一、 背景
随着信息化进入3.0阶段,越来越呈现出万物数字化、万物互联化,基于海量数据进行深度学习和数据挖掘的智能化特征。数据安全正式站在了时代的聚光灯下,隆重登场。计算机行业的安全是一个由来已久概念,我们比较认可雷万云博士对于信息安全发展阶段的划分,认为截止到目前,信息安全大致经历了5个时期。
第一个时期是通信安全时期,其主要标志是1949年香农发表的《保密通信的信息理论》。在这个时期主要为了应对频谱信道共用,解决通信安全的保密问题。
第二个时期为计算机安全时期,以二十世纪70-80年代为标志《可信计算机评估准则》(TCSEC)。在这个时期主要是为了应对计算资源稀缺,解决计算机内存储数据的保密性、完整性和可用性问题。
第三个时期是在二十世纪90年代兴起的网络安全时期,在这个时期主要为了应对网络传输资源稀缺,解决网络传输安全的问题。
第四个时代是信息安全时代,其主要标志是《信息保障技术框架》(IATF)。在这个时期主要为了应对信息资源稀缺,解决信息安全的问题。在这个阶段首次提出了信息安全保障框架的概念,将针对OSI某一层或几层的安全问题,转变为整体和深度防御的理念,信息安全阶段也转化为从整体角度考虑其体系建设的信息安全保障时代。
信息是有价值的数据,随着海量、异构、实时、低价值的数据从世界的各个角落,各个方位扑面而来,人类被这股强大的数据洪流迅速的裹挟进入了第五个时期,也就是目前所处的数据安全时代。
二、 大数据安全的矛盾和目标
在大数据时代,安全面临着如下矛盾亟待解决:
1、数据的收集方式的多样性、普遍性和技术应用的便捷性同传统的基于边界的防护措施之间的矛盾;
2、数据源之间、分布式节点之间甚至大数据相关组件之间的海量、多样的数据传输和东西向数据传输的监控同传统的传输信道管理和南北向数据传输监控之间的矛盾;
3、数据的分布式、按需存储的需求同传统安全措施部署滞后之间的矛盾;
4、数据融合、共享、多样场景使用的趋势和需求同安全合规相对封闭的管理要求之间的矛盾;
5、数据成果展示的需要同隐蔽安全问题发现之间的矛盾。因此,大数据的安全防护不仅要基于传统的OSI整体防御体系,还要打造基于数据生命周期安全防护策略。
数据安全防护工作的目标会根据安全责任主体不同导致侧重点有所差异,但大致可以分为三个层次:
1、涉及国家利益、公共安全、军工科研生产等数据,会对国计民生造成重大影响的国家级数据,这类数据需要强化国家的掌控能力,严防数据的泄露和恶意使用。
2、涉及行业和企业商业秘密、经营安全的数据,必须保障数据机密性、完整性、可用性和不可抵赖性。
3、涉及用户个人和隐私的数据,在用户知情同意和确保自身安全的前提下,保障信息主体对个人信息的控制权利,维护公民个人合法权益。
三、 数据