【51CTO.com原創(chuàng)稿件】2016年11月25-26日，由51CTO.com主辦的WOT 2016大數(shù)據(jù)技術(shù)峰會(huì)在北京粵財(cái)JW萬豪酒店隆重召開。自2012年以來，WOT品牌大會(huì)秉承“專注技術(shù)、服務(wù)技術(shù)人員”的理念已經(jīng)成功舉辦了十二屆，不僅積累了大量的專家資源，更獲得廣大IT從業(yè)者和技術(shù)愛好者的認(rèn)可和好評(píng)，已成為業(yè)界重要的技術(shù)分享及人脈拓展平臺(tái)。

在本屆WOT2016大數(shù)據(jù)技術(shù)峰會(huì)的“數(shù)據(jù)安全”主題專場(chǎng)，北京明朝萬達(dá)科技股份有限公司首席科學(xué)家喻波做了題為《大數(shù)據(jù)視野下的數(shù)據(jù)安全防護(hù)體系探索》的演講，會(huì)后記者采訪了喻老師，他為大家介紹了構(gòu)建可信、可管、可控的大數(shù)據(jù)安全運(yùn)行環(huán)境的一些思路和方法。

[[177438]]

喻波，中國科學(xué)院計(jì)算所博士，現(xiàn)任北京明朝萬達(dá)科技股份有限公司執(zhí)行董事、首席科學(xué)家，警用移動(dòng)技術(shù)創(chuàng)新聯(lián)盟(PMT聯(lián)盟)安全組組長、公安部通信標(biāo)準(zhǔn)委員會(huì)委員。具有多年網(wǎng)絡(luò)安全、數(shù)據(jù)安全防護(hù)的研發(fā)和團(tuán)隊(duì)管理經(jīng)驗(yàn)，是國內(nèi)信息安全領(lǐng)域的應(yīng)用專家。自2005年任北京明朝萬達(dá)科技股份有限公司副總裁以來，主要負(fù)責(zé)公司數(shù)據(jù)安全產(chǎn)品研發(fā)及解決方案的決策工作，憑其對(duì)身份認(rèn)證、訪問控制、加密技術(shù)的實(shí)現(xiàn)具獨(dú)到的理解和團(tuán)隊(duì)管理經(jīng)驗(yàn)，對(duì)產(chǎn)品規(guī)劃和發(fā)展做出了有力貢獻(xiàn)，快速推進(jìn)了公司產(chǎn)品的市場(chǎng)化發(fā)展。

構(gòu)建大數(shù)據(jù)安全體系并非是打破重構(gòu)的過程

安全不論在何種環(huán)境下都是企業(yè)IT首要關(guān)注的重點(diǎn)。當(dāng)企業(yè)去擁抱大數(shù)據(jù)時(shí)代的到來時(shí)，同樣會(huì)對(duì)大數(shù)據(jù)的未知風(fēng)險(xiǎn)有些忐忑不安。喻波認(rèn)為，某種意義上來講，所謂的大數(shù)據(jù)環(huán)境和普通的IT環(huán)境，其實(shí)并無太大的區(qū)別，是可以做到比較平滑的過渡的。

他表示，兩種環(huán)境仍然都是由計(jì)算和存儲(chǔ)組成。不過，大數(shù)據(jù)安全最核心的內(nèi)容實(shí)際上是通過對(duì)傳統(tǒng)安全手段做一些升級(jí)，來實(shí)現(xiàn)對(duì)大數(shù)據(jù)的特征做一些支持。比如節(jié)點(diǎn)階段認(rèn)證，過去傳統(tǒng)IT可能不涉及這個(gè)問題，但在大數(shù)據(jù)環(huán)境可能會(huì)產(chǎn)生一些新的情況。所以，由于數(shù)據(jù)量的增大，數(shù)據(jù)內(nèi)容的增多，企業(yè)會(huì)升級(jí)一些傳統(tǒng)的安全手段，使之能夠適應(yīng)新環(huán)境。某種意義上來講，這是一個(gè)平滑升級(jí)的過程，而非打破重構(gòu)的過程，二者可以有機(jī)結(jié)合起來。

不同應(yīng)用場(chǎng)景下的大數(shù)據(jù)安全理念差異不大

眾所周知，不同應(yīng)用場(chǎng)景下搭建的IT環(huán)境千差萬別，致使IT的安全策略也不盡相同。那么，如此會(huì)否帶來應(yīng)對(duì)大數(shù)據(jù)安全體系的要求存在顯著不同呢?喻波認(rèn)為，不同應(yīng)用場(chǎng)景的安全策略和具體功能可能有所不同，但大家的理念不會(huì)有太大的差異。

他表示，企業(yè)從理念上的差異會(huì)比較小，大家可能都會(huì)按照同樣的方法去構(gòu)建，但落實(shí)到具體構(gòu)建的技術(shù)，一定會(huì)有各種各樣不同的技術(shù)。比如，企業(yè)做一個(gè)防火墻，可能會(huì)選擇不同廠家，有一些不同特色的技術(shù)，但最后的核心理念，依然是為了防止網(wǎng)絡(luò)的一些攻擊，或者控制一些網(wǎng)絡(luò)的行為。因此，在大數(shù)據(jù)安全體系建設(shè)中也是一樣的，比如企業(yè)構(gòu)建金融大數(shù)據(jù)的安全防護(hù)體系時(shí)，金融數(shù)據(jù)特點(diǎn)和做公安的數(shù)據(jù)特點(diǎn)截然不同，這時(shí)就要選擇合適的產(chǎn)品或者合適的技術(shù)去做一些安全防護(hù)，由此會(huì)產(chǎn)生一些差異化。

企業(yè)如何應(yīng)對(duì)大數(shù)據(jù)安全帶來的新挑戰(zhàn)

值得注意的是，喻波老師在演講中特別分析了構(gòu)建大數(shù)據(jù)安全體系前企業(yè)可能面臨的幾大挑戰(zhàn)。

他指出，如果大數(shù)據(jù)環(huán)境與普通IT系統(tǒng)一樣，后者對(duì)于數(shù)據(jù)安全的問題是有較為成熟的解決方案的。但問題是，大數(shù)據(jù)有它特有的特征，這導(dǎo)致已有的常規(guī)安全防護(hù)方案存在適應(yīng)性問題。

“大數(shù)據(jù)”之所以稱之為大數(shù)據(jù)是因?yàn)橛芯薮?、海量的?shù)據(jù)。在網(wǎng)絡(luò)空間上，大數(shù)據(jù)是更容易被“發(fā)現(xiàn)”的顯著目標(biāo)，這使得大數(shù)據(jù)會(huì)成為網(wǎng)絡(luò)攻擊的第一演兵場(chǎng)：一方面，大量數(shù)據(jù)的集中存儲(chǔ)增加了泄露風(fēng)險(xiǎn)，黑客的一次成功攻擊能獲得比以往更多的數(shù)據(jù)量，無形中降低了黑客的進(jìn)攻成本，增加了“攻擊收益”;另一方面，大數(shù)據(jù)意味著海量數(shù)據(jù)的匯集，這里面蘊(yùn)藏著更復(fù)雜、更敏感、價(jià)值巨大的數(shù)據(jù)，這些數(shù)據(jù)會(huì)引來更多的潛在攻擊者。因此，大數(shù)據(jù)的大，給企業(yè)安全造成的壓力是容易被賊惦記。

大數(shù)據(jù)的第二個(gè)特性是數(shù)據(jù)類型多。大數(shù)據(jù)時(shí)代，由于不再拘泥于特定的數(shù)據(jù)收集模式，使得數(shù)據(jù)來自于多維空間，各種異構(gòu)數(shù)據(jù)混雜在一起。而數(shù)據(jù)安全，特別是要作精確的數(shù)據(jù)內(nèi)容安全，需要依靠對(duì)數(shù)據(jù)本身內(nèi)容的理解和分類管理，而大數(shù)據(jù)的數(shù)據(jù)類型繁多，給數(shù)據(jù)內(nèi)容分析帶來了很大的挑戰(zhàn)，要應(yīng)對(duì)各種類型數(shù)據(jù)的內(nèi)容理解問題。所以，大數(shù)據(jù)的多樣，給企業(yè)安全帶來功能完善的壓力。

大數(shù)據(jù)的第三個(gè)特性是價(jià)值密度低。這種廣種薄收似的價(jià)值量度，使安全防護(hù)的效能被攤薄，大量安全防護(hù)的重心放在了低價(jià)值的數(shù)據(jù)上，導(dǎo)致大數(shù)據(jù)的安全預(yù)防與攻擊事件的分析過程更加復(fù)雜，相當(dāng)于安全管理范圍被放大。同時(shí)在個(gè)人隱私敏感的時(shí)代，單條數(shù)據(jù)泄漏的內(nèi)容不多，但大數(shù)據(jù)綜合分析的結(jié)果往往會(huì)導(dǎo)致隱私的大量泄漏。這些數(shù)據(jù)的所有權(quán)和使用權(quán)都沒有明顯的界定，就帶來了很大的泄漏風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。因此大數(shù)據(jù)價(jià)值的低密度，給安全帶來新的安全準(zhǔn)則問題。

大數(shù)據(jù)的第四個(gè)特性是快速變化?？焖僮兓鸵馕吨踩w系的效率要能跟上數(shù)據(jù)的變化，如果超出安全體系的處理能力會(huì)導(dǎo)致大數(shù)據(jù)業(yè)務(wù)受到影響或是數(shù)據(jù)業(yè)務(wù)交易不受保護(hù)。因此快速變化的大數(shù)據(jù)，將給企業(yè)現(xiàn)有的安全體系帶來巨大的性能壓力。

此外，在大數(shù)據(jù)環(huán)境下，數(shù)據(jù)的使用者同時(shí)也是數(shù)據(jù)的創(chuàng)造者和供給者，數(shù)據(jù)間的聯(lián)系是可持續(xù)擴(kuò)展的，數(shù)據(jù)集是可以無限延伸的。這些原因決定了關(guān)于大數(shù)據(jù)的安全策略要有新的變化，要適應(yīng)大數(shù)據(jù)的開放性。而目前為了保障業(yè)務(wù)的開展，倒逼系統(tǒng)管理者調(diào)低許多策略的安全級(jí)別來保證開放性。因此大數(shù)據(jù)的開放性會(huì)給安全帶來新的環(huán)境適應(yīng)性壓力。

那么，企業(yè)該如何應(yīng)對(duì)這些挑戰(zhàn)?喻波認(rèn)為，一是在部署大數(shù)據(jù)應(yīng)用之前，在規(guī)劃階段，企業(yè)需要先想清楚自身可能面臨的問題。因?yàn)楹芏鄦栴}是別人面臨過的。大數(shù)據(jù)發(fā)展到現(xiàn)在，已經(jīng)不是一個(gè)完全嘗新的階段，已經(jīng)有很多行業(yè)部署過了，所以企業(yè)在做整體規(guī)劃和部署時(shí)，要先做一些判斷;二是有些挑戰(zhàn)可能會(huì)在企業(yè)規(guī)劃部署之后才會(huì)暴露出來。這時(shí)企業(yè)要有一個(gè)比較好的反應(yīng)機(jī)制或者運(yùn)維體系，來做到能夠及時(shí)發(fā)現(xiàn)、及時(shí)調(diào)整。而且，這些挑戰(zhàn)和風(fēng)險(xiǎn)都是在不停變化的，是一個(gè)動(dòng)態(tài)的，因此企業(yè)需要形成一種動(dòng)態(tài)管控的理念，去不停地適應(yīng)各種可能變化的挑戰(zhàn)，盡可能去構(gòu)建一種可信、可管、可控的大數(shù)據(jù)安全運(yùn)行環(huán)境。

企業(yè)如何構(gòu)建大數(shù)據(jù)安全體系?

喻波認(rèn)為，其實(shí)大數(shù)據(jù)安全體系和企業(yè)現(xiàn)有的IT防控體系在很多地方是相通的。比如身份認(rèn)證環(huán)節(jié)中可信的部分，企業(yè)可能都會(huì)有自己的一些相關(guān)措施，這在公安或金融領(lǐng)域都有廣泛的使用。而大數(shù)據(jù)的可信體系，和它則是一一對(duì)應(yīng)的，企業(yè)甚至可以直接拿來使用，只不過在其中會(huì)做一些適應(yīng)性的改造。因此從企業(yè)來講，它的基礎(chǔ)安全架構(gòu)是可以為所有信息系統(tǒng)做安全防護(hù)的，包括大數(shù)據(jù)安全體系。而大數(shù)據(jù)里面要建設(shè)的無非是一些特定的安全體系，比如前面提到過的動(dòng)態(tài)管控體系。

因此，“其實(shí)不管是大數(shù)據(jù)還是過去的IT系統(tǒng)，它的理念都是一樣的，我們基本可以做到無縫結(jié)合。”喻波強(qiáng)調(diào)說。(完)

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】