發(fā)布時(shí)間:2019-07-30所屬分類:科技論文瀏覽:1次
摘 要: 摘 要:隨著互聯(lián)網(wǎng)+、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)興起,數(shù)據(jù)獲得了前所未有的爆炸式增長(zhǎng),大數(shù)據(jù)時(shí)代已經(jīng)來(lái)臨。大數(shù)據(jù)技術(shù)創(chuàng)新應(yīng)用,使我們具備了對(duì)海量數(shù)據(jù)的處理和分析能力,但與此同時(shí),伴隨數(shù)據(jù)匯聚、數(shù)據(jù)分析而來(lái)的安全問題也給我們帶來(lái)前所未有的挑戰(zhàn)
摘 要:隨著互聯(lián)網(wǎng)+、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)興起,數(shù)據(jù)獲得了前所未有的爆炸式增長(zhǎng),大數(shù)據(jù)時(shí)代已經(jīng)來(lái)臨。大數(shù)據(jù)技術(shù)創(chuàng)新應(yīng)用,使我們具備了對(duì)海量數(shù)據(jù)的處理和分析能力,但與此同時(shí),伴隨數(shù)據(jù)匯聚、數(shù)據(jù)分析而來(lái)的安全問題也給我們帶來(lái)前所未有的挑戰(zhàn)。組織應(yīng)以發(fā)展和安全并行為目標(biāo),提出大數(shù)據(jù)安全管理對(duì)策,加強(qiáng)大數(shù)據(jù)安全分級(jí)管理,構(gòu)建大數(shù)據(jù)安全管理體系,推動(dòng)大數(shù)據(jù)的安全共享。
關(guān)鍵詞:大數(shù)據(jù) 數(shù)據(jù)安全 分級(jí)管理 大數(shù)據(jù)安全管理體系
大數(shù)據(jù)是國(guó)家基礎(chǔ)性、重要的戰(zhàn)略資源,被稱為“21世紀(jì)的鉆石礦”。大數(shù)據(jù)時(shí)代,大數(shù)據(jù)在互聯(lián)網(wǎng)和社交領(lǐng)域,以及醫(yī)療衛(wèi)生、健康、金融等各行各業(yè)爆炸式增長(zhǎng),對(duì)國(guó)家決策、經(jīng)濟(jì)運(yùn)行、生活方式以及社會(huì)各領(lǐng)域均產(chǎn)生重要的影響,大數(shù)據(jù)成為高價(jià)值的資產(chǎn)。
大數(shù)據(jù)如同一把雙刃劍,在帶來(lái)許多便利的同時(shí),也產(chǎn)生了前所未有的安全隱患。大數(shù)據(jù)安全是發(fā)展大數(shù)據(jù)的前提,在大數(shù)據(jù)應(yīng)用推廣過程中,要堅(jiān)持安全與發(fā)展并重的方針,在充分發(fā)揮大數(shù)據(jù)價(jià)值的同時(shí),解決面臨的大數(shù)據(jù)安全問題,構(gòu)建大數(shù)據(jù)安全管理體系,推動(dòng)大數(shù)據(jù)的安全共享。
1 大數(shù)據(jù)安全的重要意義
大數(shù)據(jù)對(duì)國(guó)家、企業(yè)、個(gè)人具有重要的作用,具有很高的研究?jī)r(jià)值,但人們?cè)谧分饠?shù)據(jù)價(jià)值的同時(shí),也引發(fā)了諸如個(gè)人隱私安全、企業(yè)信息安全、國(guó)家安全的問題。
在個(gè)體層面,隨著科技的進(jìn)步帶來(lái)的互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,人們的生活被深深地打上了數(shù)字化的印記。大數(shù)據(jù)存在于人們生活中的每個(gè)角落,各種大量的個(gè)人信息數(shù)據(jù)產(chǎn)生。隨著移動(dòng)互聯(lián)網(wǎng)的全面普及,社交網(wǎng)絡(luò)也成為黑客攻擊和網(wǎng)絡(luò)犯罪的新途徑,云應(yīng)用的普及大大增加了用戶信息泄露的風(fēng)險(xiǎn),移動(dòng)支付安全和移動(dòng)終端漏洞成為安全新課題。
在企業(yè)層面,大數(shù)據(jù)引擎可以幫助和指導(dǎo)企業(yè)對(duì)業(yè)務(wù)流程進(jìn)行有效運(yùn)營(yíng),是企業(yè)實(shí)現(xiàn)創(chuàng)新發(fā)展的核心驅(qū)動(dòng)力,成為企業(yè)最重要的載體,日益取代人才成為企業(yè)的核心競(jìng)爭(zhēng)力。然而,大數(shù)據(jù)時(shí)代的企業(yè)安全也面臨著內(nèi)部管理和外部攻擊的新型挑戰(zhàn)。這些數(shù)據(jù)在顯現(xiàn)出不可估量商業(yè)價(jià)值的同時(shí),也存在巨大的安全隱患,影響到企業(yè)安全市場(chǎng)的格局。
在國(guó)家層面,在信息時(shí)代,國(guó)家安全的含義發(fā)生了質(zhì)的變化。即使在和平年代,一個(gè)國(guó)家的各種信息設(shè)施、重要機(jī)構(gòu)也可以成為攻擊目標(biāo)。石油、天然氣、水、電、交通、金融、商業(yè)和軍事等關(guān)系到國(guó)計(jì)民生的重要行業(yè)也都依賴網(wǎng)絡(luò)與信息系統(tǒng),極易遭受信息武器的攻擊,國(guó)家安全受到嚴(yán)峻挑戰(zhàn)。
2 大數(shù)據(jù)安全管理的內(nèi)涵和特征
大數(shù)據(jù)安全管理不能簡(jiǎn)單地定義為對(duì)組織的全部數(shù)據(jù)進(jìn)行防護(hù),對(duì)龐大的數(shù)據(jù)量進(jìn)行統(tǒng)一標(biāo)準(zhǔn)的安全防護(hù)也不現(xiàn)實(shí)。大數(shù)據(jù)安全管理可包含如下內(nèi)容:第一,明確大數(shù)據(jù)安全管理需求。分析大數(shù)據(jù)環(huán)境下大數(shù)據(jù)的保密性、完整性和可用性等問題以及可能引發(fā)的各個(gè)層面的問題,據(jù)此明確解決相關(guān)問題和影響的數(shù)據(jù)安全需求。第二,對(duì)大數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)管理,對(duì)不同級(jí)別的數(shù)據(jù)選擇不同安全措施。第三,組織應(yīng)根據(jù)大數(shù)據(jù)活動(dòng)的特點(diǎn),以及相應(yīng)的數(shù)據(jù)操作,從而確定相關(guān)的安全要求。第四,組織從系統(tǒng)的脆弱點(diǎn)、惡意利用的后果與應(yīng)急措施等方面評(píng)估大數(shù)據(jù)安全風(fēng)險(xiǎn)。
大數(shù)據(jù)要充分流動(dòng)、共享和交換,在保證安全的情況下發(fā)揮最大的價(jià)值。因此,加強(qiáng)大數(shù)據(jù)安全管理,既要明確大數(shù)據(jù)安全合規(guī)的邊界,保證數(shù)據(jù)的合法利用;也要盡可能地促進(jìn)大數(shù)據(jù)的發(fā)展,讓大數(shù)據(jù)這座金礦發(fā)揮更大價(jià)值。
3 數(shù)據(jù)安全管理的路徑與對(duì)策
大數(shù)據(jù)安全管理可以從管理、技術(shù)措施兩個(gè)方面進(jìn)行實(shí)踐,構(gòu)建科學(xué)合理、覆蓋全局的大數(shù)據(jù)安全管理體系,促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)的可持續(xù)性發(fā)展。
3.1 管理措施與建議
主要涵蓋組織的大數(shù)據(jù)安全管理架構(gòu)及崗位設(shè)置,管理制度及規(guī)程、人員管理等方面。
3.1.1 建立適應(yīng)需求的安全管理組織
大數(shù)據(jù)安全管理的首要環(huán)節(jié)是大數(shù)據(jù)安全組織管理。在機(jī)構(gòu)及崗位設(shè)置上,建立起自上而下的大數(shù)據(jù)安全管理組織架構(gòu)。不同類別角色賦予不同權(quán)限,可包含3個(gè)層次:明確大數(shù)據(jù)安全職能范圍,制定大數(shù)據(jù)安全管理策略;制定大數(shù)據(jù)安全管理流程及制度,負(fù)責(zé)監(jiān)督落地實(shí)踐和日常數(shù)據(jù)安全運(yùn)營(yíng);實(shí)際操作和落地實(shí)施。此外,相關(guān)業(yè)務(wù)部門要做好與大數(shù)據(jù)安全管理部門的溝通與協(xié)作,保證大數(shù)據(jù)安全管理策略、制度有效施行,確保組織體系的正常運(yùn)行。
3.1.2 制定數(shù)據(jù)安全管理流程及制度
大數(shù)據(jù)安全管理流程及制度是大數(shù)據(jù)安全管理的制度保障。大數(shù)據(jù)的安全管理要有規(guī)范的流程,參照法律法規(guī)、國(guó)家/行業(yè)標(biāo)準(zhǔn)等合規(guī)要求,在大數(shù)據(jù)安全能力成熟度模型的基礎(chǔ)上,科學(xué)評(píng)估數(shù)據(jù)使用過程中可能會(huì)遭遇的風(fēng)險(xiǎn),結(jié)合目前及未來(lái)需要的大數(shù)據(jù)安全能力等級(jí),制定數(shù)據(jù)管理制度和流程。同時(shí),與時(shí)俱進(jìn),及時(shí)動(dòng)態(tài)調(diào)整,更有效地應(yīng)對(duì)不斷變化的新風(fēng)險(xiǎn)和新隱患的威脅。
3.1.3 對(duì)相關(guān)人員的有效管控
在大數(shù)據(jù)安全管理過程中,還要對(duì)接觸到相關(guān)數(shù)據(jù)的人員進(jìn)行管控。人員管理包括數(shù)據(jù)部門內(nèi)部人員管控和第三方管理。
(1)內(nèi)部人員管控。內(nèi)部人員安全管控是維護(hù)和保障數(shù)據(jù)安全的關(guān)鍵因素。通過采取入職前個(gè)人背景調(diào)查,入職后簽訂保密協(xié)議、崗位安全技能培訓(xùn)、更新和調(diào)整賬號(hào)與權(quán)限,離職后停用賬號(hào)與關(guān)閉權(quán)限等措施,提高人員的數(shù)據(jù)保護(hù)意識(shí),強(qiáng)化敏感信息的保護(hù)職責(zé)。建立面向全體員工的數(shù)據(jù)安全教育培訓(xùn)機(jī)制。
(2)第三方管理。主要是針對(duì)外部人員的管理,包括對(duì)第三方技術(shù)開發(fā)人員、系統(tǒng)運(yùn)維員和訪問數(shù)據(jù)人員。根據(jù)第三方運(yùn)維單位在維護(hù)過程的分工和安全職責(zé)界定,提出安全操作指南,風(fēng)險(xiǎn)識(shí)別,以及在合作前、合作中、合作終止或變更后3個(gè)階段分別進(jìn)行背景調(diào)查和責(zé)任說(shuō)明、定期安全檢查服務(wù)及保密措施管理等。
3.2 技術(shù)措施
建議技術(shù)手段是大數(shù)據(jù)安全管理的保障條件,為大數(shù)據(jù)安全管理總體目標(biāo)提供技術(shù)支持,按照安全狀況摸底、數(shù)據(jù)流動(dòng)管控、數(shù)據(jù)治理稽核3個(gè)步驟開展實(shí)施,為大數(shù)據(jù)處理各流程提供安全保障,確保管理制度要求在實(shí)際工作中能夠得到切實(shí)執(zhí)行。
3.2.1 資產(chǎn)梳理和數(shù)據(jù)分級(jí)分類
運(yùn)用大數(shù)據(jù)資產(chǎn)梳理工具,進(jìn)行資產(chǎn)底賬梳理,找出大數(shù)據(jù)平臺(tái)自身的安全問題。從隱私安全與保護(hù)成本的角度出發(fā),根據(jù)梳理結(jié)果對(duì)大數(shù)據(jù)資產(chǎn)進(jìn)行分類和等級(jí)劃分,在此過程中確定哪些是需要保護(hù)的敏感數(shù)據(jù),敏感數(shù)據(jù)應(yīng)如何被使用,確定數(shù)據(jù)保護(hù)責(zé)任人,根據(jù)不同需要對(duì)大數(shù)據(jù)資產(chǎn)進(jìn)行管理。
3.2.2 針對(duì)生命周期采取相應(yīng)技術(shù)措施
在數(shù)據(jù)產(chǎn)生、采集環(huán)節(jié),主要采用元數(shù)據(jù)安全管理、數(shù)據(jù)類型和安全等級(jí)達(dá)標(biāo),在后臺(tái)運(yùn)維管理系統(tǒng)嵌入相應(yīng)功能,保證各類大數(shù)據(jù)安全制度能夠有效實(shí)施。
在數(shù)據(jù)存儲(chǔ)環(huán)節(jié),主要采用數(shù)據(jù)加密技術(shù),防范數(shù)據(jù)泄密風(fēng)險(xiǎn);對(duì)內(nèi),運(yùn)用數(shù)據(jù)運(yùn)維管控工具進(jìn)行訪問控制和審批管理;對(duì)外,使用數(shù)據(jù)庫(kù)防火墻技術(shù)阻止黑客攻擊。
在數(shù)據(jù)傳輸環(huán)節(jié),利用數(shù)據(jù)水印技術(shù)、密碼技術(shù)實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)外發(fā)溯源,通過建立不同安全域間的加密傳輸鏈路,或直接對(duì)數(shù)據(jù)進(jìn)行加密,保障數(shù)據(jù)傳輸安全。
在數(shù)據(jù)存儲(chǔ)環(huán)節(jié),一般采取數(shù)據(jù)和硬盤加密等方式保障數(shù)據(jù)存儲(chǔ)安全。
在數(shù)據(jù)處理環(huán)節(jié),采用數(shù)據(jù)靜態(tài)和動(dòng)態(tài)脫敏技術(shù)對(duì)數(shù)據(jù)進(jìn)行去隱私化脫敏處理,保障在開發(fā)、測(cè)試、分析等場(chǎng)景下的數(shù)據(jù)安全。
在數(shù)據(jù)使用環(huán)節(jié),采用賬號(hào)權(quán)限管理、數(shù)據(jù)安全域、日志管理和審計(jì)、異常行為實(shí)時(shí)監(jiān)控與終端數(shù)據(jù)防泄露等方式保障數(shù)據(jù)使用安全。
在數(shù)據(jù)共享環(huán)節(jié),通過與數(shù)據(jù)安全域技術(shù)結(jié)合,建設(shè)統(tǒng)一數(shù)據(jù)分發(fā)平臺(tái),對(duì)數(shù)據(jù)共享行為進(jìn)行有效管理。
在數(shù)據(jù)銷毀環(huán)節(jié),通過數(shù)據(jù)銷毀軟件多次填充垃圾信息等原理或硬盤消磁機(jī)、硬盤粉碎機(jī)、硬盤折彎?rùn)C(jī)等硬件設(shè)備的物理方式徹底毀壞硬盤,實(shí)現(xiàn)磁盤中存儲(chǔ)數(shù)據(jù)的永久刪除。
3.2.3 數(shù)據(jù)稽核
利用數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和數(shù)據(jù)態(tài)勢(shì)感知進(jìn)行大數(shù)據(jù)安全稽核與風(fēng)險(xiǎn)預(yù)警,使大數(shù)據(jù)安全治理的策略、規(guī)范、制度能夠有效實(shí)施,實(shí)現(xiàn)全流程的大數(shù)據(jù)安全管理閉環(huán)。
4 結(jié)語(yǔ)
大數(shù)據(jù)時(shí)代已然到來(lái),隨之而來(lái)的也有一些不可避免的機(jī)遇和挑戰(zhàn)。在進(jìn)攻和防守永不停歇的大數(shù)據(jù)安全領(lǐng)域,只有不斷地進(jìn)行管理和技術(shù)創(chuàng)新,加強(qiáng)大數(shù)據(jù)安全管理,實(shí)現(xiàn)大數(shù)據(jù)安全共享,才能有效促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。
參考文獻(xiàn)
[1] 徐陽(yáng)東,周勝利,史進(jìn),等.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全管理體系建設(shè)[J].信息與電腦,2018(12):224-226.
[2] 李靜.大數(shù)據(jù)安全管理規(guī)范及關(guān)鍵技術(shù)[J].信息與電腦, 2016(16):114-115.
[3] 范艷.大數(shù)據(jù)安全與隱私保護(hù)[J].電子技術(shù)與軟件工程,2016(1):227.
相關(guān)刊物推薦:《中國(guó)信息化》(月刊)創(chuàng)辦于2004年,由新聞出版總署正式批準(zhǔn)、中華人民共和國(guó)工業(yè)和信息化部主管主辦的一本國(guó)家批準(zhǔn)創(chuàng)刊的唯一一份以關(guān)注工業(yè)化與信息化融合,推進(jìn)信息化進(jìn)程為使命的國(guó)家級(jí)信息化媒體國(guó)公開刊物。
