孙翠云

(公安部第三研究所，上海 201204)

随着信息技术的快速发展，云计算、大数据、物联网、人工智能等新技术为科技信息化发展带来了新动力，但同时也给网络信息安全带来了新挑战[1]，主要表现在：一是大数据和云计算技术改变了数据的生命周期，打破了数据安全闭环，特别是数据资源大量汇聚、集中存储以后，信息泄露、数据滥用等安全风险逐步加大；二是云平台的分布计算本质降低了传统安全防护手段效能，增加了安全设施集成部署的难度，现有的信息安全技术无法在大数据环境中完全有效地运用；三是目前安全运行的组织架构、人员技能水平、应急响应能力无法适应大数据中心的安全管理要求；四是信息网络安全标准滞后于大数据、云计算技术发展，不能为大数据信息安全提供指导。

当前，国家正大力开展大数据中心建设，各省市也成立了大数据中心部门，大数据中心作为我国重要的基础设施，在日常工作中的基础性、全局性作用日趋显著。随着世界范围内围绕信息的获取、使用、控制的斗争愈演愈烈，全球网络攻击、网络窃密和网络犯罪等问题日渐突出，大数据安全问题已经成为与政治安全、经济安全、网络安全、信息安全、文化安全同等重要[2]，事关国家安全的重大战略要害问题。大数据中心一旦发生安全问题，造成系统崩溃、网络瘫痪、病毒暴发或重要数据丢失、泄露，势必导致灾难性后果，给系统正常运转、甚至国家信息体系完整性带来重大损失。为此，建立以数据安全为核心的大数据安全保障体系，确保信息安全与大数据发展同步规划、同步建设、同步运行，成为大数据建设最为迫切的重大任务之一。

1 大数据自身面临的安全威胁和新型攻击手段

由于大数据体量巨大、高速产生、类型多样、分布协同，数据价值稀疏，安全防护手段难以聚集于价值点上，同时攻击者同样可以使用大数据技术更大限度地收集信息、实施精准攻击；云计算技术，导致数据所有权与使用权分离，在数据生命周期内的每个环节，都将面临新的安全问题。我们必须从整体着眼、从根源着手，从数据自身安全出发，构建全方位监探、全流程检测、全时空响应的纵深安全防御体系。

首先，从大数据收集、存储、传输、使用等阶段分析大数据自身面临的安全威胁和新型攻击手段[3]。

（1）数据收集阶段的安全威胁

数据源头攻击问题：大数据采集过程中，数据源存在潜在的被攻击威胁。比如，在物联网网络边缘中，被渗透的采集终端能够轻易地绕过网络路由信任机制核验，使得目标用户接收不到数据或接收到虚假数据，实现阻断、篡改网络数据或旁路至恶意第三方。为大数据资源池提供数据的数据源要增加额外的互信机制，在数据采集时要确认其数据源的真实性、可靠性。

数据海量汇聚问题：数据海量汇聚没有改变数据安全的本质，但极度放大了数据安全的风险。海量数据汇聚到大数据中心群，为数据价值挖掘提升创造了必要条件，也成为重点攻击目标，而一旦攻击得手，失窃的信息量难以估量。特别是当前缺少数据分级分类管控的技术措施和管理制度，导致进一步提高了数据被窃取、泄露、滥用和损毁的风险。

数据交换问题：大数据中心要引接政府机构数据、社会重要行业数据和互联网数据，同时还需要向政府重要部门、社会公众和基层提供数据服务，如何确保数据交换过程中的安全是极具挑战性的问题。

（2）数据存储阶段的安全威胁

云存储本身安全问题：在大数据中心建设中，海量数据需采用云计算技术进行存储和管理，满足对数据管理和使用的要求，但在保障存储数据的完整性、容错性、可恢复性等方面提出了新的安全挑战。

NoSQL存储安全问题：对海量非结构化数据需使用NoSQL数据存储技术进行存储，该技术自身安全机制不够完善，业务标准不统一，技术实现方式多样，难以采用统一安全策略和措施对数据进行安全防护。

（3）数据传输阶段的安全威胁

传输信道安全问题：数据传输需要各种网络协议相互配合，有些协议缺少专用数据安全保护机制，数据传输过程中的数据泄露、破坏或拦截，都会带来敏感信息外泄等安全问题。

数据真实性问题：大数据中心建设要实现数据全采集、应用全触网。大数据资源池可能会被恶意用户或恶意终端节点注入虚假信息或恶意数据，利用数据泛在共享机制迅速扩散，严重危害整个系统的数据价值。

（4）数据使用阶段的安全威胁

数据权限控制问题：大数据中心在运行过程中，数据资源会持续不断地接入。数据权限控制是实现数据安全共享的有效手段，进行数据访问权限细粒度划分，构造用户权限和数据权限（只读、只写、读写）相互组合的复合控制方式，是实现数据权限控制的可靠途径。

数据授权不合理问题：传统的授权模式从应用和角色的角度去关联用户的权限，不考虑应用环境因素变化引入的风险变化，这种固定的、忽略环境风险的授权方式也不能适应未来的业务发展需求，在大数据环境下，如果继续严重这种方式，将引发数据过度暴露、权限适配错乱等问题。

数据非常规使用问题：在数据分析挖掘过程中，数据分析工具在进行数据关联、多维分析、数据挖掘时，可能会非授权访问敏感数据；系统运行维护时，可能会丢弃原始数据或加工数据，导致关键数据损失；数据交付过程中，可能会发生数据分析结果违规发布，缺少数据泄露预案、无法溯源取证等问题。大数据中包括大量的个人相关信息，因此，个人隐私信息保护也是相当突出的问题。

大数据中心是构建于传统IT架构之上的全新基础运算环境，所面临的安全威胁除了传统安全威胁，还包括云计算体系新增的安全威胁。云计算技术让网络边界、应用边界、数据边界变得模糊，以往基于边界防御的安全体系设计也不再适用。我们从虚拟化安全、终端安全、网络安全、安全运营等方面分析大数据中心面临的安全威胁和新型攻击手段。主要有：

虚拟化安全问题：大数据应用所需的分布式处理能力依赖于虚拟化技术，虚拟化大幅提升了基础计算资源的利用率，同时也带来了很多安全漏洞，比如开源的KVM虚拟机软件的安全权限被绕开、毒液漏洞等。物理服务器上的多台虚拟机之间理论上是完全隔离的，但实际上很多攻击就是利用虚拟机之间的物理依赖关系展开攻击，比如旁通道攻击、拒绝服务攻击等。

终端安全问题：大数据中心接入终端数量巨大，地理位置分散，终端存在的操作系统安全漏洞被利用将带来极大的安全风险；终端缺乏入网注册机制，对非法终端没有技术上的准入控制能力；无法精确统计IT资产，也无法跟踪硬件资产的历史使用记录，也不能及时掌握资产变动情况；终端用户报告使用故障时，需要IT维护人员赶赴现场处理，消耗大量的人力和时间解决；内网病毒暴发时，难以使用统一策略及时阻断并控制危害范围。

网络边界安全问题：安全建设目前侧重于终端和网络边界的防护，未对应用系统进行重点安全保护，缺少内部网络安全域划分，不同安全等级的业务系统之间没有有效的安全隔离屏障。整体上缺乏有效的纵深防御安全措施，攻击者一旦突破边界防护，进入内部网络后对内部网络威胁较大，一旦出现恶意攻击可能会导致难以控制的严重后果。

应用系统安全问题：大数据中心运行的业务应用系统在研制时很少考虑开发环境安全和流程安全，系统交付前也很少做严格的渗透测试和漏洞挖掘，这些业务应用上云后，其自身应用安全风险将会成百倍地放大。

安全态势感知不足问题：目前大数据中心对安全监测数据与威胁情报收集掌握不够全面，综合分析能力不强，无法及时掌握网络整体安全态势，缺少威胁检测、预测预警和应急响应能力。将来大数据中心对安全态势感知要求更高，特别是对类似APT的高级持续性网络威胁，绝不允许出现网络入侵者已经进入平台内部、我们却一无所知的情况。

2 大数据安全的解决思路

（1）构建“数据安全”纵深防御体系

在大数据中心建设项目中，数据安全是最核心、最重要的需求。由于大数据中心的构建，实现了数据的全方位获取、全网络汇聚与全维度整合。中心建成后，将打破各部门数据隔离、拓展数据获取的渠道，这对数据安全的防护提出了全新的挑战。数据量大、使用人员多、人员分布地域广、接入终端环境复杂，这将是大数据中心数据运营的常态。在这种状态下，数据安全防护工作必须在大数据中心建设初期就着手同步规划与建设，避免由于前期疏于考虑数据安全，而后期形成难以治理和管控的局面。

大数据中心实现了数据的大集中存储，促进了业务互通与数据共享，但同时也面临数据访问人员多、权限分配复杂、数据难以治理等问题，这对数据受控访问、身份授权管理、全网流量协同等信息安全性方面提出了重大挑战。

访问的便捷性和权限的控制力度从来都是一对矛盾体，如何在本项目中解决这个矛盾，使数据应用效率和数据安全防护达到平衡，促进业务发展，将贯穿于数据安全的始终。

由于数据是流动的，而承载数据的载体（基础架构）是相对静止的，所以要想在静态的载体上控制流动的数据，就要全面分析数据的流径，在数据路径之上识别风险点并提出控制措施，实现在应用层、数据资源层、网络层和基础平台层等各个层面上的数据安全纵深防御能力。这样数据纵深安全的思想就能在项目执行阶段中具体化到每个实实在在的防控点，充分实现大数据安全防护体系的内生安全可信。

纵深防御的思想是对攻击者的攻击路线层层设置防护手段[4]，极大地消耗攻击者的攻击资源和时间，从而迫使攻击者无法达成破坏数据和偷盗数据的目的。纵深防御通常对于已知的攻击手法能起到明显的防御效果，即使上一层防御失效，还有下一层防御作为后续的防护，但是纵深防御无法实现对未知威胁的防护，尤其是APT攻击。因此，纵深防御能解决的问题是有限的，要想抵御高级的攻击行为，就必须采用以纵深防御为基础，整个防御体系向积极防御升级。

（2）构建“身份安全”零信任体系

大数据中心实现了各系统众多关键数据的汇聚，传统基于网络的边界已经无法满足数据级的安全隔离需求，必须实现统一的身份认证管理的精细化、动态化的授权能力。这部分需求的目的是解决人或者接入设备的身份安全[5]，确保所有接入人员和设备的身份是安全可信的，所有人员在访问大数据中心之前就对其身份的合法性进行验证，只有通过认证，才能访问业务数据。

由于大数据中心的数据涉及大量的国家安全、社会安全、个人隐私等敏感信息，所以对权限的要求非常严格。传统的网络安全防护方式采用基于网络访问控制列表（ACL）的、静态的授权模式将不再适用，必须采用能够根据数据的类型、重要程度进行灵活授权的方式，并结合人员角色进行最小化授权，在不影响业务效率的前提下，确保数据访问权限最小化原则，避免因为权限不当导致的数据泄露。

（3）构建大数据“安全运行”保障体系

安全运行管理的核心目标是保护大数据的安全。从战略层面上，建立先进的安全运行管理平台、专业的安全技术团队、全面的安全策略以及高效的运行管理机制。从战术层面来讲，建立队伍：建立专业的安全运行团队，包括安全技术研究团队、安全运营团队、安全运维团队、安全管理团队等；摸家底：清楚定义保护的目标，如：数据分类、分级，资产建模，采用了哪些防护手段和措施；判风险：通过漏洞扫描、配置基线、渗透测试、对抗演练等提前找出可能存在的技术风险；早预防：通过补丁管理、系统加固、安全设备维护和策略调优、精细化授权以及完善的安全规范和制度；持监测：通过实时收集安全相关的日志和流量结合资产模型和用户模型，利用大数据技术和人工智能技术进行多维度的关联分析和行为分析结合专业人员的人工判断，及时发现安全事件；即处置：安全处置团队按照既定的处置方案进行快速的处置，包括事件通报、调查取证、配置变更、数据修复等；速改进：通过安全事件的溯源分析，发现安全措施存在的问题并及时予以改进；重流程：整个安全事件的闭环处理需要一个高效的、可重用的流程，并通过工单系统予以实现。