近些年来,大型数据泄露事件层出不穷,从去年接连发生两次的FaceBook数据泄露、美国知乎Quora数据泄露、Google+账户泄露,到众多国内商业巨头纷纷中招,甚至在2018年8月和11月发生的两起均超过5亿条数据的华住、万豪酒店集团数据泄露事件,无不说明了传统网络安全中以抵御攻击为中心,以黑客为防御对象的策略和安全体系构建存在重大的安全缺陷,传统网络安全为中心需要向数据为中心的安全策略转变。
由此可见,随着大数据技术的不断深入应用,大数据时代下的信息安全防护所面临的风险相比以前也发生了根本性的变化。从信息安全的角度考虑和出发,大数据时代下数据安全面临多项挑战。
例如,数据质量及安全难以保证,尤其是跨系统、跨平台测试数据难以获取并验证,数据质量难以保证;用户因为对业务系统不熟悉而导致在使用过程中进行误操作给业务系统造成难以恢复的损失;外部非授权人员(如黑客)对数据库进行恶意入侵,获取或者删除数据库里的数据;数据具有易复制的特征,所有针对数据的安全事件发生后,无法进行有效的追溯和审计;数据具有易流动的特征,大量数据的汇集不可避免地加大了泄露的风险,在数据传输过程中或多或少会存在主动或意外的数据泄漏;数据具有难管理的特征,大数据技术成为黑客的攻击手段;业务系统用户、维护人员、外部访问用户在访问业务数据时,操作数据库的行为缺乏综合审计。
法规与标准
在比上述事件更为严重的现实数据安全背景下,各个国家分别出台了大量的法规和标准,对个人、企业和国家重要数据进行保护,例如我国在2017年6月正式生效的《中华人民共和国网络安全法》、欧盟2018年5月生效的《GeneralData Protection Regulation》(简称GDPR)、中国2018年5月生效的GB/T 35273《信息安全技术个人信息安全规范》等等。
随着网络安全法的颁布和四部委联合开展的《APP违法违规收集使用个人信息专项治理》等行动的开展,在金融、运营商、医疗、教育和政府等行业方面,也陆续出台了各种管理规定和标准,对企业和政府单位的IT安全策略制定和安全体系的架构产生了重要影响,突出了将数据作为最重要的防护对象,甚至成立了专门的数据管理部门。但无一例外,都把数据安全体系的安全重点聚焦在以下几个主要方面。
数据安全重点
【终端数据安全】
与数据操作关联最多的场景是终端电脑和便携设备,很多企业的数据安全建设工作首先会选择终端进行,目前主要采用的技术手段有终端DLP(加密、权限控制)、虚拟化、安全桌面等。
【网络数据安全】
企业员工上网、邮件外发场景都会存在数据泄露的可能,虽然有些企业对办公网络和业务网络进行了逻辑隔离,但是数据上偶尔还会有交互的需求,这些方面也要考虑数据安全问题。当前可以采用网络(邮件)DLP、上网代理、邮件代理等方式对网络数据安全进行防范。
【存储数据安全】
大数据时代,企业最大的特点是除了将很多数据落地在终端,更重要的是将数据落地在后端存储上,这里的数据安全工作会涉及到存储数据的加密、敏感文件的扫描发现及数据的销毁等方面。
同时,需要更为重视的是数据的合规建设。数据库自身漏洞的发现与管理、数据库安全状态、数据使用中的安全隐患(默认口令、弱口令、低安全配置、高危程序代码、权限控制)等,是管理的重中之重。
【应用数据安全】
在企业的各项应用系统中,数据安全工作中往往需要从数据的采集、输入、存储、内部访问或API调用、前端展示等维度去考虑。这些环节还需要考虑数据脱敏、数据库安全、数据交换平台安全、大数据平台安全等。
与此同时,在账号失陷检测、主机失陷检测、数据泄露检测、内部用户滥用、异常访问、事件追查等各个方面,均需要对数据安全进行控制与审计。
体系架构建设
整体的数据安全管理体系通过分层建设、分级防护,利用平台能力及应用的可成长、可扩充性,创造面向数据的安全管理体系系统框架,形成完整的数据安全管理体系。
数据安全管理体系
如上图,数据安全管理体系架构可以通过数据采集与分析、数据交换、数据防泄漏、数据脱敏层、数据库监控与加固层,结合外部支持手段保障数据整体的安全运行。从而组成完善的数据标准体系和安全管理体系。
其中,数据采集和数据分析是数据安全管理体系的基本要求。通过收集和汇总各类业务系统产生的海量信息数据,运用实时关联分析技术、智能推理技术和风险管理技术,对各类海量数据事件进行统一加工分析,实现对数据安全风险的统一监控管理和未知风险预警处理。
敏感数据隔离交换层通过数据指纹采集、内容检测和响应处理三个步骤,突破深度内容识别的关键技术,使得用户既可以网络连通,又保证数据交换的安全性,同时也极大提高了工作效率。
数据防泄露层针对数据易流动、易复制、难管理的特征,通过深度内容分析和事务安全关联分析来识别、监视和保护静止的数据、移动的数据以及使用中的数据,达到敏感数据利用的事前、事中、事后完整保护和响应,实现数据的合规使用,同时防止主动或意外的数据泄漏,保障企业数据资产可控、可信、可充分利用。
数据防泄漏关联分析与响应
数据脱敏层通过静态脱敏和动态脱敏相结合的方式,对敏感信息进行脱敏、变形,在企业不改变业务流程的前提下快速部署,提高数据管理人员的工作效率,同时规避信息风险。通过内置策略和双方,保证脱敏数据有效性、完整性、关系性,以提升在测试、开发和使用等环节的数据资产安全。
保护数据安全的最后一道防线,其核心是让数据变得更加牢固,因此需要构建数据库监控与加固层。数据库监控与加固层可以通过数据库状态监控、数据库审计、数据库风险扫描、访问控制等多种引擎,向用户提供黑白名单和例外策略,并对用户登录行为、用户访问权限进行控制,同时需要具备实时监控数据库访问行为和灵活的告警功能。
总结
数据安全防护任重道远,只有通过有效的技术手段和相关政策法规等相完美结合,才能从根本上解决大数据安全与数据泄露的保护问题。当然,安全也不是绝对的,在进攻和防守永不停歇的安全领域,只有不断的进行技术创新,才是有效保障数据安全的重要解决方式。
来源:freebuf.com 2019-06-26 16:30:49 by: 国舜科技
请登录后发表评论
注册