以大數(shù)據(jù)安全管理促進大數(shù)據(jù)安全共享

發(fā)布時間：2019-07-30所屬分類：科技論文瀏覽：1次

摘 要： 摘 要：隨著互聯(lián)網(wǎng)+、云計算、移動互聯(lián)網(wǎng)等新技術(shù)興起，數(shù)據(jù)獲得了前所未有的爆炸式增長，大數(shù)據(jù)時代已經(jīng)來臨。大數(shù)據(jù)技術(shù)創(chuàng)新應用，使我們具備了對海量數(shù)據(jù)的處理和分析能力，但與此同時，伴隨數(shù)據(jù)匯聚、數(shù)據(jù)分析而來的安全問題也給我們帶來前所未有的挑戰(zhàn)

　　摘 要：隨著互聯(lián)網(wǎng)+、云計算、移動互聯(lián)網(wǎng)等新技術(shù)興起，數(shù)據(jù)獲得了前所未有的爆炸式增長，大數(shù)據(jù)時代已經(jīng)來臨。大數(shù)據(jù)技術(shù)創(chuàng)新應用，使我們具備了對海量數(shù)據(jù)的處理和分析能力，但與此同時，伴隨數(shù)據(jù)匯聚、數(shù)據(jù)分析而來的安全問題也給我們帶來前所未有的挑戰(zhàn)。組織應以發(fā)展和安全并行為目標，提出大數(shù)據(jù)安全管理對策，加強大數(shù)據(jù)安全分級管理，構(gòu)建大數(shù)據(jù)安全管理體系，推動大數(shù)據(jù)的安全共享。

　　關鍵詞:大數(shù)據(jù) 數(shù)據(jù)安全 分級管理 大數(shù)據(jù)安全管理體系

　　大數(shù)據(jù)是國家基礎性、重要的戰(zhàn)略資源，被稱為“21世紀的鉆石礦”。大數(shù)據(jù)時代，大數(shù)據(jù)在互聯(lián)網(wǎng)和社交領域，以及醫(yī)療衛(wèi)生、健康、金融等各行各業(yè)爆炸式增長，對國家決策、經(jīng)濟運行、生活方式以及社會各領域均產(chǎn)生重要的影響，大數(shù)據(jù)成為高價值的資產(chǎn)。

　　大數(shù)據(jù)如同一把雙刃劍，在帶來許多便利的同時，也產(chǎn)生了前所未有的安全隱患。大數(shù)據(jù)安全是發(fā)展大數(shù)據(jù)的前提，在大數(shù)據(jù)應用推廣過程中，要堅持安全與發(fā)展并重的方針，在充分發(fā)揮大數(shù)據(jù)價值的同時，解決面臨的大數(shù)據(jù)安全問題，構(gòu)建大數(shù)據(jù)安全管理體系，推動大數(shù)據(jù)的安全共享。

　　1 大數(shù)據(jù)安全的重要意義

　　大數(shù)據(jù)對國家、企業(yè)、個人具有重要的作用，具有很高的研究價值，但人們在追逐數(shù)據(jù)價值的同時，也引發(fā)了諸如個人隱私安全、企業(yè)信息安全、國家安全的問題。

　　在個體層面，隨著科技的進步帶來的互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的快速發(fā)展，人們的生活被深深地打上了數(shù)字化的印記。大數(shù)據(jù)存在于人們生活中的每個角落，各種大量的個人信息數(shù)據(jù)產(chǎn)生。隨著移動互聯(lián)網(wǎng)的全面普及，社交網(wǎng)絡也成為黑客攻擊和網(wǎng)絡犯罪的新途徑，云應用的普及大大增加了用戶信息泄露的風險，移動支付安全和移動終端漏洞成為安全新課題。

　　在企業(yè)層面，大數(shù)據(jù)引擎可以幫助和指導企業(yè)對業(yè)務流程進行有效運營，是企業(yè)實現(xiàn)創(chuàng)新發(fā)展的核心驅(qū)動力，成為企業(yè)最重要的載體，日益取代人才成為企業(yè)的核心競爭力。然而，大數(shù)據(jù)時代的企業(yè)安全也面臨著內(nèi)部管理和外部攻擊的新型挑戰(zhàn)。這些數(shù)據(jù)在顯現(xiàn)出不可估量商業(yè)價值的同時，也存在巨大的安全隱患，影響到企業(yè)安全市場的格局。

　　在國家層面，在信息時代，國家安全的含義發(fā)生了質(zhì)的變化。即使在和平年代，一個國家的各種信息設施、重要機構(gòu)也可以成為攻擊目標。石油、天然氣、水、電、交通、金融、商業(yè)和軍事等關系到國計民生的重要行業(yè)也都依賴網(wǎng)絡與信息系統(tǒng)，極易遭受信息武器的攻擊，國家安全受到嚴峻挑戰(zhàn)。

　　2 大數(shù)據(jù)安全管理的內(nèi)涵和特征

　　大數(shù)據(jù)安全管理不能簡單地定義為對組織的全部數(shù)據(jù)進行防護，對龐大的數(shù)據(jù)量進行統(tǒng)一標準的安全防護也不現(xiàn)實。大數(shù)據(jù)安全管理可包含如下內(nèi)容：第一，明確大數(shù)據(jù)安全管理需求。分析大數(shù)據(jù)環(huán)境下大數(shù)據(jù)的保密性、完整性和可用性等問題以及可能引發(fā)的各個層面的問題，據(jù)此明確解決相關問題和影響的數(shù)據(jù)安全需求。第二，對大數(shù)據(jù)資產(chǎn)進行分類分級管理，對不同級別的數(shù)據(jù)選擇不同安全措施。第三，組織應根據(jù)大數(shù)據(jù)活動的特點，以及相應的數(shù)據(jù)操作，從而確定相關的安全要求。第四，組織從系統(tǒng)的脆弱點、惡意利用的后果與應急措施等方面評估大數(shù)據(jù)安全風險。

　　大數(shù)據(jù)要充分流動、共享和交換，在保證安全的情況下發(fā)揮最大的價值。因此，加強大數(shù)據(jù)安全管理，既要明確大數(shù)據(jù)安全合規(guī)的邊界，保證數(shù)據(jù)的合法利用;也要盡可能地促進大數(shù)據(jù)的發(fā)展，讓大數(shù)據(jù)這座金礦發(fā)揮更大價值。

　　3 數(shù)據(jù)安全管理的路徑與對策

　　大數(shù)據(jù)安全管理可以從管理、技術(shù)措施兩個方面進行實踐，構(gòu)建科學合理、覆蓋全局的大數(shù)據(jù)安全管理體系，促進大數(shù)據(jù)產(chǎn)業(yè)的可持續(xù)性發(fā)展。

　　3.1 管理措施與建議

　　主要涵蓋組織的大數(shù)據(jù)安全管理架構(gòu)及崗位設置，管理制度及規(guī)程、人員管理等方面。

　　3.1.1 建立適應需求的安全管理組織

　　大數(shù)據(jù)安全管理的首要環(huán)節(jié)是大數(shù)據(jù)安全組織管理。在機構(gòu)及崗位設置上，建立起自上而下的大數(shù)據(jù)安全管理組織架構(gòu)。不同類別角色賦予不同權(quán)限，可包含3個層次：明確大數(shù)據(jù)安全職能范圍，制定大數(shù)據(jù)安全管理策略;制定大數(shù)據(jù)安全管理流程及制度，負責監(jiān)督落地實踐和日常數(shù)據(jù)安全運營;實際操作和落地實施。此外，相關業(yè)務部門要做好與大數(shù)據(jù)安全管理部門的溝通與協(xié)作，保證大數(shù)據(jù)安全管理策略、制度有效施行，確保組織體系的正常運行。

　　3.1.2 制定數(shù)據(jù)安全管理流程及制度

　　大數(shù)據(jù)安全管理流程及制度是大數(shù)據(jù)安全管理的制度保障。大數(shù)據(jù)的安全管理要有規(guī)范的流程，參照法律法規(guī)、國家/行業(yè)標準等合規(guī)要求，在大數(shù)據(jù)安全能力成熟度模型的基礎上，科學評估數(shù)據(jù)使用過程中可能會遭遇的風險，結(jié)合目前及未來需要的大數(shù)據(jù)安全能力等級，制定數(shù)據(jù)管理制度和流程。同時，與時俱進，及時動態(tài)調(diào)整，更有效地應對不斷變化的新風險和新隱患的威脅。

　　3.1.3 對相關人員的有效管控

　　在大數(shù)據(jù)安全管理過程中，還要對接觸到相關數(shù)據(jù)的人員進行管控。人員管理包括數(shù)據(jù)部門內(nèi)部人員管控和第三方管理。

　　(1)內(nèi)部人員管控。內(nèi)部人員安全管控是維護和保障數(shù)據(jù)安全的關鍵因素。通過采取入職前個人背景調(diào)查，入職后簽訂保密協(xié)議、崗位安全技能培訓、更新和調(diào)整賬號與權(quán)限，離職后停用賬號與關閉權(quán)限等措施，提高人員的數(shù)據(jù)保護意識，強化敏感信息的保護職責。建立面向全體員工的數(shù)據(jù)安全教育培訓機制。

　　(2)第三方管理。主要是針對外部人員的管理，包括對第三方技術(shù)開發(fā)人員、系統(tǒng)運維員和訪問數(shù)據(jù)人員。根據(jù)第三方運維單位在維護過程的分工和安全職責界定，提出安全操作指南，風險識別，以及在合作前、合作中、合作終止或變更后3個階段分別進行背景調(diào)查和責任說明、定期安全檢查服務及保密措施管理等。

　　3.2 技術(shù)措施

　　建議技術(shù)手段是大數(shù)據(jù)安全管理的保障條件，為大數(shù)據(jù)安全管理總體目標提供技術(shù)支持，按照安全狀況摸底、數(shù)據(jù)流動管控、數(shù)據(jù)治理稽核3個步驟開展實施，為大數(shù)據(jù)處理各流程提供安全保障，確保管理制度要求在實際工作中能夠得到切實執(zhí)行。

　　3.2.1 資產(chǎn)梳理和數(shù)據(jù)分級分類

　　運用大數(shù)據(jù)資產(chǎn)梳理工具，進行資產(chǎn)底賬梳理，找出大數(shù)據(jù)平臺自身的安全問題。從隱私安全與保護成本的角度出發(fā)，根據(jù)梳理結(jié)果對大數(shù)據(jù)資產(chǎn)進行分類和等級劃分，在此過程中確定哪些是需要保護的敏感數(shù)據(jù)，敏感數(shù)據(jù)應如何被使用，確定數(shù)據(jù)保護責任人，根據(jù)不同需要對大數(shù)據(jù)資產(chǎn)進行管理。

　　3.2.2 針對生命周期采取相應技術(shù)措施

　　在數(shù)據(jù)產(chǎn)生、采集環(huán)節(jié)，主要采用元數(shù)據(jù)安全管理、數(shù)據(jù)類型和安全等級達標，在后臺運維管理系統(tǒng)嵌入相應功能，保證各類大數(shù)據(jù)安全制度能夠有效實施。

　　在數(shù)據(jù)存儲環(huán)節(jié)，主要采用數(shù)據(jù)加密技術(shù)，防范數(shù)據(jù)泄密風險;對內(nèi)，運用數(shù)據(jù)運維管控工具進行訪問控制和審批管理;對外，使用數(shù)據(jù)庫防火墻技術(shù)阻止黑客攻擊。

　　在數(shù)據(jù)傳輸環(huán)節(jié)，利用數(shù)據(jù)水印技術(shù)、密碼技術(shù)實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)外發(fā)溯源，通過建立不同安全域間的加密傳輸鏈路，或直接對數(shù)據(jù)進行加密，保障數(shù)據(jù)傳輸安全。

　　在數(shù)據(jù)存儲環(huán)節(jié)，一般采取數(shù)據(jù)和硬盤加密等方式保障數(shù)據(jù)存儲安全。

　　在數(shù)據(jù)處理環(huán)節(jié)，采用數(shù)據(jù)靜態(tài)和動態(tài)脫敏技術(shù)對數(shù)據(jù)進行去隱私化脫敏處理，保障在開發(fā)、測試、分析等場景下的數(shù)據(jù)安全。

　　在數(shù)據(jù)使用環(huán)節(jié)，采用賬號權(quán)限管理、數(shù)據(jù)安全域、日志管理和審計、異常行為實時監(jiān)控與終端數(shù)據(jù)防泄露等方式保障數(shù)據(jù)使用安全。

　　在數(shù)據(jù)共享環(huán)節(jié)，通過與數(shù)據(jù)安全域技術(shù)結(jié)合，建設統(tǒng)一數(shù)據(jù)分發(fā)平臺，對數(shù)據(jù)共享行為進行有效管理。

　　在數(shù)據(jù)銷毀環(huán)節(jié)，通過數(shù)據(jù)銷毀軟件多次填充垃圾信息等原理或硬盤消磁機、硬盤粉碎機、硬盤折彎機等硬件設備的物理方式徹底毀壞硬盤，實現(xiàn)磁盤中存儲數(shù)據(jù)的永久刪除。

　　3.2.3 數(shù)據(jù)稽核

　　利用數(shù)據(jù)庫審計產(chǎn)品和數(shù)據(jù)態(tài)勢感知進行大數(shù)據(jù)安全稽核與風險預警，使大數(shù)據(jù)安全治理的策略、規(guī)范、制度能夠有效實施，實現(xiàn)全流程的大數(shù)據(jù)安全管理閉環(huán)。

　　4 結(jié)語

　　大數(shù)據(jù)時代已然到來，隨之而來的也有一些不可避免的機遇和挑戰(zhàn)。在進攻和防守永不停歇的大數(shù)據(jù)安全領域，只有不斷地進行管理和技術(shù)創(chuàng)新，加強大數(shù)據(jù)安全管理，實現(xiàn)大數(shù)據(jù)安全共享，才能有效促進大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。

　　參考文獻

　　[1] 徐陽東,周勝利,史進,等.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全管理體系建設[J].信息與電腦,2018(12):224-226.

　　[2] 李靜.大數(shù)據(jù)安全管理規(guī)范及關鍵技術(shù)[J].信息與電腦， 2016(16):114-115.

　　[3] 范艷.大數(shù)據(jù)安全與隱私保護[J].電子技術(shù)與軟件工程,2016(1):227.

　　相關刊物推薦：《中國信息化》(月刊)創(chuàng)辦于2004年，由新聞出版總署正式批準、中華人民共和國工業(yè)和信息化部主管主辦的一本國家批準創(chuàng)刊的唯一一份以關注工業(yè)化與信息化融合，推進信息化進程為使命的國家級信息化媒體國公開刊物。