针对2017年度数据安全的基本分析研究报告

针对2017年度数据安全的基本分析

CAS·SDC 韩芳

目录

2017年度数据安全基本分析 (1)

一、数据安全的未来态势 (1)

二、数据安全可能面临的风险点 (2)

三、数据安全可能发生的重要小概率事件 (3)

四、未来安全工作的思路及建议 (3)

数据安全一是指数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等，二是指数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。下面就2017年度数据安全的态势、风险及工作建议进行基本分析。

一、数据安全的未来态势

近些年，随着大数据应用的爆发性增长，大数据衍生出独特架构，并推动存储、网络及计算机技术的发展，同时也引发了新的安全问题。国际社会已经将大数据安全列入国家信息网络安全战略，国内学术界、信息安全界、产业界也正逐步关注大数据的发展。

2017年度，数据安全作为新的信息安全焦点，数据安全发展趋势大概有五大要点。

1.数据安全成新一代信息安全体系竞争制高点，成为新一代信息安全体系的主要特征

随着市场逐渐成熟，用户对于产品性能和稳定性要求越来越高。专业专项的数据安全厂商的市场价值也将会越来越明显“数据安全”已经成为传统信息安全企业甚至其他领域上市企业最喜欢贴在脑门上的标签，作为新一代信息安全的核心已经得到了广泛的认同。2016年以来，各个企业将在数据安全市场上展开激烈竞争，力图占据安全市场一席之地。

2.数据安全技术步入融合智能时代

大数据、云计算以及移动互联网对数据安全技术提出了更高的要求，数据安全防护呈现出从静态到动态、从确定性到智能化的需求转变，这促使数据安全技术进一步发展，融合机器学习、快速搜索、数据解释、数据加密及自然语言理解的融合智能数据安全技术将逐步出现。

3.开放共享推动数据安全技术广泛应用

政府推动数据开放及共享经济的大背景，将使得数据流通性大幅度提高，也将促进数据安全技术被更加广泛地使用。

4.数据安全纳入主流行业信息安全标准体系中

过去几年内，数据安全已经被逐步纳入部分行业规范中，2016年通用的诸如等级保护等新一代国家级标准中数据安全内容预计将被纳入，数据安全将成为新一代信息安全标准的基本内容。

5.数据安全促进信息安全技术与应用融合，加密技术得到用户更广泛接受

传统信息安全技术普遍是架构在应用系统外围，而数据安全技术的防护对象——“数据”普遍存在于应用系统内部，这使得数据安全技术与应用的融合具有天然的基因，数据安全技术广泛应用将带动新一代信息安全技术与应用的融合，逐步改变目前信息安全技术的“外挂”式现状。到2018年，对公有云内数据的保护需求将使得20%企业开发出数据安全治理方案。

二、数据安全可能面临的风险点

1.数据中的用户隐私保护

大量事实表明，大数据未被妥善处理会对用户的隐私造成极大的侵害。根据需要保护的内容不同，隐私保护又可以进一步细分为位置隐私保护、标识符匿名保护、连接关系匿名保护等。人们面临的威胁并不仅限于个人隐私泄漏，还在于基于大数据对人们状态和行为的预测。目前用户数据的收集、存储、管理与使用等均缺乏规范，更缺乏监管，主要依靠企业的自律，用户无法确定自己隐私信息的用途。而在商业化场景中，用户应有权决定自己的信息如何被利用，实现用户可控的隐私保护。访问控制和身份认证：用户身份认证和从多个位置对数据进行访问的控制并不充分。这是一个运营商必须采取措施进行应对的巨大挑战；然而，这一问题直接影响的是用户——尤其是在数据的机密性和完整性是首要任务的情况下。

2.数据的可信性

如果不仔细甄别，数据也会欺骗，就像人们有时会被自己的双眼欺骗一样。大数据可信性的威胁之一是伪造或刻意制造的数据，而错误的数据往往会导致错误的结论。若数据应用场景明确，就可能有人刻意制造数据、营造某种“假象”，诱导分析者得出对其有利的结论。由于虚假信息往往隐藏于大量信息中，使得人们无法鉴别真伪，从而做出错误判断。数据收集设备的可信度：在大数据系统中，数据来源于许多网站，其中包括某些可信度未知的网站。来源验证和数据过滤：信息收集过程中，一个关键的安全挑战就是来源验证，以及大数据应用程序如何信任此类信息。为应对这一挑战，处理应用程序必须验证数据输入的来源是可信任的。

3.应用软件安全性

数据通常会结合使用开放式和封闭式源代码软件。多种软件研发模式共存大大增加了大数据系统出现安全问题的概率。应用程序的互通性：由于当前各个平台之间所存在的差异，系统的整合很可能会引发安全漏洞。由于在大数据模型中，大量的应用程序相互关联，这一安全挑战因而也成为当务之急。基础设施安全：由于智能仪表是主要的信息收集设备，基础设施安全是一个巨大的挑战。数据安全管理：在大数据服务的供应方面，安全应该成为系统的一部分，存储安全应从需求阶段就开始解决。

4.云计算的安全使用

云环境下数据将成为下一阶段攻击活动的主要对象。云计算以动态的服务计算为主要技术特征，这种变革为信息安全领域带来了巨大的冲击：(1)在云平台中运行的各类云应用没有固定不变的基础设施，没有固定不变的安全边界，难以实现用户数据安全与隐私保护；(2)云服务所涉及的资源由多个管理者所有，存在利益冲突，无法统一规划部署安全防护措施；(3)

云平台中数据与计算高度集中，安全措施必须满足海量信息处理需求。

三、数据安全可能发生的重要小概率事件

2015年普华永道全球信息安全性调查发现，在全球范围内客户信息的安全事件数量上升了35%，中国大陆及香港则上升了64%，其中内部数据和“硬性”知识产权遭窃取的程度远远超过其他任何数据。近些年，惨遭攻击者黑手的不仅有美、英、日等国家的政府机构；甚至就连最恶名昭著的黑客团队（HackingTeam），也被同行痛下狠手、一举掳走大量私密数据。国内的安全形势同样不容乐观：1024、机锋网等论坛数据泄露事件频发，政府系统也相继被曝出高危漏洞。

目前政府及公共事业单位信息安全风险管理系统中风险安全意识不足以及信息安全标准难以综合运用的问题，需要提出对信息安全风险管理中的关键性要素进行改进以防止重要数据安全事件发生。2017年数据安全可能发生以下类型的重要事件：

1.公民个人信息泄露，政府机构数据曝光

2015年4月中旬，“补天漏洞响应平台”发布信息称：社保系统漏洞曝光，险泄露千万用户信息，30余个省市的社保、户籍查询、疾控中心等系统存在高危漏洞；仅社保类信息安全漏洞涉及数据就达到5279.4万条，包括身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

2.科研数据、知识版权信息泄露

科研数据、知识产权是知识工作者的重要财富，伴随大数据应用的不断深化，大数据安全交易、个人信息保护、数据本地化等问题成为从业者共同面对的问题。而除了黑客攻击安全漏洞外，包括政府企业等掌握大量隐私信息、商业机密、财产安全等数据的部门，因为缺乏有效监管和问责机制，经济驱使的“内鬼”作案，管理松散的资料拷贝，也是造成信息泄露的重要原因。

四、未来安全工作的思路及建议

2016年11月7日，十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》，安全标准的遵守是能够消除数据安全的缓解手段之一。其中，重点内容有不得出售个人信息严厉打击网络诈骗，以法律形式明确“网络实名制”。而重点保护关键信息基础设施“十三五”规划纲要也明确指出要把大数据作为国家的基础性战略资源，全面实施促进大数据发展行动。

可以从以下几点进行未来安全工作的开始：

1.了解每个国家的监管要求；

2.识别核心用户个人隐私数据，保护最有价值、最敏感的数据；

3.建立一套数据泄漏的响应机制，发生信息泄漏危机时，可以快速进行恢复操作；

4.定时定期去检查用户的隐私保护机制运行和评价；

5.业内人士和供应商应多多投资，通过培训和资格认证提高大数据员工的安全技术水平；

6.数据发布实行匿名保护技术、数据水印技术、风险自适应的访问控制；

7.实行基于大数据的威胁发现技术，更主动地发现潜在的安全威胁；

8.实行基于大数据的认证技术，收集用户行为和设备行为数据，通过鉴别操作者行为及其设备行为来确定其身份。

尤其对于科研数据而言，可以通过集中管理数据安全策略，统一控制结构化、半结构化和非结构化的数据库或数据竖井。这些产品可以通过合规、报告和取证分析来审计日志记录的异常行为，同时使用阻断、脱敏、加密、令牌化等技术划分应用用户和管理员间的职责，如下图所示。