2019大数据产业峰会|中国电信天翼云关泰璐：建立大数据安全的新思维

这是我们团队做的一个统计，从2017年到2018年整个数据泄露事件。我们统计了一下，大概有三个维度造成了数据泄露，第一个维度就是信息的配置不当造成的，比如左边这块，分别有美国五角大楼，大概泄露3.5亿条数据，有埃森哲的，还有南非的一家征信机构，大概泄露五千万条数据，但是这五千万条数据包含的价值非常高。下面的是运动手环的公司，当时显示的是在朝鲜的一个北部山区，在无人区里面竟然有人运动，暴露出来一个什么问题？朝鲜的北部山区底下应该是有一些军事基地的，有一些士兵在地底下运动，暴露出来他们军事基地的轨迹。实际上这是一个军事机密泄露的问题，不光朝鲜，还有美国、俄罗斯、中国的军事基地也在泄露的范围之内。由于信息配置不当造成数据泄露大概在53%左右。还有内部员工数据泄露的问题，最典型的就是趣店，当时有两个员工离职，心怀不满，把趣店大概两千万条数据直接拿到黑市上卖，这个情况确实比较恶劣。对于入侵攻破，黑客入侵攻破是比较抓用户眼球的，但是在整个盘点过程当中，他们整个数据泄露的占比应该是占20%左右，比如说徐玉玉事件，刚才许老师也谈到了这个问题。还有韩国最大的比特币交易中心被黑客攻击之后造成一亿美元的数据泄露。Uber被黑客攻破之后采取了非常极端的措施，就是花钱找黑客私了，我把这个钱给你，这个数据你不要暴露出来，但是黑客还是很有正义感，坚持把这个数据暴露出来。整个盘点过程当中，从2015年一直到2018年，我们可以看到整个数据泄露的态势是呈指数级上涨的过程。2018年据不完全统计，数据泄露大概在100亿条左右，这个数据听起来特别吓人，感觉好像我们在座的每一个人的每个数据都在黑客面前是透明的，是这样的吗？我觉得应该也差不多。从整个数据盘点来说，整个数据的安全过程当中，最优先解决的应该是内部问题。

这是CSA评点的时候，大数据面临的主要安全挑战，大概十个方面，比如无法对数据溯源、分布式框架等等，缺乏实时监管，我抽象了一下。我觉得就是四大方面的危险，第一个对于未知安全威胁的发现问题，你怎么能够解决App攻击，怎么解决你不了解的攻击？你怎么做好防护和应对？第二个账户异常的问题，账户异常面临很多问题，比如内部特权账号的问题，合作厂家的问题，监管部门的账号问题，这些内部人员造成的威胁远远大于外部，怎么把内部人员的账号管好？这个才是我们面临的挑战。第三个数据的泄露和数据的滥用，我们怎么发现？怎么在这个过程当中把黑产猖獗的势力打掉？我觉得是在整个安全产业界比较重点关注的问题。第四个就是监管部门他们一直在强调严监管，我们怎么给他开放口径，给他开放口子，让他们能够对整个数据的流通、使用、合规进行强监管，我觉得这也是一个需要考虑的问题。以上四点解释之后，我觉得为什么今天的ISA大会在推出安全模型，为什么现在所有的工作在转向于以数据资产为核心的数据保护工作，这个是明显的一个转变。

简单回归一下，通信安全出来之后，我们大概分为五个阶段，比如通信安全阶段、计算机安全、网络安全和信息安全阶段，我把这些阶段简单称之为传统安全，这个确实是有一些武断，但是数据安全跟前面的安全有明显的区别，区别在于哪儿？用比较流行的《权力的游戏》来解释，传统的安全，比如说像夜王在攻打凛冬城的时候，凛冬城把自己的重兵部队放在城外，有骑兵等等，又是骑兵，又是火把，声势浩大，目的在于不能让夜王的僵尸部队打进来，一旦打进来就完蛋了。但是看过的人都知道还是打进来了，但是确实是防不住，数据安全这个问题是什么？夜王本身就是数据，他就像特朗普一样，原来的所有工作是保护特朗普在白宫，只要他在白宫，他就是安全的，因为在白宫外面布置了海量的安全防护手段，但是特朗普这个人是要到处乱跑的，夜王也是要到处攻击别人的，他总会有走出白宫的一天，也总会走入凛冬城这一天，怎么办？如果对整个数据保护做得不好的话，可能就被一击毙命了，整个传统安全和数据安全最大的区别就是原来我们是更加侧重于边界的防护，数据安全更应该注重数据本身的保护问题。

简单回顾了一下，大数据安全主要是既要关注外部安全，更要关注内部安全，要考虑综合的合规、用户隐私保护、业务和应用系统方面的安全。我们的传统安全可能我们要做好边界防护，用好安全设备几乎就够了。但是大数据安全和传统安全不是割裂的，数据安全是建立在传统安全之上的，没有传统的安全，数据安全肯定做不好，但是如果传统安全做得再好，但是对于数据自身的价值的体现，对于数据自身的保护没有做好的话，我们做的数据安全在整个流通的领域使用过程还会面临诸多的问题。这是为什么题目叫作建立大数据安全的新思维这样一个标题，我们想改变防护的体系和思路。

我们认为数据安全大概整个防御的基石有三个：1.法律法规，前面各位专家也都提过了，今天的安全论坛谈论的安全技术比较少，谈论法律法规确实比较多，以后是一种方向，安全人员不能光研究技术、光研究安全管理，更需要研究法律法规。2.需要管理规范。现在的管理技术手段确实还是稍显空白，我们应该用三分技术、七分管理来实现这个问题，3.要加大研究我们的技术手段，最后会达到保护目标。我们大概设置了一个目标，我们把它分为四个等级，第一个是严密保护级，涉及到秘密一级放在这儿，第二个是区域限制级，有一些在行业内共享的数据是不是可以划定一个小区域，让它自由流动。第三个是监督检查级，主要是用到个人的信息和数据，把它放到这里面，非个人用户的数据，把它放到完全开放，这也是符合整个国际发展的趋势。

二、中国电信大数据安全体系

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!