数据分差隐私、数据脱敏、数据加密、数据访问控制。
• 大数据运营安全保护技术：大数据运营安全是指大数据平台及数据的运行维护及数据资源经营过程的安全。
• 大数据安全标准规范

三、大数据安全综合应用案例分析

3.1 阿里巴巴大数据安全实践

  阿里巴巴面向电商行业提供的大数据平台，从业务、数据和生态三个层面来保护数据安全与隐私，如图。

• 业务安全管控：在业务模式设计上，大数据安全平台依据电商自身的业务特性和其数据权属关系的边界建立了以私域数据为基础的店铺内服务闭环、以公域数据为基础的平台内渠道闭环和价值闭环，从而确保了业务整体对数据的授权边界是合理清晰的、对数据的处理逻辑是基于可用不可见的安全原则以及数据的应用产出是基于数据价值而不是裸数据输出的。
• 数据安全管控：此大数据安全平台基于数据业务链路构建了全面的数据管控体系，主要包括数据加工前、数据加工中、数据加工后、数据合规等方面的数据安全管控，如图。

• 生态安全管控：通过对数据ISV的准入准出、基于垂直化行业的标签体系建立以及数据生态的市场管理机制建立，以确保业务和安全间找到有效的平衡点。。阿里巴巴形成了以数据生命周期为中心的大数据安全管理理念，如图。

3.2 华为大数据安全实践

  华为大数据分析平台FusionInsight基于开源社区软件HaadHaadoop进行功能增强，提供企业级大数据存储、查询和分析的同一平台。平台的安全措施主要分析如下

• 网络安全：FusionInsight集群支持通过网络平面隔离的方式保证网络安全
• 主机安全：通过对FusionInsight集群内节点的操作系统安全加固等手段保证节点正常运行
• 用户安全：平台提供身份认证、权限控制、审计控制等安全措施，防止用户假冒、越权、恶意操作等安全威胁。
• 数据安全：平台提供集群容灾、备份、数据完整性、数据保密性等安全服务，以保证用户数据的安全。