摘　要

　　大數據時代，數據泄露事件層出不窮，數據安全已經成為阻礙大數據發展的主要因素之一。因此，確保大數據時代下敏感數據的安全尤為重要。針對大數據安全所面臨的挑戰，提出以數據安全治理為中心的安全防護方案，重點從數據全生命周期的角度闡述了數據流轉每個環節中的安全風險以及防護措施，為大數據環境下敏感數據的安全提供全方位的保障。

　　0　引　言

　　當前大數據已經融入社會各行各業中，它對社會經濟、教育、醫療、金融，甚至人們的消費習慣、思維習慣都帶來了非常大的轉變，充分展現了“世界是平的、溝通一瞬間”，實現了“存儲云共享、交流全息化”。但是我們也要看到，大數據是一把雙刃劍，在給我們帶來各種便利的同時，也伴隨著越來越多信息安全問題。比如經常接到保險推銷、賣房推銷電話、提供貸款電話、早教班、輔導培訓班推薦……這樣的例子比比皆是，給我們的生活帶來了很多困擾。IBM Security 和 Ponemon Institute 發布的《2018 年數據泄露成本分析報告》（如圖1所示），數據泄露的平均成本從2017年的362萬美元上升到386萬美元，平均每條失竊記錄的成本從141美元上升為148美元， 數據泄露的成本和數量都在持續攀升。

　　圖 1  單條數據泄露成本分析

　　我們不禁要問，這些敏感數據是怎么泄露的？特別是近些年，資產的價值從有形的實體資產向無形的數據資產轉移，數據的重要性被不斷提高。這些重要數據和個人信息在采集、存儲、傳輸、使用、共享、銷毀過程中的每個環節都有泄露風險，一旦泄露將造成不可估量的損失，尤其對于政府職能部門，小至騷擾電話、電信詐騙等造成公民個人的經濟損失，大到國家政策和宏觀調控的影響，造成國家利益損害。

　　國家對重要數據安全也越來越重視，一方面，相關的法律、法規越來越多，如《網絡安全法》規定個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，明確網絡運營者處理個人信息的規則；《互聯網個人信息安全保護指南》，該指南系首個由公安部牽頭出臺、現行有效且專門針對個人信息安全的文件，納入了網絡安全等級保護系列標準中的部分管理、技術要求，適用于通過互聯網提供服務的企業，也適用于使用專網或非聯網環境控制和處理個人信息的組織或個人；《數據安全管理辦法》（征求意見稿）明確要求網絡運營者通過網站、應用程序等產品收集使用個人信息，應當分別制定并公開收集使用規則。另一方面，國家不斷提升監管力度，公安部召開320會議發布的《關于緊急排查整改重要數據和公民個人信息泄露安全隱患的通知》，要求各單位做好數據安全防護工作，防止數據泄露。

　　1　數據安全面臨挑戰

　　1.1　數據流轉復雜化使得數據泄露風險增大

　　大數據的環境下，數據生命周期增加了共享、交易等環節，數據的流動是“常態”，數據的靜止存儲才是“非常態”，多環節的信息隱性留存，導致數據流轉追蹤難、控制難。因此在復雜的流轉環境中，數據安全的首要需求是，如何保證國家重要數據、企業機密數據以及用戶個人數據等敏感數據的安全。實施和推進信息系統整合共享等一系列的舉措，海量數據資源進一步共享和匯聚，怎樣防止數據在使用、流通過程中不被非法復制、傳播和篡改等泄露行為的發生，成為又一大挑戰。

　　1.2　攻擊手段多樣化，傳統安全技術不足以防護

　　大數據存儲、計算、分析等技術的發展，催生出很多新型高級的網絡攻擊手段，使得傳統的檢測、防御技術暴露出嚴重不足，無法有效抵御外界的入侵攻擊。傳統防護通過在網絡邊界部署防火墻、IPS、IDS 等安全設備，以流量分析和邊界防護的方式提供保護，而針對大數據環境下的高級可持續攻擊（APT）通常具有隱蔽性高，感知困難等特點，常規安全措施基本無法防御。傳統防護體系側重于單點防護，而大數據環境下的網絡攻擊手段及攻擊程序大量增多，導致出現了許多傳統安全防護體系無法應對的問題，企業所面臨的風險在不斷增加。

　　1.3　大數據中的用戶個人信息安全問題突出

　　近年來我國網絡購物、共享經濟、移動支付等數據經濟發展迅猛，為廣大民眾提供便捷的服務。然而，用戶享受便捷服務的同時也存在著個人信息泄露的風險。如淘寶、亞馬遜、京東等各大購物網站都在記錄著用戶的購物習慣；QQ、微博、電話記錄等竊聽用戶的社交關系網；監視系統監控著用戶的 Email、聊天記錄、上網記錄等。個人隱私的泄露可能影響到個人的情感、身體以及財物等多個方面。但是在大數據時代，基于大數據對人們狀態和行為的預測也是當前面臨的主要威脅。如上所述的各大購物網站記錄人們的購物習慣，然后基于這些數據推測人們的需求，進而進行廣告的推送等，這些行為往往會對人們日常生活造成騷擾。因此，如何有效保護個人信息的安全，是大數據時代面臨的巨大挑戰之一。

　　2　數據安全治理理念

　　在Gartner 2017安全與風險管理峰會上，首次提到數據安全治理（Data Scurity Governance）這一概念，定義數據安全治理絕不僅僅是一套用工具組合的產品級解決方案，而是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條，并認為數據安全治理是新形勢下有效的數據安全防護手段。

　　傳統網絡安全為信息系統多方設防，相對于系統內的數據則屬于靜態保護，因為防御措施不隨被保護的數據本身變化流動，對系統內部人員泄露數據難以防范，所以是防外不防內。大數據環境中，對內部竊取、濫用、疏忽等數據泄露風險有效的數據安全防護，關鍵在于明確哪些數據需要防護，各需要什么等級的防護，在此基礎上設置相應的靶向防護策略與落地措施。數據安全治理思路如圖2所示，首先通過數據分類分級找出需要保護的敏感數據，然后通過一系列技術措施盯住這些敏感數據，無論敏感數據在全網什么地方、往哪里流動變化衍生，都能進行精準的定位、追蹤、告警、阻斷、溯源等，執行分類分級的監控防護。所以，數據安全治理后的落地技術措施是靶向盯住敏感數據并隨之流轉變化的動態監控，不分內外， 而是全網追蹤、內外兼防。

　　圖 2  數據安全治理思路

　　3　數據安全治理流程

　　數據安全治理流程，如圖3 所示。通過對相關法規標準的梳理，結合實際的業務場景數量，對信息系統中的數據進行安全性分類分級，制定相應的分類分級防護策略、數據安全架構及組織制度保障，形成對數據全生命周期的安全管控，對管控效果定期檢查、審計、評估，建立安全組織架構和制度，并將各項安全策略與架構落實到全套安全技術手段和安全服務措施中，從而實現對敏感信息的細粒度、全方位靶向監控，建立有效的數據安全防護體系。

　　圖 3  數據安全治理流程

　　4　數據安全治理落地措施

　　數據安全治理落地措施如圖4所示。包括基于全生命周期的數據安全防護、檢查評估措施和安全服務措施三方面內容。

　　圖 4  數據安全治理落地措施

　　4.1　基于全生命周期的數據安全防護

　　對數據生命周期的采集、存儲、傳輸、使用、共享、銷毀等環節進行防護，對涉密、重要、個人隱私、業務機密、傳播違禁等敏感數據執行靶向監控，實現針對數據的分類分級型安全防護。

　　4.1.1　數據采集環節

　　本環節主要關注采集的數據是否符合國家法律法規以及相關行業的規定？是否合規？并且采集的數據中是否存在各種涉密信息、用戶信息和業務敏感信息？從繁雜龐大的數據中發現敏感數據并進行安全保護，就很有必要對數據進行梳理，通過數據分類分級和數據標識，快速準時地識別出敏感數據并開展數據跟蹤溯源。

　　因此，數據采集環節需要進行針對敏感數據分類分級及其來源屬性的標記、數據來源驗證等操作，以便后期對數據的泄露溯源。

　　4.1.2　數據存儲和傳輸環節

　　本環節主要關注：①數據的傳輸是否合規？是否存在高安全域終端向低安全域終端非法傳輸、拷貝機密信息等行為，同時也可能存在非法用戶獲取合法權限向數據中心調用和查看高密級信息的風險；②存儲在數據庫和服務器的數據是否存在數據泄露的風險？

　　數據傳輸存儲環節中的數據安全防護技術措施：

　?。?）敏感數據自動識別技術

　　使用自然語言處理、數據挖掘和機器學習技術的聚類/分類器，配合機器學習自動生成規則庫，以提高對敏感內容識別的準確率和可靠性。

　?。?）敏感數據發現、定位能力

　　對敏感數據定位的策略手段，包括結構化數據和非結構化數據的定位，可以對敏感信息進行定位，如源代碼、技術文檔、運營資料、政券信息等，實現有效的防護控制。

　　（3）權限管控

　　根據文件的重要程度，按照組織架構（部門、用戶、項目組等）對文件進行敏感分級授權管理。如可以對文檔進行分級授權，設置只讀、打印、修改、再次授權、閱讀次數及生命周期等權限，授權用戶只能按規定權限使用數據，無法通過屬性修改、內容復制、副本另存等方式越權使用。

　?。?）透明加解密

　　透明加密意味著加密不需要太多的額外管理，主要體現在兩個方面：首先，應用程序透明，用戶或者開發商不需要對應用程序做任何改造；其次是加解密透明，對于具備密文訪問權限的用戶自動進行加解密，對于缺乏密文訪問權限的用戶拒絕訪問。

　　（5）風險審計

　　記錄所有外發數據的行為日志，依據安全規則及時發現異常行為并告警，提高安全人員的響應速度，并為事后的審計追溯提供依據。

　?。?）數據緩慢泄露防護

　　統計敏感數據在指定時間段內的持續累計泄露行為，并進行響應。

　　4.1.3　數據使用環節

　　本環節主要關注如何防控內部人員竊密、濫用和疏忽而導致的數據泄露風險；怎樣防止開發、測試、分析和運維人員等獲取敏感數據。

　　數據使用環節安全防護的目標是保障數據在授權范圍內被訪問、處理，防止數據遭竊取、泄露、損毀。為實現這一目標，在下一代防火墻、防DDoS、漏洞檢測等網絡安全防護技術措施外，還需要針對數據庫訪問、數據庫操作、數據第三方共享使用等環節和過程進行安全防護。

　　敏感數據脫敏技術從保護敏感數據機密性的角度出發，對敏感數據進行模糊化處理，特別是對姓名、手機號碼、身份證件號碼等用戶個人敏感信息，當需要查詢原始敏感信息時，需要應用進行二次鑒權。在準生產區進行系統的開發、測試、培訓或數據挖掘算法驗證時，需要對生產數據進行批量脫敏，導入準生產區環境。

　　4.1.4　數據共享環節

　　本環節主要關注如何管控高密級數據流向低密級業務口；如何將人、設備的身份權限對應到應用、服務及數據的安全級別上。

　　在大數據平臺的安全防護體系中，“零信任”身份權限控制是必要措施。在數據安全性分類分級的基礎上建立完整數據鑒權機制是今日信息安全防御的前沿首選。在信息共享傳輸過程中，需要保證數據完整性及可追溯性，可采用電子簽名及時間戳等相關技術來實現。另外，數據分享系統需要具備數據脫敏功能，實現部分敏感信息的脫敏。并且脫敏技術需要能在分享的大量數據中自動掃描發現敏感信息，實現高效、方便、準確的信息脫敏。

　　4.1.5　數據銷毀環節

　　本環節主要關注如何監控數據銷毀合規性；如何確保剩余敏感信息沒有繼續存留在數據庫、服務器和終端上；如何防護隱私性數據片段被挖掘泄露。

　　數據銷毀環節應采用數據銷毀技術，能夠完全刪除數據庫、服務器和終端上的剩余信息，并且銷毀后需要進行敏感數據檢查，以此驗證銷毀結果，防止部分刪除、邏輯刪除等現象。

　　4.2　檢查評估措施

　　4.2.1　敏感信息分類及合規性檢查

　　對敏感信息進行分類檢查，如保密檢查、隱私檢查或者敏感檢測等，檢查的內容包括涉密信息、國家重要數據、業務機密信息、個人隱私信息、違禁傳播信息等，并依據相關法規審查這些敏感信息的存儲、傳輸或者使用的合規性。

　　4.2.2　風險評估

　　依據國家有關部門關鍵信息基礎設施安全風險評估及信息安全風險評估等相關規定，對信息系統的信息資產、網絡威脅、系統脆弱性等方面進行檢測賦值，計算出信息系統的安全風險評估值，應對監管部門檢查，把握信息安全風險，及時消除隱患。

　　4.2.3　動態審計

　　依據國家相關法規的規定，如公共計算機不允許存在含有敏感信息的文檔，對敏感信息進行實時動態審計，一旦發現不合規行為，則按照預先設定的方式進行響應（報警提示、記錄日志等），為防止或追查可能的泄密行為提供證據。

　　4.2.4　態勢分析

　　對各類敏感信息檢查及風險評估結果進行統計分析，并可視化呈現敏感信息分布與走勢及信息安全風險態勢。

　　4.3　安全服務措施

　　在對用戶提供法規與數據安全治理咨詢的基礎上，提供相應的專業安全服務，包括安全運維、應急響應、安全檢查與巡查、滲透測試、安全情報及安全培訓等。

　　5　結　語

　　大數據的到來為我們的日常生活與工作帶來巨大的便利，同時更是受到各個領域前所未有的關注。在大數據時代，確保重要數據不被泄露已成為人們首要關注的問題。通過對大數據環境中存在的安全挑戰進行分析，并且從數據安全治理的角度，提出基于數據全生命周期的數據安全防護方案以及相關技術措施，該方案能夠適用于不同行業數據安全防護需求，確保敏感數據的安全。