引言
随着大数据上升到国家战略,预示着数据驱动的时代已经来临。但是,数据高度汇聚及大数据分析、应用的不可控性等安全隐患的增加带来了前所未有的挑战。从各级政府领导来看,大数据安全已经影响到经济社会发展的方方面面,由于安全问题的一票否决制,加之专家提出的大数据安全问题的狂轰滥炸,不少领导谈安全即色变,宁紧勿松、宁关不用,存在过度关注、不辩证看问题等现象,很大程度影响了大数据的应用。政务大数据的安全度怎么把握,能否沿用涉密系统的等级保护体系、非涉密系统的安全等级保护体系,形成大数据平台的安全体系,还在研究探索。现有安全公司所提的安全保障方案和技术路线还没有得到权威的认证、评估和认可,政务大数据平台安全防护措施薄弱已是既成事实。由于政务大数据相对处在封闭的环境中运行,对外开放和共享不够,又不存在类似电信运营商大数据的变现要求,安全需求不迫切。除了传统的安全防护手段外,政务大数据平台大都缺乏安全防护配置或仍处在论证和技术选型阶段。随着政务资源的汇聚和共享,政务大数据的应用将呈现快速发展,构筑一个可测、可评、可控、安全、可靠的政务大数据平台需求迫切。
一、现状与需求分析
1.1.政务大数据中心的安全现状
一是安全形势依然严重。随着政务云建设的脚步加快,政务大数据中心已成为政务数据的汇聚中心。由于拥有大量政务数据的机构其管理和技术水平的不足,安全技术手段、安全运维专业人员的不足,云平台、大数据平台漏洞的客观存在,安全态势十分严重。外部攻击者利用平台的漏洞入侵获取数据;掌握数据的机构或平台使用内部人员无意泄露数据;掌握数据的有关人员与外部攻击者勾结盗取数据,此类现象多次发生。
二是政务大数据平台安全措施薄弱。目前政务大数据中心主要建立在Hadoop生态环境上,Hadoop最初的设计是假定集群处于可信的环境中,由可信用户使用的相互协作的可信计算机组成。早期的Hadoop中并没有安全模型,它不对用户或服务进行验证,也没有数据隐私,任何人都能提交代码并得到执行,对于网络攻击、信息破坏、内容泄密基本没有防护能力。大数据中心暴露在较为开放的网络中,没有明显的安全边界,没有严格的用户访问控制,存在数据被篡改和泄漏的风险;大数据在应用中,由于管理者不能及时洞察用户的操作行为,缺乏安全感知和安全防御能力;缺乏安全审计能力,对大数据中心对外提供的服务和数据的使用情况,对敏感数据外泄情况,缺乏数据监管,导致大数据中心运行过程的不可信、不可管和不可控。
三是数据挖掘带来的信息泄漏风险加剧。由于政务大数据系统中存有大量的企业和个人信息,随着数据资源的高度汇聚和平台开放,企业和个人信息泄漏产生的后果将比原有政务信息系统严重得多,大数据场景应用和多源数据分析,数据挖掘的关联分析等将挖掘出更多的敏感信息,加剧了企业和个人信息泄漏的风险。
四是政务大数据缺乏安全标准规范。尽管安全厂商提出了总体解决方案和安全标准规范建议,全国信息安全标准化技术委员会大数据安全标准特别工作组也提出《大数据安全标准化白皮书》,阿里等厂商提出大数据安全能力成熟度模型DSMM,旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力,发现数据安全能力短板,查漏补缺,最终提升大数据产业整体安全管理水平。但是总的看来,权威性和可操作性不够,用户最需要的是类似等保三级的可操作、具有权威性的规范要求,作到可测、可评、可控,指导政务大数据平台的安全建设。