2019年9月5日-7日,“2019金融业新一代数据中心发展论坛”于河北怀来召开。
标签: 安华金和
科普|选择数据库审计的三个理由
黑格尔曾说:“存在即合理。”在安华金和看来,这句话放到数据安全领域同样适用。
新环境下大数据安全的五个挑战
时至今日,不再有人质疑大数据的价值;
正因如此,大数据安全治理才尤为重要。
1 副本.jpg
大数据就像一座漂浮的冰山,海面下所蕴含的巨大价值正被不断挖掘而出;然而,自身集中化的存储与管理模式,却使其成为黑客网络攻击的绝佳目标。近年来,全球大数据安全事件呈频发态势,针对大数据的勒索攻击和数据泄露问题日益严重。对于安全需求的不断增长,催生了相关技术、产品与解决方案的研发面世,但相比大数据产业的极速扩张,配套的安全技术领域发展明显滞后…须知欲破敌阵,先要知己知彼!
数据越庞大,挑战越多样
大数据在数量规模、处理方式、应用理念等方面都呈现出与传统数据不同的新特征,如:
大数据是一类具有体量大、结构多样、时效性强等特征的数据;
想要处理大数据,需要采用新型计算架构以及智能算法等新技术;
大数据应用强调在线闭环业务流程优化,用以辅助决策、发现新知。
安华金和从大数据安全治理角度进行总结梳理,发现大数据的“新”催生出五个层面的安全挑战:
2 副本.jpg
挑战1:大数据平台基础组件的安全问题
大数据平台采用了与以往完全不同的软件产品构成,一方面受发展阶段的限制,其自身安全性并不高;另一方面,存在众多组件也十分容易引发安全问题。以hadoop系为例,一个大数据平台至少包含20到30种软件,这些软件形成了非常广阔的供给面——方便黑客通过利用其中软件的错误配置或漏洞获取账号密码、敏感数据甚至整个集群的控制权,进而对大数据平台实施入侵。
3 副本.jpg
(组件众多的大数据平台)
与此同时,藏身暗处的“灰黑产”对经济利益的极度渴求令大数据环境变得更为波云诡谲。随着加密货币市场热度的持续攀升,入侵挖矿一时成为最高效的“赚钱”手段,而其对算力方面不断扩大的需求,势必导致恶意软件将攻击锁定大数据平台。为应对上述安全风险,需要定期对大数据安全平台的所有组件进行安全检测和安全加固,且至少应包括漏洞检查、配置检查、木马检查以及后门检测等。
挑战2:大数据流转中的安全问题
如今,数据被视为一种特殊资产,能够在流通和使用的过程中不断创造新价值。因此,在大数据应用场景下,数据的流动是“常态”,数据的静止存储才是“非常态”。未来的大数据业务环境将更加开放,业务生态将更加复杂,参与数据处理的角色将更加多元,而系统、业务、组织的边界也将进一步模糊化,数据的产生、流动、处理等过程都会不同以往。
4 副本.jpg
然而,数据频繁的跨界流动与共享也存在其风险——传统的数据访问控制技术无法解决跨组织的数据授权管理和数据流向追踪问题,仅靠书面合同或协议又难以实现对数据接收方的数据处理活动进行实时监控与审计,极易造成数据滥用等安全风险(2018年曝光的“剑桥分析”事件就是典型案例)。未来,数据共享和流通将成为刚性业务需求,传统的静态隔离防护不再能满足数据流动中的安全防护需求,而需要通过动态变化的视角分析和判断数据安全风险,构建以数据为中心的,动态、连续的数据安全防护体系。
挑战3:大数据中的个人隐私问题
放眼全球,中国在移动支付、共享经济等新兴数字技术领域的发展普及速度惊人,基于互联网、移动互联网、物联网的信息服务已渗透到社会生活的方方面面。网购喜好推荐、会员消费报告等个性化功能都是基于大数据技术对用户个人数据进行挖掘分析,逐步形成用户画像,进而提供的定制化服务。然而,用户在享受便捷的同时却在主动或被动出让着个人信息安全。
5 副本.jpg
面对大数据应用场景下无所不在的数据收集技术以及专业、多样化的数据处理技术,用户几乎难以控制其个人信息的收集与应用情境,个人信息的自决权被大大削弱。特别是随着企业间的数据共享日益频繁,利用大数据的超强分析能力对多源数据进行处理,能够将已经过匿名化处理的数据再次还原,令现有数据脱敏技术“失灵”,直接威胁到用户的隐私安全。
挑战4:厂商缺乏安全意识的问题
未来,基于大数据的智能决策将会在经济运行、社会生活、国家治理等多方面发挥更加重要的作用,大数据可能会对国家安全的方方面面产生更加深远的影响。然而,对大数据进行分析预测,其结果对社会安全体系所产生的影响力和破坏力也可能是无法预料和预先防范的。
因此,必须要求从事大数据相关产业的企业和个人都从“大安全”的视角审视大数据安全问题,必须站在国家总体安全的战略高度,全面、有效应对因大数据泄露等问题可能造成的严重危害及后果。
挑战5:大数据影响决策安全的问题
在信息化和工业化融合业务繁荣发展的背后,针对大数据平台的网络攻击手段正在悄然变化——攻击目的已从单纯窃取数据、瘫痪系统,转向干预、操纵分析结果等方面;攻击效果已从直观易察觉的系统宕机、信息泄露转向细小且难以察觉的分析结果偏差等方面;所造成的影响和危害已从网络安全事件上升到工业生产安全事故等方面。
6 副本.jpg
目前,基于监测、预警、响应的传统网络安全技术手段已难应对上述五个挑战中攻击模式的变化发展,迫切需要进行理念创新,针对不断变化演进的网络攻击形态,设计构建更为完善的大数据平台安全保护体系,从而实现为上层跨行业、跨领域的业务应用提供基础性安全保障的目标。
在安华金和看来,开展 “大数据安全治理”,目的是“让大数据使用更安全”,脱离了“使用”去谈大数据安全是不切实际的“浪费”。大数据应被更充分、更高效、更安全的使用,从而为人类社会的可持续发展贡献出它真正的价值和作用。
新挑战 :大数据审计未来路在何方
面对大数据审计,如果一味沿用传统的关系型数据库审计则会出现“水土不服”的问题。在一系列针对大数据审计的项目落地过程中,安华金和总结发现
“安全+使用”让医疗数据的价值在流动中浮现
8月27日,为期两天的2019智博会 · 智慧医疗高峰论坛在重庆南坪国际会展中心盛大开幕。重庆市人民政府副市长屈谦,中国工程院院士沈昌祥、樊代明、韩德民及各有关部门领导、知名专家学者及企业代表等1000多位行业精英到场交流,学习前沿技术、分享成功经验,共同为重庆卫生健康事业与中国智慧医疗产业的发展建言献策。
五个维度看数据库审计的技术路线差异
如果说数据库安全审计已成为数据库安全领域应用十分广泛,用户接受度很高的产品,应该没有人会否认。目前,市场上的数据库审计产品多以旁路镜像部署方式为主,但也有厂商采用植入式部署的方式,虽然两者都可以对数据库访问行为进行审计,但在审计效果和用户体验上却存在显著差异。安华金和建议广大用户:在产品选型时,应更加关注产品的核心技术路线,选择更适合的产品。
SCE 2019:“智疗”数据威胁,守护医患安全
2019年8月26日-29日,2019中国国际智能产业博览会将在重庆举办。作为智慧产业领域一年一度的国家级、国际化专业盛会,本届智博会以“智能化:为经济赋能,为生活添彩”为主题,智汇八方、博采众长,通过“会、展、赛、论”多种形式,集中展示全球智能产业的新产品、新技术、新业态和新模式。
安华金和 | 流动的时代 · 让数据使用自由而安全
2019年8月19日-20日,以“应对网络战,共建大生态,同筑大安全”为主题的第七届互联网安全大会(ISC 2019)在北京 · 雁栖湖国际会展中心盛大召开。
大·数据安全 | 谋定而后动,先梳理再治理
《孙子·计篇》中曾用“谋定而后动,知止而有得”告诫将兵者,先谋划准确周到后再行动,要知道目的地才能够有所收获。
“互联网+”政务数据的运维案例分享
政府作为领头军,也开始布局“互联网+”战略,以某省级“互联网+监督”平台的打造为例,监督平台以大数据和云计算作为技术支撑,将项目资金实施使用的来源、去向、过程、效果、问题、投诉等各个方面进行网上监督,信息的公开透明化大大提升。
科普l 数据库静态脱敏是什么?
《 个人信息安全规范》明确了相关行业个人信息的使用、共享的合规要求,同时也提出如若个人信息泄露则会明确到责任部门与人员,所以数据在使用、共享时的安全无论针对部门还是个人都迫在眉睫。
大数据安全治理的核心理念
近年来,互联网与信息技术的高速发展与普及应用,导致数据量呈指数增长。如今,大数据的价值正被不断挖掘、利用,在互联网、金融、电信、交通、医疗等关系国计民生的重要行业发挥着广泛而巨大的作用——服务人民日常生活、助力企业经营发展、推动产业转型升级、提高国家治理现代化水平。
安华金和携手指尖安全《我是白帽子》系列活动正在进行
在BCS安全峰会来临之前,安华金和携手指尖安全为粉丝们带来一系列…
知识点 | 数据库审计产品八大常见缺陷
伴随互联网、大数据的高速发展,全球信息化建设不断深入,数据库安全问题现已成为政府、企事业单位用户关注的焦点。当前市面单是数据库审计产品就多达几十种,可大致分为四种类型……
CSS 2019 | 安华金和入选《FP50优秀网络安全解决方案白皮书》
2019年7月31日,由腾讯安全和知道创宇联合主办的“CSS 2019 Future Power 50”安全新锐力量专场(以下简称:FP50)在京召开。会议以“行业新担当,聚力赢未来”为主题,邀请业界领袖组成豪华评审团,遴选安全新锐力量企业加入FP50俱乐部,打造业内新型生态平台,共享标杆案例经验,启迪行业创新成长。