在第十三届中国信息港论坛“大数据与网络安全”专题峰会上,中国电信信息安全部总经理李安民发表了他对大数据安全的挑战、关键和举措的看法。李安民认为,社会发展引发大数据时代的到来,大数据带来全方位的社会变革,同时也带来了新的安全问题和挑战。大数据的安全问题主要包括:危害数据的保密性、完整性、可用性以及滥用数据的问题。
李安民认为,大数据信息安全面临三大挑战:一是隐私泄露和滥用风险加大。首先是“第三只眼”无所不在,万物互联导致一切事物都数据化,包括我们的行为、习惯、社交关系。而目前相关法律和监管要求不明确、不完善。其次是隐私数据“二次利用”,处理欠妥数据经过多源交叉分析仍能被还原泄密。大数据的创新性导致不可能在一开始明确数据用途,传统的“告知与许可”存在问题。再次是数据独裁,数据成为越来越多的决策依据,但数据质量却不一定可靠,通过大数据交叉关联得出的也不一定是因果联系。二是外部的恶意攻击更为集中。数据技术(DT)时代,数据成为业务发展核心动力,也成为黑客的主要目标。DT时代,数据泄露等同于经济损失。大数据成为更引人注意的“大目标”,对黑客而言,攻击大数据业务或平台,可以降低攻击成本,提升攻击收益。如果泄露1000条记录时,有95%的可能会损失5.2万~8.7万美元。泄露1000万数据记录的花费介于210万到520万美元之间,但最多可能达到7390万美元。三是现有的安全措施难以适配。首先是访问控制策略需要改进。传统的访问控制多依赖于角色,而大数据业务难以准确的预设角色,实现角色划分,并为角色授予恰当的权限。其次是大数据量时细粒度的数据审计能力不足。网络、系统层面的行为审计技术比较成熟,但是大数据量下的数据层面审计技术仍不完善。再次是大数据风险评估标准和指标体系的缺失。数据业务不能简单套用传统的风险评估模型,也缺乏系统性的评估指标体系和工具集合。
同时,李安民认为大数据信息安全有三大关键。关键一是思想认识的转变。首先是明确定位,数据安全是发展任何业务的基础,要找到用户隐私和业务需求、运维管理的平衡点。其次是关注重点,传统安全以网络安全为主,大数据安全将以数据隐私保护、数据信息安全为主。再次是防护方式,传统安全以设备堆叠为主,大数据可从海量数据找出安全隐患,大数据技术参与安全防护。关键二是数据权限的界定。个人数据保护是人权保护的重要组成部分,要梳理数据权限,分清责任主体,确定数据的密级和敏感度,保证合法、公正、透明、适当。关键三是防护体系的建设。避免数据被不合规使用,保证仅合法用户能访问数据。
李安民提出了大数据信息安全管理三大举措。举措一是依法依规,建章立制。国家、行业、企业已经高度重视,纷纷出台相应法律、规定、要求。举措二是加强评估,提升能力。制定管理规章,规范业务发展;进行大数据业务上线前安全评估;对重点产品进行在线安全监测;开展周期性巡检。举措三是协同推进,构建体系。大数据安全与大数据应用“三同步”:同步规划、同步建设、同步使用。建设大数据信息安全的“三个机制”:风险评估机制、应急响应机制、灾难恢复机制。
本文转自d1net(转载)