摘 要：大数据（Big Data）是当前学术界和产业界的研究热点，正影响着人们日常生活方式、工作习惯及思考模式。本文回顾了大数据的基本概念，提出大数據安全层次体系，在此基础上分析了大数据安全在信息安全标准、法律法规、数据生命周期保护和大数据信息平台4个方面的研究进展。大数据安全的发展需要法律法规、标准和关键技术的共同支撑和推动。

关键词：大数据 安全 身份认证 访问控制

当今，社会信息化和网络化的发展导致数据爆炸式增长。大数据时代是安全与发展并重、机遇与挑战并存的网络时代1。我国也在完善信息安全相关事宜，2017年6月1日正式实施的《中华人民共和国网络安全法》，明确个人信息保护义务，支持网络安全技术的研究、开发、应用和推广。2016年12月，国家互联网信息办公室发布《国家网络空间安全战略》，提出“实施国家大数据战略，建立大数据安全管理制度，支持大数据、云计算等新一代信息技术创新和应用”。大数据目前已经成为国家信息资源方面重要战略，但信息安全是大数据发展的重要基石，在充分发挥大数据价值的同时，解决大数据安全面临的问题和挑战也同样重要。

1 大数据基本概念

在学术界，图灵奖获得者Jim Gray提出了科学研究的第四范式，即以大数据为基础的数据密集型科学研究；2008年《Nature》推出了大数据专刊对其展开探讨；2011年《Science》也推出类似的数据处理专刊，IT产业界行动更为积极，持续关注数据再利用，挖掘大数据的潜在价值。目前，大数据已成为继云计算之后信息技术领域的另一个信息产业增长点。2011年5月，美国麦肯锡全球研究院发布了《大数据：创新、竞争和生产力的下一个前沿》报告2，“大数据”一词被正式提出，自此其成为科研、金融和商业等众多领域的热门话题。大数据的定义可用4Vs特征表示，典型的有两类：1）国际数据公司的大数据定义：使用种类、速度、体量和价值（variety、velocity、volume、value）定义大数据。其中：种类（variety）包括结构化、半结构化和非结构化等各种类型的数据；速度（velocity）意味着大数据的采集、处理等环节必须快速及时，以便最大化大数据的价值；体量（volume）表示数据量大；价值（value）指大数据具有很大的社会价值。2）美国国家标准与技术研究院（NIST）的大数据定义：将IDC的4Vs特征中的“value”替换为“variability”，即“变化”这一特征，突出数据随时间发生变化的特点。充分理解大数据的定义和特征，可以更好地理解大数据面临的各种问题。

2 大数据安全体系

在大数据架构的基础上，提出一种分层的大数据安全体系。

2.1法律、法规及标准：法律、法规是约束或规制大数据各环节中行为的基础。大数据安全标准是引领和指导大数据安全工作落实的规范。大数据安全相关法律、法规和标准的制定不仅给予数据充分有效的保护，同时也能促进数据的开放、共享，推动大数据应用的发展。随着大数据的安全问题越来越引起人们的重视，包括美国、英国、欧盟和中国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策以推动大数据应用和数据保护。

2.2大数据生命周期层。主要涉及数据保护的相关技术：数据质量、数据生命周期管理、数据权属和隐私保护。大数据安全与隐私保护已成为国际标准化的热点和焦点，目前有多个标准化组织都正在开展大数据和大数据安全相关的标准化工作。全国信息安全标准化技术委员会在2016年4月成立了大数据安全标准特别工作组，主要负责制定和完善中国大数据安全领域标准体系。其中，一些标准已进入报批或公开征求意见阶段，将为中国大数据安全的管理、技术和应用提供重要

支撑。

2.3大数据综合应用平台层。主要涉及大数据平台安全保护的相关技术：身份认证、访问控制、数据加密和审计。传统的数据处理手段无法满足大数据应用对海量数据进行高速处理的需求，因此涌现出了很多新的技术，如分布式存储和处理架构、非关系型数据库等。处理模式和应用场景的改变给传统安全保护技术带来巨大挑战。

3 大数据平台安全关键技术

3.1 身份认证和访问控制

单点登录是解决复杂的云计算环境中统一身份认证和管理的一种方案，单点登录可以减少了访问云服务的时间并节省了认证、授权和审计的基础设施。同时，使用用户ID和密码的传统验证方式不足以抵御云计算环境中复杂的攻击方式，多因子认证在传统标准安全凭证的基础上附加使用多种安全凭证，进一步加强认证的安全性。目前访问控制分为两大类：一是基于属性加密的访问控制。基于属性加密的访问控制是一种利用密文机制实现客体访问控制的方法，主要可以分为两种：基于密钥策略的属性加密和基于密文策略的属性加密。在基于密钥策略的属性加密中，引入了访问结构，密文与属性集合相关联，密钥与访问策略关联，只有当用户提供的属性集可以达到密钥的访问结构时才能解密文件，基于密钥策略的属性加密主要用于访问静态数据。在基于密文策略的属性加密中，密文由访问结构生成，密钥是用户的属性集合，只有当用户的属性满足密文中的访问结构时才能解密该段密文。二是基于角色的访问控制。角色是否分配给用户由用户的信任度决定，信任度由以下因素计算获得：用户使用的主机的安全状态和网络可用性、与角色相关的服务提供商的保护状态，并提供了量化信任度计算过程的数学公式。

3.2 数据加密

数据加密的一个重要问题是如何对密文数据进行处理。对称加密和非对称加密为此问题提供了解决方案。一是对称加密，又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。二是非对称加密。不像普通的对称密码学中采用相同的密钥加密、解密数据，非对称密钥加密技术采用一对匹配的密钥进行加密、解密。具有两个密钥，一个是公钥一个是私钥，它们具有这种性质：每把密钥执行一种对数据的单向处理，每把的功能恰恰与另一把相反，一把用于加密时，则另一把就用于解密。用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。 公共密钥是由其主人加以公开的，而私人密钥必须保密存放。

作者简介：杨海军，男，陕西大荔县，陆军边海防学院，学历，2006级硕士，研究方向，计算机，分布式计算。