26.1 大数据安全威胁与需求分析

• 主要阐述大数据的基本概念，分析大数据面临的安全问题，并给出大数据的安全需求。

26.1.1 大数据相关概念发展

• 随着数字化，网络化，智能化等相关信息技术的应用发展，数据产生及获取日益方便，数据规模已超出了传统的数据库存储及分析处理能力范围，从而形成大数据的新概念。
• 一般来说，大数据是指非传统的数据处理工具的数据集，具有海量的数据规模，快速的数据流转，多样的数据类型和价值密度低等特征。
• 大数据的种类和来源非常多，包括结构化，半结构化和非结构化数据。
• 大数据主要包括大规模数据分析处理，数据挖掘，分布式文件系统，分布式数据库，云计算平台，互联网和存储系统。

26.1.2 大数据安全威胁分析

• 1.“数据集”安全边界日渐模糊，安全保护难度提升

• 多源，海量，异构，分布存储等大数据新技术导致数据集的安全边界日渐模糊，造成基于网络安全边界的安全防护措施难以完全有效。
• 数据交易和共享促使数据流动日益频繁，静态安全措施难以完全满足数据安全保障要求。
• 复杂分布式计算环境使得网络攻击的影响增大，单个节点遭受侵害影响整个系统安全，例如数据存储设备，域名服务器，认证服务器等。

• 2.敏感数据泄露安全风险增大

• 数据丢失或被盗取，有可能影响国家安全，社会安全和经济安全。
• 对于公司企业来说，客户数据的丢失导致品牌的损害，竞争中处于劣势，以及严重法律责任。

• 3.数据失真与大数据污染安全风险

• 攻击者利用数据输入或数据平台缺陷，构造恶意数据并将其注入数据处理系统中，干扰数据处理系统的正常运行或误导计算。
• 例如：网络水军发送虚假评论数据。
• 典型事例有电商产品的评分，网站访问流量，网页虚假排名等。

• 4.大数据处理平台业务连续性与拒绝服务

• 随着大数据的应用普及，许多关键业务依赖于大数据处理平台的连续稳定运行。

• 5.个人数据广泛分布于多个数据平台，隐私保护难度加大
• 6.数据交易安全风险

• 例如非法数据交易，虚假数据交易，交易服务不完整，交易数据汇聚导致敏感数据泄露，跨境数据流动安全等安全风险。

• 7.大数据滥用

• 综合关联分析微信图片数据，智能手机位置数据，可以识别到自然人，挖掘出个人隐私信息。

26.1.3 大数据安全法规政策

• 1.气象资料共享管理办法
• 2.中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知
• 3.全国人民代表大会常务委员会关于加强网络信息保护的决定
• 4.电信和互联网用户个人信息保护规定
• 5.中华人民共和国消费者权益保护法（2013修正）
• 6.地图管理条例
• 7.中华人民共和国网络安全法
• 8.网络预约出租汽车经营服务管理暂行办法
• 9.网络出版服务管理规定
• 10.人口健康信息管理办法
• 11.保险公司开业验收指引
• 12.保险机构信息化监管规定

26.1.4 大数据安全需求分析

• 1.大数据自身安全

• 大数据安全涉及数据的采集，存储，使用，传输，共享，发布，销毁等全生命周期的多个方面。
• 具体安全包括数据的真实性，实时性，机密性，完整性，可用性，可追溯性。

• 2.大数据安全合规
• 3.大数据跨境安全

• 《一般数据保护法案》（General Data Protection Regulation，GDPR）

• 4.大数据隐私保护
• 5.大数据处理平台安全
• 6.大数据业务安全
• 7.大数据安全运营

26.2 大数据安全保护机制与技术方案

• 大数据被列为网络安全等级保护2.0的重要保护对象，主要阐述包括大数据自身及平台，业务，隐私，运营等方面的安全保护技术。

26.2.1 大数据安全保护机制

• 大数据安全保护是一个综合的，复杂性的安全工程，涉及数据自身安全，数据处理平台安全，数据业务安全，数据隐私安全，数据运营安全以及数据安全法律政策与标准规范。
• 常见的基本安全机制主要有数据分类分级，数据源认证，数据溯源，数据用户标识和鉴别，数据资源访问控制，数据隐私保护，数据备份与恢复，数据安全审计与监测，数据安全管理等。

26.2.2 大数据自身安全保护技术

• 例如：数据的真实性，数据的完整性，数据的机密性，数据的准确性等
• 目前数据签名可以验证数据来源的真实性，Hash算法用于确保数据的完整性，加密算法则用来保护数据的机密性

26.2.3 大数据平台安全保护技术

• 大数据平台涉及物理环境，网络通信，操作系统，数据库，应用系统，数据存储等安全保护。
• 通常采用安全分区，防火墙，系统安全加固，数据防泄漏等安全技术用于保护大数据平台。
• 防火墙又可细分为网络防火墙，数据库防火墙，应用防火墙，这些防火墙分别用于大数据平台的安全区域之间隔离及访问控制。

26.2.4 大数据业务安全保护技术

• 大数据业务安全主要包括业务授权，业务逻辑安全，业务合规性等安全内容。
• 业务授权主要基于角色的访问控制技术，按照业务功能的执行所需要的权限进行分配。
• 业务逻辑安全针对业务流程进行安全控制，避免安全缺陷导致业务失控。
• 业务合规性是指业务满足政策法规及安全标准规范要求。
• 敏感数据安全检查，系统安全配置基准数据监控等技术常用于解决业务合规性安全需求。

26.2.5 大数据隐私安全保护技术

• 《信息安全技术 个人信息安全规范》

• 主要技术有数据身份匿名，数据差分隐私，数据脱敏，数据加密，数据访问控制等。

26.2.6 大数据运营安全保护技术

• 大数据运营安全是指大数据平台及数据的运行维护及数据资源经营过程的安全。
• 大数据平台及数据的运行维护包括大数据处理系统的安全维护，安全策略更新及安全设备配置，数据资源容灾备份，安全事件监测与应急响应等。
• 网络入侵检测，网络安全态势感知，网络攻击取证，网络威胁情报分析，安全堡垒机等技术常用于大数据平台运维安全保护。
• 数据资源经营过程安全涉及数据使用，数据交易，数据跨境流动等安全问题。
• 数据脱敏，数据监控，数据安全网关等常用于数据经营安全保护。

26.2.7 大数据安全标准规范

• 《信息安全技术 个人信息安全规范》
• 《信息安全技术 大数据服务安全能力要求》
• 《信息安全技术 大数据安全管理指南》
• 《信息安全技术 数据交易服务安全要求》
• 《信息安全技术 个人信息去标识化指南》

26.3 大数据安全综合应用案例分析

26.3.1 阿里巴巴大数据安全实践

• 《大数据安全标准化白皮书 2018版）
• 1.业务安全管控
• 2.数据安全管控

• 主要参考标准规范《信息安全技术 个人信息安全规范》（GB/T 35273-2017），《信息安全技术 大数据服务安全能力要求》（GB/T 35274-2017），《信息安全技术 云计算服务安全能力要求（GB/T 31168-2014)，ISO27001系列标准

• 3.生态安全管控

• 《信息安全技术 数据安全能力成熟度模型》

26.3.2 京东大数据安全实践

26.3.3 上海数据交易中心安全保护

26.3.4 华为大数据安全实践

• 1.网络安全
• 2.主机安全
• 3.用户安全
• 4.数据安全

26.3.5 科学数据安全管理

26.3.6 支付卡行业数据安全规范

• 支付卡行业数据安全标准（PCI-DSS）

• 构建和维护安全的网络
• 保护持卡人的数据
• 维护漏洞管理程序
• 实施严格的存储控制措施
• 定期监控和测试网络
• 维护信息安全策略

迷茫的人生，需要不断努力，才能看清远方模糊的志向！