大数据安全|政府迈左脚,我们迈右脚。 2017-07-21 14:07

现在,很多政府、企业都在做“互联网+”。其实所谓的“互联网+”,核心就是大数据。

大数据作为一种生产要素,一方面为我们的生产生活、经营管理、社会治理、民生服务等各方面带来高效、便捷、精准的服务;另一方面也面临着被攻击、被泄露、被滥用等安全挑战。

这不会有什么一招制敌的解决方案,很大程度上是一个动态调整的过程。我们要做的就是两条腿走路:

1.政府做好立法监管,增强与企业之间的协同;

2.国内安全厂商要在去IOE的大环境下,努力弥补过去大数据集群平台一直缺失的底层保护能力。

一、政府的立法监管是数据资源保护体系的重要一环

政策和立法本质上是一种国家意识的干预,一方面提高了人们的数据安全意识,另一方面也对国内安全厂商提出了更高的要求。

今年6月1日,《网络安全法》实施。大数据在法律上正式被认定为“国家的基础性战略资源”。媒体对这件事儿的解读很多,其实抛开传统的CIA三性(即网络运营者要保证数据的完整、保密、可用)之外,重点无非两个:

1.个人信息保护方面。第40条明确将网络运营者设定为个人信息保护的主题;第41条增加了最少够用原则;第42条增加了个人信息共享原则;第43条明确了个人删除或更正个人数据的权利;第44条第一次给个人信息交易一定的合法空间。

2.国家层面的数据保护。《网络安全法》赋予国家有关部门收集、分析网络信息的权力;第37条要求关键信息基础设施的运营者的数据应当在境内存储,若向境外提供,则必须经过安全评估。

《网络安全法》是我们建立数据资源保护体系的重要一步。虽然在个别方面,例如对重要数据的支配权的设计还不太充分,但我们不难看出政府对于数据安全的潜在态度:去IOE不可避免,国外产品已不适合在国内大规模商用。

注释:去ioe本意是在IT架构中,去掉IBM的小型机、Oracle数据库、EMC存储设备,政府将数据安全牢牢掌握在国内企业手中,防止数据丢失造成的一系列严重后果。

这对国内安全厂商来说,既是个机会,也是个挑战。我们必须掌握自主可控的大数据安全防护技术。

二、弥补大数据集群平台一直缺失的底层保护能力

在2016年以前,国内没有一款专门做Hadoop的安全产品。很多安全厂商要么尚未进入大数据尤、其是Hadoop安全防护领域,要么是只有一个小模块,防护的力度和精度都远远不够。

我们很多大数据集群平台是缺失底层保护能力的,这使得我们面临很多安全问题:

1.数据生命周期的各个环节,采集、传输、存储、分析、利用和销毁,都会有不同的安全隐患。例如在传输环节,数据可能会泄漏、篡改、或者失真;在处理环节,数据可能会因关联分析而被滥用。

2.云为大数据提供了存储场所、访问通道、虚拟化的数据处理空间,但云也面临很多潜在风险,例如勒索攻击,或者在共享计算资源,一个用户的数据和应用可能在无意中暴露给其他用户。

3.个人隐私安全问题。近年来,国内多省社保系统发生个人信息泄露事件,基于对人的状态和行为的预测,犯罪分子利用这些数据发起撞库攻击,“收获颇丰”。

为了解决这些问题,我们开发了一款大数据安全防火墙—BIG DAF。

这是国内第一款网关级大数据平台安全的解决方案,实现了大数据各个核心组件的统一身份验证、权限管理、监控审计功能。具备安全性高、兼容性强、性能消耗小、易上手操作四个特点。

安全:BIG DAF是完全独立的体系,用户无法从大数据系统上配置安全策略;采用了裁剪版的Linux,国际上公认的可形式化语言验证的安全模型,后台防破解,全程SSL加密。

兼容:非侵入式技术,不修改Hadoop、Spark等组件的源码,独立于大数据系统之外,因此对各种商业发行版及开源版本都能良好兼容。

性能:不转发流量、ACL与审计只针对主客体的访问行为,几乎没有性能消耗;BIG DAF支持多机高可用的部署方案,不会出现性能瓶颈。

易用:图形化管理界面,逻辑清晰、操作上手容易;支持非拦截的监控模式,只记录不拦截,适用于新规则配置的场景;安全管理员可一键暂停防护,还原到初始无功能状态,方便排查故障。

BIG DAF是国内目前唯一获得公安部认证的Hadoop安全防护产品,完全自主知识产权,具备完整的“软件—硬件—云”多样化产品形态。

目前我们已经和国家邮政局、朝阳金融局、湖南黄花国际机场展开深度合作,帮助他们做底层数据的安全整合。

如果您也面临数据泄露、恶意破坏、越权使用、用户账号被暴力破解等Hadoop架构的安全问题,点击阅读原文,即可申请试用BIG DAF。