大数据时代更需加强漏洞分析与风险评估

1. 大数据时代更需加强漏洞分析与风险评估

大数据时代更需加强漏洞分析与风险评估
大数据时代，新技术创新发展对网络与信息安全保障提出了新的要求，对信息安全漏洞的挖掘分析和对网络安全风险的综合管控愈显重要。北京(CNFIN.COM / XINHUA08.COM)--“一钉损一马，一马失社稷”的英格兰寓言令人警醒，在网络和信息安全领域，“一洞损一网，一网失全局”的可能性同样存在。大数据时代，新技术创新发展对网络与信息安全保障提出了新的要求，对信息安全漏洞的挖掘分析和对网络安全风险的综合管控愈显重要。在23日召开的第八届信息安全漏洞分析与风险评估大会上，国家信息安全主管部门、专家学者和企业代表围绕“大数据时代的漏洞分析与风险评估技术”主题深入探讨，共享理论、方法、技术和实践成果。业界指出，一年前心脏出血等高危漏洞对全球用户的影响尚未消除，今年安卓和苹果两大操作系统又分别曝出重大漏洞，用户的隐私、敏感数据面临风险。而1%的疏漏可能导致100%的失败，加强漏洞分析和信息共享刻不容缓。中央网信办网络安全协调局副局长胡啸表示，漏洞分析与评估是网络安全的重要工作。加强漏洞分析与技术检测，对关键信息基础设施可能面临的风险进行综合评估，及时发现漏洞消除隐患，是国家网络安全保护建设的关键，也是保证国家网络安全的重要所在。近年来我国在网络安全漏洞分析和风险评估方面取得了重大进展，建成了以漏洞数据为基础核心的中国国家信息安全漏洞库(CNNVD)，在国家和行业层面建立了安全检查制度，成立了国家级安全队伍，对涉及民生的网络和重要系统定期实施安全检查，及时消除了一批重大漏洞和安全隐患，有效管控了网络安全风险。但道高一尺魔高一丈，漏洞分析和风险评估工作仍然需要政府、科研机构共同努力，在漏洞资源管理、信息安全共享等方面有待进一步提高。中国信息安全测评中心朱胜涛主任对此提出三点倡议：一是真抓实干，尽早将国家对各种资源的综合管控提升到信息安全战略的新高度；二是常抓不懈，尽快将制度化、法制化的风险评估工作列为信息安全保障的新常态；三是齐心协力，全力向社会各界交流漏洞和风险隐患方面的合作经验，推广出新维度。阿里巴巴集团安全专家方兴和360企业安全集团总裁吴云坤等也反复提及“威胁情报”概念，探讨如何加强搜集和挖掘能力，强化威胁情报体系建设，提高战略情报预测水平助力网络应急响应。第八届信息安全漏洞分析与风险评估大会由中国信息安全测评中心主办，北京交通大学承办，清华大学协办，会上同时举行了中国国家信息安全漏洞库第三批共13家技术支撑单位的授牌仪式。其中，中电长城网际系统应用有限公司、北京云间有道科技有限公司、北京江南天安科技有限公司与此前获批的9家企业共同获得国家信息安全漏洞库一级支撑单位的称号
以上是小编为大家分享的关于大数据时代更需加强漏洞分析与风险评估的相关内容，更多信息可以关注环球青藤分享更多干货

2. 大数据风险管理不容忽视

大数据风险管理不容忽视 
当前，我国信息化快速发展，人工智能正以前所未有的速度、广度和深度融入经济社会各个方面，大数据风险管理的重要性和紧迫性日益凸显。对此，我们必须与时俱进，切实重视数据安全问题，从组织管理、规程标准、技术手段等多角度着手进行风险防范，围绕大数据市场准入的风险屏障与防范、生产使用过程中的风险监控和管制，以及风险预警和化解等关键环节，采取组织控制、制度控制与技术控制的综合治理机制，形成数据安全防护“三位一体”的闭环管理链条。
信息和数据是进行国家公共治理的基础，在经济社会发展中的基础性、战略性、先导性地位日益突出。随着信息和数据容量、复杂性和战略意义的提升，如何更为有效地化解数据治理中战略导向缺失、数据权属体系不完善、分级分类机制缺失等难题，是当前需要研究的课题。要实现数据安全防护总体目标，就必须更好实施全面风险管理体制改革，有效统筹数据资源和风险管理，切实提升我国数据治理能力。
完善组织管理
应着力打造“集中式”风险管理组织架构，围绕大数据市场准入的风险屏障与防范、生产使用过程中的风险监控和管制，以及风险预警和化解等关键环节，成立统一的大数据管理部门，负责组织领导、统筹协调全国大数据发展和具体的风险防范管控，以及发生重大事故时的危机管理。
具体来看，大数据管理部门应做好数据采集、数据维护、数据分析和风险管理以及数据政策的主导者，将主要开展跨区域、跨部门、跨层级的大数据交换共享，以及数据关联、比对、清洗、安全防护等治理工作，需要具备包括数据收集能力、数据解读能力、判断能力和辅导能力等方面的专业能力，通过加强数据资源的建设、管理和开发，满足监管、隐私保护和安全等方面的要求，保证数据安全管理方针、策略、制度的统一制定和有效实施。
同时，推进国家公共治理数字化基础设施的建设，构建一个扩展性强、高度可靠的，以互联网为基础的数字平台，负责管理基础数据资源安全。搭建“数据资源服务施政平台”，充分发挥平台组织协调和快速部署数据安全措施的作用。构建“安全即服务”的新模式，推进数据资源的整合共享、统一管理、主动防护，力争将原本分散存储在不同部门、行业的数据信息孤岛连接成一个互联互通的新价值网络，形成传统以控制为核心的安全模式和新型的主动性数据安全模式相互支撑、协同发挥作用的数据风险防范体系。
强化制度规范
为确保数据风险管理工作有规可依，建议构建与现代化经济体系和国家治理能力现代化相适应的风险管理制度环境，努力将保护数据信息资产的措施融入现代化经济体系建设、国家治理体系建设，探索出一条以控制功能和主动保护双管齐下、共同落实数据安全管理责任的发展模式和路径。
一是强化顶层设计，打造全方位的安全保障体系。应在国家法律法规层面，进一步完善包括数据权属、数据管理、关键基础设施、稳定性保障、数据安全等在内的相关专门性法律。同时，在生产使用过程中的风险监控和管制方面，应聚焦大数据领域的技术研究与应用，推进大数据采集、管理、共享、交易等标准规范的制定和实施，研究制定一批基础共性、重点应用和关键技术标准;在风险预警和化解方面，应在确保大数据法律性开放的基础上，加强风险管理流程、授权管理制度、风险限额管理、风险评价考核、风险奖惩处罚、风险责任约束、风险决策报告等方面的建设，构建全面数据风险管理的体系架构。
二是明确相关部门和人员责任，完善风险管理体制机制。在大数据市场准入的风险屏障与防范方面，明确数据系统权限和数据管理相关责任部门，制定数据系统权限及数据管理办法，规范政府部门数据系统权限申请及数据管理流程，形成数据安全实践工作的制度保障。建立完善数据服务、网络安全防护和信息安全等级保护等相关制度。在生产使用过程中的风险监控和管制方面，有必要针对大数据安全可能引发的负面影响，编制数据管理制度和规程文件。在风险预警和化解方面，相关部门必须适应风险管理从静态数据向动态数据的转化、从人为判断向模型分析的转化、从零散管理向体系管理的转化，加强数据安全事件监测和事态发展信息搜集工作，积极开展应急处置、风险评估和安全控制的能力建设，提升基于持续检测、态势感知和及时响应处置的数据安全保障能力，释放数据活力。
三是加快建立数据信息资源目录体系，满足技术性开放的数据安全要求。立足实际情况，根据数据应用的差异化需求和不同场景，明确数据信息资源目录的管理者、提供者和使用者的不同角色和职责，按照管理范围和职责权限，落实数据资源的编目、注册、发布和维护。在生产使用过程中也要加快建立统一的数据标准体系并制定数据安全策略，通过数据链的标准化和主动性数据安全模式，确保数据的清晰可溯，确保相关机构和个人最大程度地自由安全获取和利用数据。
加强技术保障
有效的技术保障，是保障大数据安全、提升数据治理能力的关键。
一是加强政策引导，不断提升技术能力。推动大数据领域产学研协同创新合作，加强大数据风险管理核心技术的联合攻关，增强防范和处置数据安全事件的技术支撑能力。重点支持网络安全监测预警、处置救援、应急服务等，以核心技术的突破和发展，有效降低大数据的安全风险。
二是建立数据安全防范数据库，加强数据共享。鼓励以大数据产业联盟、相关行业协会等组织为依托，在大数据生产使用过程中的风险监控和管制，以及风险预警和化解方面，建立一个共享的数据安全防范数据库，促进数据安全防范信息和修复举措的收集和共享，低成本、高质量、高频度地生产、使用数据安全防范相关知识。

3. 大数据安全问题及应对思路研究

大数据安全问题及应对思路研究
随着互联网、物联网、云计算等技术的快速发展，全球数据量出现爆炸式增长。与此同时，云计算为这些海量的多样化数据提供了存储和运算平台，分布式计算等数据挖掘技术又使得大数据分析规律、研判趋势的能力大大增强。在大数据不断向各个行业渗透、深刻影响国家的政治、经济、民生和国防的同时，其安全问题也将对个人隐私、社会稳定和国家安全带来巨大的潜在威胁，如何应对面临巨大挑战。
　　一、大数据安全关键问题
　　随着数字化进程不断深入，大数据逐步渗透至金融、汽车、制造、医疗等各个传统行业，甚至到社会生活的每个角落，大数据安全问题影响也日益增大。
　　（一）国家数据资源大量流失。互联网海量数据的跨境流动，加剧了大数据作为国家战略资源的大量流失，全世界的各类海量数据正在不断汇总到美国，短期内还看不到转变的迹象。随着未来大数据的广泛应用，涉及国家安全的政府和公用事业领域的大量数据资源也将进一步开放，但目前由于相关配套法律法规和监管机制尚不健全，极有可能造成国家关键数据资源的流失。
　　（二）大数据环境下用户隐私安全威胁严重。随着大数据挖掘分析技术的不断发展，个人隐私保护和数据安全变得非常紧迫。一是大数据环境下人们对个人信息的控制权明显下降，导致个人数据能够被广泛、详实的收集和分析。二是大数据被应用于攻击手段，黑客可最大限度地收集更多有用信息，为发起攻击做准备，大数据分析让黑客的攻击更精准。三是随着大数据技术发展，更多信息可以用于个人身份识别，个人身份识别信息的范围界定困难，隐私保护的数据范围变得模糊。四是以往建立在“目的明确、事先同意、使用限制”等原则之上的个人信息保护制度，在大数据场景下变得越来越难以操作。
　　（三）基于大数据挖掘技术的国家安全威胁日益严重。大数据时代美国情报机构已抢占先机，美国通过遍布在全球的国安局监听机构如地面卫星站、国内监听站、海外监听站等采集各种信息，对采集到的海量数据进行快速预处理、解密还原、分析比对、深度挖掘，并生成相关情报，供上层决策。2013年6月底，美中情局前雇员斯诺登爆料，美国情报机关通过思科路由器对中国内地移动运营商、中国教育和科研计算机网等骨干网络实施长达4年之久的长期监控，以获取网内海量短信数据和流量数据。
　　（四）基础设施安全防护能力不足引发数据资产失控。一是基础通信网络关键产品缺乏自主可控，成为大数据安全缺口。我国运营企业网络中，国外厂商设备的现网存量很大，国外产品存在原生性后门等隐患，一旦被远程利用，大量数据信息存在被窃取的安全风险。二是我国大数据安全保障体系不健全，防御手段能力建设处于起步阶段，尚未建立起针对境外网络数据和流量的监测分析机制，对棱镜监听等深层次、复杂、高隐蔽性的安全威胁难以有效防御、发现和处置。
　　二、国外大数据安全相关举措及我国应对思路
　　目前世界各国均通过出台国家战略、促进数据融合与开放、加大资金投入等推动大数据应用。相比之下，各国在涉及大数据安全方面的保障举措则起刚刚起步，主要集中在通过立法加强对隐私数据的保护。德国在2009年对《联邦数据保护法》进行修改并生效，约束范围包括互联网等电子通信领域，旨在防止因个人信息泄露导致的侵犯隐私行为；印度在2012年批准国家数据共享和开放政策的同时，通过拟定非共享数据清单以保护涉及国家安全、公民隐私、商业秘密和知识产权等数据信息；美国在2014年5月发布《大数据：把握机遇，守护价值》白皮书表示，在大数据发挥正面价值的同时，应该警惕大数据应用对隐私、公平等长远价值带来的负面影响，建议推进消费者隐私法案、通过全国数据泄露立法、修订电子通信隐私法案等。
　　我国在布局、鼓励和推动大数据发展应用的同时，也应提早谋划、积极应对大数据带来的安全挑战，从战略制定、法律法规、基础设施防护等方面应对大数据安全问题。
　　（一）将大数据资源保护上升为国家战略，建立分级分类安全管理机制。一是把数据资源视为国家战略资源，将大数据资源保护纳入到国家网络空间安全战略框架中，构建大数据环境下的信息安全体系，提高应急处置能力和安全防范能力，提升服务能力和运作效率。二是通过国家层面的战略布局，明确大数据资源保护的整体规划和近远期重点工作。三是对国内大数据资源按实施分级分类安全保护思路，保障数据安全、可靠，积极开展大数据安全风险评估工作，针对不同级别大数据特点加强安全防范。五是尽快制定不同级别的大数据采集、存储、备份、迁移、处理和发布等关键环节的安全规范和标准，配套完善相应的监管措施。
　　（二）完善法律法规，加大个人信息保护监管力度。一是积极推动个人信息保护法律的立法工作，探索通过技术标准、行业自律等手段解决法律出台前的个人信息保护问题。加快《网络安全法》的出台，在《网络安全法》中对电信和互联网行业用户信息保护作出明确法律界定，为相关工作开展提供法律依据。二是加强对个人隐私保护的行政监管，同时要加大对侵害个人隐私行为的打击力度，建立对个人隐私保护的测评机制，推动大数据行业的自律和监督。
　　（三）加强国家信息基础设施保护，提升大数据安全保障与防范能力。一是促进技术研究和创新，通过加大财政支持力度，激励关系国家安全和稳定的政府和国有企事业单位采用安全可控的产品，提升我国基础设施关键设备的安全可控水平。二是加强大数据信息安全系统建设，针对大数据的收集、处理、分析、挖掘等过程设计与配置相应的安全产品，并组成统一的、可管控的安全系统，推动建立国家级、企业级的网络个人信息保护态势感知、监控预警、测评认证平台。三是充分利用大数据技术应对网络攻击，通过大数据处理技术实现对网络异常行为的识别和分析，基于大数据分析的智能驱动型安全模型，把被动的事后分析变成主动的事前防御；基于大数据的网络攻击追踪，实现对网络攻击行为的溯源。
以上是小编为大家分享的关于大数据安全问题及应对思路研究的相关内容，更多信息可以关注环球青藤分享更多干货

4. 大数据时代数据安全策略

大数据时代数据安全策略
大数据未来已来 商业价值巨大
　　众所周知，今天的数据量正在呈几何式增长，以个人消费者为例，现在我们每个人每天都会产生大量的数据比如上网数据、购物数据、社交数据。而在企业市场，数据量更是惊人， 移动设备、互联网以及企业自身的数据加速了大数据到来 。阿里的马云曾经说过，我们现在正在处于一个由IT时代向DT时代转变。实际上，这不是在耸人听闻，小到我们个人消费者大到行业企业的发展，处处在产生数据、又处处离不开数据，基于大数据技术，无论是个人还是行业企业可以去很多的业务创新以及价值转换，事实上，大数据的价值已经不言而喻。梭子鱼中国华南区高级技术经理范宏伟认为，大数据在行业发展的前景非常广阔，不论是传统的金融机构还是现在时髦的互联网金融机构，通过大数据技术能够分析每个人的特征，根据所形成的特征进行汇总，能够助力金融机构实现对于贷款人的评判。
　　在政府和房地产行业，未来随着数据的开放，通过大数据技术查询房产不需要在回到原省区查询，直接在所在当地就可以查询。
　　对于企业的内部管理而言，通过大数据技术可以分析出营销存在的问题，然后根据问题，不断的优化、解决，从而使整体的团队营销水平最终得到有效的提升。
　　今天的大数据对于企业而言是非常有价值的，经过多年的大数据的发展，范宏伟认为，大数据现在呈现以下几大特点：
　　第一，规模越来越大。在过去十几年前，几百GB的数据量已经非常巨大，但现在都已经是TB、PB级的，从这方面来看，数据规模越来越大;
　　第二，数据类型非常多，过去只有单一的数据，现在越来越多非结构化数据如音频、视频、社交数据等对数据处理能力提出更高要求;
　　第三，数据处理速度快，对数据实时处理有着极高的要求，通过传统数据库查询方式得到的 “当前结果”很可能已经没有价值。
　　第四，数据价值高。海量数据带来了巨大的商业价值。数据之间关联性支持深层的数据挖掘。
　　大数据 安全不容小觑
　　虽然我们一再强调大数据的特点以及在行业中的价值，也传递了它的正向作用，但是任何事务都是双向的，既然大数据有正向作用，那么它也有反向作用暨开展大数据也是存在挑战的，而安全成为企业开展在大数据不容小觑的“门槛”。
　　还是以金融为例，通常金融的数据信息是最“齐全”的，对于黑客而言，通常会进行多个点的“攻击”，一旦攻开一个点，它就可以“拿”到整个数据，这对金融机构特别可怕，特别是互联网金融如P2P的兴起，由于技术薄弱以及众多的后台接口，导致每天被都会被攻击，而且在互联网环境下黑客的成本在降低，这就导致了在大数据时代企业存在安全风险。
　　范宏伟表示，在大数据时代，黑客对于企业的攻击点是无形中增加的，它已经不在局限于企业自身的攻击，而是通过“外围”的方式深入到企业内部比如美国某知名电商网站受到攻击后发现原来黑客是从该网站的供应商系统中切入到，从而获得了数据。因此，对于企业而言，企业的数据安全风险的，这也是企业的CIO、IT管理者在企业发展中需要思考的问题。
　　大数据时代数据安全策略
　　现在我们可以看到，在整个IT系统中，数据已经成为IT很重要的资产，那么，数据作为企业中很重要的数据，我们怎么保护数据?如何做到有效的容灾?而且大数据存在安全风险，那么作为企业的CIO、IT管理者而言又该如何来应对?
　　对于此，范宏伟认为，CIO开展借助大数据安全，首先要做好大数据的安全策略：
　　第一，规范建设。不论上新应用信息系统还是过去旧的系统，都需要有规范化的管理，在大数据时代如果没有规范，它所面临的就是数据丢失。
　　第二，建立以数据为中心的安全系统。
　　第三，融合创新。
　　实际在这三点对于每个行业企业在开展大数据安全管理时，都具有重要的参考价值。对于企业的CIO而言，企业的核心数据如ERP系统首先可通过预判来进行防范，实现安全预警。比如平常员工很少晚上登陆ERP系统帐号，如果晚上登陆ERP系统，就可以判断是疑似的预判，从而做出相应的应对措施。
　　对于企业的核心数据保护需要考虑以下五个方面的因素：
　　第一，灾难的类型。会有哪些灾难以及会对系统到来多大损失?当机器出现故意后，对于企业有多大影响比如ERP系统机器损坏以后会影响到企业的生存发展;
　　第二、恢复时间：灾难发生后需要多久恢复?
　　第三，实用技术。目前有哪些可靠的技术，可以保护数据安全
　　第四、成本的问题。实施容灾方案的成本以及不实施容灾灾难发生后的损失成本?
　　第五、恢复程度;系统恢复还是数据恢复?恢复数据的最后更新时间?
　　范宏伟进一步指出，在有限的成本中，把数据保护实现最大化，则需要CIO要在实施成本、宕机时间、解决方案达成一个平衡。因此，开展数据保护或者对于整体数据容灾系统应该从底层的数据备份恢复开始做起，逐步开始数据复制、应用切换、业务接管等四个方向。
以上是小编为大家分享的关于大数据时代数据安全策略的相关内容，更多信息可以关注环球青藤分享更多干货

5. 大数据分析系统应该规避的问题

大数据分析系统应该规避的问题
  大数据分析前期要做的事
　　其实，每一个数据都有一个ETL，就是抽取、转化，然后去加载，包括做数据的清洗。如果数据大批量进来的话，有些数据可能是有问题的，马先生举了个例子：比如说，好多地址会写得比较模糊，如果要搜索北京这个词的时候，数据仓库里可能只有一个京字，这些都要统一整理成一个，比如说北京，这样后面分析就会简单，比如山东，有人会输入“鲁”字来进行搜索，而不是山东，这就需要在大数据分析前期做好数据清理工作，做规范化，这样后面的数据分析起来就方便很多。
　　搭建大数据分析系统的注意事项
　　在搭建大数据分析系统时，有哪些需要注意的事项？马老师提到：首先要弄明白你所在企业需要什么样的数据，或者你想得到什么价值，想明白了再去做。因为做数据不像做别的东西，一定明确知道要知道你要干什么，不然这个系统搭的时候会有很多困难，不知道该怎么搭，不知道用什么技术，也不知道数据进去是否在浪费。而目前的情况是：很多企业可能会先把架构搭出来，实际上这数据每天在算，但是不知道这数据带来什么价值，所以更多是一个业务驱动的。再举个例子：比如说中国移动就想挖一挖，到底是哪一个用户老欠费，哪一个用户用得多，用的多的就给他优惠多一点……如果他有这个需求，你再把这个需求下转给下面的人，按照这个需求去开发;
　　其次，需要选择适当的技术。比如说你一台机器够用的，不要用两台机器，能够进来报表就不要用交互报表，因为那个都是有技术成本的，并且上线的速度会慢很多。所以建议任何一个企业在搭建数据分析以前，要特别清晰地知道其搭建的需求和目的，选择什么方案，搭它来解决什么问题，针对需求你去做一个数据分析;
　　再次，在没有时时性要求时，你不要自作主张，向老大提这个。因为大公司的批量已经做得非常完美了，可能批量已经带来35%的收入增加了，他要再做时时，再增加5%，而你现在什么都没有。如果说先要做时时，或者先要全部搞出来的话，可能要先一步一部把35%做好，把那个批量先做出来，然后再做时时，这样效果会更好。
　　不要滥搭大数据分析系统
　　技术这个东西都是相通的，没有一项改进都是说完全是重新造出来的，都是在改的，但是它带来的价值不一样，它带来的人的思考，就跟人从零售店买东西和网商这种不一样，但是技术，零售店也会用一些数据库，网上也可能用，要在这个上面做一些转变。马老师谈到，好多国企(这里就不点名)，就是为了上项目去上项目，称自己有海量数据。当问他需要搭建的大数据系统是用来干什么，他们的答案很出乎意料：先给搭起来，先存起来，需要的时候再用，就这种思想。其实这个是没有必要的。
　　总结
　　虽然大数据现在炙手可热，大数据分析越来越火爆，很多企业都在试图拥抱大数据技术。但还是应该具体问题具体分析，因为大数据分析系统并非适合所有的企业，一些小型规模的企业在旧系统能满足需求的时候，就不要盲目地去追随潮流，舍弃旧的系统重新搭建，也可能解决了这个小缺口，但是可能会滋生其它更大的问题，这就得不偿失了。
以上是小编为大家分享的关于大数据分析系统应该规避的问题的相关内容，更多信息可以关注环球青藤分享更多干货