大數據安全第4期:了解大數據安全標准體系應當先從這裏開始 發布時間:2019-01-23 00:00:00 來源:


大數據安全風險伴隨大數據應用而生。隨著互聯網、大數據應用的爆發,數據丟失和個人信息泄漏事件頻發,地下數據交易黑灰産造成數據濫用和網絡詐騙,並引發惡性社會事件,甚至危害國家安全。

 

2015年5月,美國國稅局宣布其系統遭受攻擊,約71萬人的納稅記錄被泄露,同時約39萬個納稅人賬戶被冒名訪問;

2016年8月,犯罪團夥利用非法獲取得到的數萬條高考考生信息實施詐騙,山東女孩徐玉玉因學費被騙出現心髒驟停,最終搶救無效死亡;

2016年12月,雅虎公司宣布其超過10億的用戶賬號已被黑客竊取,相關信息包括姓名、郵箱口令、生日、郵箱密保問題及答案等內容;

2016年至今,全球範圍內數以萬計的MongoDB系統遭到攻擊,大量系統被黑客索取贖金。

2017年11 月 ,趣店數據疑似外泄,十萬可買百萬學生信息。此次泄露的數據維度極爲細致,除學生借款金額、滯納金等金融數據外,甚至還包括學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息。

大數據技術和平台應用層面的挑戰

1從技術架構角度看

海量、多源、異構、動態性等大數據特征導致其與傳統封閉環境下的數據應用安全環境有所區別。

如基于Hadoop生態架構的HBase/Hive、Cassandra/Spark、MongoDB等大數據開源平台在設計之初,大部分考慮是在可信的內部網絡使用,對大數據應用用戶的身份鑒別、授權訪問、密鑰服務以及安全審計等方面考慮較少。

由于大數據數據類型複雜、應用範圍廣泛,它通常要爲來自不同組織或部門、不同身份與目的的用戶提供服務。

2從大數據應用角度看

大數據擁有巨大的數據,使得其更容易成爲網絡攻擊的顯著目標。

由于大數據系統中普遍存在大量的個人信息,在發生數據濫用、內部偷竊、網絡攻擊等安全事件時,個人信息泄漏産生的後果將遠比一般信息系統嚴重。

由于采集終端性能限制、技術不足、信息量有限、來源種類繁雜等原因,對所有數據進行真實性驗證存在很大的困難。

 

大數據安全標准是應對大數據安全需求的重要抓手。基于對上面大數據安全風險和挑戰的綜合分析,以及對當前大數據技術和應用發展現狀,以及當前我國對大數據安全合規方面的要求,提出五個方面的大數據安全標准化需求。

 

1、規範大數據安全相關術語和框架

2、爲大數據平台安全建設、安全運維提供標准支撐

3、爲數據生命周期管理各個環節提供安全管理標准

4、爲大數據服務安全管理提供安全標准支撐

5、爲行業大數據應用的安全和健康發展提供標准支撐

 

以上說了那麽多

重點來了

我們的大數據安全標准體系

組成到底是怎麽樣的呢?

由五個類別的標准組成

如下圖所示

(一)基礎類標准

整個大數據安全標准體系提供包括概述、術語、參考架構等基礎標准,明確大數據生態中各類安全角色及相關的安全活動或功能定義,爲其它類別標准的制定奠定基礎。

(二)平台和技術類標准

該類標准主要針對大數據服務所依托的大數據基礎平台、業務應用平台及其安全防護技術、平台安全運行維護及平台管理方面的規範,包括系統平台安全、平台安全運維和安全相關技術三個部分。系統平台安全主要涉及基礎設施、網絡系統、數據采集、數據存儲、數據處理等多層次的安全技術防護。平台安全運維主要涉及大數據系統運行維護過程中的風險管理、系統測評等技術和管理類標准。安全相關技術主要涉及分布式安全計算、安全存儲、數據溯源、密鑰服務、細粒度審計等安全防護技術。

(三)數據安全類標准

該類標准主要包括個人信息、重要數據、數據跨境安全等安全管理與技術標准,覆蓋數據生命周期的數據安全,包括分類分級、去標識化、數據跨境、風險評估等內容。

(四)服務安全類標准

該類標准主要是針對開展大數據服務過程中的活動、角色與職責、系統和應用服務等要素提出相應的服務安全類標准,包括安全要求、實施指南及評估方法;針對數據交易、開放共享等應用場景,提出交易服務安全類標准,包括大數據交易服務安全要求、實施指南及評估方法。

(五)行業應用類標准

該類標准主要是針對重要行業和領域大數據應用,對涉及國家安全、國計民生、公共利益的關鍵信息基礎設施的安全防護,形成面向重要行業和領域的大數據安全指南,指導相關的大數據安全規劃、建設和運營工作。

 

了解了這個標准分類

就能明白了整個大數據標准的整體體系結構

當遇到一個具體標准的時候

我們就可以清楚的了解該標准的歸屬

以保障我們能把標准用到合理的實際場景中