大数据下的密码技术挑战

大数据及其安全风险

大数据(big data)，主要是指大量的、非结构化的数据。由于近几年传感技术、社会网络和移动设备的快速发展和大规模普及，导致数据量以指数形式快速增加，并且数据的类型和相互关系也变得更加复杂多样。

采用了大数据技术的信息系统，称为大数据系统。大数据系统通常由大数据平台、大数据应用以及处理的数据集合构成，下图给出了大数据系统的模型。

大数据系统构成

大数据系统的特征是数据体量大、种类多、聚合快、价值高，受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成影响，大数据安全涉及大数据平台的安全和大数据应用的安全。

如果你对大数据开发感兴趣，想系统学习大数据的话，可以加入大数据技术学习交流扣扣群458345782，私信管理员即可免费领取开发工具以及入门学习资料

近年来，数据泄漏的问题变得十分严重， 动辄上亿条个人隐私数据被黑客贩卖，大数据安全面临严峻的挑战。首先，鉴于数据集中、体量庞大、数据价值稀疏，安防工具难以聚焦于有价值数据之上。其次，分布式处理增加了大数据泄漏的风险。同时，大数据技术同样能够帮助黑客最大限度地收集相关信息，实施更具准确性的攻击。针对上述问题，已有的数据安全技术很难在大数据系统中发挥完全有效的保护作用。

当前大数据安全面临的主要十大技术挑战包括：

l  分布式编程框架中的安全计算；

l  大数据计算框架的数据流安全；

l  非关系数据库的海量数据存储安全；

l  审计日志的安全；

l  端点输入验证／过滤；

l  基于大数据的实时安全监控；

l  可扩展和可组合的隐私保护数据挖掘和分析；

l  大数据的加密存储；

l  细粒度访问控制；

l  细粒度审计；

l  数据流溯源。

等保2.0中的大数据安全要求

网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。2019年5月10日，国家市场监督管理总局、中国国家标准化管理委员会正式发布GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》，标志着等级保护步入新的阶段——等级保护标准2.0时代。等保2.0的正式落地，既是形势所迫、国情所需，也是顺应《网络安全法》、《网络安全等级保护条例》等法律法规要求。

等保2.0对共性安全保护需求提出安全通用要求，针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。

等保2.0中在附录H中描述了大数据应用场景以及安全扩展要求。

大数据应用是基于大数据平台对数据的处理过程，通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节，上述各个环节均需要对数据进行保护，通常需考虑的安全控制措施包括数据采集授权、数据真实可信、数据分类标识存储、数据交换完整性、敏感数据保密性、数据备份和恢复、数据输出脱敏处理、敏感数据输出控制以及数据的分级分类销毁机制等安全要求。大数据平台是为大数据应用提供资源和服务的支撑集成环境，包括基础设施层、数据平台层和计算分析层。大数据系统除按照GB/T 22239-2019的要求进行保护外，还要考虑其特点，参照GB/T 22239-2019的附录H补充和完善安全控制措施。

大数据等级保护安全技术体系设计，从大数据应用安全、大数据支撑环境安全、访问安全、数据传输安全及管理安全等角度出发，围绕“一个中心、三重防护”的原则，构建大数据安全防护技术设计框架，其中一个中心指安全管理中心，三重防护包括安全计算环境、安全区域边界和安全通信网络，具体如图所示。

大数据系统等级保护安全技术设计框架

实现大数据系统安全，较以往其它安全问题更为棘手。在大数据安全保护的领域，密码属于重要的核心技术手段。大数据在应用于不同行业领域的过程中，应用场景的不同，也直接导致密码应用的需求及技术手段的差异。将密码技术与其他安全技术有机结合起来，才能够真正保障大数据系统的安全。

合规高效的大数据密码服务平台

综上所述，合规高效的大数据密码服务平台，应结合国产密码算法，实现大数据安全加密与利用，保证数据在创建、存储、使用、共享、归档、销毁的安全性。

1)      在数据传输阶段，应提供符合GM/T 0022-2014或GM/T 0024-2014要求的密码产品，利用密码服务中间件保证数据传输中的安全。

2)      对于采集中的数据，在数据创建时大数据系统通过调用密码服务平台提供的接口实现业务应用数据层面的加密。

3)      在静态数据保护方面，应提供结构化数据加密、非结构化数据加密、大数据加密、数据脱敏、数据溯源等解决方案。

4)      在数据使用安全保护方面，应提供数据可信验证服务，确保数据的真实性、完整性和抗抵赖，不被非法篡改。

5)      在大数据全生命周期过程中，应能提供零信任的数据使用者/操作者的身份认证服务。

6)      在可视化方面，应能提供一系列的密码服务情况监控、行为监控、报表统计等功能，满足所见即所为的监督审计要求。

合规高效的密码服务平台的总体架构如下图

大数据密码服务平台总体架构