大数据安全的现状分析和对策

【摘要】伴随着信息革命浪潮的日渐高涨，数据信息爆发性增长，衍生出所谓的“大数据”。对它的研究推动了信息存储、信息挖掘、网络应用以及计算技术的快步发展，同时大数据也是一把双刃剑――它带来了前所未有的新的安全问题。学术界、企业界、信息安全界已经开始着手研究大数据安全的发展，全球诸多国家已经将其列为国家信息安全战略。本文从大数据的概念入手，浅析大数据独特之处，分析当前大数据安全的研究状况和存在的问题，并提出相关建议，找到相应的对策。

【关键词】大数据安全;信息安全;展望

1.引言

我们已经进入大数据时代，数据量变得越来越大，数据环境也变得越来越复杂。随着社交网络、电子商务、移动网络以及近年兴起的物联网大大拓展互联网的边界和应用领域。我们的生活由于互联网发展而变得愈发多姿多彩，在享受便利的同时，也无意贡献了自己的信息和行踪。大数据应用实际上是虚拟技术、云计算和数据中心三者使用率增加后的必然结果。从另一个方面来说，虽然大数据是一个可有效使用数据的方式，但同样也存在着严重的数据安全和合规性问题。大数据时代，数据量是非线性增长的，而绝大多数企业都没有专门的工具或流程来应对这种非线性增长。数据量的不断增长，也让传统安全工具已经不再像以前那么有效。在过去，一讲到数据安全，通常采购一个防火墙就能基本实现。但在今天，这已经远远不够。相关威胁报告显示：2013年第三季度，数据库泄露威胁创下历史新高。到目前为止，2012年数据泄露总数已超过2011年全年;今年，相关开发人员发现并修补的新型数据库相关漏洞已接近100个。随着大数据的深入应用，数据安全准则也将随之发生改变，针对大数据必须要制定新的安全对策。

2.大数据安全分析

现如今，围绕着大数据分析所涉及到的相关隐私问题存在着许多的担忧，例如：企业和各国的政府机构是否有权获得如此广泛的个人和群体信息？同时，对于他们收集和处理这些数据信息是否有相关的法律或政策对其进行指导和约束？这其中一个相当关键但却并不经常被人们讨论和关注的问题是安全性。要解决大数据安全问题，需要从大数据自身及其特性去分析：

（1）大数据不仅仅只是大量的数据

从某种意义上说，当一家机构或企业开始收集和存储大量的数据信息时，其就已然成为了一个相当显眼的被攻击及窃取信息的目标。但更广泛地说，对那些收集了大量有价值的非结构化数据信息的企业而言，其数据信息可能并不存在任何根本性的新威胁。

对于黑客攻击而言，那些PB级存储的大数据信息是安全的，因为这些数据的量对于黑客而言根本就太大了。也许除了那些资金雄厚的赞助商之外，一般的黑客都缺乏相关的分析工具来从如此庞大的数据量中提取有意义的信息。换句话说，企业也和这些黑客一样，面临同样严峻而显著的问题：如何从他们所收集的庞大数据中提取有价值的东西出来。因此，对于个别大型数据存储库而言，考虑增加任何超出其它类型数据库的安全性措施并无太大的实施意义，尤其是考虑到这些黑客相对于各大机构的能力往往是有限的。

（2）环境和细粒度的安全

虽然大数据是非结构化的或更难进行筛选分析，并不意味着大数据必然是更安全。如果所有的大数据存储库都是有用的，就不能将所有每一条信息都进行同等的维护。企业所收集的数据越多，保持这些数据细粒度的任务和挑战也就越艰巨。企业如何才能在不牺牲大数据性能的前提下牢牢把握所有这些数据的所有权，并遵守相关的监管规定呢？

（3）大数据不能被匿名化

大数据所包括的内容多且庞杂，系统所收集的数据越详细，就越是可能涉及到更多的国家、企业甚至是私人信息，因此，对于个人隐私和安全问题的关注度也应提高。现在的数据技术可以实现使用不涉及个人可识别信息的数据来重建相关人员的身份数据。例如，如果某公司获得了覆盖某地区一年的客户GPS记录列表，那么，他们可以用该列表来了解一人或多人的身份信息。在这种情况下，找到一个人的身份信息是非常简单的。例如，在某个时间段根据GPS进行定位，然后从互联网上搜索与该位置有关用户的姓名。一般情况下，这个过程可能会更复杂一点，但从概念上讲，其是一个很容易解决的简单问题。尽管有部分公司采用大数据匿名化的方法，这些公司最好的方法也只是使这些数据“假名化”――让一些信息是假名的，但其实系统中假名与真实的身份还是互相联系的。这一有限制性的匿名化是大数据危险的一部分：黑客和其他恶意方可能无法完成数据的精细分析，但考虑到这些有限信息种类的丰富性，他们可以收集各种可利用的结论，进行欺诈，偷盗或者更糟的行为。

（4）大数据在数据输出方面的风险

即使原始数据在数据存储的过程中得到了充分保护，但大数据所面临的更大的威胁是企业支付了巨大的成本才从大数据分析中获得的有价值的信息，而这些中最有价值的信息风险则在相关数据信息的输出方面。由于企业往往很少监视或保护这些数据，作为接触到这些数据最多的人――企业员工往往是这些最有价值信息被破坏最常见的罪魁祸首。所以企业需要保护大数据，尽管其必须对某些原始信息要进行保护，但我们需要将更多的重点放到通过对原始数据分析所获得的结果方面。

3.对策和建议

虽然许多企业意识到了信息数据安全的重要性，但其并不知道自己目前的安全状况，也不清楚存在哪些安全隐患，针对企业安全的薄弱环节，进行较全面的企业信息数据安全风险的评估，通过评估制定出合理完善的整体防护安全策略。构建管理、策略、手段等多位一体的信息安全支撑体系。

（1）提高安全意识

企业的IT部门各岗位重要责任之一就是保障本公司IT信息的安全、完整与可用性。所以，在职责上要清晰明确IT部门的安全责任，通过收集、分析与调查事件，来检测信息安全违反行为，把IT信息安全的质量、健全性和可靠性通知和报告高层管理人员，确保IT信息安全的职能集成在业务流程过程中而不是独立的任务。此外大部分企业都愿意花大把的钱购买服务器、交换机、防火墙，却很少去加强企业IT信息的管理安全策略。因此，管理短视正是目前IT信息安全最大的隐忧，提高IT部门对信息安全的认识也是企业IT信息安全的重中之重。企业IT部门不但自己要提高安全意识，还要不断推进企业全体成员的IT信息安全意识建设。因为保障IT信息安全的根本立足点，不是对设备的保护，也不是对数据的看守，而是规范企业员工的IT信息行为，这也是上升到对人的管理的措施。事实上所有的员工都会是IT信息安全的威胁。因此，在人员越来越流动的今天，有效的做法是要给员工进行相关培训，告知员工哪些资料是机密资料应该要慎重处理。提高全体成员的安全意识，做到防微杜渐，以小见大。

（2）采取有效的数据访问规则

面向大数据集群的大多数应用都是Web应用。虽然全面讨论大数据安全的这个问题超出了本文的范围，但基于Web的应用程序和API给这些大数据集群带来了一种最重大的威胁。在遭受攻击或破坏后，它们可以提供对大数据集群中所存储数据的无限制访问。应用程序安全、用户访问管理及授权控制非常重要，与重点保障大数据集群安全的安全措施一样都不可或缺。企业应当从四个方面满足企业数据安全及审计要求：发现和分类，审计和报表，评估和加固，监控和执行。力求在数据安全保护方面得到全面化的管理，而不是单一依靠监控软件达到数据防泄漏的目的，从而解决整个数据安全与合规/审计问题。常见数据安全及合规审计应该包括如下内容：

访问安全：包含创建帐户、分配权限、身份认证与访问控制、用户行为审计、角色变更和账户回收等几个方面;数据访问审计：包括合适的数据库安全或合规/审计系统能通过网络数据的采集、分析、识别，实时监控网络中数据库的所有访问操作;数据访问监控：包括支持自定义内容关键字库，实现数据库操作的内容监测识别，发现各种违规数据库操作行为，及时报警响应、全过程操作还原;数据安全记录：实现安全事件的准确全程跟踪定位，全面保障数据系统安全。

4.总结

目前，国内外一系列的泄密事件将安全问题推到了众人的面前，这个问题只会越来越突出，越来越重要。所以，身处大数据信息时代，数据永远是企业最需要保护的东西，未来的数据安全将以高度集成化和标准化为趋势，立体全面的对企业甚至国家的安全提供保障。

参考文献

[1]王珊，王会举.架构大数据：挑战、现状与展望[J].计算机学报，2011.

[2]陈明奇.大数据时代的美国信息网络安全新战略分析[J].信息网络安全，2012.

[3]覃雄派，王会举.大数据分析――RDBMS与MapReduce的竞争与共生[J].软件学报，2011.

基金项目：2014年度集团科技创新基金（项目编号：2014MS027）。

作者简介：陈小林（1979―），男，江苏泰州人，工程师，主要从事煤矿企业信息化软件开发工作。