圖靈獎獲得者�����、微軟研究院技術(shù)院士Jim Gray 曾提出科學(xué)研究的第四范式����,即以大數(shù)據(jù)為基礎(chǔ)的數(shù)據(jù)密集型科學(xué)研究,我們知道以大數(shù)據(jù)為基礎(chǔ)開展科學(xué)研究���,對于各個行業(yè)領(lǐng)域而言具有不可估量的價值��,然而機遇與風(fēng)險并存����,數(shù)據(jù)價值的提升同時意味著面臨更多覬覦的目光。
通常情況下��,數(shù)據(jù)從生產(chǎn)環(huán)節(jié)來劃分��,會歷經(jīng)數(shù)據(jù)規(guī)劃����、數(shù)據(jù)匯聚、數(shù)據(jù)分析�、數(shù)據(jù)利用、數(shù)據(jù)運維等過程��;從參與人員來劃分���,可分為數(shù)據(jù)提供方、數(shù)據(jù)管理方����、數(shù)據(jù)使用方。為保證大數(shù)據(jù)安全����,不僅要控制每個生產(chǎn)環(huán)節(jié)的安全,還要管理接觸到相關(guān)數(shù)據(jù)的人員��,防止數(shù)據(jù)信息泄露,保證商業(yè)價值被合理利用����。
我們通過幾個典型泄漏事件的回顧和分析,可以發(fā)現(xiàn)在整個數(shù)據(jù)共享與價值挖掘的過程中�����,各個環(huán)節(jié)存在不同的安全風(fēng)險�。
1、保險行業(yè)用戶資料遭遇安全威脅
事件:美國第二大醫(yī)療保險公司遭黑客攻擊 8000萬用戶資料受影響
詳情:美國第二大醫(yī)療保險公司Anthem于2015年2月5日向客戶發(fā)郵件稱����,公司數(shù)據(jù)庫遭黑客入侵,包括姓名����、出生日期、社會安全號�����、家庭地址以及受雇公司信息等8000萬用戶個人信息受到影響��。
技術(shù)原因分析:黑客之所以能夠進入到系統(tǒng)�����,關(guān)鍵點在于Anthem并未設(shè)置額外的認證機制,僅憑一個登錄口令或一個Key就能夠以管理員權(quán)限訪問整個數(shù)據(jù)庫�����?�?陀^的說����,Anthem的安全失誤并不在于缺少數(shù)據(jù)加密,而是不正確的訪問控制�����。
2�����、教育行業(yè)學(xué)生信息泄露
事件:美國Metropolitan State大學(xué)16萬學(xué)生信息泄漏
詳情:美國Metropolitan State大學(xué)16萬學(xué)生個人信息泄露����,包括出生日期���、家庭住址��、電話����、個人成績。
技術(shù)原因分析:隨著校園信息化的快速建設(shè)���,教務(wù)��、教學(xué)系統(tǒng)中也存在大量漏洞�,國內(nèi)高校也成為信息泄漏的重災(zāi)區(qū)���,漏洞分析平臺補天顯示的有效高校網(wǎng)站漏洞多達3495個�����。這些漏洞有的已造成教職員工或?qū)W生個人信息泄漏���。一方面高校涉及人數(shù)眾多,并且包括大量學(xué)生和教授的隱私信息�;另一方面很多重要院校還承擔(dān)著國家眾多科研項目,這些都可能成為不法分子的目標(biāo)�。
3��、社保行業(yè)用戶信息泄露威脅
事件:數(shù)千萬社保用戶信息或遭泄露 超30省市曝管理漏洞
詳情:2015年4月22日��,重慶���、上海、山西�����、沈陽�����、貴州��、河南等超30個省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞����,數(shù)千萬用戶的社保信息面臨被泄露風(fēng)險�。
從補天漏洞響應(yīng)平臺獲得的數(shù)據(jù)顯示,圍繞社保系統(tǒng)����、戶籍查詢系統(tǒng)����、疾控中心���、醫(yī)院等曝出高危漏洞的省市超過30個��。據(jù)統(tǒng)計��,僅社保類安全漏洞所導(dǎo)致的信息泄漏就超過5279.4條 涉及人員數(shù)量達數(shù)千萬�����,其中包括個人身份證���、社保參保信息、財務(wù)�、薪酬、房屋等敏感信息�����。
技術(shù)原因分析:80%安全事件發(fā)生的原因來自于SQL注入�。該事件的可能性見下面幾種:一、可利用了互聯(lián)網(wǎng)應(yīng)用系統(tǒng)漏洞�,通過SQL注入完成對社保人員信息的批量下載(刷庫)�����;二���、外部黑客利用數(shù)據(jù)庫漏洞,如系統(tǒng)注入漏洞���、緩沖區(qū)溢出漏洞和TNS漏洞�,進行數(shù)據(jù)庫的惡意操作(拖庫)����;三、開發(fā)人員和運維人員對系統(tǒng)熟悉度高���,可以通過程序中的后門程序或直接訪問數(shù)據(jù)庫獲得數(shù)據(jù)�。
4����、金融行業(yè)用戶信息泄露
事件:綿陽警方破獲侵犯公民信息案 257萬銀行信息被泄露
詳情:2016年10月,四川綿陽警方破獲公安部掛牌督辦的“5·26侵犯公民個人信息案”���,抓獲包括銀行管理層在內(nèi)的犯罪團伙骨干分子15人����、查獲公民銀行個人信息257萬條�����、涉案資金230萬元���,成功打掉了侵犯公民個人隱私的這一黑色產(chǎn)業(yè)鏈�。與前期曝出的信息泄露事件不同��,本次案件不僅涉及巨量的公民個人銀行信息��,更重要的是此案中的關(guān)鍵人物夏某竟是一位銀行行長��。
技術(shù)原因分析:案例中夏某的賬號有效期只有2-3天���。韓某和戴某在三天內(nèi)�,利用第三方工具獲取公民個人征信信息50余萬份���。相當(dāng)于1天查詢量達到16萬份��。這樣的日查詢量對于一個支行網(wǎng)點來說顯然屬于異常行為�。
分析以上數(shù)據(jù)泄漏事件,我們不難發(fā)現(xiàn)�����,傳統(tǒng)的安全防護思路通常將目光局限于面向外部黑客�����,以對外部黑客或入侵者的防控為主要任務(wù)��,以區(qū)域隔離�����、安全域劃分為目標(biāo)�����,以邊界防護為主要安全手段�����,同時存在管理與技術(shù)相對分離的問題��,而在整個數(shù)據(jù)使用和流轉(zhuǎn)的過程中,會接觸不同的使用和維護者�、面臨不同的網(wǎng)絡(luò)環(huán)境,傳統(tǒng)單點的防護手段無法有效解決更復(fù)雜的大數(shù)據(jù)安全問題�����,制度與技術(shù)相結(jié)合����,服務(wù)與產(chǎn)品共輸出�,才能形成360°無死角的安全生態(tài)。
這里�����,我們以某省級政務(wù)云的信息安全建設(shè)為例����,將可行性的應(yīng)對策略做簡單分享,不談產(chǎn)品只說思路:
政務(wù)云安全建設(shè)背景
政務(wù)云是政府行業(yè)信息化的主流趨勢���,云技術(shù)的應(yīng)用可以為政府辦公提供更高效率�����、更節(jié)省成本的運作模式�����。由于政務(wù)信息的高敏感度���,國家對政務(wù)云的安全越來越重視��,中央網(wǎng)信辦明確要求“要對為黨政部門提供云計算服務(wù)的服務(wù)商�,參照有關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)�����,組織第三方機構(gòu)進行網(wǎng)絡(luò)安全審查”�����,鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計算服務(wù)�。通過技術(shù)手段和國家強制措施,政務(wù)云模式下的信息安全更有保障�����。
大數(shù)據(jù)面臨的安全風(fēng)險
政務(wù)云信息安全建設(shè)的思想指導(dǎo)
政務(wù)云安全建設(shè)的框架規(guī)范和技術(shù)要求�,不僅要符合國家等保和網(wǎng)安關(guān)于數(shù)據(jù)安全方面的政策要求��,更要以數(shù)據(jù)的安全使用為業(yè)務(wù)目標(biāo)���。遵循數(shù)據(jù)安全治理體系框架,以內(nèi)部或準(zhǔn)內(nèi)部人員為主要安全管控對象��,對其行為加以管控���;以數(shù)據(jù)分級分類為基礎(chǔ),以信息合理�、安全流動為目標(biāo),以信息使用過程的安全管理和技術(shù)支撐為手段����,將安全產(chǎn)品技術(shù)和流程管理進行深度整合,建立合理有效的大數(shù)據(jù)管理與利用規(guī)范�����,此為大數(shù)據(jù)管理和利用的重中之重��。
政務(wù)云信息安全建設(shè)的規(guī)劃和技術(shù)思路
在確保數(shù)據(jù)有效使用的前提下���,通過實施數(shù)據(jù)安全治理規(guī)范�,形成一套安全的數(shù)據(jù)服務(wù)體系,在對敏感數(shù)據(jù)分級分類的基礎(chǔ)上���,建設(shè)大數(shù)據(jù)安全管控平臺����。
1)建設(shè)數(shù)據(jù)安全管控平臺的工作規(guī)劃步驟:
籌備數(shù)據(jù)安全保障工作組
制定數(shù)據(jù)安全的建設(shè)規(guī)范
引入技術(shù)支撐戰(zhàn)略合作伙伴
2)數(shù)據(jù)安全治理的技術(shù)路線
在數(shù)據(jù)安全治理中首要的是成立專門的安全治理團隊�,保證數(shù)據(jù)安全治理工作能夠長期有效地落地。同時數(shù)據(jù)安全治理要明確數(shù)據(jù)治理相關(guān)的工作部門和角色(受眾)���,使數(shù)據(jù)治理工作能夠有效落地����。
數(shù)據(jù)安全治理的策略和流程�����,是要以文件的形式明確企業(yè)(組織)內(nèi)部的敏感數(shù)據(jù)����、對敏感數(shù)據(jù)進行分類和分級,對不同類別和級別的敏感數(shù)據(jù)的管理控制原則����,要明確不同的工作部門和角色所具有的權(quán)限����,對數(shù)據(jù)使用的不同環(huán)節(jié)所要遵循的控制流程�。
數(shù)據(jù)安全治理的技術(shù)支撐,是要明確在管理控制過程中����,要采用什么樣的技術(shù)手段幫助實現(xiàn)數(shù)據(jù)的安全管理過程;這些技術(shù)手段可以包括數(shù)據(jù)的梳理�、數(shù)據(jù)的訪問控制、數(shù)據(jù)的保護��、數(shù)據(jù)的脫敏和分發(fā)�、數(shù)據(jù)的審計����、數(shù)據(jù)訪問的風(fēng)險分析。
3)平臺安全建設(shè)可借力����,引入專業(yè)的數(shù)據(jù)安全廠商
大數(shù)據(jù)平臺在自身安全建設(shè)方面也在積極尋求更高的專業(yè)性提升,引入戰(zhàn)略技術(shù)支撐單位與合作方來對平臺數(shù)據(jù)安全建設(shè)予以專業(yè)性支持可以更快地推動安全建設(shè)步伐��,比如有效吸取國內(nèi)先進的數(shù)據(jù)安全治理經(jīng)驗��,選擇技術(shù)實力強大的數(shù)據(jù)安全企業(yè)進行合作,將企業(yè)積累的數(shù)據(jù)安全治理的實施經(jīng)驗與政府行業(yè)的安全建設(shè)需求有效結(jié)合��,形成從制度規(guī)劃到技術(shù)落實的整體安全建設(shè)方案�����。
產(chǎn)品咨詢:4000 258 365 
