数字安全 | 数据安全的挑战

技术挑战

从大数据技术的发展来看，基于Hadoop生态系统的大数据平台随着企业的不断采用及开源组织的持续优化、增强，已逐渐成为大数据平台建设的标准产品。然而Hadoop最初的设计专注于发展数据处理能力，忽视了其他能力的发展，但Hadoop生态系统作为一个分布式系统，承载了丰富的应用，集中了海量的数据，如何管理和保护这些数据充满了挑战，当前市场上，大数据平台在数据本身的安全管控方面普遍存在严重缺陷和较大漏洞。

大数据平台是使用数据资源的基础平台，平台安全是保障安全可靠地利用数据资源的基础。大数据平台除了面临传统的恶意代码、攻击软件套件、物理损坏与丢失等安全威胁外，由于自身架构要根据企业业务需求和安全要求变化不断改进，因而产生传统的身份认证、数据加密手段适用性问题。由于大数据平台是复杂且异构的，所以安全保障必须是整体性的，以确保大数据服务的可用性和连续性。

为了更好地利用大数据的价值，越来越多的大数据平台开始面向企业内外部用户提供基于大数据的服务。便捷的互联网应用环境下，在提供优质数据服务的同时，也为大数据服务安全带来严峻的安全挑战，大数据平台需要应对基于？Web的攻击、应用程序攻击？、注入攻击、拒绝服务攻击、网络钓鱼、用户身份盗窃等威胁，抵御信息泄露、网络瘫痪、服务中断等安全风险。

企业在开展业务和对大数据进行开发利用的同时，数据自身安全非常重要，数据安全涉及数据生命周期各个阶段，包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等活动。行业间以及行业内部数据交换共享时的数据安全，是迫切需要解决的问题，是大数据资源实现开放共享的关键。

数据已经被社会公认为有价值的资产，数据可变现、易变现的特点使得接触到数据的人员窃取数据的动机或可能性大大增加。不同于传统的资产，数据不占体积，极易被复制、携带和传输，而其本身又是在网络节点之间不断流动着的，这些特点让数据安全管理的难度极高，而数据泄露所带来的损失又是实实在在的，一旦发生高风险事件，会造成巨大的经济损失并有可能触犯法律，社会上已经发生过很多次惨痛的教训。这些给数据安全管理带来更大的挑战。

针对性强。APT攻击是以商业和政治为目的的网络犯罪。这种攻击方式往往不会追求短期的经济收益和单纯的系统破坏，而是专注于窃取核心资料，如国家安全数据、商业机密、知识产权等。

组织严密。由于APT攻击针对性强，获益巨大，因此攻击者往往以组织的形式存在，并进行分工协作。

持续时间长。APT攻击具有较强的持续性，往往要经过长期的准备与策划，攻击者通常在目标网络中潜伏几个月甚至几年，通过反复渗透，不断改进攻击路径和方法，发动持续攻击，如零日漏洞攻击等。

极强的隐蔽性。APT攻击通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进、隐蔽、持久且有效的威胁和攻击。APT攻击根据目标的特点，能绕过目标所在网络的防御系统，极其隐藏地盗取数据或进行破坏。

间接攻击。APT攻击通常利用第三方网站或服务器作跳板，布设恶意程序向目标网络进行渗透攻击。恶意程序或木马潜伏于目标网络中，攻击者往往在远端进行遥控攻击。

由于APT攻击以窃取核心资料为目的，对政府部门和企业的大数据安全产生重大威胁，因此必须高度防范此类攻击。针对APT攻击行为的防范需要构建一个多维度的安全模型，既有技术层面的检测手段，也包含用户安全意识的提高。如可以通过部署入侵检测系统和入侵防御系统，启用反病毒保护软件，启用垃圾邮件过滤程序，良好的补丁管理机制，对用户进行安全意识培训等手段，做到事前防御。

市场挑战

从企业内部来说，一方面，大数据平台的安全管控能力缺失，使得平台在数据存储、处理以及使用等各环节造成数据泄露的风险较大，安全风险面广，且缺乏有效的处理机制；另一方面，企业敏感数据的所有权和使用权缺乏明确界定和管理，可能造成用户隐私信息和企业内部数据的泄露，直接造成企业声誉和经济的双重损失。

一个全球化的企业，或者业务涉及跨境电商等业务的企业，必然会涉及数据的跨境问题。不同国家和地区的数据保护法规对数据跨境流动的要求存在差异性，比如俄罗斯明确提出俄罗斯公民的数据应在俄罗斯境内更新后方可传到海外进行处理，欧盟则扩大了数据保护法律适用的管辖范围。这些法规将给跨境电商企业带来高昂的合规成本，制约了跨境业务的发展。如何处理数据跨境安全合规与跨境电商战略发展的矛盾，是亟待解决的难题。

要实现组织内部的数据安全管控，一方面需要根据现有法律法规、国际标准、行业标准以及企业的信息安全策略，制定安全、可靠、可执行的数据安全相关的标准、规范和操作流程；另一方面要建立企业数据安全风险分析范围，通过安全风险分析，制订切实可行的风险防护措施，对现有安全控制措施的有效性进行评估，提升数据安全等级，确保企业数据安全得到有效提升。

如建立数据安全等级，指定专门的数据安全管理员和责任人，经常开展数据安全宣讲工作，对数据进行分级分类管理，制定并落实系统安全、网络安全、密码安全、密钥安全、数据备份和恢复制度、数据共享安全制度、数据销毁环节的安全管控措施。

随着企业云化进程的加速，越来越多的数据会产生、处理、存储在云端，不论是公有云还是私有云都需要支撑各类技术服务商，站在大数据服务提供商的角度，在服务客户的过程中，也越来越能感受到客户的这种变化和要求。在数据中台的项目中，客户要求在存储、传输、使用、共享个人信息的阶段，均需要去标识化。如进行身份证号隐藏、家庭住址隐藏等。在这个过程中，还需要在保证合法合规的前提下充分考虑数据可用性。这就需要与企业内部的数据安全人员不断地进行沟通与讨论，才能最终确定数据安全方案。

数据的所有权、使用权、管理权涉及个人、企业、政府和其他组织，一旦处理不当，会损害个人隐私、组织利益、国家安全等。在进行大数据收集、处理和应用的过程中，必须做到权责分明，厘清数据权属关系，防止数据流通过程中的非法使用，保障数据安全流通。但是目前数据权属仍缺乏法律支撑，数据使用尤其是跨境流动所产生的安全风险日益凸显。需要政府牵头、市场参与，形成数据权益的确认和共享机制，有效保护数据权益，推进整个社会数据的有序开放和融合。

扫码进星球下载公众号文件