耿洪涛

摘 要：大数据正在为安全策略提供新的可能性，对海量数据的分析有助于更好地跟踪网络异常行为，对实时安全和应用数据结合在一起的数据进行预防性分析，可防止诈骗和黑客入侵。

关键词：大数据;信息;安全策略

一、大数据的基本概念

大数据（Big Data）是指“无法用现有的软件工具提取、存储、搜索、共享、分析和处理的海量的、复杂的数据集合。”业界通常用4个V（即Volume、Variety、Value、Velocity）来概括大数据的特征。

（一）数据体量巨大（Volume）。截至目前，人类生产的所有印刷材料的数据量是200PB，而历史上全人类说过的所有的话的数据量大约是5EB（1EB=210PB，1PB=1024TB）

（二）数据类型繁多（Variety）。相对于以往便于存储的以文本为主的结构化数据、非结构化数据越来越多，包括网络日志、音频、视频、图片、地理位置信息等，这些多类型的数据对数据的处理能力提出了更高要求。

（三）价值密度低（Value）。价值密度的高低与数据总量的大小成反比。如何通过强大的机器算法更迅速地完成数据的价值“提纯”成为目前大数据背景下亟待解决的难题。

（四）处理速度快（Velocity）。大数据区别于传统数据挖掘的最显著特征。根据IDC（互联网数据中心）的“数字宇宙”报告，预计全球数据使用量将达到35.2ZB。

二、大数据条件下信息安全面临的挑战

（一）如何实现用户隐私保护。大量事实表明，大数据未被妥善处理会对用户的隐私造成极大的侵害。人们面临的威胁并不仅限于个人隐私泄露，还在于基于大数据对人们状态和行为的预测。一个典型的例子是某零售商通过网购历史记录分析，比家长更早知道其女儿已经怀孕的事实，并向其邮寄相关广告信息，结果大家可想而知。

（二）如何保證大数据的完整可信性。关于大数据的一个普遍的观点是，数据自己可以说明一切，数据自身就是事实。但实际情况是，如果不仔细甄别，数据也会欺骗。例如，一些点评网站上的虚假评论，混杂在真实评论中使得用户无法分辨，可能误导用户去选择某些劣质商品或服务。数据在传播中的逐步失真，人工干预的数据采集过程可能引入误差，最终影响数据分析结果的完整性。

（三）如何实现大数据访问控制。访问控制是实现数据受控共享的有效手段。由于大数据可能被用于多种不同场景，其访问控制需求十分突出，其难点在于：

首先是难以预设角色，实现角色划分。由于大数据应用范围广泛，它通常要被来自不同组织或部门、不同身份与目的的用户所访问，实施访问控制是基本需求。然而，在大数据的场景下，面对未知的大量数据和用户，预先设置角色十分困难。

其次是难以预知每个角色的实际权限。由于大数据场景中包含海量数据，无法准确地为用户指定其所可以访问的数据范围。而且从效率角度讲，定义用户所有授权规则也不是理想的方式。

三、大数据条件下信息安全基本策略

（一）用户隐私保护策略

1980年，Cox最先提出用匿名的方法实现隐私保护;2002年，为了避免受到隐私攻击，学者们提出了隐私保护原则作为指导发布者进行数据发布的理论。

1、避免身份识别的隐私保护原则。攻击者能够在背景知识的帮助下确定发布的数据集中与目标对象匹配的记录，致使个人隐私信息泄露。为了防止攻击者进行记录链接攻击，就要使其不能通过背景知识惟一确定目标对象在发布表中所对应的记录。通过身份识别使攻击者不能惟一确定一条记录，就能够实现隐私保护的目的。

2、避免敏感属性泄露的隐私保护原则。攻击者无须准确匹配目标对象在发布表中的记录，根据标志符，按照其所在的等价类能够推断出其敏感属性的取值。为了防止攻击者进行该类攻击，就要使其不能通过背景知识确定目标对象在发布表中敏感属性的可能取值。发布者应使记录分组中敏感属性取值多样化，分布尽可能均匀。该方法发布的数据缺损少、效用高、安全性高。

3、避免高概率推断的用户隐私保护原则。攻击者只要确定目标对象在发布的表中，其实就意味着隐私泄露。攻击者通过访问发布的数据表，能够以很高的概率推断目标是否存在发布的数据集中或者有较高的概率。发布者应尽可能保证攻击者在访问发布数据表前后得到的目标对象信息相同，即应该实现“无信”原则，使其无法实现攻击。

（二）数据完整可信性保护策略

1、信息摘要技术。信息摘要采用单向的散列函数，它以变长的待保护信息为输入，把其压缩成一个定长的值。若输入的信息改变了，则输出的值也会相应地改变，以此发现对文档信息的非法修改。

2、数字签名。数字签名是一段附加数据或者是数据单元的密码变换结果，它主要用于证实信息的真实来源。

（三）网络访问控制策略

在大数据条件下，访问控制是网络安全防范和保护的主要策略，保证大数据资源不被非法使用和非法访问，是保证信息安全的核心策略。

1、自主访问控制（Discretionary Access Control）。自主访问控制基于对主体的识别来限制对客体的访问，这种控制是自主的。与其他访问控制策略最大的区别在于，自主访问控制中部分具有对其他主体授予某种访问权限权利的主体可以自主地（可以是间接地）将访问权限或访问权限的子集授予其他主体。在自主访问控制中具有这种授予权力的主体通常是客体的主人，因此有学者把自主访问控制称为基于主人的访问控制。

2、强制访问控制（ Mandatory Access Control）。强制访问控制允许加载新的访问控制模块，并借此实施新的安全策略，其中一部分为一个很小的系统子集提供保护并加强特定的服务，其他的则对所有的主体和客体提供全面的标签式安全保护。定义中有关强制的部分源于如下事实，控制的实现由管理员和系统作出， 而不像自主访问控制那样是按照用户意愿进行的。

3、角色访问控制（Role-based Access Control）。是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这样做的好处是，不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统的开销。

（四）典型的网络访问控制产品

1、防火墙。防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为zone），制定出不同区域之间的访问控制策略，来控制不同信任度区域间传送的数据流。它可以是软件，可以是硬件，也可以是软件和硬件的结合。这种安全设备处于被保护网络和其他网络的边界，根据防火墙所配置的访问控制策略进行过滤或作出其他操作。

2、路由器。路由器访问控制提供了对路由器端口的一种基本访问控制技术。访问控制一般是基于网络协议，也就是说网络管理员必须对路由器端口上运行的各种协议分别进行配置。路由器访问控制列表分为静态和动态两种。对于具体的协议，路由器访问控制都有相应的一系列参数可以定义。

3、专用访问控制服务器。专用访问控制服务器基于角色访问控制策略实现。一种是基于用户名加口令的方式，一种是基于PKI技术的方式。这两种实现方式在确认访问者身份的基础上，均实现了对不同访问者的权限控制。尤其是基于PKI技术的验证方式，在实现身份验证的同时还具有加密传输功能。

4、其它用户认证产品。基于用戶认证的产品包括双因素认证、硬件特征码、IC卡、USB令牌等。随着模式识别技术的发展，诸如指纹、视网膜等基于生物特征的身份识别技术也越来越广泛应用。

四、结束语

大数据引发了新的信息安全问题，但它自身也是解决问题的重要手段，工具没有好坏，要看用在谁的手上，发挥什么样的作用。我们必须把大数据条件下的信息安全问题放在一个更高的角度上加以考虑，不断增强信息安全综合保障能力，才能迎接大数据时代的机遇和挑战。

参考文献：

[1]邹阳;大数据时代下计算机网络信息安全问题研究[J];电脑知识与技术;2016年第12期

[2]柳宝连;探究大数据时代的计算机网络安全及防范措施[J];科技经济导刊;2018年第26期