《大数据与云计算安全.ppt》由会员分享,可在线阅读,更多相关《大数据与云计算安全.ppt(57页珍藏版)》请在三一办公上搜索。
1、中国云计算大数据安全大会,刘晓梅,新型信息技术应用的信息安全保障,主要内容:大数据的基本概念大数据时代面临的信息安全挑战大数据时代的信息安全保障,大数据的概念,一般来讲,大数据是指“无法用现有的软件工具提取、存储、搜索、共享、分析和处理的海量的、复杂的数据集合”维基百科将大数据定义为那些无法在一定时间内使用常规数据库管理工具对其内容进行抓取、管理和处理的数据集。美国白宫的“大数据开发计划”中认为大数据开发是从庞大而复杂的数字数据中发掘知识及现象背后本质的过程。,大数据的特征,一般来讲,业界通常用四个“V”来概括大数据的特征:一是数据量巨大(Volume)二是数据类型类型繁多(Variety)三
2、是价值密度低(Value)四是处理速度快(Velocity),大数据时代面临的信息安全挑战,随着海量数据的进一步集中和信息技术的进一步发展,信息安全成为大数据快速发展的瓶颈。大数据信息安全主要体现在以下几个方面(?)处理系统、过程的安全,重点关注系统安全、网络安全(与垃圾处理相似),垃圾处理链不安全,因此从系统工程考虑。,2014年2月12日,美国国家标准与技术研究所针对增强关键基础设施网络安全,提出了美国增强关键基础设施网络安全框架(V1.0),强调利用业务驱动指导网络安全行动,并考虑网络安全风险作为组织风险管理进程的一部分。,大数据依托网络技术,采用数据挖掘、关联分析等技术手段对分布式存储
3、的异构海量数据进行处理。无论是网络环境、计算平台、还是存储载体,都分属不同的信息系统。按我国现有的信息安全等级保护制度,加强大数据信息安全保障能力,是解决大数据安全的唯一出路。,(一)立足信息安全等级保护,全过程增强信息安全保障能力,信息安全等级保护是按信息处理系统的计算资源和信息资源安全程度不同实施不同保护强度的保障措施,是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。,按照国家标准计算机信息系统安全保护等级等级划分准侧GB17859-1999规定,国家信息系统实施五级保护。即从保护能力上划分为五个级别:第一级为用户自主保护级第二级为安全审计保护级第三级为安全标识
4、保护级第四级为结构化保护级第五级为访问验证保护级,(二)坚持积极防范,构建基于等级保护的大数据纵深防御体系架构,1、应加快构建多层次、高质量的大数据纵深防御体系结构大数据进一步加剧了网络空间中防御与攻击的不对称性,传统的信息安全防护措施多集中在“封堵查杀”层面,难以应对大数据时代的信息安全挑战。,构建大数据纵深防御体系,一是要加强大数据、环境、系统整体防护,建设多重防护、多层互联体系结构,确保大数据处理环境可信;二是要加强处理流程控制,防止内部攻击,提高计算节点自我免疫能力;三是要加强技术平台支持下的安全管理,基于安全策略,与业务处理、监控及日常管理制度有机结合;四是要加强全局层面安全机制,制
5、定数据控制策略,梳理数据处理流程,建立安全的数据处理新模式。,(二)坚持积极防范,构建基于等级保护的大数据纵深防御体系架构,2、应重视大数据攻击技术研发,做到攻防兼备国际网络竞争不断加剧,我们面临的网络空间环境日益复杂,被动防御无法真正解决大数据安全问题。,(三)管理和技术并重,全方位提高信息安全防护能力,信息安全管理包括:建立安全管理策略建立健全安全管理制度建立安全管理平台开展信息安全意识培训等,信息安全技术手段包括:身份认证访问控制审计数据加密可信验证等,保障大数据安全,要做到以下几点:一是攻击者进不去加强信息系统整体防护,建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构。
6、二是非授权重要信息拿不到被动防御防不胜防,对于已经进来的攻击者,要尽早侦测到他们,使危害减少到最低,防御的重点也应当从“保护所有信息资产”到“集中保护那些最重要的资产”转变。,三是窃取保密信息看不懂对重要信息采取加密等手段进行保护,非法用户只能拿到重要信息的密文,而无法看到文件内容。四是系统和信息篡改不了实行系统资源管理,对操作活动进行可信验证,强化信息防篡改和自动纠错功能,使木马种不上,病毒染不了。,五是系统工作瘫不成从网络通信、区域边界、计算环境,进行层层访问控制;有效分解攻击信息流,提高系统的强壮性和弹性。定期进行系统安全脆弱点评估,及时发现安全隐患;开发可恢复系统,实现系统自动恢复。六
7、是攻击行为赖不掉在系统的重要环节设有审计点,结合电子签名技术及时记录违规操作信息,及时发现异常事件,并能跟踪追击。,(四)构建大数据等级保护技术框架,确保大数据可信、可控、可管,大数据时代,原有的信息资源处理手段已经不适应迅速增大的数据量级,原有的计算环境也在随之数据挖掘、关联分析等大数据技术的发展而变化。构建大数据等级保护技术框架应以可信、可控、可管为目的,以可信计算基(TCB)为基础,层层扩充,确保计算环境可信,可信计算是指:计算处理结果与预期相一致,中间过程可控制管理、可度量、可验证。可信计算能够实现密码存储保密、身份认证和完整性验证,以及版本不能被篡改、防病毒和黑客攻击等功能。,可信计
8、算环境需要全产业链支持:基于可信计算技术的可信终端是产业基础;高性能的可信计算芯片是提高竞争力的核心;可信计算理论和体系结构是持续发展的源泉;可信计算应用关键技术是产业化的突破口。同时,发展以可信计算为基础的可信计算环境有助于我国摆脱国外信息产品的路径依赖。,以访问控制为核心,实行主体按策略规则访问不同等级数据,确保全程处理可控按照数据的敏感程度和重要程度进行分级,相应的确定数据存储介质和处理系统的安全等级;,推行最小权限管理,尤其是高等级系统实行三权分离管理体制,确保数据资源可管在大数据环境下,各种数据夹杂在一起,在数据存储和处理环节,管理风险尤为突出。,郁教授总结沈院士的三句话:关键技术可
9、信计算制度建设等级保护人才培养,云时代的信息安全技术,主要内容把握一下云时代的数字世界发展评估一下数字世界面临的挑战畅想一下信息安全技术的未来,云时代的信息安全技术,主要内容把握一下云时代的数字世界发展评估一下数字世界面临的挑战畅想一下信息安全技术的未来,把握一下云时代的数字世界发展,多网融合建立天下一统的信息世界物联网拓展数字世界疆域,将人和物理世界纳入管辖云计算推动数字世界的工业革命,规模化和专业化成为主要特征,数字世界的快速发展势不可挡,三网融合建立一统的数字世界,我国的三网融合:物理融合与业务融合电信网计算机互联网有线电视网业务应用的融合,主要体现为:业务统一:网络实现互联互通,形成无
10、缝覆盖,不同网络平台倾向于承载实质相似的业务,业务上互相渗透和交叉协议统一:趋向使用统一的IP协议,提供多样化,多媒体化,个性化服务为目标监管统一:行业管制和政策方面也逐渐趋向统一,多网融合的技术特征,从终端技术看三网融合用户装置,如电话、电视与电脑功能上逐渐趋同,集成。功能统一到一个终端从网络技术看三网融合网络技术标准化趋势明显,IP成为主流,网络互联统一到一张大网从服务技术看三网融合业务技术统一/应用技术的统一/监管技术的统一,把握一下云时代的数字世界发展,多网融合建立天下一统的信息世界物联网拓展数字世界疆域,将人和物理世界纳入管辖云计算推动数字世界的工业革命,规模化和专业化成为主要特征,
11、数字世界的快速发展势不可挡,物联网加速数字世界的爆炸式增长,物理世界的数字化时代开始了家庭机器人/智能家居/工业控制信息资源爆炸式增长视频流/环境数据/大数据改变生活/工作/学习,科学研究的模式革命性的变革,一个例子,科学研究的变迁,实验科学(我们已经走过)假设实验观察修改假设计算机科学(目前的时代)假设模型计算修改假设数据科学(明天的研究方法)数据计算结论E.g.google预测疾病流行,物联网将物理世界拉入信息世界,不仅获知物理世界,还控制物理世界包括人方便生活,方便工作物理网将改变生活,工作乃至科学的模式数据爆炸式增长,处理需求旺盛,把握一下云时代的数字世界发展,多网融合建立天下一统的信
12、息世界物联网拓展数字世界疆域,将人和物理世界纳入管辖云计算推动数字世界的工业革命,规模化和专业化成为主要特征,数字世界的快速发展势不可挡,云计算:工业革命,协作成为主流,打破自给自足的信息服务模式,消弱用户能力促使网络依赖,使网络服务能够控制更多的人资源逐步集中/资本家和金融寡头利用免费等掠夺手段的资源集中方式数字世界潜在的骨牌效应将逐步出现各种基础设施相互依赖数字世界以专业化/规模化推动的工业革命协作是基础/信用体系建设是发展的源泉,数字世界的工业化带来更多的骨牌效应,信息安全将成为未来最重要的支撑技术,数字世界的发展脉络(发展是硬道理),多网融合:信息世界的“秦始皇统一中国”独立的原始部落
13、将消亡物联网/移动网络:信息世界的“哥伦布发现新大陆”资源扩张成为主流云计算:信息世界的“工业革命”协作成为主流,数字世界发展冲击所有业务,马云:天变了前年双11,一天营业额191亿,超过沃尔玛去年:第一分钟破亿,第二分钟破3亿,第三分钟破10亿(支付宝成交总金额的数字)移动有强大的通信资源,忽略融合的力量腾讯的微信成为对手,来得及么?阿里的支付宝/余额宝来了(开放网络)一统网络中的军队来了,封闭的银行还能固守几年?,结论:全球数字化的时代刚刚开始新时代的信息安全也刚刚开始,食品安全/信息安全好缸子,防霉防盗/好系统,防病毒,防火墙食品生产链/信息生产链(刚刚开始),云时代的信息安全技术,主要
14、内容把握一下云时代的数字世界发展评估一下数字世界面临的挑战畅想一下信息安全技术的未来,手机银行安全,北京媒体去年9月30日报道,9月26日,袁先生手机突然没有了信号,几个小时后,工资卡内10万元结婚款被人转走,袁先生称,事后他来到开户行中国建设银行保利支行调取了交易记录,发现这笔钱是在9月26日22时40分通过建设银行手机银行转到另一账号,对方在一个多小时后通过POS机消费,钱已无法追回。,支付与交易安全,3月22日晚,漏洞报告平台乌云网在其官网上公布了一条重大网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露。“棱镜门”事件后,国内连续发生了如家等快捷酒店开房记录泄
15、露、中国人寿80万保单信息泄露,搜狗手机输入法漏洞导致用户信息泄露等信息安全事件。,信息技术发展对信息安全的挑战,隐私危机愈演愈烈,无可奈何全体裸奔身份爆炸不断升级,数字秩序迷雾重重电子依赖急速渗透,信息故障危及生命信任绑架潜移默化,安全核弹随时引爆边疆交融势不可挡,浮沙建楼危机四伏信息财富迅速攀升,防护手段难以为继,云时代的信息安全技术,主要内容把握一下云时代的数字世界发展评估一下数字世界面临的挑战畅想一下信息安全技术的未来,信息安全技术的演变,第一代主要技术特点:保护技术第二代主要技术特点:保障技术第三代主要技术特点:生存技术第四代技术特点:自重构信任系统体现协作体现效益/体现自构建/体现
16、移动生死,保护(Protect)技术:冷兵器时代,修筑城墙的技术通信保障:简单加密技术安全系统:存取控制技术修好的城墙:安全操作系统边界继续扩大:防火墙技术秦始皇修筑了世界最长的城墙结果呢?,信息保障(Information Assurance):火兵器时代,结合保护,检测,响应,恢复(PDRR),强调过程以检测(Detection)技术为主要标志检测是基础,恢复是后盾检测是信息保障的核心入侵检测,死机检测,温度检测,异常检测,生存技术:化学武器时代,数字世界不能没有病毒,不会没有黑客网络系统肯定存在漏洞/BUG管理员也不能全部永远地忠诚生存技术:The capability of a sys
17、tem to fulfill its mission,in a timely manner,in the presence of attacks,failures,or accidents.中国最需要入侵容忍系统(生存技术)。,生存技术的基础支撑,容错理论纠错码,不怕少量错误门限密码少量系统背叛不影响系统安全拜占庭系统技术在有未知敌手的团队里协商出有利于好人的结论,生存技术的缺陷,容忍局部或少数机器被入侵需要有足够多的“好人”需要针对性设计属于静态防御技术无法抵御高强度可持续攻击,自重构信赖技术:原子武器时代,信赖,是工业化合作的必然必须有信赖,才能有合作完全信赖,是不可能的信赖整个网络,是不
18、可能的信赖所有的系统,是不可能的信赖整个系统,是不可能的自重构信赖技术合作式适度信赖局部系统,Information Security in 2020:Detection More Important Than PreventionBy 2020,75%of enterprisesinformation security budgets will be allocated for rapid detection and response approaches,up from less than 10%2012.,安全技术的新方向,全球协同的网络信任体系入侵容忍技术,自重构信赖技术信息生态环境中
19、的信息保密技术数字资产安全,全球协同的网络信任体系,网络世界工业化,协作是主流,信任是基础建立好完善的网络信任体系是工业化信息社会发展的基础信任体系建设的目标是协作,而未来世界是全球的协作(地球村)谁掌握了协作的信任体系,谁就能够在网络世界的发展中获得安全近期目标:可信身份管理系统,入侵容忍与自重构信赖技术,美国,改变游戏规则的信息安全技术移动目标:在移动;可裁剪的可信网络:在变化经济激励:能挣钱;设计时安全:与信息系统同设计自重构的信赖技术:只在需要时出现终端TPM,Trust Zone软件定义网络虚拟化与云服务安全证明技术,信息生态环境中的保密技术,网状信息消费与处理需求与严格的保密和隐私保护需求多种手段结合的隐私保护方案和方法法律可行,技术可行,管理可行,商务可行,数字资产安全,数字财富日益增长,超过实体财富Facebook账户,平均价值$100数字财富银行,数字财富交易市场,信息技术和产业发展的三大基石,WeCompute 建立人类与计算系统之间更紧密,更富建设性的合作关系Cyber capable 教育和培训在培养未来网际公民和工作人员中承担的角色Truest and confidence 人类赖以生存的信息技术中必须保障的基本属性,
