“会议周”作为信标委组织开展网络安全标准化工作的创新模式, 在中央网信办的大力支持下,已连续成功承办三年,是我国标准化工作层面规模最大的会议。
此次会议发布了《大数据安全标准化白皮书(2018版)》,观数科技作为标准小组成员,以一线技术实践,为该版本大数据安全标准提供智力支持:
1.在接口鉴权方面,观数科技建议“应对采集终端和采集人员开展接入鉴权,并对采集行为进行监控,一旦发现异常采集行为需及时告警并标记风险数据。”
2.在数据加密存储方面,观数科技建议“支持对加密秘钥进行统一安全管理,例如对秘钥进行分级管理,使用根秘钥对工作秘钥进行加密保存:支持秘钥的生命周期管理,支持秘钥动态更新,并明确更新周期。秘钥更新后,不应影响业务连续性和系统性能。”
3.在细粒度授权方面,观数科技建议“能够对计算任务例如MapReduce、Spark进行细粒度的访问控制,防止任务被违规杀死。”
4.在存储软件加固方面,观数科技建议“应对数据文件、目录及数据库表、字段进行严格的权限设置,应开启存储组件web服务界面的认证访问。”
5.在日志审计方面,观数科技建议“能够对计算任务进行审计包括任务执行时间、任务执行状态、任务执行用户。”
6.在配置管理方面,观数科技建议“安全配置项需要分类分级,配置文件禁止明文密码,配置的日志级别可支持审计。”
7.在代码审计方面,观数科技建议“定期对大数据基础软件对外接口进行渗透测试和漏洞评估,确保接口安全。”
这些建议受到了与会各方的重视,同时我们也都认为,大数据是一个动态发展的过程,与之相匹配的大数据安全标准也需要不断迭代,我们还应制定相应的数据采集、储存、处理、推送和应用的标准规范。
观数科技会继续努力,通过制定符合实际的大数据应用和安全标准,促进大数据安全应用,确保了数据开放共享、个人信息保护需求和安全保障需求之间的平衡。