圖靈獎獲得者���、微軟研究院技術(shù)院士Jim Gray 曾提出科學(xué)研究的第四范式,即以大數(shù)據(jù)為基礎(chǔ)的數(shù)據(jù)密集型科學(xué)研究�,我們知道以大數(shù)據(jù)為基礎(chǔ)開展科學(xué)研究,對于各個行業(yè)領(lǐng)域而言具有不可估量的價值�,然而機(jī)遇與風(fēng)險并存,數(shù)據(jù)價值的提升同時意味著面臨更多覬覦的目光��。
通常情況下��,數(shù)據(jù)從生產(chǎn)環(huán)節(jié)來劃分,會歷經(jīng)數(shù)據(jù)規(guī)劃���、數(shù)據(jù)匯聚�、數(shù)據(jù)分析�����、數(shù)據(jù)利用���、數(shù)據(jù)運維等過程����;從參與人員來劃分�,可分為數(shù)據(jù)提供方、數(shù)據(jù)管理方����、數(shù)據(jù)使用方。為保證大數(shù)據(jù)安全���,不僅要控制每個生產(chǎn)環(huán)節(jié)的安全����,還要管理接觸到相關(guān)數(shù)據(jù)的人員,防止數(shù)據(jù)信息泄露�,保證商業(yè)價值被合理利用。
我們通過幾個典型泄漏事件的回顧和分析�����,可以發(fā)現(xiàn)在整個數(shù)據(jù)共享與價值挖掘的過程中����,各個環(huán)節(jié)存在不同的安全風(fēng)險。
1����、保險行業(yè)用戶資料遭遇安全威脅
事件:美國第二大醫(yī)療保險公司遭黑客攻擊 8000萬用戶資料受影響
詳情:美國第二大醫(yī)療保險公司Anthem于2015年2月5日向客戶發(fā)郵件稱�,公司數(shù)據(jù)庫遭黑客入侵,包括姓名���、出生日期���、社會安全號、家庭地址以及受雇公司信息等8000萬用戶個人信息受到影響��。
技術(shù)原因分析:黑客之所以能夠進(jìn)入到系統(tǒng),關(guān)鍵點在于Anthem并未設(shè)置額外的認(rèn)證機(jī)制�����,僅憑一個登錄口令或一個Key就能夠以管理員權(quán)限訪問整個數(shù)據(jù)庫�。客觀的說���,Anthem的安全失誤并不在于缺少數(shù)據(jù)加密�,而是不正確的訪問控制����。
2、教育行業(yè)學(xué)生信息泄露
事件:美國Metropolitan State大學(xué)16萬學(xué)生信息泄漏
詳情:美國Metropolitan State大學(xué)16萬學(xué)生個人信息泄露����,包括出生日期、家庭住址����、電話、個人成績����。
技術(shù)原因分析:隨著校園信息化的快速建設(shè),教務(wù)、教學(xué)系統(tǒng)中也存在大量漏洞���,國內(nèi)高校也成為信息泄漏的重災(zāi)區(qū)�����,漏洞分析平臺補(bǔ)天顯示的有效高校網(wǎng)站漏洞多達(dá)3495個���。這些漏洞有的已造成教職員工或?qū)W生個人信息泄漏。一方面高校涉及人數(shù)眾多����,并且包括大量學(xué)生和教授的隱私信息;另一方面很多重要院校還承擔(dān)著國家眾多科研項目�����,這些都可能成為不法分子的目標(biāo)�。
3��、社保行業(yè)用戶信息泄露威脅
事件:數(shù)千萬社保用戶信息或遭泄露 超30省市曝管理漏洞
詳情:2015年4月22日�,重慶、上海���、山西��、沈陽��、貴州�、河南等超30個省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞,數(shù)千萬用戶的社保信息面臨被泄露風(fēng)險�����。
從補(bǔ)天漏洞響應(yīng)平臺獲得的數(shù)據(jù)顯示�,圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)��、疾控中心�、醫(yī)院等曝出高危漏洞的省市超過30個。據(jù)統(tǒng)計�,僅社保類安全漏洞所導(dǎo)致的信息泄漏就超過5279.4條 涉及人員數(shù)量達(dá)數(shù)千萬,其中包括個人身份證�、社保參保信息、財務(wù)���、薪酬����、房屋等敏感信息。
技術(shù)原因分析:80%安全事件發(fā)生的原因來自于SQL注入��。該事件的可能性見下面幾種:一���、可利用了互聯(lián)網(wǎng)應(yīng)用系統(tǒng)漏洞��,通過SQL注入完成對社保人員信息的批量下載(刷庫)��;二�、外部黑客利用數(shù)據(jù)庫漏洞���,如系統(tǒng)注入漏洞�、緩沖區(qū)溢出漏洞和TNS漏洞����,進(jìn)行數(shù)據(jù)庫的惡意操作(拖庫);三�、開發(fā)人員和運維人員對系統(tǒng)熟悉度高,可以通過程序中的后門程序或直接訪問數(shù)據(jù)庫獲得數(shù)據(jù)���。
4、金融行業(yè)用戶信息泄露
事件:綿陽警方破獲侵犯公民信息案 257萬銀行信息被泄露
詳情:2016年10月����,四川綿陽警方破獲公安部掛牌督辦的“5·26侵犯公民個人信息案”���,抓獲包括銀行管理層在內(nèi)的犯罪團(tuán)伙骨干分子15人、查獲公民銀行個人信息257萬條��、涉案資金230萬元���,成功打掉了侵犯公民個人隱私的這一黑色產(chǎn)業(yè)鏈�����。與前期曝出的信息泄露事件不同�����,本次案件不僅涉及巨量的公民個人銀行信息��,更重要的是此案中的關(guān)鍵人物夏某竟是一位銀行行長���。
技術(shù)原因分析:案例中夏某的賬號有效期只有2-3天。韓某和戴某在三天內(nèi)�,利用第三方工具獲取公民個人征信信息50余萬份。相當(dāng)于1天查詢量達(dá)到16萬份����。這樣的日查詢量對于一個支行網(wǎng)點來說顯然屬于異常行為�。
分析以上數(shù)據(jù)泄漏事件��,我們不難發(fā)現(xiàn)��,傳統(tǒng)的安全防護(hù)思路通常將目光局限于面向外部黑客����,以對外部黑客或入侵者的防控為主要任務(wù),以區(qū)域隔離���、安全域劃分為目標(biāo)��,以邊界防護(hù)為主要安全手段�����,同時存在管理與技術(shù)相對分離的問題��,而在整個數(shù)據(jù)使用和流轉(zhuǎn)的過程中��,會接觸不同的使用和維護(hù)者�、面臨不同的網(wǎng)絡(luò)環(huán)境���,傳統(tǒng)單點的防護(hù)手段無法有效解決更復(fù)雜的大數(shù)據(jù)安全問題���,制度與技術(shù)相結(jié)合,服務(wù)與產(chǎn)品共輸出����,才能形成360°無死角的安全生態(tài)。
這里��,我們以某省級政務(wù)云的信息安全建設(shè)為例��,將可行性的應(yīng)對策略做簡單分享�,不談產(chǎn)品只說思路:
政務(wù)云安全建設(shè)背景
政務(wù)云是政府行業(yè)信息化的主流趨勢,云技術(shù)的應(yīng)用可以為政府辦公提供更高效率�、更節(jié)省成本的運作模式。由于政務(wù)信息的高敏感度���,國家對政務(wù)云的安全越來越重視����,中央網(wǎng)信辦明確要求“要對為黨政部門提供云計算服務(wù)的服務(wù)商���,參照有關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)���,組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查”���,鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計算服務(wù)。通過技術(shù)手段和國家強(qiáng)制措施����,政務(wù)云模式下的信息安全更有保障。
大數(shù)據(jù)面臨的安全風(fēng)險
政務(wù)云信息安全建設(shè)的思想指導(dǎo)
政務(wù)云安全建設(shè)的框架規(guī)范和技術(shù)要求��,不僅要符合國家等保和網(wǎng)安關(guān)于數(shù)據(jù)安全方面的政策要求�����,更要以數(shù)據(jù)的安全使用為業(yè)務(wù)目標(biāo)�����。遵循數(shù)據(jù)安全治理體系框架�����,以內(nèi)部或準(zhǔn)內(nèi)部人員為主要安全管控對象�,對其行為加以管控;以數(shù)據(jù)分級分類為基礎(chǔ),以信息合理�����、安全流動為目標(biāo)�����,以信息使用過程的安全管理和技術(shù)支撐為手段�����,將安全產(chǎn)品技術(shù)和流程管理進(jìn)行深度整合��,建立合理有效的大數(shù)據(jù)管理與利用規(guī)范��,此為大數(shù)據(jù)管理和利用的重中之重����。
政務(wù)云信息安全建設(shè)的規(guī)劃和技術(shù)思路
在確保數(shù)據(jù)有效使用的前提下�,通過實施數(shù)據(jù)安全治理規(guī)范,形成一套安全的數(shù)據(jù)服務(wù)體系����,在對敏感數(shù)據(jù)分級分類的基礎(chǔ)上,建設(shè)大數(shù)據(jù)安全管控平臺。
1)建設(shè)數(shù)據(jù)安全管控平臺的工作規(guī)劃步驟:
籌備數(shù)據(jù)安全保障工作組
制定數(shù)據(jù)安全的建設(shè)規(guī)范
引入技術(shù)支撐戰(zhàn)略合作伙伴
2)數(shù)據(jù)安全治理的技術(shù)路線
在數(shù)據(jù)安全治理中首要的是成立專門的安全治理團(tuán)隊��,保證數(shù)據(jù)安全治理工作能夠長期有效地落地�。同時數(shù)據(jù)安全治理要明確數(shù)據(jù)治理相關(guān)的工作部門和角色(受眾),使數(shù)據(jù)治理工作能夠有效落地���。
數(shù)據(jù)安全治理的策略和流程�����,是要以文件的形式明確企業(yè)(組織)內(nèi)部的敏感數(shù)據(jù)����、對敏感數(shù)據(jù)進(jìn)行分類和分級����,對不同類別和級別的敏感數(shù)據(jù)的管理控制原則,要明確不同的工作部門和角色所具有的權(quán)限�,對數(shù)據(jù)使用的不同環(huán)節(jié)所要遵循的控制流程。
數(shù)據(jù)安全治理的技術(shù)支撐�,是要明確在管理控制過程中,要采用什么樣的技術(shù)手段幫助實現(xiàn)數(shù)據(jù)的安全管理過程��;這些技術(shù)手段可以包括數(shù)據(jù)的梳理��、數(shù)據(jù)的訪問控制、數(shù)據(jù)的保護(hù)�、數(shù)據(jù)的脫敏和分發(fā)、數(shù)據(jù)的審計����、數(shù)據(jù)訪問的風(fēng)險分析。
3)平臺安全建設(shè)可借力�����,引入專業(yè)的數(shù)據(jù)安全廠商
大數(shù)據(jù)平臺在自身安全建設(shè)方面也在積極尋求更高的專業(yè)性提升��,引入戰(zhàn)略技術(shù)支撐單位與合作方來對平臺數(shù)據(jù)安全建設(shè)予以專業(yè)性支持可以更快地推動安全建設(shè)步伐���,比如有效吸取國內(nèi)先進(jìn)的數(shù)據(jù)安全治理經(jīng)驗,選擇技術(shù)實力強(qiáng)大的數(shù)據(jù)安全企業(yè)進(jìn)行合作�,將企業(yè)積累的數(shù)據(jù)安全治理的實施經(jīng)驗與政府行業(yè)的安全建設(shè)需求有效結(jié)合,形成從制度規(guī)劃到技術(shù)落實的整體安全建設(shè)方案��。
產(chǎn)品咨詢:4000 258 365 
