大数据下的信息安全威胁与保护

在大数据时代，商业生态环境在不经意间发生了巨大变化：无处不在的智能终端、随时在线的网络传输、互动频繁的社交网络，让以往只是网页浏览者的网民的面孔从模糊变得清晰，企业也有机会进行大规模的精准化的消费者行为研究。大数据蓝海将成为未来竞争的制高点。大数据给信息安全带来了新的挑战与机遇大数据在成为竞争新焦点的同时，在出现新的安全风险的同时，也带来了新机遇。

大数据下的信息安全威胁

一、大数据成为网络攻击的显著目标

在网络空间，大数据是更容易被“发现”的大目标。一方面，大数据意味着海量的数据，也意味着更复杂、更敏感的数据，这些数据会吸引更多的潜在攻击者。另一方面，数据的大量汇集，使得黑客成功攻击一次就能获得更多数据，无形中降低了黑客的进攻成本，增加了“收益率”。

二、大数据加大隐私泄露风险

大量数据的汇集不可避免地加大了用户隐私泄露的风险。一方面，数据集中存储增加了泄露风险；而这些数据不被滥用，也成为人身安全的一部分；另一方面，一些敏感数据的所有权和使用权并没有明确界定，很多基于大数据的分析都未考虑到其中涉及的个体隐私问题。

三、大数据威胁现有的存储和安防措施

随着大数据技术的蓬勃发展，在为新业务模式注入发展动力的同时也为大数据存储带来了新的安全问题。

数据大集中的后果是复杂多样的数据存储在一起，很可能会出现将某些生产数据放在经营数据存储位置的情况，致使企业安全管理不合规。

大数据的规模也影响到安全控制措施能否正确运行。安全防护手段的更新升级速度无法跟上数据量非线性增长的步伐，这会暴露大数据安全防护的漏洞。

四、大数据技术成为黑客的攻击手段

在企业用数据挖掘和数据分析等大数据技术获取商业价值的同时，黑客也在利用这些大数据技术向企业发起攻击。黑客会最大限度地收集更多有用信息，比如社交网络、邮件、微博、电子商务、电话和家庭住址等信息，大数据分析使黑客的攻击更加精准。

此外，大数据也为黑客发起攻击提供了更多机会。黑客利用大数据发起僵尸网络攻击，有能力同时控制上百万台傀儡机并发起攻击。

五、大数据成为高级可持续攻击的载体

传统的检测是基于单个时间点进行的基于威胁特征的实时匹配检测，而高级可持续攻击（APT）是一个实施过程，无法被实时检测。

此外，大数据的价值低密度性，使得安全分析工具很难聚焦在价值点上，黑客可以将攻击隐藏在大数据中，给安全服务提供商的分析制造很大困难。黑客设置的任何一个会误导安全厂商目标信息提取和检索的攻击，都会导致安全监测偏离应有方向。

基于大数据的信息安全保护

大数据在导致区别于传统的新型安全威胁的同时，也为信息安全提供了新的支撑。大数据正在为安全分析提供新的可能性，对于海量数据的分析有助于信息安全服务提供商更好地刻画网络异常行为，从而找出数据中的风险点。对实时安全和商务数据结合在一起的数据进行预防性分析，可识别钓鱼攻击，防止诈骗和阻止黑客入侵。网络攻击行为总会留下蛛丝马迹，这些痕迹都以数据的形式隐藏在大数据中，利用大数据技术整合计算和处理资源有助于更有针对性地应对信息安全威胁，有助于找到攻击的源头。

一、基于大数据的威胁发现技术

利用该技术，企业可以超越以往的“保护-检测-响应-恢复”（PDRR）模式，更主动地发现潜在的安全威胁。相比于传统技术，基于大数据的威胁发现技术有以下优点：分析内容的范围更大。企业信息资产包括数据资产、软件资产、实物资产、人员资产、服务资产和其他为业务提供支持的无形资产。

由于传统威胁检测技术并不能覆盖这六类信息资产，因此所能发现的威胁有限。而通过在威胁检测方面引入大数据分析技术，能全面发现针对这些信息资产的攻击。分析内容的时间跨度更长。现有威胁分析技术具有内存关联性，即实时收集数据，采用分析技术发现攻击。分析窗口通常受限于内存大小，无法应对持续性和潜伏性攻击。而引入大数据分析技术后，威胁分析窗口可以横跨若干年的数据，因此威胁发现能力更强，可以有效应对APT类攻击。

相比于传统技术，基于大数据的威胁发现技术还有以下优点：攻击威胁的预测性。传统安全防护技术大多是在攻击发生后对攻击行为进行分析和归类，并做出响应。而基于大数据的威胁分析，可进行超前的预判，对未发生的攻击行为进行预防。对未知威胁的检测。

二、基于大数据的认证技术

基于大数据的认证技术指的是收集用户行为和设备行为数据，并对这些数据进行分析，获得用户行为和设备行为的特征，进而通过鉴别操作者行为及其设备行为来确定其身份.这与传统认证技术利用用户所知秘密，所持有凭证，或具有的生物特征来确认其身份有很大不同。该技术具有如下优点：

1、攻击者很难模拟用户行为特征来通过认证，因此更加安全。利用大数据技术所能收集的用户行为和设备行为数据是多样的，可以包括用户使用系统的时间、经常采用的设备、设备所处物理位置，甚至是用户的操作习惯数据。通过这些数据的分析能够为用户勾画一个行为特征的轮廓。而攻击者很难在方方面面都模仿到用户行为，因此其与真正用户的行为特征轮廓必然存在一个较大偏差，无法通过认证。

2、减小了用户负担。用户行为和设备行为特征数据的采集、存储和分析都由认证系统完成。相比于传统认证技术，极大地减轻了用户负担。如，用户无需记忆复杂的口令，或随身携带硬件USBKey。可以更好地支持各系统认证机制的统一。基于大数据的认证技术可以让用户在整个网络空间采用相同的行为特征进行身份认证，而避免传统不同系统采用不同认证方式，且用户所知秘密或所持凭证各不相同而带来的种种不便。

三、基于大数据的数据真实性分析

目前，基于大数据的数据真实性分析被广泛认为是最为有效的方法。许多企业已经开始了这方面的研究工作，如Yahoo和Thinkmail等利用大数据分析技术来过滤垃圾邮件；Yelp等社交点评网络用大数据分析来识别虚假评论；新浪微博等社交媒体利用大数据分析来鉴别各类垃圾信息等。

基于大数据的数据真实性分析技术能够提高垃圾信息的鉴别能力：一方面，引入大数据分析可以获得更高的识别准确率。例如，对于点评网站的虚假评论，可以通过收集评论者的大量位置信息、评论内容、评论时间等进行分析，鉴别其评论的可靠性。如果某评论者为某品牌多个同类产品都发表了恶意评论，则其评论的真实性就值得怀疑；另一方面，在进行大数据分析时，通过机器学习技术，可以发现更多具有新特征的垃圾信息。然而该技术仍然面临一些困难，主要是虚假信息的定义、分析模型的构建等。

四、构建大数据安全策略

研究大数据基础设施安全能力的评估以及加强大数据框架下的安全技术，如数据标签法、Hadoop、NoSQL等，这些基础设施、基本技术，都将直接影响大数据下的信息安全。推动信息安全的自主可控，提倡“可信计算”。所谓的“可信计算”就是，软件不再做功能上的黑名单，而是换以白名单来进行控制。

围绕大数据突出的安全和隐私问题，构建数据全生命周期的安全管理体系，结合大数据处理体系的特点，尤其关注分布式环境下的并行计算隔离；分布式集群的数据访问控制；以及对敏感、重要数据的分级管控、加密处理和审计追踪等安全保障措施。

五、风险自适应的访问控制

在大数据场景中，安全管理员可能缺乏足够的专业知识，无法准确地为用户指定其可以访问的数据。风险自适应的访问控制是针对这种场景讨论较多的一种访问控制方法。在大数据环境下，发展基于密码认证、攻防、风险控制、安全集成电路设计等信息安全技术。

——END——