杨峰
摘要: 大数据时代下,信息安全成为企业大数据建设与应用的突出问题。该文在分析大数据时代企业面临的信息安全漏洞与风险的基础上,提出了企业信息安全保障策略,主要包括关键基础实施安全保障策略、供应链安全保障策略、系统安全保障策略、终端安全保障策略、平台安全保障策略、网络安全保障策略等。该研究对大数据时代背景下的企业信息安全管理保障具有一定的指导意义。
关键词: 大数据;信息安全;保障策略
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)02-0050-03
随着云计算、大数据等新兴技术的不断发展,企业信息化、智能化程度、网络化、数字化程度越来越高,人类社会进入到以大数据为主要特征的知识文明时代。大数据是企业的重要财富,正在成为企业一种重要的生产资料,成为企业创新、竞争、业务提升的前沿。大数据正在成为企业未来业务发展的重要战略方向,大数据将引领企业实现业务跨越式发展;同时,由此带来的信息安全风险挑战前所未有,远远超出了传统意义上信息安全保障的内涵,对于众多大数据背景下涉及的信息安全问题,很难通过一套完整的安全产品和服务从根本上解决安全隐患。自2008年国际综合性期刊《Nature》发表有关大数据(Big Data)的专刊以来,面向各应用领域的大数据分析更成为各行业及信息技术方向关注的焦点。大数据的固有特征使得传统安全机制和方法显示出不足。本文系统分析了大数据时代背景下的企业信息系统存在的主要信息安全脆弱性、信息安全威胁以及信息安全风险问题,并有针对性地提出相应的信息安全保障策略,为大数据背景下的企业信息安全保障提供一定指导的作用。
1 大数据基本内涵
大数据(Big Data),什么是大数据,目前还没有形成统一的共识。网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征(Volume,Varity,Value,Velocity),即数据量大、数据类型多、数据价值密度低、数据处理速度快。
2011年麦肯锡咨询公司发布了《大数据:下一个创新、竞争和生产力的变革领域》[1]的研究报告,引起了信息产业界的广泛关注。美国谷歌公司(Google)、国际商业机器公司(IBM)、美国易安信公司(EMC)、脸书(Facebook)等公司相继开始了大数据应用、分析、存储、管理等相关技术的研究,并推出各自的大数据解决框架、方案以及产品。例如,阿帕奇软件基金会(Apache)组织推出的Hadoop大数据分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技术框架等,这些研究成果为随后的大数据应用迅猛发展提供了便利的条件。2012年3月,美国奥巴马总统发布了2亿美元的“Big Data Initiative”(大数据研究和发展计划),该计划涉及能源、国防、医疗、基础科学等领域的155个项目种类,该计划极大地推动了大数据技术的创新与应用,标志着奥巴马政府将大数据战略从起初的政策层提升到国家战略层。
同时,我国对大数据的认识、应用及相关技术服务等也在不断提高,企业界一致认同大数据在降低企业经营运营成本、提升管理层决策效率、提高企业经济效益等方面具有广阔的应用前景,相继发布大数据相关战略文件,同时国家组织在民生、国防等重要领域投入大量的人力物力进行相关技术研究与创新实践。中国移动通信公司在已有的云计算平台基础上,开展了大量大数据应用研究,力图将数据信息转化为商业价值,促进业务创新。例如,通过挖掘用户的移动互联网行为特征,助力市场决策;利用信令数据支撑终端、网络、业务平台关联分析,优化网络质量。商业银行也相继开展了经融大数据研究,提升银行的竞争力。例如,通过对用户数据分析开展信用评估,降低企业风险;从细粒度的级别进行客户数据分析,为不同客户提供个性化的产品与服务,提升银行的服务效率。总而言之,大数据正在带来一场颠覆性的革命,将会推动整个社会取得全面进步。
2 大数据安全研究现状
在大数据计算和分析过程中,安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。目前对大数据完整性的研究主要包括两方面,一是对数据完整性的检测;二是对完整性被破坏的数据的恢复。在完整性检测方面,数据量的增大使传统的MD5、SHA1等效率较低的散列校验方法不再适用,验证者也无法将全部数据下载到本地主机后再进行验证。
面向大数据的高效隐私保护方法方面,高效、轻量级的数据加密已有多年研究,虽然可用于大数据加密,但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入,也不能适应大数据的海量性、异构性和时效性。在隐私保护下大数据的安全计算方面,很多应用领域中的安全多方计算问题都在半诚实模型中得到了充分的研究,采用的方法包括电路赋值(Circuit Evaluation)、遗忘传输(Oblivious Transfer)、同态加密等。通过构造零知识证明,可以将半诚实模型中的解决方法转换到恶意模型中。而在多方参与、涉及大量数据处理的计算问题,目前研究的主要缺陷是恶意模型中方法的复杂度过高,不适应多方参与、多协议执行的复杂网络环境。
企业大数据技术是指大数据相关技术在企业的充分应用,即对企业业务、生产、监控、监测等信息系统在运行过程中涉及的海量数据进行抽取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等,实现大数据对企业效率的提升、效益的增值以及风险的预测等。企业的大数据类型通常主要包括业务经营数据即客户信息数据、企业的生产运营与管理数据以及企业的设备运行数据等,即客户信息数据、员工信息数据、财务数据、物资数据、系统日志、设备监测数据、调度数据、检修数据、状态数据等。企业大数据具有3V、3E特征[2],3V即数据体量大(Volume)、数据类型多(Varity)与数据速度快(Velocity),3E即数据即能量(Energy)、数据即交互(Exchange)与数据即共情(Empathy)。
3 大数据时代企业信息安全漏洞与风险并存
大数据时代,大数据在推动企业向着更为高效、优质、精准的服务前行的同时,其重要性与特殊性也给企业带来新的信息安全风险与挑战。如何针对大数据的重要性与特殊性构建全方位多层次的信息安全保障体系,是企业发展中面临的重要课题。大数据背景下,结合大数据时代的企业工作模式,企业可能存在的信息安全风险主要表现在以下三个方面:
(1)企业业务大数据信息安全风险:由于缺乏针对大数据相关的政策法规、标准与管理规章制度,导致企业对客户信息大数据的“开放度”难以掌握,大数据开放和隐私之间难以平衡;企业缺乏清晰的数据需求导致数据资产流失的风险;企业数据孤岛,数据质量差可用性低,导致数据无法充分利用以及数据价值不能充分挖掘的风险;大数据安全能力和防范意识差,大数据人才缺乏导致大数据分析、处理等工作难以开展的风险;管理技术和架构相对滞后,导致数据泄露的风险。
(2)企业基础设施信息安全风险:2010年,震网病毒[3]通过网络与预制的系统漏洞对伊朗核电站发起攻击,导致伊朗浓缩铀工程的部分离心机出现故障,极大的延缓了伊朗核进程。从此开启了世界各国对工业控制系统安全的重视与管控。对于生产企业,工业生产设备是企业的命脉,其控制系统的安全性必须得到企业的高度重视。随着物理设备管理控制系统与大数据采集系统在企业的不断应用,监控与数据采集系统必将成为是物理攻击的重点方向,越来越多的安全问题随之出现。设备“接入点”范围的不断扩大,传统的边界防护概念被改变; 2013年初,美国工业控制系统网络紧急响应小组(ICS-CERT)发布预警,发现美国两家电厂的发电控制设备在2012年10月至12月期间感染了USB设备中的恶意软件。该软件能够远程控制开关闸门、旋转仪表表盘、大坝控制等重要操作,对电力设备及企业安全造成了极大的威胁。
(3)企业平台信息安全风险: 应用层安全风险主要是指网络给用户提供服务所采用的应用软件存在的漏洞所带来的安全风险,包括: Web服务、邮件系统、数据库软件、域名系统、路由与交换系统、防火墙及网管系统、业务应用软件以及其他网络服务系统等;操作系统层的安全风险主要是指网络运行的操作系统存在的漏洞带来的安全风险,例如Windows NT、UNIX、Linux系列以及专用操作系统本身安全漏洞,主要包括访问控制、身份认证、系统漏洞以及操作系统的安全配置等;网络层安全风险主要指网络层身份认证,网络资源的访问控制,数据传输的保密性与完整性、路由系统的安全、远程接入、域名系统、入侵检测的手段等网络信息漏洞带来的安全性。
4 企业大数据信息安全保障策略
针对大数据时代下企业可能存在的信息安全漏洞与风险,本文从企业的网络边界信息安全保障、应用终端信息安全保障、应用平台信息安全保障、网络安全信息安全保障、数据安全信息安全保障等多方面提出如下信息安全保障策略,形成具有层次特性的企业信息安全保障体系,提升大数据时代下的企业信息安全保障能力。
4.1企业系统终端——信息安全保障策略
对企业计算机终端进行分类,依照国家信息安全等级保护的要求实行分级管理,根据确定的等级要求采取相应的安全保障策略。企业拥有多种类型终端设备,对于不同终端,根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全,移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入。配子站终端需配置安全模块,对主站系统的参数设置指令和控制命令采取数据完整性验证和安全鉴别措施,以防范恶意操作电气设备,冒充主站对子站终端进行攻击。
4.2企业网络边界——信息安全保障策略
企业网络具有分区分层的特点,使边界不受外部的攻击,防止恶意的内部人员跨越边界对外实施攻击,在不同区的网络边界加强安全防护策略,或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部,审核不同业务安全等级与网络密级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、实时性需求以及用途等评价指标,采用防火墙隔离技术、协议隔离技术、物理隔离技术等[4]对关键核心业务网络进行安全隔离,实现内部网与外部网访问资源限制。
4.3企业网络安全——信息安全保障策略
网络是企业正常运转的重要保障,是连接物理设备、应用平台与数据的基础环境。生产企业主要采用公共网络和专用网络相结合的网络结构,专用网络支撑企业的生产管理、设备管理、调度管理、资源管理等核心业务,不同业务使用的专用网络享有不同安全等级与密级,需要采取不同的保障策略。网络弹性是指基础网络在遇到突发事件时继续运行与快速恢复的能力。采用先进的网络防护技术,建立基础网一体化感知、响应、检测、恢复与溯源机制,采取网络虚拟化、硬件冗余、叠加等方法提高企业网络弹性与安全性;对网络基础服务、网络业务、信息流、网络设备等基础网络环境采用监控审计、安全加固、访问控制、身份鉴别、备份恢复、入侵检测、资源控制等措施增强网络环境安全防护;在企业网络中,重要信息数据需要安全通信。针对信息数字资源的安全交换需求,构建企业的业务虚拟专用网。在已有基础网络中采用访问控制、用户认证、信息加密等相关技术,防止企业敏感数据被窃取,采取建立数据加密虚拟网络隧道进行信息传输安全通信机制。
4.4企业应用系统平台——信息安全保障策略
应用系统平台安全直接关系到企业各业务应用的稳定运行,对应用平台进行信息安全保障,可以有效避免企业业务被阻断、扰乱、欺骗等破坏行为,本文建议给每个应用平台建立相应的日志系统,可以对用户的操作记录、访问记录等信息进行归档存储,为安全事件分析提供取证与溯源数据,防范内部人员进行异常操作。企业应用平台的用户类型多样,不同的应用主体享有不同的功能与应用权限,考虑到系统的灵活性与安全性,采用基于属性权限访问控制[5]、基于动态代理和控制中心访问权限控制[6]、基于域访问权限控制[7]、基于角色访问控制等访问控制技术;确保企业应用平台系统安全可靠,在应用平台上线前,应邀请第三方权威机构对其进行信息安全测评,即对应用平台系统进行全面、系统的安全漏洞分析与风险评估[8],并制定相应的信息安全保障策略。
4.5企业大数据安全——信息保障策略
大数据时代下,大数据是企业的核心资源。企业客户数据可能不仅包含个人的隐私信息,而且还包括个人、家庭的消费行为信息,如果针对客户大数据不妥善处理,会对用户造成极大的危害,进而失信于客户。目前感知大数据(数据追踪溯源)、应用大数据(大数据的隐私保护[9]与开放)、管控大数据(数据访问安全、数据存储安全)等问题,仍然制约与困扰着大数据的发展。大数据主要采用分布式文件系统技术在云端存储,在对云存储环境进行安全防护的前提下,对关键核心数据进行冗余备份,强化数据存储安全,提高企业大数据安全存储能力。为了保护企业数据的隐私安全、提高企业大数据的安全性的同时提升企业的可信度,可采用数据分享、分析、发布时进行匿名保护已经隐私数据存储加密保护措施来加强企业数据的隐私安全,对大数据用户进行分类与角色划分,严格控制、明确各角色数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效抵制外部恶意行为,有效管理云存储环境下的企业大数据安全。
5 结束语
随着信息技术的快速革新,数据正以惊人的速度积累,大数据时代已经来临了;智能终端和数据传感器成为大数据时代的数据主要来源。大数据在推动企业不断向前发展给企业提供了更多机遇的同时,也给企业的应用创新与转型发展带来了新的信息安全威胁、信息安全漏洞以及信息安全风险。传统的信息安全保障策略已经无法满足大数据时代的信息安全保障需求。怎样做好企业大数据信息安全保障、加强信息安全防护、建设相关法律法规将是大数据时代长期研究的问题。
参考文献:
[1] James Manyika,Michael Chui,Brad Brown,etc. Big data:The next frontier for innovation, competition, and productivity[R]. USA:McKinsey Global Institute, 2011.
[2] 中国电机工程学会电力信息化委员会,中国电力大数据发展白皮书[R]. 中国电力出版社,2013.
[3] 蒋明,方圆,丁家田. 大数据时代下电网企业安全防护策略研究[J]. 信息安全与技术,2015(10).
[4] 高新华,王文,马晓. 电力信息网络安全隔离设备的研究[J]. 技术,2003,27(9):69-72.
[5] 王保义,王蓝婧.电力信息系统中基于属性的访问控制模型的设计[J].电力系统自动化,2007,31(7):81-84.
[6] 宋燕敏,杨争林,曹荣章.电力市场运营系统中的安全访问控制[J].电力系统自动化,2006,30(7):80-84.
[7] Celia Li,Cungang Yang,Todd Mander,Richard Cheung.Advanced Security Model for Power System Computer Networks[C].Power Engineering Society General Meeting,2005, 1115-1122.
[8] 冯登国,张阳,张玉清. 信息安全风险评估综述[J].通信学报,2004, 25(7):10-18.
[9] 李国敏. 信息安全面临六大挑战大数据时代[J]. 吉林医学信息,2014(10).
[10]宋燕敏,杨争林,曹荣章.电力市场运营系统中的安全访问控制[J].电力系统自动化,2006,30(7):80-84.