观数科技参加全国信标委2018 年第一次工作组“会议周”

4月18日，全国信息安全标准化技术委员会2018年第一次工作组“会议周”活动在武汉落幕。观数科技作为大数据安全标准委员会成员单位，列席审议了相关的信息安全标准。

观数科技销售副总裁杨万辉

“会议周”作为信标委组织开展网络安全标准化工作的创新模式, 在中央网信办的大力支持下,已连续成功承办三年,是我国标准化工作层面规模最大的会议。

此次会议发布了《大数据安全标准化白皮书（2018版）》，观数科技作为标准小组成员，以一线技术实践，为该版本大数据安全标准提供智力支持：

1.在接口鉴权方面，观数科技建议“应对采集终端和采集人员开展接入鉴权,并对采集行为进行监控,一旦发现异常采集行为需及时告警并标记风险数据。”

2.在数据加密存储方面，观数科技建议“支持对加密秘钥进行统一安全管理，例如对秘钥进行分级管理，使用根秘钥对工作秘钥进行加密保存：支持秘钥的生命周期管理，支持秘钥动态更新，并明确更新周期。秘钥更新后，不应影响业务连续性和系统性能。”

3.在细粒度授权方面，观数科技建议“能够对计算任务例如MapReduce、Spark进行细粒度的访问控制，防止任务被违规杀死。”

4.在存储软件加固方面，观数科技建议“应对数据文件、目录及数据库表、字段进行严格的权限设置，应开启存储组件web服务界面的认证访问。”

5.在日志审计方面，观数科技建议“能够对计算任务进行审计包括任务执行时间、任务执行状态、任务执行用户。”

6.在配置管理方面，观数科技建议“安全配置项需要分类分级，配置文件禁止明文密码，配置的日志级别可支持审计。”

7.在代码审计方面，观数科技建议“定期对大数据基础软件对外接口进行渗透测试和漏洞评估，确保接口安全。”

这些建议受到了与会各方的重视，同时我们也都认为，大数据是一个动态发展的过程，与之相匹配的大数据安全标准也需要不断迭代，我们还应制定相应的数据采集、储存、处理、推送和应用的标准规范。

观数科技会继续努力，通过制定符合实际的大数据应用和安全标准，促进大数据安全应用，确保了数据开放共享、个人信息保护需求和安全保障需求之间的平衡。