大數(shù)據(jù)與云計算安全

中國云計算大數(shù)據(jù)安全大會

劉曉梅新型信息技術應用的信息安全保障主要內容：大數(shù)據(jù)的基本概念大數(shù)據(jù)時代面臨的信息安全挑戰(zhàn)大數(shù)據(jù)時代的信息安全保障大數(shù)據(jù)的概念一般來講，大數(shù)據(jù)是指“無法用現(xiàn)有的軟件工具提取、存儲、搜索、共享、分析和處理的海量的、復雜的數(shù)據(jù)集合”維基百科將大數(shù)據(jù)定義為那些無法在一定時間內使用常規(guī)數(shù)據(jù)庫管理工具對其內容進行抓取、管理和處理的數(shù)據(jù)集。美國白宮的“大數(shù)據(jù)開發(fā)計劃”中認為大數(shù)據(jù)開發(fā)是從龐大而復雜的數(shù)字數(shù)據(jù)中發(fā)掘知識及現(xiàn)象背后本質的過程。大數(shù)據(jù)的特征一般來講，業(yè)界通常用四個“V”來概括大數(shù)據(jù)的特征：一是數(shù)據(jù)量巨大（Volume）二是數(shù)據(jù)類型類型繁多（Variety）三是價值密度低（Value）四是處理速度快（Velocity）大數(shù)據(jù)時代面臨的信息安全挑戰(zhàn)隨著海量數(shù)據(jù)的進一步集中和信息技術的進一步發(fā)展，信息安全成為大數(shù)據(jù)快速發(fā)展的瓶頸。大數(shù)據(jù)信息安全主要體現(xiàn)在以下幾個方面（？？）處理系統(tǒng)、過程的安全，重點關注系統(tǒng)安全、網(wǎng)絡安全（與垃圾處理相似），垃圾處理鏈不安全，因此從系統(tǒng)工程考慮。2014年2月12日，美國國家標準與技術研究所針對《增強關鍵基礎設施網(wǎng)絡安全》，提出了《美國增強關鍵基礎設施網(wǎng)絡安全框架》（V1.0），強調利用業(yè)務驅動指導網(wǎng)絡安全行動，并考慮網(wǎng)絡安全風險作為組織風險管理進程的一部分。大數(shù)據(jù)依托網(wǎng)絡技術，采用數(shù)據(jù)挖掘、關聯(lián)分析等技術手段對分布式存儲的異構海量數(shù)據(jù)進行處理。無論是網(wǎng)絡環(huán)境、計算平臺、還是存儲載體，都分屬不同的信息系統(tǒng)。按我國現(xiàn)有的信息安全等級保護制度，加強大數(shù)據(jù)信息安全保障能力，是解決大數(shù)據(jù)安全的唯一出路。（一）立足信息安全等級保護，全過程增強信息安全保障能力信息安全等級保護是按信息處理系統(tǒng)的計算資源和信息資源安全程度不同實施不同保護強度的保障措施，是圍繞信息安全保障全過程的一項基礎性的管理制度，是一項基礎性和制度性的工作。按照國家標準《計算機信息系統(tǒng)安全保護等級等級劃分準側》GB17859-1999規(guī)定，國家信息系統(tǒng)實施五級保護。即從保護能力上劃分為五個級別：第一級為用戶自主保護級第二級為安全審計保護級第三級為安全標識保護級第四級為結構化保護級第五級為訪問驗證保護級（二）堅持積極防范，構建基于等級保護的大數(shù)據(jù)縱深防御體系架構1、應加快構建多層次、高質量的大數(shù)據(jù)縱深防御體系結構大數(shù)據(jù)進一步加劇了網(wǎng)絡空間中防御與攻擊的不對稱性，傳統(tǒng)的信息安全防護措施多集中在“封堵查殺”層面，難以應對大數(shù)據(jù)時代的信息安全挑戰(zhàn)。構建大數(shù)據(jù)縱深防御體系一是要加強大數(shù)據(jù)、環(huán)境、系統(tǒng)整體防護，建設多重防護、多層互聯(lián)體系結構，確保大數(shù)據(jù)處理環(huán)境可信；二是要加強處理流程控制，防止內部攻擊，提高計算節(jié)點自我免疫能力；三是要加強技術平臺支持下的安全管理，基于安全策略，與業(yè)務處理、監(jiān)控及日常管理制度有機結合；四是要加強全局層面安全機制，制定數(shù)據(jù)控制策略，梳理數(shù)據(jù)處理流程，建立安全的數(shù)據(jù)處理新模式。（二）堅持積極防范，構建基于等級保護的大數(shù)據(jù)縱深防御體系架構2、應重視大數(shù)據(jù)攻擊技術研發(fā)，做到攻防兼?zhèn)鋰H網(wǎng)絡競爭不斷加劇，我們面臨的網(wǎng)絡空間環(huán)境日益復雜，被動防御無法真正解決大數(shù)據(jù)安全問題。（三）管理和技術并重，全方位提高信息安全防護能力信息安全管理包括：建立安全管理策略建立健全安全管理制度建立安全管理平臺開展信息安全意識培訓等信息安全技術手段包括：身份認證訪問控制審計數(shù)據(jù)加密可信驗證等保障大數(shù)據(jù)安全，要做到以下幾點：一是攻擊者進不去

加強信息系統(tǒng)整體防護，建設管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡三重防護體系結構。二是非授權重要信息拿不到

被動防御防不勝防，對于已經(jīng)進來的攻擊者，要盡早偵測到他們，使危害減少到最低，防御的重點也應當從“保護所有信息資產(chǎn)”到“集中保護那些最重要的資產(chǎn)”轉變。三是竊取保密信息看不懂

對重要信息采取加密等手段進行保護，非法用戶只能拿到重要信息的密文，而無法看到文件內容。四是系統(tǒng)和信息篡改不了

實行系統(tǒng)資源管理，對操作活動進行可信驗證，強化信息防篡改和自動糾錯功能，使木馬種不上，病毒染不了。五是系統(tǒng)工作癱不成

從網(wǎng)絡通信、區(qū)域邊界、計算環(huán)境，進行層層訪問控制；有效分解攻擊信息流，提高系統(tǒng)的強壯性和彈性。定期進行系統(tǒng)安全脆弱點評估，及時發(fā)現(xiàn)安全隱患；開發(fā)可恢復系統(tǒng)，實現(xiàn)系統(tǒng)自動恢復。六是攻擊行為賴不掉

在系統(tǒng)的重要環(huán)節(jié)設有審計點，結合電子簽名技術及時記錄違規(guī)操作信息，及時發(fā)現(xiàn)異常事件，并能跟蹤追擊。（四）構建大數(shù)據(jù)等級保護技術框架，確保大數(shù)據(jù)可信、可控、可管大數(shù)據(jù)時代，原有的信息資源處理手段已經(jīng)不適應迅速增大的數(shù)據(jù)量級，原有的計算環(huán)境也在隨之數(shù)據(jù)挖掘、關聯(lián)分析等大數(shù)據(jù)技術的發(fā)展而變化。構建大數(shù)據(jù)等級保護技術框架應以可信、可控、可管為目的以可信計算基（TCB）為基礎，

層層擴充，確保計算環(huán)境可信可信計算是指：計算處理結果與預期相一致，中間過程可控制管理、可度量、可驗證?？尚庞嬎隳軌驅崿F(xiàn)密碼存儲保密、身份認證和完整性驗證，以及版本不能被篡改、防病毒和黑客攻擊等功能?？尚庞嬎悱h(huán)境需要全產(chǎn)業(yè)鏈支持：基于可信計算技術的可信終端是產(chǎn)業(yè)基礎；高性能的可信計算芯片是提高競爭力的核心；可信計算理論和體系結構是持續(xù)發(fā)展的源泉；可信計算應用關鍵技術是產(chǎn)業(yè)化的突破口。同時，發(fā)展以可信計算為基礎的可信計算環(huán)境有助于我國擺脫國外信息產(chǎn)品的路徑依賴。以訪問控制為核心，實行主體按策略規(guī)則訪問不同等級數(shù)據(jù)，確保全程處理可控按照數(shù)據(jù)的敏感程度和重要程度進行分級，相應的確定數(shù)據(jù)存儲介質和處理系統(tǒng)的安全等級；推行最小權限管理，尤其是高等級系統(tǒng)實行三權分離管理體制，確保數(shù)據(jù)資源可管在大數(shù)據(jù)環(huán)境下，各種數(shù)據(jù)夾雜在一起，在數(shù)據(jù)存儲和處理環(huán)節(jié)，管理風險尤為突出。郁教授總結沈院士的三句話：關鍵技術——可信計算制度建設——等級保護人才培養(yǎng)云時代的信息安全技術主要內容把握一下云時代的數(shù)字世界發(fā)展評估一下數(shù)字世界面臨的挑戰(zhàn)暢想一下信息安全技術的未來云時代的信息安全技術主要內容把握一下云時代的數(shù)字世界發(fā)展評估一下數(shù)字世界面臨的挑戰(zhàn)暢想一下信息安全技術的未來把握一下云時代的數(shù)字世界發(fā)展多網(wǎng)融合建立天下一統(tǒng)的信息世界物聯(lián)網(wǎng)拓展數(shù)字世界疆域，將人和物理世界納入管轄云計算推動數(shù)字世界的工業(yè)革命，規(guī)?；蛯I(yè)化成為主要特征，數(shù)字世界的快速發(fā)展勢不可擋三網(wǎng)融合建立一統(tǒng)的數(shù)字世界我國的三網(wǎng)融合：物理融合與業(yè)務融合電信網(wǎng)計算機互聯(lián)網(wǎng)有線電視網(wǎng)業(yè)務應用的融合，主要體現(xiàn)為：業(yè)務統(tǒng)一：網(wǎng)絡實現(xiàn)互聯(lián)互通，形成無縫覆蓋，不同網(wǎng)絡平臺傾向于承載實質相似的業(yè)務，業(yè)務上互相滲透和交叉協(xié)議統(tǒng)一：趨向使用統(tǒng)一的IP協(xié)議，提供多樣化，多媒體化，個性化服務為目標監(jiān)管統(tǒng)一：行業(yè)管制和政策方面也逐漸趨向統(tǒng)一多網(wǎng)融合的技術特征從終端技術看三網(wǎng)融合用戶裝置，如電話、電視與電腦功能上逐漸趨同，集成。功能統(tǒng)一到一個終端從網(wǎng)絡技術看三網(wǎng)融合網(wǎng)絡技術標準化趨勢明顯，IP成為主流，網(wǎng)絡互聯(lián)統(tǒng)一到一張大網(wǎng)從服務技術看三網(wǎng)融合業(yè)務技術統(tǒng)一/應用技術的統(tǒng)一/監(jiān)管技術的統(tǒng)一把握一下云時代的數(shù)字世界發(fā)展多網(wǎng)融合建立天下一統(tǒng)的信息世界物聯(lián)網(wǎng)拓展數(shù)字世界疆域，將人和物理世界納入管轄云計算推動數(shù)字世界的工業(yè)革命，規(guī)?；蛯I(yè)化成為主要特征，數(shù)字世界的快速發(fā)展勢不可擋物聯(lián)網(wǎng)加速數(shù)字世界的爆炸式增長物理世界的數(shù)字化時代開始了家庭機器人/智能家居/工業(yè)控制信息資源爆炸式增長視頻流/環(huán)境數(shù)據(jù)/大數(shù)據(jù)改變生活/工作/學習，科學研究的模式革命性的變革一個例子，科學研究的變遷實驗科學（我們已經(jīng)走過）假設——實驗——觀察——修改假設計算機科學（目前的時代）假設——模型——計算——修改假設數(shù)據(jù)科學（明天的研究方法）數(shù)據(jù)——計算——結論E.g.google預測疾病流行物聯(lián)網(wǎng)將物理世界拉入信息世界不僅獲知物理世界，還控制物理世界包括人方便生活，方便工作物理網(wǎng)將改變生活，工作乃至科學的模式數(shù)據(jù)爆炸式增長，處理需求旺盛把握一下云時代的數(shù)字世界發(fā)展多網(wǎng)融合建立天下一統(tǒng)的信息世界物聯(lián)網(wǎng)拓展數(shù)字世界疆域，將人和物理世界納入管轄云計算推動數(shù)字世界的工業(yè)革命，規(guī)?；蛯I(yè)化成為主要特征，數(shù)字世界的快速發(fā)展勢不可擋云計算：工業(yè)革命，協(xié)作成為主流打破自給自足的信息服務模式，消弱用戶能力促使網(wǎng)絡依賴，使網(wǎng)絡服務能夠控制更多的人資源逐步集中/資本家和金融寡頭利用免費等掠奪手段的資源集中方式數(shù)字世界潛在的骨牌效應將逐步出現(xiàn)各種基礎設施相互依賴數(shù)字世界——以專業(yè)化/規(guī)模化推動的工業(yè)革命協(xié)作是基礎/信用體系建設是發(fā)展的源泉數(shù)字世界的工業(yè)化帶來更多的骨牌效應信息安全將成為未來最重要的支撐技術數(shù)字世界的發(fā)展脈絡（發(fā)展是硬道理）多網(wǎng)融合：信息世界的“秦始皇統(tǒng)一中國”獨立的原始部落將消亡物聯(lián)網(wǎng)/移動網(wǎng)絡：信息世界的“哥倫布發(fā)現(xiàn)新大陸”資源擴張成為主流云計算：信息世界的“工業(yè)革命”協(xié)作成為主流數(shù)字世界發(fā)展沖擊所有業(yè)務馬云：天變了前年雙11，一天營業(yè)額191億，超過沃爾瑪去年：第一分鐘破億，第二分鐘破3億，第三分鐘破10億（支付寶成交總金額的數(shù)字）移動有強大的通信資源，忽略融合的力量騰訊的微信成為對手，來得及么？阿里的支付寶/余額寶來了（開放網(wǎng)絡）一統(tǒng)網(wǎng)絡中的軍隊來了，封閉的銀行還能固守幾年？結論:全球數(shù)字化的時代剛剛開始

新時代的信息安全也剛剛開始食品安全/信息安全好缸子，防霉防盜/好系統(tǒng)，防病毒，防火墻食品生產(chǎn)鏈/信息生產(chǎn)鏈（剛剛開始）云時代的信息安全技術主要內容把握一下云時代的數(shù)字世界發(fā)展評估一下數(shù)字世界面臨的挑戰(zhàn)暢想一下信息安全技術的未來手機銀行安全北京媒體去年9月30日報道，9月26日，袁先生手機突然沒有了信號，幾個小時后，工資卡內10萬元結婚款被人轉走，袁先生稱，事后他來到開戶行中國建設銀行保利支行調取了交易記錄，發(fā)現(xiàn)這筆錢是在9月26日22時40分通過建設銀行手機銀行轉到另一賬號，對方在一個多小時后通過POS機消費，錢已無法追回。支付與交易安全3月22日晚，漏洞報告平臺烏云網(wǎng)在其官網(wǎng)上公布了一條重大網(wǎng)絡安全漏洞信息，指出攜程安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露?！袄忡R門”事件后，國內連續(xù)發(fā)生了如家等快捷酒店開房記錄泄露、中國人壽80萬保單信息泄露，搜狗手機輸入法漏洞導致用戶信息泄露等信息安全事件。信息技術發(fā)展對信息安全的挑戰(zhàn)隱私危機愈演愈烈，無可奈何全體裸奔身份爆炸不斷升級，數(shù)字秩序迷霧重重電子依賴急速滲透，信息故障危及生命信任綁架潛移默化，安全核彈隨時引爆邊疆交融勢不可擋，浮沙建樓危機四伏信息財富迅速攀升，防護手段難以為繼云時代的信息安全技術主要內容把握一下云時代的數(shù)字世界發(fā)展評估一下數(shù)字世界面臨的挑戰(zhàn)暢想一下信息安全技術的未來信息安全技術的演變第一代主要技術特點：保護技術第二代主要技術特點：保障技術第三代主要技術特點：生存技術第四代技術特點：自重構信任系統(tǒng)體現(xiàn)協(xié)作體現(xiàn)效益/體現(xiàn)自構建/體現(xiàn)移動生死保護（Protect）技術：冷兵器時代修筑城墻的技術通信保障：簡單加密技術安全系統(tǒng)：存取控制技術修好的城墻：安全操作系統(tǒng)邊界繼續(xù)擴大：防火墻技術秦始皇修筑了世界最長的城墻結果呢？信息保障（InformationAssurance）：火兵器時代結合保護，檢測，響應，恢復（PDRR），強調過程以檢測（Detection）技術為主要標志檢測是基礎，恢復是后盾檢測是信息保障的核心入侵檢測，死機檢測，溫度檢測，異常檢測生存技術：化學武器時代數(shù)字世界不能沒有病毒，不會沒有黑客網(wǎng)絡系統(tǒng)肯定存在漏洞/BUG管理員也不能全部永遠地忠誠生存技術：Thecapabilityofasystemtofulfillitsmission,inatimelymanner,inthepresenceofattacks,failures,oraccidents.中國最需要入侵容忍系統(tǒng)（生存技術）。生存技術的基礎支撐容錯理論糾錯碼，不怕少量錯誤門限密碼少量系統(tǒng)背叛不影響系統(tǒng)安全拜占庭系統(tǒng)技術在有未知敵手的團隊里協(xié)商出有利于好人的結論生存技術的缺陷容忍局部或少數(shù)機器被入侵需要有足夠多的“好人”需要針對性設計屬于靜態(tài)防御技術無法抵御高強度可持續(xù)攻擊自重構信賴技術：原子武器時代信賴，是工業(yè)化合作的必然必須有信賴，才能有合作完全信賴，是不可能的信賴整個網(wǎng)絡，是不可能的信賴所有的系統(tǒng)，是不可能的信賴整個系統(tǒng)，是不可能的自重構信賴技術合作式適度信賴局部系統(tǒng)InformationSecurityin2020:DetectionMoreImportantThanPreventionBy2020，75%ofenterprises‘informationsecuritybudgetswillbeallocatedforrapiddetectionandresponseapproaches，