您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
面向動態(tài)防御的大數(shù)據(jù)安全技術(shù)研究
摘 要:
大數(shù)據(jù)環(huán)境下,海量數(shù)據(jù)呈現(xiàn)出主體多樣化、處理活動復(fù)雜化的特點(diǎn),數(shù)據(jù)除了面臨傳統(tǒng)的安全威脅外,更要面臨諸多新型安全威脅,傳統(tǒng)的安全手段及體系已不能有效應(yīng)對大數(shù)據(jù)環(huán)境下的安全威脅。針對大數(shù)據(jù)的流轉(zhuǎn)復(fù)雜、關(guān)聯(lián)融合、蘊(yùn)含價值等特點(diǎn),提出了面向動態(tài)防御的大數(shù)據(jù)防御模型。此外,研究了相關(guān)的大數(shù)據(jù)安全技術(shù),這些技術(shù)能夠構(gòu)建大數(shù)據(jù)安全動態(tài)防御體系,提供動態(tài)防御能力,促進(jìn)大數(shù)據(jù)安全全面向動態(tài)、主動防御方向轉(zhuǎn)變。
內(nèi)容目錄:
1 大數(shù)據(jù)安全風(fēng)險分析
1.1 海量數(shù)據(jù)流轉(zhuǎn)復(fù)雜化使得數(shù)據(jù)泄露風(fēng)險增大
1.2 攻擊手段多樣化使得傳統(tǒng)安全手段防護(hù)效果甚微
1.3 大數(shù)據(jù)價值高導(dǎo)致數(shù)據(jù)更易遭受攻擊竊取2 大數(shù)據(jù)安全需求分析
2.1 大數(shù)據(jù)體系化防護(hù)需求
2.2 大數(shù)據(jù)安全綜合治理需求
2.3 大數(shù)據(jù)智能化及動態(tài)化體系防護(hù)需求
3 大數(shù)據(jù)安全動態(tài)防御模型
4 大數(shù)據(jù)安全動態(tài)防御關(guān)鍵技術(shù)
4.1 數(shù)據(jù)資產(chǎn)可視化分級分類保護(hù)技術(shù)
4.1.1 數(shù)據(jù)分級保護(hù)策略自動化生成技術(shù)
4.1.2 敏感資產(chǎn)自動化發(fā)現(xiàn)技術(shù)
4.1.3 多場景數(shù)據(jù)資產(chǎn)威脅可視化分析處理技術(shù)
4.2 數(shù)據(jù)安全風(fēng)險感知與協(xié)同防御技術(shù)
4.2.1 全態(tài)化防御信息采集及行為分析技術(shù)
4.2.2 數(shù)據(jù)安全風(fēng)險智能識別技術(shù)
4.2.3 數(shù)據(jù)安全態(tài)勢預(yù)測模型和評估指標(biāo)體系
4.2.4 攻擊評估與協(xié)同防御技術(shù)
4.3 數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)
4.3.1 數(shù)據(jù)服務(wù) Web 服務(wù)透明加固和細(xì)粒度參數(shù) 保護(hù)技術(shù)
4.3.2 安全配置自動生成、動態(tài)部署及監(jiān)控技術(shù)
4.3.3 安全服務(wù)能力在線編排與重構(gòu)、調(diào)整調(diào)度、 快速集成技術(shù)
4.4 數(shù)據(jù)安全能力綜合評估技術(shù)
4.4.1 數(shù)據(jù)安全能力智能稽查技術(shù)
4.4.2 數(shù)據(jù)安全風(fēng)險智能評估技術(shù)
4.5 數(shù)據(jù)安全風(fēng)險追蹤溯源技術(shù)
4.5.1 多源異構(gòu)數(shù)據(jù)行為監(jiān)控與全路徑追蹤溯源技術(shù)
4.5.2 數(shù)據(jù)安全風(fēng)險根因分析技術(shù)
5 結(jié) 語
00 引 言
隨著信息技術(shù)的快速發(fā)展,人類的生產(chǎn)生活與信息技術(shù)交匯融合的程度也越來越深。在融合的過程中,各類數(shù)據(jù)呈現(xiàn)指數(shù)級增長的特點(diǎn)。這些海量數(shù)據(jù)在聚集的過程中,對經(jīng)濟(jì)發(fā)展、社會治理、人民生活都產(chǎn)生了重大而深刻的影響。與此同時,數(shù)據(jù)安全也成為事關(guān)國家安全和經(jīng)濟(jì)社會發(fā)展的重大課題。《中華人民共和國數(shù)據(jù)安全法》的正式發(fā)布 標(biāo)志著數(shù)據(jù)安全已經(jīng)上升至國家戰(zhàn)略高度,數(shù)據(jù)已經(jīng)成為國家基礎(chǔ)性戰(zhàn)略資源,沒有數(shù)據(jù)安全就沒有國家安全。
當(dāng)前,各類海量數(shù)據(jù)呈現(xiàn)出主體多樣化、處理活動復(fù)雜化的特點(diǎn)。大數(shù)據(jù)環(huán)境下,數(shù)據(jù)除了面臨傳統(tǒng)的安全威脅外,還要面臨諸多新型安全威脅。 傳統(tǒng)的安全手段及體系呈現(xiàn)出的單點(diǎn)、靜態(tài)、被動防護(hù)的特點(diǎn)已不能有效應(yīng)對大數(shù)據(jù)環(huán)境下的安全威脅。大數(shù)據(jù)的安全防御需要從大數(shù)據(jù)的流轉(zhuǎn)復(fù)雜、關(guān)聯(lián)融合、蘊(yùn)含價值等特點(diǎn)入手 ,面向攻擊手段多樣、攻擊程序不斷更新迭代的新型安全威脅,圍繞數(shù)據(jù)全生命周期提供動態(tài)防御能力。在這種背景下,安全防御技術(shù)及體系需要從單點(diǎn)、靜態(tài)、被動 防護(hù)向全面、動態(tài)、主動防護(hù)轉(zhuǎn)變 。
01 大數(shù)據(jù)安全風(fēng)險分析
大數(shù)據(jù)除了面臨傳統(tǒng)安全威脅以外,同時還要 面臨新型的安全威脅。
1.1 海量數(shù)據(jù)流轉(zhuǎn)復(fù)雜化使得數(shù)據(jù)泄露風(fēng)險增大
隨著信息化建設(shè)持續(xù)推進(jìn)和技術(shù)不斷發(fā)展,數(shù) 據(jù)呈現(xiàn)爆發(fā)式增長,同時各類應(yīng)用系統(tǒng)也呈現(xiàn)出多樣化特點(diǎn),使得數(shù)據(jù)的流轉(zhuǎn)更加錯綜復(fù)雜,導(dǎo)致數(shù)據(jù)暴露出更大的攻擊面。此外,由于數(shù)據(jù)平臺支撐 的業(yè)務(wù)應(yīng)用多種多樣,對外提供的服務(wù)接口千差萬別;因此,攻擊者有機(jī)會通過服務(wù)接口攻擊大數(shù)據(jù) 系統(tǒng),而如何保證多種服務(wù)接口的安全也成為大數(shù)據(jù)平臺面臨的極大挑戰(zhàn)。
1.2 攻擊手段多樣化使得傳統(tǒng)安全手段防護(hù)效果甚微
大數(shù)據(jù)在全生命周期過程中呈現(xiàn)出數(shù)據(jù)動態(tài) 化、密級多樣化、權(quán)屬復(fù)雜化、使用實(shí)時化、價值最大化的特點(diǎn),這些特點(diǎn)導(dǎo)致了大數(shù)據(jù)環(huán)境下的攻 擊手段多樣化。攻擊程序不斷更新迭代,使得大數(shù) 據(jù)在全生命周期過程中被竊取、被濫用、被篡改的風(fēng)險不斷增大。傳統(tǒng)的安全手段及體系呈現(xiàn)出單點(diǎn)、 靜態(tài)防護(hù)的特點(diǎn),在應(yīng)對大數(shù)據(jù)環(huán)境下的安全威脅時會出現(xiàn)防護(hù)效果不佳,甚至失效的情況,也為數(shù)據(jù)安全威脅的追蹤溯源帶來了更大的挑戰(zhàn)。
1.3 大數(shù)據(jù)價值高導(dǎo)致數(shù)據(jù)更易遭受攻擊竊取
大數(shù)據(jù)經(jīng)挖掘分析后能產(chǎn)生具有極高價值的數(shù)據(jù)產(chǎn)品,這些產(chǎn)品能夠?yàn)榻?jīng)濟(jì)、社會、國家戰(zhàn)略等活動提供決策支撐;但與此同時,大數(shù)據(jù)產(chǎn)品極易吸引內(nèi)部非法人員的攻擊竊取。這類攻擊呈現(xiàn)出長 期潛伏、難以發(fā)現(xiàn)的特點(diǎn),現(xiàn)有態(tài)勢感知及應(yīng)急處 置等協(xié)同防御手段無法有效應(yīng)對此類威脅,更無法 有效發(fā)現(xiàn)未知威脅,使得高價值數(shù)據(jù)面臨巨大的安 全風(fēng)險。
02 大數(shù)據(jù)安全需求分析
2.1 大數(shù)據(jù)體系化防護(hù)需求
大數(shù)據(jù)系統(tǒng)及平臺的可靠、安全運(yùn)行是信息系統(tǒng)運(yùn)行的重要基本保障,但也往往成為對手首要攻擊對象。數(shù)據(jù)對經(jīng)濟(jì)決策、社會治理、國家安全等活動具有重大意義,其安全的重要性不言而喻。 近年來發(fā)生的由于內(nèi)部管理不規(guī)范導(dǎo)致的斯諾登事件, 美軍士兵運(yùn)動信息被收集導(dǎo)致美軍事基地暴露, 劍橋數(shù)據(jù)分析公司惡意影響美國總統(tǒng)大選等,證明 網(wǎng)絡(luò)空間對抗的日益常態(tài)化、高級化、復(fù)雜化,也 暴露出單純使用漏洞移除、打補(bǔ)丁、訪問控制、邊界防護(hù)等傳統(tǒng)安全防護(hù)技術(shù)的網(wǎng)絡(luò)空間靜態(tài)防御難以預(yù)防動態(tài)的內(nèi)外部復(fù)雜攻擊,需要積極探索大數(shù)據(jù)安全動態(tài)化、體系化防御框架。
2.2 大數(shù)據(jù)安全綜合治理需求
數(shù)據(jù)來源眾多、密級不同,對不同級別數(shù)據(jù)的管理和防護(hù)要求也不相同,為了高效安全使用多來源、多種類、多密級海量數(shù)據(jù),充分體現(xiàn)并發(fā)揮大 數(shù)據(jù)在各領(lǐng)域價值,需要對大數(shù)據(jù)進(jìn)行綜合安全治 理 [5-7]。大數(shù)據(jù)綜合安全治理需要在分級分類基礎(chǔ)上,為數(shù)據(jù)添加屬性標(biāo)識,并根據(jù)數(shù)據(jù)屬性進(jìn)行細(xì)粒度全生命周期安全防護(hù)。在體系化安全防護(hù)中, 首先,需制定數(shù)據(jù)安全防護(hù)基線,并對數(shù)據(jù)安全保密能力進(jìn)行評估;其次,針對數(shù)據(jù)共享、數(shù)據(jù)應(yīng)用等過程提供多層次安全保密服務(wù),并制定針對不同 密級數(shù)據(jù)的安全防護(hù)策略;最后,針對任何可疑數(shù)據(jù)行為,特別是內(nèi)部行為提供追蹤溯源能力。通過大數(shù)據(jù)綜合安全治理,可為大數(shù)據(jù)在全生命周期過程中面臨的安全威脅提供事前預(yù)防、事中發(fā)現(xiàn)、事后溯源的體系化安全保密防御能力。
2.3 大數(shù)據(jù)智能化及動態(tài)化體系防護(hù)需求
隨著云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的發(fā) 展,針對大數(shù)據(jù)的攻擊手段呈現(xiàn)出多樣化、自動化、 智能化的特點(diǎn)。為有效應(yīng)對新的攻擊手段及新型安 全威脅,迫使安全防護(hù)手段必須向智能化、動態(tài)化 防護(hù)方向演進(jìn)。數(shù)據(jù)在全生命周期流通過程中,訪問用戶的身份、數(shù)據(jù)的權(quán)屬關(guān)系、數(shù)據(jù)的訪問行為等都在動態(tài)發(fā)生變化;因此,安全防護(hù)系統(tǒng)需要對用戶身份和權(quán)限進(jìn)行動態(tài)評估和識別,同時對數(shù)據(jù)資產(chǎn)也要進(jìn)行動態(tài)梳理,并對數(shù)據(jù)的訪問行為進(jìn)行動態(tài)監(jiān)控,實(shí)現(xiàn)大數(shù)據(jù)的智能化、動態(tài)化、體系化 安全防護(hù)。
03 大數(shù)據(jù)安全動態(tài)防御模型
基于以上對大數(shù)據(jù)安全風(fēng)險的分析,面向大數(shù)據(jù)動態(tài)防御需求,圍繞大數(shù)據(jù)全生命周期活動,通過數(shù)據(jù)分類分級, 構(gòu)建“梳—管—控—監(jiān)—評—溯” 的動態(tài)防御體系模型。在該模型中, 通過密碼保密、 身份認(rèn)證、數(shù)據(jù)安全標(biāo)簽、權(quán)限管控、日志審計(jì)、分級分類、行為分析、流量分析等數(shù)據(jù)安全支撐技術(shù)共同形成數(shù)據(jù)安全服務(wù)增強(qiáng)、數(shù)據(jù)分級分類保護(hù)、 數(shù)據(jù)追蹤溯源、數(shù)據(jù)安全防護(hù)能力評估等一系列安 全防護(hù)能力,構(gòu)建大數(shù)據(jù)動態(tài)防護(hù)體系,提供大數(shù) 據(jù)動態(tài)防御能力。
圖 1 中的大數(shù)據(jù)動態(tài)防御模型是從大數(shù)據(jù)生命周期和大數(shù)據(jù)平臺兩個維度全方位考慮動態(tài)安全防護(hù)能力,其形成的動態(tài)防護(hù)流程如下文所述。
(1)對數(shù)據(jù)生產(chǎn)者、數(shù)據(jù)消費(fèi)者、數(shù)據(jù)提供 者產(chǎn)生的數(shù)據(jù)進(jìn)行梳理,重點(diǎn)是按照數(shù)據(jù)分類分級標(biāo)準(zhǔn)對各類敏感數(shù)據(jù)資產(chǎn)進(jìn)行梳理, 包括系統(tǒng)信息、 人員信息、業(yè)務(wù)信息等,讓數(shù)據(jù)擁有者或管理者了解自己數(shù)據(jù)的分布情況。
(2)在數(shù)據(jù)各類應(yīng)用場景下, 根據(jù)數(shù)據(jù)等級、 用戶防護(hù)需求,制定不同的數(shù)據(jù)安全防護(hù)策略,并將策略分發(fā)至各類安全防護(hù)設(shè)備,防護(hù)設(shè)備依據(jù)防護(hù)策略對數(shù)據(jù)各種流程進(jìn)行管控,在對各類數(shù)據(jù)流程進(jìn)行管控的過程中,應(yīng)根據(jù)用戶的權(quán)限和數(shù)據(jù)的屬性實(shí)施細(xì)粒度權(quán)限管控,細(xì)粒度權(quán)限管控應(yīng)涉及數(shù)據(jù)平臺自身安全、數(shù)據(jù)源與數(shù)據(jù)平臺間、數(shù)據(jù)平臺與業(yè)務(wù)應(yīng)用系統(tǒng)間、業(yè)務(wù)應(yīng)用系統(tǒng)與終端用戶(數(shù) 據(jù)消費(fèi)者)間等典型場景。
(3)對數(shù)據(jù)在生命周期各階段的行為進(jìn)行監(jiān)控,重點(diǎn)對異常數(shù)據(jù)資產(chǎn)進(jìn)行監(jiān)控,并提供數(shù)據(jù)安 全態(tài)勢感知和態(tài)勢展示。
(4)對數(shù)據(jù)行為監(jiān)控過程中發(fā)現(xiàn)的異常行為或威脅進(jìn)行追蹤溯源,將溯源結(jié)果和各類安全設(shè)備反饋的安全策略執(zhí)行情況進(jìn)行綜合分析,對數(shù)據(jù)安全防護(hù)效能進(jìn)行動態(tài)評估,并根據(jù)評估結(jié)果對安全策略進(jìn)行及時調(diào)整。
通過上述過程的循環(huán)執(zhí)行, 持續(xù)進(jìn)行數(shù)據(jù)梳理、 策略制定、流程管控、行為監(jiān)控、溯源評估、態(tài)勢展現(xiàn)的動態(tài)防護(hù)過程,能夠形成對數(shù)據(jù)實(shí)時可感、 可知、可視的動態(tài)防護(hù)能力。
圖 1 大數(shù)據(jù)動態(tài)防御模型
04 大數(shù)據(jù)安全動態(tài)防御關(guān)鍵技術(shù)
4.1 數(shù)據(jù)資產(chǎn)可視化分級分類保護(hù)技術(shù)
近年來,越來越多的科技工作者開始了大數(shù)據(jù)安全技術(shù)的研究,涉及到大數(shù)據(jù)自身安全和大數(shù)據(jù)技術(shù)應(yīng)用到安全兩方面 ,本文提出的面向動態(tài)防御的大數(shù)據(jù)安全技術(shù)涉及大數(shù)據(jù)自身安全,主要包括以下 5 個技術(shù)路線。
針對海量數(shù)據(jù)及屬性難維護(hù)、異構(gòu)數(shù)據(jù)模型不統(tǒng)一、安全威脅不直觀、敏感數(shù)據(jù)資產(chǎn)可視能力不 足等問題, 數(shù)據(jù)資產(chǎn)可視化分級分類保護(hù)技術(shù) [11-12] 根據(jù)數(shù)據(jù)分類分級標(biāo)準(zhǔn),實(shí)現(xiàn)多來源、多種類、多 密級、多種安全保密防護(hù)要求以及不同網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)資產(chǎn)的綜合管理能力,支撐數(shù)據(jù)綜合安全治理 裝備體系構(gòu)建,滿足數(shù)據(jù)在不同應(yīng)用場景下多密級 安全保密策略的動態(tài)化、體系化管控需求。數(shù)據(jù)資 產(chǎn)可視化分級分類保護(hù)技術(shù)主要包括數(shù)據(jù)分級保護(hù) 策略自動化生成技術(shù)、敏感資產(chǎn)自動化發(fā)現(xiàn)技術(shù)、 多場景數(shù)據(jù)資產(chǎn)威脅可視化分析處理技術(shù)。
4.1.1 數(shù)據(jù)分級保護(hù)策略自動化生成技術(shù)
數(shù)據(jù)在多應(yīng)用場景下,存在多密級的情況,不 同業(yè)務(wù)的安全防護(hù)需求在不同密級情況下要求也不 同。針對大數(shù)據(jù)的多源異構(gòu)數(shù)據(jù),利用數(shù)據(jù)安全標(biāo)識,在數(shù)據(jù)安全基線的基礎(chǔ)上,構(gòu)建統(tǒng)一數(shù)據(jù)安全 模型,自動生成安全防護(hù)策略,建立數(shù)據(jù)安全屬性 與安全保密能力的連接關(guān)系,提供多層次安全防護(hù) 策略,實(shí)現(xiàn)自動化數(shù)據(jù)安全防護(hù)。
4.1.2 敏感資產(chǎn)自動化發(fā)現(xiàn)技術(shù)
基于數(shù)據(jù)分類分級標(biāo)準(zhǔn),研究敏感數(shù)據(jù)屬性 分類機(jī)制,統(tǒng)一敏感數(shù)據(jù)結(jié)構(gòu)描述方法,建立統(tǒng)一 的敏感數(shù)據(jù)發(fā)現(xiàn)體系。此外,在統(tǒng)一發(fā)現(xiàn)體系基礎(chǔ)
上,實(shí)現(xiàn)敏感數(shù)據(jù)資產(chǎn)及其屬性和數(shù)據(jù)關(guān)系的自動 發(fā)現(xiàn), 全面盤點(diǎn)敏感數(shù)據(jù)資產(chǎn), 形成敏感數(shù)據(jù)地圖。
4.1.3 多場景數(shù)據(jù)資產(chǎn)威脅可視化分析處理技術(shù)
研究海量異構(gòu)數(shù)據(jù)信息在數(shù)據(jù)生命周期各階段 不同場景下的威脅可視化呈現(xiàn)方式和操作方式,并 基于數(shù)據(jù)分類分級,將數(shù)據(jù)威脅與敏感數(shù)據(jù)自動關(guān)聯(lián),實(shí)現(xiàn)敏感數(shù)據(jù)威脅的高效可視化管控,提升綜合安全治理決策效率。
4.2 數(shù)據(jù)安全風(fēng)險感知與協(xié)同防御技術(shù)
面向大數(shù)據(jù)環(huán)境下的各類信息系統(tǒng)和業(yè)務(wù)系統(tǒng),通過數(shù)據(jù)采集、傳輸、存儲、處理、交換和銷 毀的各個環(huán)節(jié)存在的各種脆弱性和威脅,研究數(shù)據(jù)安全風(fēng)險智能感知、風(fēng)險評估和協(xié)同防御技術(shù) [13-15], 為大數(shù)據(jù)動態(tài)防御體系提供用于智能化決策的預(yù)警信息并制定動態(tài)協(xié)同防御策略,有力支撐大數(shù)據(jù)動 態(tài)防御體系構(gòu)建。數(shù)據(jù)安全風(fēng)險感知與協(xié)同防御技術(shù)主要包括全態(tài)化防御信息采集及行為分析技術(shù)、 數(shù)據(jù)安全風(fēng)險智能識別技術(shù)、數(shù)據(jù)安全態(tài)勢預(yù)測模型和評估指標(biāo)體系、攻擊評估與協(xié)同防御技術(shù)。
4.2.1 全態(tài)化防御信息采集及行為分析技術(shù)
從多維度、全方位進(jìn)行全態(tài)化數(shù)據(jù)收集,研究數(shù)據(jù)系統(tǒng)中軟硬件、網(wǎng)絡(luò)、業(yè)務(wù)多種類信息精準(zhǔn)、高效、可動態(tài)調(diào)整采集方法;并基于采集的數(shù)據(jù), 構(gòu)建數(shù)據(jù)及網(wǎng)絡(luò)流量的行為特征模型,通過數(shù)據(jù)通 信協(xié)議特征、訪問行為與訪問接口之間的關(guān)系,構(gòu)建流量分析模型和內(nèi)容分析模型,通過特征學(xué)習(xí)、 關(guān)系學(xué)習(xí)等流量分析和內(nèi)容識別手段發(fā)現(xiàn)隱藏在數(shù)據(jù)流量中的安全威脅。
4.2.2 數(shù)據(jù)安全風(fēng)險智能識別技術(shù)
首先,研究并建立一種形式化數(shù)據(jù)安全風(fēng)險描述模型,構(gòu)建大數(shù)據(jù)環(huán)境下數(shù)據(jù)流經(jīng)的環(huán)境安全風(fēng)險集;其次,基于粗糙集理論研究數(shù)據(jù)安全風(fēng)險篩選規(guī)則技術(shù),從安全事件中學(xué)習(xí)規(guī)則,使獲得的各安全域的數(shù)據(jù)安全風(fēng)險更加貼近真實(shí)情況,從而能夠準(zhǔn)確實(shí)時地識別出數(shù)據(jù)安全風(fēng)險。
4.2.3 數(shù)據(jù)安全態(tài)勢預(yù)測模型和評估指標(biāo)體系
研究大數(shù)據(jù)環(huán)境下安全態(tài)勢數(shù)據(jù)采集和統(tǒng)一的信息交互表示協(xié)議和標(biāo)準(zhǔn)、系統(tǒng)配置漏洞、運(yùn)行環(huán)境漏洞、目標(biāo)代碼漏洞及其關(guān)聯(lián)環(huán)境漏洞,提出對漏洞、違規(guī)操作、攻擊行為的多維度監(jiān)測識別手段。 研究態(tài)勢量化評估和預(yù)測模型,利用機(jī)器深度學(xué)習(xí)態(tài)勢評估算法實(shí)現(xiàn)安全態(tài)勢綜合評估,基于攻擊意圖推演實(shí)現(xiàn)態(tài)勢趨勢預(yù)測和預(yù)警。
4.2.4 攻擊評估與協(xié)同防御技術(shù)
針對大數(shù)據(jù)環(huán)境下的惡意行為的攻擊階段、影響范圍、威脅程度進(jìn)行智能化評估,并結(jié)合實(shí)際情況制定相應(yīng)的防御措施,分級別、分層次、分范圍地對大數(shù)據(jù)系統(tǒng)進(jìn)行協(xié)同防御策略制定和分發(fā),形成圍繞“網(wǎng)絡(luò)—應(yīng)用—平臺—數(shù)據(jù)”的協(xié)同防御系統(tǒng),提供大數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)“一處發(fā)現(xiàn)威脅,全網(wǎng)協(xié) 同防御”的能力。
4.3 數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)
數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)針對大數(shù)據(jù)場景下數(shù)據(jù) 安全服務(wù)面臨的身份仿冒、越權(quán)訪問、數(shù)據(jù)監(jiān)聽、 惡意攻擊等問題,提升大數(shù)據(jù)服務(wù)的身份安全驗(yàn)證能力和數(shù)據(jù)共享使用時的細(xì)粒度訪問控制能力,提供數(shù)據(jù)服務(wù)系統(tǒng)配置自動化處理、動態(tài)編排、動態(tài) 調(diào)整、快速集成等數(shù)據(jù)安全增強(qiáng)服務(wù),保證各類敏感數(shù)據(jù)的合理、安全、保密等共享使用。數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)主要包括數(shù)據(jù)服務(wù) Web 服務(wù)透明加固和細(xì)粒度參數(shù)保護(hù)技術(shù),安全配置自動生成、動態(tài)部署及監(jiān)控技術(shù),
安全服務(wù)能力在線編排與重構(gòu)、 調(diào)整調(diào)度、快速集成技術(shù)。
4.3.1 數(shù)據(jù)服務(wù) Web 服務(wù)透明加固和細(xì)粒度參數(shù)保護(hù)技術(shù)
針對數(shù)據(jù)服務(wù)缺乏細(xì)粒度管控,數(shù)據(jù)服務(wù)缺乏保護(hù)等問題, 研究大數(shù)據(jù)服務(wù)場景下的 Web 服務(wù)透明化加固和參數(shù)級管控技術(shù),實(shí)現(xiàn)對業(yè)務(wù)透明的數(shù)據(jù)加密和參數(shù)粒度的數(shù)據(jù)安全管控。
4.3.2 安全配置自動生成、動態(tài)部署及監(jiān)控技術(shù)
研究安全配置自動生成并將目標(biāo)系統(tǒng)模型自動轉(zhuǎn)化為機(jī)器可識讀的配置劇本以及安全配置的形式 化驗(yàn)證方法,確保配置高層語義滿足一致性條件和 正確性、安全性要求。研究在編排器和控制器上將高層安全配置劇本按照全局一致性和過渡一致性的約束下執(zhí)行配置指令及以及系統(tǒng)運(yùn)行狀態(tài)與抽象描述一致性監(jiān)控方法。
4.3.3 安全服務(wù)能力在線編排與重構(gòu)、調(diào)整調(diào)度、 快速集成技術(shù)
面向服務(wù)節(jié)點(diǎn)應(yīng)用場景的特定需要,通過對基 礎(chǔ)安全服務(wù)按照一定模式流程的順序關(guān)聯(lián)調(diào)用,抑或針對基礎(chǔ)安全保密服務(wù)的模式化擴(kuò)展,實(shí)現(xiàn)安全服務(wù)節(jié)點(diǎn)安全服務(wù)能力在線編排、重構(gòu)、調(diào)整調(diào)度 和快速集成。
4.4 數(shù)據(jù)安全能力綜合評估技術(shù)
數(shù)據(jù)安全能力綜合評估技術(shù)針對大數(shù)據(jù)環(huán)境下的各類數(shù)據(jù)安全設(shè)備和大數(shù)據(jù)平臺等對象實(shí)體,按 照數(shù)據(jù)安全動態(tài)防護(hù)的思路,以數(shù)據(jù)安全能力動態(tài)評估與持續(xù)提升為目標(biāo),通過對各數(shù)據(jù)安全設(shè)備的據(jù)安全策略執(zhí)行效果、大數(shù)據(jù)平臺自身安全脆弱 性情況,以及數(shù)據(jù)生命周期重要環(huán)節(jié)過程控制情況 等進(jìn)行稽查和評估,核實(shí)數(shù)據(jù)安全策略以及過程控制等執(zhí)行情況,判斷各數(shù)據(jù)安全能力是否充分和有效發(fā)揮,達(dá)到對各數(shù)據(jù)安全設(shè)備、大數(shù)據(jù)平臺內(nèi)生的數(shù)據(jù)安全能力的“可視、可查、可審”的目的, 以及優(yōu)化數(shù)據(jù)安全防護(hù)策略,為數(shù)據(jù)安全能力持續(xù)改進(jìn)、迭代提升提供支撐。數(shù)據(jù)安全能力綜合評估技術(shù)主要包括數(shù)據(jù)安全能力智能稽查技術(shù)、數(shù)據(jù)安全風(fēng)險智能評估技術(shù)。
4.4.1 數(shù)據(jù)安全能力智能稽查技術(shù)
研究數(shù)據(jù)安全設(shè)備的策略配置、安全配置等數(shù)據(jù)安全配置基線的智能構(gòu)建以及實(shí)時監(jiān)控技術(shù),并構(gòu)建數(shù)據(jù)安全綜合監(jiān)控模型。
4.4.2 數(shù)據(jù)安全風(fēng)險智能評估技術(shù)
通過對大數(shù)據(jù)平臺自身安全配置和安全漏洞進(jìn)行掃描,基于人工智能和機(jī)器學(xué)習(xí)對數(shù)據(jù)行為綜合 關(guān)聯(lián)分析,構(gòu)建大數(shù)據(jù)安全能力智能評估模型,構(gòu)建智能評估體系。
4.5 數(shù)據(jù)安全風(fēng)險追蹤溯源技術(shù)
數(shù)據(jù)安全風(fēng)險追蹤溯源技術(shù)針對大數(shù)據(jù)環(huán)境下 的數(shù)據(jù)安全風(fēng)險存在動態(tài)變化的新情況,對數(shù)據(jù)訪問行為監(jiān)控、全路徑追蹤溯源以及安全風(fēng)險根因分 析等技術(shù)開展研究,實(shí)現(xiàn)數(shù)據(jù)的風(fēng)險追蹤溯源,為安全防御策略制定提供支撐,確保數(shù)據(jù)全生命周期安全、可控。主要包括多源異構(gòu)數(shù)據(jù)行為監(jiān)控與全路徑追蹤溯源技術(shù)、數(shù)據(jù)安全風(fēng)險根因分析技術(shù)。
4.5.1 多源異構(gòu)數(shù)據(jù)行為監(jiān)控與全路徑追蹤溯源技術(shù)
研究各類數(shù)據(jù)形態(tài)的數(shù)據(jù)實(shí)體,及數(shù)據(jù)流轉(zhuǎn)過程中實(shí)體之間的依賴關(guān)系提取技術(shù),構(gòu)建數(shù)據(jù)分布情況信息庫、數(shù)據(jù)等級分布情況信息庫、數(shù)據(jù)使用情況信息庫以及數(shù)據(jù)血緣關(guān)系庫。以數(shù)據(jù)標(biāo)簽為基礎(chǔ),將數(shù)據(jù)標(biāo)簽與數(shù)據(jù)結(jié)合并貫穿于數(shù)據(jù)整個生命周期,利用大數(shù)據(jù)綜合關(guān)聯(lián)分析及機(jī)器學(xué)習(xí)對數(shù)據(jù)行為進(jìn)行分析并實(shí)行監(jiān)管。數(shù)據(jù)追蹤溯源是實(shí)現(xiàn)權(quán) 責(zé)分離、數(shù)據(jù)安全管控的重要基礎(chǔ),基于標(biāo)識實(shí)現(xiàn)數(shù)據(jù)全生命周期的唯一性,通過對結(jié)構(gòu)化、非結(jié)構(gòu) 化、半結(jié)構(gòu)化的數(shù)據(jù)按照內(nèi)容屬性、安全屬性、簽 名屬性等不同視角進(jìn)行標(biāo)注,對每個數(shù)據(jù)的跨域訪問進(jìn)行全路徑追蹤溯源。
4.5.2 數(shù)據(jù)安全風(fēng)險根因分析技術(shù)
根據(jù)數(shù)據(jù)流轉(zhuǎn)、調(diào)用鏈等信息流勾勒數(shù)據(jù)流動 畫像;利用強(qiáng)化學(xué)習(xí)、逆強(qiáng)化學(xué)習(xí)等算法建立根因追溯模型;基于圖搜索等根因追溯算法,進(jìn)行根因定位;構(gòu)建安全風(fēng)險根因追溯評估指標(biāo),對根因追溯模型及算法準(zhǔn)確性進(jìn)行有效評估;研究基于數(shù)據(jù) 安全風(fēng)險根因的主動防御系統(tǒng)聯(lián)動機(jī)制,在發(fā)生安全風(fēng)險時能夠及時采取對系統(tǒng)影響最小的應(yīng)對措施進(jìn)行阻斷。
05 結(jié) 語
本文在分析了大數(shù)據(jù)的安全風(fēng)險和動態(tài)防御方面安全需求的基礎(chǔ)上,圍繞數(shù)據(jù)全生命周期,給出了面向動態(tài)防御的“梳—管—控—監(jiān)—評—溯”大數(shù)據(jù)安全防御模型,對模型的動態(tài)防護(hù)流程進(jìn)行了說明并對模型中涉及的數(shù)據(jù)資產(chǎn)可視化分級分類保護(hù)技術(shù)、數(shù)據(jù)安全風(fēng)險感知與協(xié)同防御技術(shù)、數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)、數(shù)據(jù)安全能力綜合評估技術(shù)以 及數(shù)據(jù)安全風(fēng)險追蹤溯源技術(shù)進(jìn)行了討論和研究。 本文提出的思路和方法體現(xiàn)了大數(shù)據(jù)安全體系化動態(tài)防御的先進(jìn)性和實(shí)用性,能夠?yàn)橄嚓P(guān)的研究提供指導(dǎo)和借鑒。
引用本文: 許杰, 張鋒軍, 陳捷, 等 . 面向動態(tài)防御的大數(shù)據(jù)安全技術(shù)研究 [J]. 通信技術(shù), 2021, 54(11):2551-2556.
作者簡介 >>>
許 杰 , 男, 博 士, 高 級 工程師,主要研究方向?yàn)榇髷?shù)據(jù)安全、信息 安全;
張鋒軍, 男, 博士研究生,研究員級高工,主要研究方向?yàn)樵朴?jì)算和大數(shù)據(jù)安全、信息系統(tǒng)智能管控技術(shù);
陳 捷, 博士研究生, 研究員級高工, 主要研究方向?yàn)橥ㄐ啪W(wǎng)絡(luò)與信息安全;
李慶華 , 男, 學(xué)士, 高級工程師, 主要 研究方向?yàn)檐浖こ?、云?jì)算與大數(shù)據(jù)安全技術(shù);
牛作元 ,男, 碩士, 高級工程師, 主要 研究方向?yàn)樵朴?jì)算與大數(shù)據(jù)安全;
石 凱 , 男, 碩士, 工程師, 主要研究方向?yàn)樵朴?jì)算與大數(shù)據(jù)安全。
選自《通信技術(shù)》2021年第11期
來源:信息安全與通訊保密雜志社