数据考验安全 需求驱动实践
2016-11-02潘树琼
潘树琼
随着大数据、云计算不断发展,人们对大数据发展以及伴生的安全问题越来越关注,大数据应用正挑战着网络安全行业。大数据时代,各方在争相掘金数据价值的同时,数据安全、信息安全也成为其应用过程中备受关注的课题。
9月20日,“大数据安全技术与实践”论坛在武汉市举行。来自微软、IBM、阿里巴巴、腾讯、360等六家国内外知名企业相关负责人,讨论了大数据安全威胁与保护,分享了大数据安全实践经验。
论坛上,中央网信办网络安全协调局处长毛作奎表示,加强大数据、云计算的网络安全管理,增强网络空间主权保护能力,是中央网信办的重要职责。中央网信办会同相关部门,成立了大数据、云计算网络安全管理协调组和专家组,初步建立了大数据安全管理协调机制。目前正在抓紧制定大数据安全管理办法以及个人信息保护等相关标准规范,进一步明确在数据采集、传输、存储、运用、开放、共享等环节的安全要求,切实加强对涉及国家利益、公共安全、商业秘密、个人隐私等信息的保护。
大数据应用的安全考验
数据科学家维克托·迈克尔-舍恩伯格在《大数据时代》一书中曾这样写道:大数据不仅是人们获得新认知、创造新价值的源泉,还是改变市场、组织结果以及政府与公民关系的方法。
“一个数据造成的损失可能会导致154美元损失,数据攻击者几个小时就可以获得数据,一旦进入数据库,便可以悄无声息地把数据拿走……”IBM威胁保护与X-Force部门战略与产品管理项目总监保罗格里斯伍德用数据对比,让人们直观地感受数据安全的重要性。对此,保罗格里斯伍德介绍道,IBM通过数据分配在不同数据库进行安全防护。
微软在大数据安全保护方面也有其心得,微软中国首席安全官邵江宁认为,一方面大数据代表着新的创新,另一方面,我们面临着实际的风险。而如今的大数据已经形成产业链,需要整个生态系统的协作。“微软通过创新加密技术,实现大数据安全保护。希望技术创新能够为大家每天的生活创造幸福的价值。”
中电长城网际标准化总工闵京华说,在创新大数据安全保护过程中,要注重大数据安全技术标准化。他说,目前我们是大数据初级阶段,它面临的挑战是非常严峻的,要从大数据中有效利用资源,目前还有一段距离。我们必须要在现有的标准基础上去研究,然后确定需求以及相应标准,最后去使用。
去年以来,中央网信办参照有关网络安全国家标准对申请为党政部门提供云计算服务的服务商,组织第三方机构进行了网络安全审查,重点审查其服务的安全性、可控性。经审查,浪潮软件集团有限公司所建济南政务云平台、曙光云计算技术有限公司所建成都电子政务云平台(二期)和阿里云计算有限公司所建阿里云电子政务平台基本满足相关要求。
大数据实践的企业案例
国际数据公司(IDC)发布的一份报告显示,2017年,大数据市场规模将达324亿美元,全球大数据技术及服务市场年复合增长率为27%,预测到2020年,全球数据量将达到35ZB,相当于80亿块4TB硬盘。
在论坛上,阿里巴巴集团数据安全总监郑斌、腾讯云计算(北京)有限公司大数据安全负责人王翔、360安全战略研究主任鲍旭华分别分享了各自公司在大数据安全方面的实践经验。
郑斌介绍,阿里大数据安全的心得是从过去强调数据保密变为强调对数据经济秩序的保障;从过去注重系统防护到现在聚焦数据内容本身的保护;从单一组织的保障到跨组织的联动;从注重技术、操作风险拓展到注重商业、法律风险。那么,谁在应用这些大数据?郑斌将阿里内部使用数据归结为四种类型,第一种类型是我们的业务管理者,第二种类型是数据分析师和数据开展者,第三类是数据产品,它其实是一个系统,第四类是本身的生态系统伙伴。
王翔表示,大数据安全整体解决方案应包括四个方面:外网风险、内网风险、存储风险、研发风险。这些可以归结为一点,所有的努力都是为了不让用户本人之外的人拿到他的个人信息。尽管腾讯已经拿出了大数据的整体解决方案,设置重重障碍去保护个人信息,但保护安全的重任也要靠用户个人。
“大数据安全是企业的生命线,并且它具有木桶效应。大数据安全是一个专业程度非常高的工作,并且它需要不断地运营,云上的大数据需要平台方和业务方共同参与,企业可以借助平台的力量做好安全的保障,将自己的注意力真正地放在商业逻辑上。”王翔说。
鲍旭华则从360的实际情况出发,将安全体系分为三道防线:第一道是争夺分界线,任何一个系统要保护它的安全,都要建立一个安全的规则。我们还要建第二道防线,来保证最重要的数据和人物。第三道防线的功效在于,如果攻击者进入到我们内部系统,必然要进一步获取最高的权限。
“大数据安全进入数据驱动的协同时代,360倡导利用大数据安全分析,协同和提升传统安全设备,建立协同整个行业安全数据的机制,以增加国内发现未知威胁的能力。”鲍旭华说。