大數(shù)據(jù)與云計(jì)算安全

中國云計(jì)算大數(shù)據(jù)安全大會

劉曉梅新型信息技術(shù)應(yīng)用的信息安全保障主要內(nèi)容：大數(shù)據(jù)的基本概念大數(shù)據(jù)時(shí)代面臨的信息安全挑戰(zhàn)大數(shù)據(jù)時(shí)代的信息安全保障大數(shù)據(jù)的概念一般來講，大數(shù)據(jù)是指“無法用現(xiàn)有的軟件工具提取、存儲、搜索、共享、分析和處理的海量的、復(fù)雜的數(shù)據(jù)集合”維基百科將大數(shù)據(jù)定義為那些無法在一定時(shí)間內(nèi)使用常規(guī)數(shù)據(jù)庫管理工具對其內(nèi)容進(jìn)行抓取、管理和處理的數(shù)據(jù)集。美國白宮的“大數(shù)據(jù)開發(fā)計(jì)劃”中認(rèn)為大數(shù)據(jù)開發(fā)是從龐大而復(fù)雜的數(shù)字?jǐn)?shù)據(jù)中發(fā)掘知識及現(xiàn)象背后本質(zhì)的過程。大數(shù)據(jù)的特征一般來講，業(yè)界通常用四個(gè)“V”來概括大數(shù)據(jù)的特征：一是數(shù)據(jù)量巨大（Volume）二是數(shù)據(jù)類型類型繁多（Variety）三是價(jià)值密度低（Value）四是處理速度快（Velocity）大數(shù)據(jù)時(shí)代面臨的信息安全挑戰(zhàn)隨著海量數(shù)據(jù)的進(jìn)一步集中和信息技術(shù)的進(jìn)一步發(fā)展，信息安全成為大數(shù)據(jù)快速發(fā)展的瓶頸。大數(shù)據(jù)信息安全主要體現(xiàn)在以下幾個(gè)方面（？？）處理系統(tǒng)、過程的安全，重點(diǎn)關(guān)注系統(tǒng)安全、網(wǎng)絡(luò)安全（與垃圾處理相似），垃圾處理鏈不安全，因此從系統(tǒng)工程考慮。2014年2月12日，美國國家標(biāo)準(zhǔn)與技術(shù)研究所針對《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》，提出了《美國增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》（V1.0），強(qiáng)調(diào)利用業(yè)務(wù)驅(qū)動(dòng)指導(dǎo)網(wǎng)絡(luò)安全行動(dòng)，并考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為組織風(fēng)險(xiǎn)管理進(jìn)程的一部分。大數(shù)據(jù)依托網(wǎng)絡(luò)技術(shù)，采用數(shù)據(jù)挖掘、關(guān)聯(lián)分析等技術(shù)手段對分布式存儲的異構(gòu)海量數(shù)據(jù)進(jìn)行處理。無論是網(wǎng)絡(luò)環(huán)境、計(jì)算平臺、還是存儲載體，都分屬不同的信息系統(tǒng)。按我國現(xiàn)有的信息安全等級保護(hù)制度，加強(qiáng)大數(shù)據(jù)信息安全保障能力，是解決大數(shù)據(jù)安全的唯一出路。（一）立足信息安全等級保護(hù)，全過程增強(qiáng)信息安全保障能力信息安全等級保護(hù)是按信息處理系統(tǒng)的計(jì)算資源和信息資源安全程度不同實(shí)施不同保護(hù)強(qiáng)度的保障措施，是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度，是一項(xiàng)基礎(chǔ)性和制度性的工作。按照國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級等級劃分準(zhǔn)側(cè)》GB17859-1999規(guī)定，國家信息系統(tǒng)實(shí)施五級保護(hù)。即從保護(hù)能力上劃分為五個(gè)級別：第一級為用戶自主保護(hù)級第二級為安全審計(jì)保護(hù)級第三級為安全標(biāo)識保護(hù)級第四級為結(jié)構(gòu)化保護(hù)級第五級為訪問驗(yàn)證保護(hù)級（二）堅(jiān)持積極防范，構(gòu)建基于等級保護(hù)的大數(shù)據(jù)縱深防御體系架構(gòu)1、應(yīng)加快構(gòu)建多層次、高質(zhì)量的大數(shù)據(jù)縱深防御體系結(jié)構(gòu)大數(shù)據(jù)進(jìn)一步加劇了網(wǎng)絡(luò)空間中防御與攻擊的不對稱性，傳統(tǒng)的信息安全防護(hù)措施多集中在“封堵查殺”層面，難以應(yīng)對大數(shù)據(jù)時(shí)代的信息安全挑戰(zhàn)。構(gòu)建大數(shù)據(jù)縱深防御體系一是要加強(qiáng)大數(shù)據(jù)、環(huán)境、系統(tǒng)整體防護(hù)，建設(shè)多重防護(hù)、多層互聯(lián)體系結(jié)構(gòu)，確保大數(shù)據(jù)處理環(huán)境可信；二是要加強(qiáng)處理流程控制，防止內(nèi)部攻擊，提高計(jì)算節(jié)點(diǎn)自我免疫能力；三是要加強(qiáng)技術(shù)平臺支持下的安全管理，基于安全策略，與業(yè)務(wù)處理、監(jiān)控及日常管理制度有機(jī)結(jié)合；四是要加強(qiáng)全局層面安全機(jī)制，制定數(shù)據(jù)控制策略，梳理數(shù)據(jù)處理流程，建立安全的數(shù)據(jù)處理新模式。（二）堅(jiān)持積極防范，構(gòu)建基于等級保護(hù)的大數(shù)據(jù)縱深防御體系架構(gòu)2、應(yīng)重視大數(shù)據(jù)攻擊技術(shù)研發(fā)，做到攻防兼?zhèn)鋰H網(wǎng)絡(luò)競爭不斷加劇，我們面臨的網(wǎng)絡(luò)空間環(huán)境日益復(fù)雜，被動(dòng)防御無法真正解決大數(shù)據(jù)安全問題。（三）管理和技術(shù)并重，全方位提高信息安全防護(hù)能力信息安全管理包括：建立安全管理策略建立健全安全管理制度建立安全管理平臺開展信息安全意識培訓(xùn)等信息安全技術(shù)手段包括：身份認(rèn)證訪問控制審計(jì)數(shù)據(jù)加密可信驗(yàn)證等保障大數(shù)據(jù)安全，要做到以下幾點(diǎn)：一是攻擊者進(jìn)不去

加強(qiáng)信息系統(tǒng)整體防護(hù)，建設(shè)管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護(hù)體系結(jié)構(gòu)。二是非授權(quán)重要信息拿不到

被動(dòng)防御防不勝防，對于已經(jīng)進(jìn)來的攻擊者，要盡早偵測到他們，使危害減少到最低，防御的重點(diǎn)也應(yīng)當(dāng)從“保護(hù)所有信息資產(chǎn)”到“集中保護(hù)那些最重要的資產(chǎn)”轉(zhuǎn)變。三是竊取保密信息看不懂

對重要信息采取加密等手段進(jìn)行保護(hù)，非法用戶只能拿到重要信息的密文，而無法看到文件內(nèi)容。四是系統(tǒng)和信息篡改不了

實(shí)行系統(tǒng)資源管理，對操作活動(dòng)進(jìn)行可信驗(yàn)證，強(qiáng)化信息防篡改和自動(dòng)糾錯(cuò)功能，使木馬種不上，病毒染不了。五是系統(tǒng)工作癱不成

從網(wǎng)絡(luò)通信、區(qū)域邊界、計(jì)算環(huán)境，進(jìn)行層層訪問控制；有效分解攻擊信息流，提高系統(tǒng)的強(qiáng)壯性和彈性。定期進(jìn)行系統(tǒng)安全脆弱點(diǎn)評估，及時(shí)發(fā)現(xiàn)安全隱患；開發(fā)可恢復(fù)系統(tǒng)，實(shí)現(xiàn)系統(tǒng)自動(dòng)恢復(fù)。六是攻擊行為賴不掉

在系統(tǒng)的重要環(huán)節(jié)設(shè)有審計(jì)點(diǎn)，結(jié)合電子簽名技術(shù)及時(shí)記錄違規(guī)操作信息，及時(shí)發(fā)現(xiàn)異常事件，并能跟蹤追擊。（四）構(gòu)建大數(shù)據(jù)等級保護(hù)技術(shù)框架，確保大數(shù)據(jù)可信、可控、可管大數(shù)據(jù)時(shí)代，原有的信息資源處理手段已經(jīng)不適應(yīng)迅速增大的數(shù)據(jù)量級，原有的計(jì)算環(huán)境也在隨之?dāng)?shù)據(jù)挖掘、關(guān)聯(lián)分析等大數(shù)據(jù)技術(shù)的發(fā)展而變化。構(gòu)建大數(shù)據(jù)等級保護(hù)技術(shù)框架應(yīng)以可信、可控、可管為目的以可信計(jì)算基（TCB）為基礎(chǔ)，

層層擴(kuò)充，確保計(jì)算環(huán)境可信可信計(jì)算是指：計(jì)算處理結(jié)果與預(yù)期相一致，中間過程可控制管理、可度量、可驗(yàn)證?？尚庞?jì)算能夠?qū)崿F(xiàn)密碼存儲保密、身份認(rèn)證和完整性驗(yàn)證，以及版本不能被篡改、防病毒和黑客攻擊等功能。可信計(jì)算環(huán)境需要全產(chǎn)業(yè)鏈支持：基于可信計(jì)算技術(shù)的可信終端是產(chǎn)業(yè)基礎(chǔ)；高性能的可信計(jì)算芯片是提高競爭力的核心；可信計(jì)算理論和體系結(jié)構(gòu)是持續(xù)發(fā)展的源泉；可信計(jì)算應(yīng)用關(guān)鍵技術(shù)是產(chǎn)業(yè)化的突破口。同時(shí)，發(fā)展以可信計(jì)算為基礎(chǔ)的可信計(jì)算環(huán)境有助于我國擺脫國外信息產(chǎn)品的路徑依賴。以訪問控制為核心，實(shí)行主體按策略規(guī)則訪問不同等級數(shù)據(jù)，確保全程處理可控按照數(shù)據(jù)的敏感程度和重要程度進(jìn)行分級，相應(yīng)的確定數(shù)據(jù)存儲介質(zhì)和處理系統(tǒng)的安全等級；推行最小權(quán)限管理，尤其是高等級系統(tǒng)實(shí)行三權(quán)分離管理體制，確保數(shù)據(jù)資源可管在大數(shù)據(jù)環(huán)境下，各種數(shù)據(jù)夾雜在一起，在數(shù)據(jù)存儲和處理環(huán)節(jié)，管理風(fēng)險(xiǎn)尤為突出。郁教授總結(jié)沈院士的三句話：關(guān)鍵技術(shù)——可信計(jì)算制度建設(shè)——等級保護(hù)人才培養(yǎng)云時(shí)代的信息安全技術(shù)主要內(nèi)容把握一下云時(shí)代的數(shù)字世界發(fā)展評估一下數(shù)字世界面臨的挑戰(zhàn)暢想一下信息安全技術(shù)的未來云時(shí)代的信息安全技術(shù)主要內(nèi)容把握一下云時(shí)代的數(shù)字世界發(fā)展評估一下數(shù)字世界面臨的挑戰(zhàn)暢想一下信息安全技術(shù)的未來把握一下云時(shí)代的數(shù)字世界發(fā)展多網(wǎng)融合建立天下一統(tǒng)的信息世界物聯(lián)網(wǎng)拓展數(shù)字世界疆域，將人和物理世界納入管轄云計(jì)算推動(dòng)數(shù)字世界的工業(yè)革命，規(guī)?；蛯I(yè)化成為主要特征，數(shù)字世界的快速發(fā)展勢不可擋三網(wǎng)融合建立一統(tǒng)的數(shù)字世界我國的三網(wǎng)融合：物理融合與業(yè)務(wù)融合電信網(wǎng)計(jì)算機(jī)互聯(lián)網(wǎng)有線電視網(wǎng)業(yè)務(wù)應(yīng)用的融合，主要體現(xiàn)為：業(yè)務(wù)統(tǒng)一：網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通，形成無縫覆蓋，不同網(wǎng)絡(luò)平臺傾向于承載實(shí)質(zhì)相似的業(yè)務(wù)，業(yè)務(wù)上互相滲透和交叉協(xié)議統(tǒng)一：趨向使用統(tǒng)一的IP協(xié)議，提供多樣化，多媒體化，個(gè)性化服務(wù)為目標(biāo)監(jiān)管統(tǒng)一：行業(yè)管制和政策方面也逐漸趨向統(tǒng)一多網(wǎng)融合的技術(shù)特征從終端技術(shù)看三網(wǎng)融合用戶裝置，如電話、電視與電腦功能上逐漸趨同，集成。功能統(tǒng)一到一個(gè)終端從網(wǎng)絡(luò)技術(shù)看三網(wǎng)融合網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)化趨勢明顯，IP成為主流，網(wǎng)絡(luò)互聯(lián)統(tǒng)一到一張大網(wǎng)從服務(wù)技術(shù)看三網(wǎng)融合業(yè)務(wù)技術(shù)統(tǒng)一/應(yīng)用技術(shù)的統(tǒng)一/監(jiān)管技術(shù)的統(tǒng)一把握一下云時(shí)代的數(shù)字世界發(fā)展多網(wǎng)融合建立天下一統(tǒng)的信息世界物聯(lián)網(wǎng)拓展數(shù)字世界疆域，將人和物理世界納入管轄云計(jì)算推動(dòng)數(shù)字世界的工業(yè)革命，規(guī)?；蛯I(yè)化成為主要特征，數(shù)字世界的快速發(fā)展勢不可擋物聯(lián)網(wǎng)加速數(shù)字世界的爆炸式增長物理世界的數(shù)字化時(shí)代開始了家庭機(jī)器人/智能家居/工業(yè)控制信息資源爆炸式增長視頻流/環(huán)境數(shù)據(jù)/大數(shù)據(jù)改變生活/工作/學(xué)習(xí)，科學(xué)研究的模式革命性的變革一個(gè)例子，科學(xué)研究的變遷實(shí)驗(yàn)科學(xué)（我們已經(jīng)走過）假設(shè)——實(shí)驗(yàn)——觀察——修改假設(shè)計(jì)算機(jī)科學(xué)（目前的時(shí)代）假設(shè)——模型——計(jì)算——修改假設(shè)數(shù)據(jù)科學(xué)（明天的研究方法）數(shù)據(jù)——計(jì)算——結(jié)論E.g.google預(yù)測疾病流行物聯(lián)網(wǎng)將物理世界拉入信息世界不僅獲知物理世界，還控制物理世界包括人方便生活，方便工作物理網(wǎng)將改變生活，工作乃至科學(xué)的模式數(shù)據(jù)爆炸式增長，處理需求旺盛把握一下云時(shí)代的數(shù)字世界發(fā)展多網(wǎng)融合建立天下一統(tǒng)的信息世界物聯(lián)網(wǎng)拓展數(shù)字世界疆域，將人和物理世界納入管轄云計(jì)算推動(dòng)數(shù)字世界的工業(yè)革命，規(guī)?；蛯I(yè)化成為主要特征，數(shù)字世界的快速發(fā)展勢不可擋云計(jì)算：工業(yè)革命，協(xié)作成為主流打破自給自足的信息服務(wù)模式，消弱用戶能力促使網(wǎng)絡(luò)依賴，使網(wǎng)絡(luò)服務(wù)能夠控制更多的人資源逐步集中/資本家和金融寡頭利用免費(fèi)等掠奪手段的資源集中方式數(shù)字世界潛在的骨牌效應(yīng)將逐步出現(xiàn)各種基礎(chǔ)設(shè)施相互依賴數(shù)字世界——以專業(yè)化/規(guī)模化推動(dòng)的工業(yè)革命協(xié)作是基礎(chǔ)/信用體系建設(shè)是發(fā)展的源泉數(shù)字世界的工業(yè)化帶來更多的骨牌效應(yīng)信息安全將成為未來最重要的支撐技術(shù)數(shù)字世界的發(fā)展脈絡(luò)（發(fā)展是硬道理）多網(wǎng)融合：信息世界的“秦始皇統(tǒng)一中國”獨(dú)立的原始部落將消亡物聯(lián)網(wǎng)/移動(dòng)網(wǎng)絡(luò)：信息世界的“哥倫布發(fā)現(xiàn)新大陸”資源擴(kuò)張成為主流云計(jì)算：信息世界的“工業(yè)革命”協(xié)作成為主流數(shù)字世界發(fā)展沖擊所有業(yè)務(wù)馬云：天變了前年雙11，一天營業(yè)額191億，超過沃爾瑪去年：第一分鐘破億，第二分鐘破3億，第三分鐘破10億（支付寶成交總金額的數(shù)字）移動(dòng)有強(qiáng)大的通信資源，忽略融合的力量騰訊的微信成為對手，來得及么？阿里的支付寶/余額寶來了（開放網(wǎng)絡(luò)）一統(tǒng)網(wǎng)絡(luò)中的軍隊(duì)來了，封閉的銀行還能固守幾年？結(jié)論:全球數(shù)字化的時(shí)代剛剛開始

新時(shí)代的信息安全也剛剛開始食品安全/信息安全好缸子，防霉防盜/好系統(tǒng)，防病毒，防火墻食品生產(chǎn)鏈/信息生產(chǎn)鏈（剛剛開始）云時(shí)代的信息安全技術(shù)主要內(nèi)容把握一下云時(shí)代的數(shù)字世界發(fā)展評估一下數(shù)字世界面臨的挑戰(zhàn)暢想一下信息安全技術(shù)的未來手機(jī)銀行安全北京媒體去年9月30日報(bào)道，9月26日，袁先生手機(jī)突然沒有了信號，幾個(gè)小時(shí)后，工資卡內(nèi)10萬元結(jié)婚款被人轉(zhuǎn)走，袁先生稱，事后他來到開戶行中國建設(shè)銀行保利支行調(diào)取了交易記錄，發(fā)現(xiàn)這筆錢是在9月26日22時(shí)40分通過建設(shè)銀行手機(jī)銀行轉(zhuǎn)到另一賬號，對方在一個(gè)多小時(shí)后通過POS機(jī)消費(fèi)，錢已無法追回。支付與交易安全3月22日晚，漏洞報(bào)告平臺烏云網(wǎng)在其官網(wǎng)上公布了一條重大網(wǎng)絡(luò)安全漏洞信息，指出攜程安全支付日志可遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露。“棱鏡門”事件后，國內(nèi)連續(xù)發(fā)生了如家等快捷酒店開房記錄泄露、中國人壽80萬保單信息泄露，搜狗手機(jī)輸入法漏洞導(dǎo)致用戶信息泄露等信息安全事件。信息技術(shù)發(fā)展對信息安全的挑戰(zhàn)隱私危機(jī)愈演愈烈，無可奈何全體裸奔身份爆炸不斷升級，數(shù)字秩序迷霧重重電子依賴急速滲透，信息故障危及生命信任綁架潛移默化，安全核彈隨時(shí)引爆邊疆交融勢不可擋，浮沙建樓危機(jī)四伏信息財(cái)富迅速攀升，防護(hù)手段難以為繼云時(shí)代的信息安全技術(shù)主要內(nèi)容把握一下云時(shí)代的數(shù)字世界發(fā)展評估一下數(shù)字世界面臨的挑戰(zhàn)暢想一下信息安全技術(shù)的未來信息安全技術(shù)的演變第一代主要技術(shù)特點(diǎn)：保護(hù)技術(shù)第二代主要技術(shù)特點(diǎn)：保障技術(shù)第三代主要技術(shù)特點(diǎn)：生存技術(shù)第四代技術(shù)特點(diǎn)：自重構(gòu)信任系統(tǒng)體現(xiàn)協(xié)作體現(xiàn)效益/體現(xiàn)自構(gòu)建/體現(xiàn)移動(dòng)生死保護(hù)（Protect）技術(shù)：冷兵器時(shí)代修筑城墻的技術(shù)通信保障：簡單加密技術(shù)安全系統(tǒng)：存取控制技術(shù)修好的城墻：安全操作系統(tǒng)邊界繼續(xù)擴(kuò)大：防火墻技術(shù)秦始皇修筑了世界最長的城墻結(jié)果呢？信息保障（InformationAssurance）：火兵器時(shí)代結(jié)合保護(hù)，檢測，響應(yīng)，恢復(fù)（PDRR），強(qiáng)調(diào)過程以檢測（Detection）技術(shù)為主要標(biāo)志檢測是基礎(chǔ)，恢復(fù)是后盾檢測是信息保障的核心入侵檢測，死機(jī)檢測，溫度檢測，異常檢測生存技術(shù)：化學(xué)武器時(shí)代數(shù)字世界不能沒有病毒，不會沒有黑客網(wǎng)絡(luò)系統(tǒng)肯定存在漏洞/BUG管理員也不能全部永遠(yuǎn)地忠誠生存技術(shù)：Thecapabilityofasystemtofulfillitsmission,inatimelymanner,inthepresenceofattacks,failures,oraccidents.中國最需要入侵容忍系統(tǒng)（生存技術(shù)）。生存技術(shù)的基礎(chǔ)支撐容錯(cuò)理論糾錯(cuò)碼，不怕少量錯(cuò)誤門限密碼少量系統(tǒng)背叛不影響系統(tǒng)安全拜占庭系統(tǒng)技術(shù)在有未知敵手的團(tuán)隊(duì)里協(xié)商出有利于好人的結(jié)論生存技術(shù)的缺陷容忍局部或少數(shù)機(jī)器被入侵需要有足夠多的“好人”需要針對性設(shè)計(jì)屬于靜態(tài)防御技術(shù)無法抵御高強(qiáng)度可持續(xù)攻擊自重構(gòu)信賴技術(shù)：原子武器時(shí)代信賴，是工業(yè)化合作的必然必須有信賴，才能有合作完全信賴，是不可能的信賴整個(gè)網(wǎng)絡(luò)，是不可能的信賴所有的系統(tǒng)，是不可能的信賴整個(gè)系統(tǒng)，是不可能的自重構(gòu)信賴技術(shù)合作式適度信賴局部系統(tǒng)InformationSecurityin2020:DetectionMoreImportantThanPreventionBy2020，75%ofenterprises‘informationsecuritybudgetswillbeallocatedforrapiddetectionandresponseapproaches，