当前,数据成为国家基础性战略资源、重要生产要素。近年来,依托大数据,人工智能、区块链、工业互联网等数字经济产业得到快速发展。大数据平台提供了存储、计算和分析能力,使得海量静态数据“活动”起来,并释放出自身价值。随着企业大数据平台基础支撑能力的不断提升,平台上汇聚的数据资源不断丰富,平台面临的数据安全问题与挑战也日益增加。
中国信通院在2020年发起了卓信大数据平台安全专项行动,行动中发现了企业大数据平台在建设和运维方面存在一定安全隐患。《大数据平台安全研究报告》以本次专项行动中积累的安全检测数据为基础,从平台配置安全隐患和安全漏洞的分布规律、产生原因、危害影响、修复难度等维度分析了大数据平台的安全现状。同时,详细分析了形成该安全现状的问题根源,并给出了相应的解决方案建议。最后,从监管、标准、技术研究等方面提出了大数据平台安全未来的工作方向。
未来,中国信通院安全研究所将继续专注国内外数据安全研究,为关注数据安全产业和技术发展的政府机构、企业以及相关单位提供参考和帮助。
以下为白皮书重点内容节选:
大数据平台自身的复杂性以及企业对大数据平台安全建设和管理的不到位造成了大数据平台的安全隐患。为帮助企业弥补在大数据平台安全保护上的短板,本章针对以上大数据平台安全问题提出解决方案建议。
1. 增强大数据平台安全基线管理
对于组件配置管理,应加强三个方面的建设。
01. 明确安全基线具体内容,建立安全基线更新机制
企业需要梳理自身大数据平台的技术特点,针对性的建立适合自身的安全基线。同时,针对各开源组件或商业产品的漏洞爆发,应有预警和预案,及时进行处理,并且更新现有的安全基线,形成预警-基线更新-安全配置更新的良性循环。
02. 建立组件配置统一管理平台
以自动化部属配置的方式替代人工修改配置的方式,解决人工修改配置易出错、 效率低的问题。同时组件配置统一管理平台可进一步接入态势感知系统中,实现配置自动化更替,及时防范来自内部和外部的安全风险。
03. 加强大数据平台组件的安全漏洞管理工作
理清平台各组件的版本和各组件间的版本兼容关系,一旦发现安全漏洞,根据组件版本兼容关系及时选择安全补丁或升级组件。
2. 对大数据平台安全进行整体规划
针对大数据平台建设应有整体的安全规划。在大数据平台建设的初始阶段,在解决平台功能方面从无到有的问题的同时,亦要考虑到平台安全防护的从无到有。在大数据平台功能迭代的同时,应考虑到当下的防护手段是否能够满足当下的防护需求。当大数据平台的规模和性能从量变到质变的时候,亦要考虑到安全技术手段能 够满足当下的规模和性能,如果不能应及时更新安全技术手段。
3. 大数据平台边界防护与内部安全建设并重
杜绝大数据平台防护只讲边界防护而忽视内部安全的问题。大数据平台的安全规划应该是具有全面性的,既要守好“家门”,又要 管好“家人”。两者的防护应是相辅相成的关系,任何一方的薄弱, 都会带来“木桶”效应,让非法入侵者有机可乘。
4. 建立完善的大数据平台安全制度流程
在大数据平台安全流程制度的建设方面,有如下两方面建议。
01. 一方面制定针对大数据平台的专项安全制度,实现“对症下药”
安全制度方面宜包括组织架构、人员规范和技术要求。在组织架构方面,应明确大数据平台对应的各组织的安全责任关系;在人员规范方面,应对大数据平台的使用者制定基本的访问、操作规范,使人员“有法可依”;在技术要求方面,应针对企业大数据平台自身的防护需求,提出安全技术要求,以明确平台安全技术建设的方向。
02. 另一方面建立大数据平台的使用管理规范
对于大数据平台管理、开 发部门内部和外部人员宜有不同的使用流程规范,在使用效率和流程安全之间做出权衡。
5. 增强企业技术人员安全能力
在大数据平台人员安全能力方面,有以下两个方面建议。
01. 一方面设置大数据平台的专职安全人员
专职的安全人员应具备大数据平台的基础知识以及安全防护知识,对大数据平台的安全防护有深入的理解。同时,专职的安全人员可以配置较高的大数据平台权限,定期进行大数据平台的组件配置安全基线检查以及进行安全漏洞扫描。
02. 另一方面开展大数据平台使用人员的安全教育培训
大数据平台存储有海量的用户数据和业务数据,平台的使用人员在使用这些 数据的时候应有职业操守和相应的安全意识。安全意识教育是加强 人员安全意识的有效手段,通过安全意识教育可以让平台的使用者明确哪些可为哪些不可为,同时反面案例的宣传教育要能够对平台 使用者起到警示作用。另外安全技能的培训可以增强大数据平台使用人员对安全技术的理解,并可使其真正应用在开发和运维工作当中去。
