廠(chǎng)商正在尋找“大數(shù)據(jù)”來(lái)幫助政府解決目前面臨的一些緊迫問(wèn)題。但是，大數(shù)據(jù)本身通常也會(huì)帶來(lái)一些IT和信息安全方面的問(wèn)題。廠(chǎng)商經(jīng)常接觸大數(shù)據(jù)，仿佛這些大數(shù)據(jù)能夠使他們的數(shù)據(jù)庫(kù)容量迅速擴(kuò)展和增加。因此，大數(shù)據(jù)的含義并不僅僅是大型數(shù)據(jù)庫(kù)，它包括新的工具、技術(shù)、部署和運(yùn)營(yíng)方式。大數(shù)據(jù)通常是云計(jì)算和虛擬化戰(zhàn)略不可分割的一部分。如果僅從傳統(tǒng)的IT角度來(lái)看，大數(shù)據(jù)意味著“大曝光”，這給信息安全帶來(lái)了風(fēng)險(xiǎn)。

類(lèi)似于它接觸的傳統(tǒng)

雖然大數(shù)據(jù)的權(quán)威定義存在著爭(zhēng)議，但由于傳統(tǒng)IT專(zhuān)業(yè)人士的任務(wù)主要集中于如何處理、存儲(chǔ)和傳輸大數(shù)據(jù)，市場(chǎng)研究公司Forrester的分析師Mike Gualtieri給出的如下定義則易于被這些專(zhuān)業(yè)人士接受：大數(shù)據(jù)是一家公司存儲(chǔ)、處理和訪(fǎng)問(wèn)所有數(shù)據(jù)能力的前沿。企業(yè)需要這些數(shù)據(jù)以便更有效地運(yùn)營(yíng)、作出決策、減少風(fēng)險(xiǎn)并服務(wù)客戶(hù)。

大數(shù)據(jù)的某些方面，包括應(yīng)對(duì)傳統(tǒng)挑戰(zhàn)的傳統(tǒng)IT方式，并不需要全新的觀(guān)點(diǎn)。事實(shí)上，許多廠(chǎng)商已經(jīng)為開(kāi)發(fā)大數(shù)據(jù)安全的方法奠定了基礎(chǔ)。這個(gè)基礎(chǔ)包括云計(jì)算成熟的流程、持續(xù)監(jiān)控和遵守《聯(lián)邦信息安全管理法案》(FISMA)。例如，隨著廠(chǎng)商優(yōu)化自己持續(xù)不斷的監(jiān)控能力，他們可以利用現(xiàn)有的支持大數(shù)據(jù)的工具，包括安全漏洞管理和補(bǔ)丁服務(wù)。雖然這些能力都是解決大數(shù)據(jù)安全問(wèn)題必不可少的第一步，但是，當(dāng)考慮大數(shù)據(jù)與過(guò)去的海量數(shù)據(jù)處理和存儲(chǔ)之間的差異時(shí)，還需要一種新觀(guān)點(diǎn)。

差異

大數(shù)據(jù)包含許多新技術(shù)、工具和做法(如，Hadoop, NoSQL, Pig, Hive, HBase等)以及數(shù)據(jù)倉(cāng)庫(kù)策略，其中許多東西對(duì)于專(zhuān)業(yè)的安全人士來(lái)說(shuō)都是陌生的，也形成了一個(gè)復(fù)雜的運(yùn)營(yíng)環(huán)境。

下面的例子充分展示了一些運(yùn)營(yíng)環(huán)境的復(fù)雜性，從安全角度和IT技術(shù)治理角度來(lái)看，這些復(fù)雜性屬于非傳統(tǒng)因素。

數(shù)據(jù)庫(kù)結(jié)構(gòu)：雖然大多數(shù)傳統(tǒng)的數(shù)據(jù)庫(kù)廠(chǎng)商支持大數(shù)據(jù)，但是，他們是通過(guò)基于SQL或者其他相關(guān)結(jié)構(gòu)來(lái)運(yùn)行的。Hadoop和下一代數(shù)據(jù)庫(kù)都是為非結(jié)構(gòu)化數(shù)據(jù)而設(shè)計(jì)的。

伸縮性：雖然基于主機(jī)的大小，大多數(shù)結(jié)構(gòu)化數(shù)據(jù)庫(kù)系統(tǒng)是向上擴(kuò)展的，但是，下一代技術(shù)則是水平擴(kuò)展或是集群。一個(gè)廠(chǎng)商也許會(huì)利用500個(gè)小型系統(tǒng)同時(shí)運(yùn)行形成一個(gè)集群，來(lái)代替一臺(tái)單一的數(shù)據(jù)庫(kù)服務(wù)器。這些小型系統(tǒng)中有些可能是虛擬的，有些可能是物理的，有些可能是在云中的。

配置管理：曾經(jīng)，《聯(lián)邦信息安全管理法案》要求廠(chǎng)商開(kāi)發(fā)出強(qiáng)勁的配置管理計(jì)劃，改組管理委員會(huì)，并確保安全影響分析作為系統(tǒng)改變的一部分來(lái)執(zhí)行。當(dāng)處理大數(shù)據(jù)的時(shí)，成熟且強(qiáng)勁的配置以及改變管理方式都是必須的。

成本：由于新的節(jié)點(diǎn)可以在任何云提供商環(huán)境中或在一個(gè)廠(chǎng)商里的附加桌面上自動(dòng)添加，所以要嚴(yán)格控制IT資源及支出成本。

運(yùn)營(yíng)：誰(shuí)負(fù)責(zé)修補(bǔ)漏洞?誰(shuí)負(fù)責(zé)漏洞掃描?如果軟件有漏洞且聯(lián)系不上廠(chǎng)商修復(fù)這個(gè)漏洞會(huì)發(fā)生什么事情?保證最基本的運(yùn)營(yíng)維護(hù)并且在決策制定過(guò)程中分配附加資源。由于擁有許多能夠利用云服務(wù)的大數(shù)據(jù)平臺(tái)，安全團(tuán)隊(duì)一定要清楚任何改變都應(yīng)該作為系統(tǒng)壽命的一部分來(lái)實(shí)施。

大數(shù)據(jù)仍然依賴(lài)同樣的IT基礎(chǔ)設(shè)施，就像系統(tǒng)在過(guò)去做的一樣。但是，大數(shù)據(jù)能夠極大地?cái)U(kuò)張并且使它復(fù)雜化。Hadoop等新軟件缺少成熟的安全模式、評(píng)估技術(shù)和自動(dòng)化工具。這意味著安全團(tuán)隊(duì)基本上依賴(lài)一些可操作的和可管理的技術(shù)，包括隔離和強(qiáng)大的可審計(jì)的訪(fǎng)問(wèn)控制技術(shù)，以保證大數(shù)據(jù)不會(huì)成為“大曝光”。安全團(tuán)隊(duì)必須以保護(hù)基礎(chǔ)設(shè)施和操作系統(tǒng)的整體的角度觀(guān)察大數(shù)據(jù)，盡可能使用自動(dòng)化的和現(xiàn)有的政策。

根據(jù)《聯(lián)邦信息安全管理法案》，通過(guò)使用具有成熟的改變和配置管理流程的方法，廠(chǎng)商可以利用大數(shù)據(jù)安全的好處。安全團(tuán)隊(duì)需要更加相互協(xié)調(diào)并且參加數(shù)據(jù)科學(xué)家和業(yè)務(wù)部門(mén)的生活以便了解他們的工作方式以及他們的需要。雖然大數(shù)據(jù)對(duì)于許多廠(chǎng)商來(lái)說(shuō)都是新的，但是，保護(hù)信息的原則和為運(yùn)營(yíng)引進(jìn)成熟的管理通常不是新的。廠(chǎng)商應(yīng)該利用其現(xiàn)有的運(yùn)營(yíng)和管理控制保護(hù)新的技術(shù)，同時(shí)開(kāi)發(fā)自動(dòng)化工具以增強(qiáng)嚴(yán)謹(jǐn)性、成熟度和自動(dòng)化。(編譯/胡楊)