26.1 威脅與需求分析
1)概念發展
2)威脅分析
'資料集' 安全邊界日漸模糊,安全保護難度提升
敏感資料洩漏安全風險增大
資料失真與大資料汙染安全風險
大資料處理平臺業務連續性與拒絕服務
個人資料廣泛分佈於多個資料平臺,隱私保護難度加大
資料交易安全風險
大資料濫用
3)法規政策
4)需求分析
自身安全
合規
跨境安全
隱私保護
業務安全
安全運營
26.2 機制與技術方案
1)保護機制
常見的基本安全機制主要有資料分類分級、資料來源認證、資料溯源、資料使用者標識和鑑別、資料資源訪問控制、資料隱私保護、資料備份與恢復、資料安全審計與監測、資料安全管理等
2)自身安全保護技術
大資料自身安全是指有關資料本身的安全問題,如資料的真實性、資料的完整性、資料的機密性、資料的準確性等。目前,數字簽名可以驗證資料來源的真實性,Hash 演算法用於確保資料的完整性,加密演算法則用來保護資料的機密性。
3)平臺安全保護技術
大資料平臺涉及物理環境、網路通訊、作業系統、資料庫、應用系統、資料儲存等安全保護。通常採用安全分割槽、防火牆、系統安全加固、資料防洩露等安全技術用於保護大資料平臺。其中,防火牆又可細分為網路防火牆、資料庫防火牆、應用防火牆,這些防火牆分別用於大資料平臺的安全區域之間隔離及訪問控制。
4)業務安全保護技術
大資料業務安全主要包括業務授權、業務邏輯安全、業務合規性等安全內容。其中,業務授權主要基於角色的訪問控制技術,按照業務功能的執行所需要的許可權進行分配。業務邏輯安全針對業務流程進行安全控制,避免安全缺陷導致業務失控。業務合規性是指業務滿足政策法規及安全標準規範要求。敏感資料安全檢查、系統安全配置基準資料監控等技術常用於解決業務合規性安全需求。
5)隱私安全保護技術
隱私是指與個體相關的非公開的資訊。隱私保護成為大資料時代新的安全需求。針對個人資訊保安保護,國家頒佈了《資訊保安技術個人資訊保安規範》(於2020年10月1日實施)等法規政策及標準規範。圍繞隱私保護,主要的技術有資料身份名、資料差分隱私、資料脫敏、資料加密、資料訪問控制等。
6)運營安全保護技術
大資料運營安全是指大資料平臺及資料的執行維護及資料資源經營過程的安全。大資料平臺及資料的執行維護包括大資料處理系統的安全維護、安全策略更新及安全裝置配置、資料資源容災備份、安全事件監測與應急響應等。網路入侵檢測、網路安全態勢感知、網路攻擊取證、網路威脅情報分析、安全堡壘機等技術常用於大資料平臺運維安全保護。
資料資源經營過程安全涉及資料使用、資料交易、資料跨境流動等安全問題。資料脫敏、資料監控、資料安全閘道器等常用於資料經營安全保護。
7)標準規範
目前,已制定的國家標準主要有《資訊保安技術個人資訊保安規範》《資訊保安技術 大資料服務安全能力要求》《資訊保安技術 大資料安全管理指南》《資訊保安技術 資料交易服務安全要求》《資訊保安技術 個人資訊去標識化指南》等。
26.3 案例分析
1)阿里巴巴安全實踐
2)京東安全實踐
3)上海資料交易中心安全實踐
4)華為安全實踐
5)科學資料安全管理
6)支付卡行業資料安全規範