摘 要：

大數(shù)據(jù)環(huán)境下，海量數(shù)據(jù)呈現(xiàn)出主體多樣化、處理活動(dòng)復(fù)雜化的特點(diǎn)，數(shù)據(jù)除了面臨傳統(tǒng)的安全威脅外，更要面臨諸多新型安全威脅，傳統(tǒng)的安全手段及體系已不能有效應(yīng)對(duì)大數(shù)據(jù)環(huán)境下的安全威脅。針對(duì)大數(shù)據(jù)的流轉(zhuǎn)復(fù)雜、關(guān)聯(lián)融合、蘊(yùn)含價(jià)值等特點(diǎn)，提出了面向動(dòng)態(tài)防御的大數(shù)據(jù)防御模型。此外，研究了相關(guān)的大數(shù)據(jù)安全技術(shù)，這些技術(shù)能夠構(gòu)建大數(shù)據(jù)安全動(dòng)態(tài)防御體系，提供動(dòng)態(tài)防御能力，促進(jìn)大數(shù)據(jù)安全全面向動(dòng)態(tài)、主動(dòng)防御方向轉(zhuǎn)變。

內(nèi)容目錄：

1 大數(shù)據(jù)安全風(fēng)險(xiǎn)分析

1.1 海量數(shù)據(jù)流轉(zhuǎn)復(fù)雜化使得數(shù)據(jù)泄露風(fēng)險(xiǎn)增大

1.2 攻擊手段多樣化使得傳統(tǒng)安全手段防護(hù)效果甚微

1.3 大數(shù)據(jù)價(jià)值高導(dǎo)致數(shù)據(jù)更易遭受攻擊竊取2 大數(shù)據(jù)安全需求分析

2.1 大數(shù)據(jù)體系化防護(hù)需求

2.2 大數(shù)據(jù)安全綜合治理需求

2.3 大數(shù)據(jù)智能化及動(dòng)態(tài)化體系防護(hù)需求

3 大數(shù)據(jù)安全動(dòng)態(tài)防御模型

4 大數(shù)據(jù)安全動(dòng)態(tài)防御關(guān)鍵技術(shù)

4.1 數(shù)據(jù)資產(chǎn)可視化分級(jí)分類保護(hù)技術(shù)

4.1.1 數(shù)據(jù)分級(jí)保護(hù)策略自動(dòng)化生成技術(shù)

4.1.2 敏感資產(chǎn)自動(dòng)化發(fā)現(xiàn)技術(shù)

4.1.3 多場(chǎng)景數(shù)據(jù)資產(chǎn)威脅可視化分析處理技術(shù)

4.2 數(shù)據(jù)安全風(fēng)險(xiǎn)感知與協(xié)同防御技術(shù)

4.2.1 全態(tài)化防御信息采集及行為分析技術(shù)

4.2.2 數(shù)據(jù)安全風(fēng)險(xiǎn)智能識(shí)別技術(shù)

4.2.3 數(shù)據(jù)安全態(tài)勢(shì)預(yù)測(cè)模型和評(píng)估指標(biāo)體系

4.2.4 攻擊評(píng)估與協(xié)同防御技術(shù)

4.3 數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)

4.3.1 數(shù)據(jù)服務(wù) Web 服務(wù)透明加固和細(xì)粒度參數(shù) 保護(hù)技術(shù)

4.3.2 安全配置自動(dòng)生成、動(dòng)態(tài)部署及監(jiān)控技術(shù)

4.3.3 安全服務(wù)能力在線編排與重構(gòu)、調(diào)整調(diào)度、 快速集成技術(shù)

4.4 數(shù)據(jù)安全能力綜合評(píng)估技術(shù)

4.4.1 數(shù)據(jù)安全能力智能稽查技術(shù)

4.4.2 數(shù)據(jù)安全風(fēng)險(xiǎn)智能評(píng)估技術(shù)

4.5 數(shù)據(jù)安全風(fēng)險(xiǎn)追蹤溯源技術(shù)

4.5.1 多源異構(gòu)數(shù)據(jù)行為監(jiān)控與全路徑追蹤溯源技術(shù)

4.5.2 數(shù)據(jù)安全風(fēng)險(xiǎn)根因分析技術(shù)

5 結(jié) 語(yǔ)

00  引 言

隨著信息技術(shù)的快速發(fā)展，人類的生產(chǎn)生活與信息技術(shù)交匯融合的程度也越來(lái)越深。在融合的過(guò)程中，各類數(shù)據(jù)呈現(xiàn)指數(shù)級(jí)增長(zhǎng)的特點(diǎn)。這些海量數(shù)據(jù)在聚集的過(guò)程中，對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)治理、人民生活都產(chǎn)生了重大而深刻的影響。與此同時(shí)，數(shù)據(jù)安全也成為事關(guān)國(guó)家安全和經(jīng)濟(jì)社會(huì)發(fā)展的重大課題。《中華人民共和國(guó)數(shù)據(jù)安全法》的正式發(fā)布 標(biāo)志著數(shù)據(jù)安全已經(jīng)上升至國(guó)家戰(zhàn)略高度，數(shù)據(jù)已經(jīng)成為國(guó)家基礎(chǔ)性戰(zhàn)略資源，沒(méi)有數(shù)據(jù)安全就沒(méi)有國(guó)家安全。

當(dāng)前，各類海量數(shù)據(jù)呈現(xiàn)出主體多樣化、處理活動(dòng)復(fù)雜化的特點(diǎn)。大數(shù)據(jù)環(huán)境下，數(shù)據(jù)除了面臨傳統(tǒng)的安全威脅外，還要面臨諸多新型安全威脅。 傳統(tǒng)的安全手段及體系呈現(xiàn)出的單點(diǎn)、靜態(tài)、被動(dòng)防護(hù)的特點(diǎn)已不能有效應(yīng)對(duì)大數(shù)據(jù)環(huán)境下的安全威脅。大數(shù)據(jù)的安全防御需要從大數(shù)據(jù)的流轉(zhuǎn)復(fù)雜、關(guān)聯(lián)融合、蘊(yùn)含價(jià)值等特點(diǎn)入手 ，面向攻擊手段多樣、攻擊程序不斷更新迭代的新型安全威脅，圍繞數(shù)據(jù)全生命周期提供動(dòng)態(tài)防御能力。在這種背景下，安全防御技術(shù)及體系需要從單點(diǎn)、靜態(tài)、被動(dòng) 防護(hù)向全面、動(dòng)態(tài)、主動(dòng)防護(hù)轉(zhuǎn)變 。

01  大數(shù)據(jù)安全風(fēng)險(xiǎn)分析

大數(shù)據(jù)除了面臨傳統(tǒng)安全威脅以外，同時(shí)還要 面臨新型的安全威脅。

1.1 海量數(shù)據(jù)流轉(zhuǎn)復(fù)雜化使得數(shù)據(jù)泄露風(fēng)險(xiǎn)增大

隨著信息化建設(shè)持續(xù)推進(jìn)和技術(shù)不斷發(fā)展，數(shù) 據(jù)呈現(xiàn)爆發(fā)式增長(zhǎng)，同時(shí)各類應(yīng)用系統(tǒng)也呈現(xiàn)出多樣化特點(diǎn)，使得數(shù)據(jù)的流轉(zhuǎn)更加錯(cuò)綜復(fù)雜，導(dǎo)致數(shù)據(jù)暴露出更大的攻擊面。此外，由于數(shù)據(jù)平臺(tái)支撐 的業(yè)務(wù)應(yīng)用多種多樣，對(duì)外提供的服務(wù)接口千差萬(wàn)別；因此，攻擊者有機(jī)會(huì)通過(guò)服務(wù)接口攻擊大數(shù)據(jù) 系統(tǒng)，而如何保證多種服務(wù)接口的安全也成為大數(shù)據(jù)平臺(tái)面臨的極大挑戰(zhàn)。

1.2 攻擊手段多樣化使得傳統(tǒng)安全手段防護(hù)效果甚微

大數(shù)據(jù)在全生命周期過(guò)程中呈現(xiàn)出數(shù)據(jù)動(dòng)態(tài) 化、密級(jí)多樣化、權(quán)屬?gòu)?fù)雜化、使用實(shí)時(shí)化、價(jià)值最大化的特點(diǎn)，這些特點(diǎn)導(dǎo)致了大數(shù)據(jù)環(huán)境下的攻 擊手段多樣化。攻擊程序不斷更新迭代，使得大數(shù) 據(jù)在全生命周期過(guò)程中被竊取、被濫用、被篡改的風(fēng)險(xiǎn)不斷增大。傳統(tǒng)的安全手段及體系呈現(xiàn)出單點(diǎn)、 靜態(tài)防護(hù)的特點(diǎn)，在應(yīng)對(duì)大數(shù)據(jù)環(huán)境下的安全威脅時(shí)會(huì)出現(xiàn)防護(hù)效果不佳，甚至失效的情況，也為數(shù)據(jù)安全威脅的追蹤溯源帶來(lái)了更大的挑戰(zhàn)。

1.3 大數(shù)據(jù)價(jià)值高導(dǎo)致數(shù)據(jù)更易遭受攻擊竊取

大數(shù)據(jù)經(jīng)挖掘分析后能產(chǎn)生具有極高價(jià)值的數(shù)據(jù)產(chǎn)品，這些產(chǎn)品能夠?yàn)榻?jīng)濟(jì)、社會(huì)、國(guó)家戰(zhàn)略等活動(dòng)提供決策支撐；但與此同時(shí)，大數(shù)據(jù)產(chǎn)品極易吸引內(nèi)部非法人員的攻擊竊取。這類攻擊呈現(xiàn)出長(zhǎng) 期潛伏、難以發(fā)現(xiàn)的特點(diǎn)，現(xiàn)有態(tài)勢(shì)感知及應(yīng)急處 置等協(xié)同防御手段無(wú)法有效應(yīng)對(duì)此類威脅，更無(wú)法 有效發(fā)現(xiàn)未知威脅，使得高價(jià)值數(shù)據(jù)面臨巨大的安 全風(fēng)險(xiǎn)。

02  大數(shù)據(jù)安全需求分析

2.1 大數(shù)據(jù)體系化防護(hù)需求

大數(shù)據(jù)系統(tǒng)及平臺(tái)的可靠、安全運(yùn)行是信息系統(tǒng)運(yùn)行的重要基本保障，但也往往成為對(duì)手首要攻擊對(duì)象。數(shù)據(jù)對(duì)經(jīng)濟(jì)決策、社會(huì)治理、國(guó)家安全等活動(dòng)具有重大意義，其安全的重要性不言而喻。 近年來(lái)發(fā)生的由于內(nèi)部管理不規(guī)范導(dǎo)致的斯諾登事件， 美軍士兵運(yùn)動(dòng)信息被收集導(dǎo)致美軍事基地暴露， 劍橋數(shù)據(jù)分析公司惡意影響美國(guó)總統(tǒng)大選等，證明 網(wǎng)絡(luò)空間對(duì)抗的日益常態(tài)化、高級(jí)化、復(fù)雜化，也 暴露出單純使用漏洞移除、打補(bǔ)丁、訪問(wèn)控制、邊界防護(hù)等傳統(tǒng)安全防護(hù)技術(shù)的網(wǎng)絡(luò)空間靜態(tài)防御難以預(yù)防動(dòng)態(tài)的內(nèi)外部復(fù)雜攻擊，需要積極探索大數(shù)據(jù)安全動(dòng)態(tài)化、體系化防御框架。

2.2 大數(shù)據(jù)安全綜合治理需求

數(shù)據(jù)來(lái)源眾多、密級(jí)不同，對(duì)不同級(jí)別數(shù)據(jù)的管理和防護(hù)要求也不相同，為了高效安全使用多來(lái)源、多種類、多密級(jí)海量數(shù)據(jù)，充分體現(xiàn)并發(fā)揮大 數(shù)據(jù)在各領(lǐng)域價(jià)值，需要對(duì)大數(shù)據(jù)進(jìn)行綜合安全治 理 [5-7]。大數(shù)據(jù)綜合安全治理需要在分級(jí)分類基礎(chǔ)上，為數(shù)據(jù)添加屬性標(biāo)識(shí)，并根據(jù)數(shù)據(jù)屬性進(jìn)行細(xì)粒度全生命周期安全防護(hù)。在體系化安全防護(hù)中， 首先，需制定數(shù)據(jù)安全防護(hù)基線，并對(duì)數(shù)據(jù)安全保密能力進(jìn)行評(píng)估；其次，針對(duì)數(shù)據(jù)共享、數(shù)據(jù)應(yīng)用等過(guò)程提供多層次安全保密服務(wù)，并制定針對(duì)不同 密級(jí)數(shù)據(jù)的安全防護(hù)策略；最后，針對(duì)任何可疑數(shù)據(jù)行為，特別是內(nèi)部行為提供追蹤溯源能力。通過(guò)大數(shù)據(jù)綜合安全治理，可為大數(shù)據(jù)在全生命周期過(guò)程中面臨的安全威脅提供事前預(yù)防、事中發(fā)現(xiàn)、事后溯源的體系化安全保密防御能力。

2.3 大數(shù)據(jù)智能化及動(dòng)態(tài)化體系防護(hù)需求

隨著云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的發(fā) 展，針對(duì)大數(shù)據(jù)的攻擊手段呈現(xiàn)出多樣化、自動(dòng)化、 智能化的特點(diǎn)。為有效應(yīng)對(duì)新的攻擊手段及新型安 全威脅，迫使安全防護(hù)手段必須向智能化、動(dòng)態(tài)化 防護(hù)方向演進(jìn)。數(shù)據(jù)在全生命周期流通過(guò)程中，訪問(wèn)用戶的身份、數(shù)據(jù)的權(quán)屬關(guān)系、數(shù)據(jù)的訪問(wèn)行為等都在動(dòng)態(tài)發(fā)生變化;因此，安全防護(hù)系統(tǒng)需要對(duì)用戶身份和權(quán)限進(jìn)行動(dòng)態(tài)評(píng)估和識(shí)別，同時(shí)對(duì)數(shù)據(jù)資產(chǎn)也要進(jìn)行動(dòng)態(tài)梳理，并對(duì)數(shù)據(jù)的訪問(wèn)行為進(jìn)行動(dòng)態(tài)監(jiān)控，實(shí)現(xiàn)大數(shù)據(jù)的智能化、動(dòng)態(tài)化、體系化 安全防護(hù)。

03  大數(shù)據(jù)安全動(dòng)態(tài)防御模型

基于以上對(duì)大數(shù)據(jù)安全風(fēng)險(xiǎn)的分析，面向大數(shù)據(jù)動(dòng)態(tài)防御需求，圍繞大數(shù)據(jù)全生命周期活動(dòng)，通過(guò)數(shù)據(jù)分類分級(jí)， 構(gòu)建“梳—管—控—監(jiān)—評(píng)—溯” 的動(dòng)態(tài)防御體系模型。在該模型中， 通過(guò)密碼保密、 身份認(rèn)證、數(shù)據(jù)安全標(biāo)簽、權(quán)限管控、日志審計(jì)、分級(jí)分類、行為分析、流量分析等數(shù)據(jù)安全支撐技術(shù)共同形成數(shù)據(jù)安全服務(wù)增強(qiáng)、數(shù)據(jù)分級(jí)分類保護(hù)、 數(shù)據(jù)追蹤溯源、數(shù)據(jù)安全防護(hù)能力評(píng)估等一系列安 全防護(hù)能力，構(gòu)建大數(shù)據(jù)動(dòng)態(tài)防護(hù)體系，提供大數(shù) 據(jù)動(dòng)態(tài)防御能力。

圖 1 中的大數(shù)據(jù)動(dòng)態(tài)防御模型是從大數(shù)據(jù)生命周期和大數(shù)據(jù)平臺(tái)兩個(gè)維度全方位考慮動(dòng)態(tài)安全防護(hù)能力，其形成的動(dòng)態(tài)防護(hù)流程如下文所述。

(1)對(duì)數(shù)據(jù)生產(chǎn)者、數(shù)據(jù)消費(fèi)者、數(shù)據(jù)提供 者產(chǎn)生的數(shù)據(jù)進(jìn)行梳理，重點(diǎn)是按照數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)對(duì)各類敏感數(shù)據(jù)資產(chǎn)進(jìn)行梳理， 包括系統(tǒng)信息、 人員信息、業(yè)務(wù)信息等，讓數(shù)據(jù)擁有者或管理者了解自己數(shù)據(jù)的分布情況。

(2)在數(shù)據(jù)各類應(yīng)用場(chǎng)景下， 根據(jù)數(shù)據(jù)等級(jí)、 用戶防護(hù)需求，制定不同的數(shù)據(jù)安全防護(hù)策略，并將策略分發(fā)至各類安全防護(hù)設(shè)備，防護(hù)設(shè)備依據(jù)防護(hù)策略對(duì)數(shù)據(jù)各種流程進(jìn)行管控，在對(duì)各類數(shù)據(jù)流程進(jìn)行管控的過(guò)程中，應(yīng)根據(jù)用戶的權(quán)限和數(shù)據(jù)的屬性實(shí)施細(xì)粒度權(quán)限管控，細(xì)粒度權(quán)限管控應(yīng)涉及數(shù)據(jù)平臺(tái)自身安全、數(shù)據(jù)源與數(shù)據(jù)平臺(tái)間、數(shù)據(jù)平臺(tái)與業(yè)務(wù)應(yīng)用系統(tǒng)間、業(yè)務(wù)應(yīng)用系統(tǒng)與終端用戶(數(shù) 據(jù)消費(fèi)者)間等典型場(chǎng)景。

(3)對(duì)數(shù)據(jù)在生命周期各階段的行為進(jìn)行監(jiān)控，重點(diǎn)對(duì)異常數(shù)據(jù)資產(chǎn)進(jìn)行監(jiān)控，并提供數(shù)據(jù)安 全態(tài)勢(shì)感知和態(tài)勢(shì)展示。

(4)對(duì)數(shù)據(jù)行為監(jiān)控過(guò)程中發(fā)現(xiàn)的異常行為或威脅進(jìn)行追蹤溯源，將溯源結(jié)果和各類安全設(shè)備反饋的安全策略執(zhí)行情況進(jìn)行綜合分析，對(duì)數(shù)據(jù)安全防護(hù)效能進(jìn)行動(dòng)態(tài)評(píng)估，并根據(jù)評(píng)估結(jié)果對(duì)安全策略進(jìn)行及時(shí)調(diào)整。

通過(guò)上述過(guò)程的循環(huán)執(zhí)行， 持續(xù)進(jìn)行數(shù)據(jù)梳理、 策略制定、流程管控、行為監(jiān)控、溯源評(píng)估、態(tài)勢(shì)展現(xiàn)的動(dòng)態(tài)防護(hù)過(guò)程，能夠形成對(duì)數(shù)據(jù)實(shí)時(shí)可感、 可知、可視的動(dòng)態(tài)防護(hù)能力。

圖 1 大數(shù)據(jù)動(dòng)態(tài)防御模型

04  大數(shù)據(jù)安全動(dòng)態(tài)防御關(guān)鍵技術(shù)

4.1 數(shù)據(jù)資產(chǎn)可視化分級(jí)分類保護(hù)技術(shù)

近年來(lái)，越來(lái)越多的科技工作者開(kāi)始了大數(shù)據(jù)安全技術(shù)的研究，涉及到大數(shù)據(jù)自身安全和大數(shù)據(jù)技術(shù)應(yīng)用到安全兩方面 ，本文提出的面向動(dòng)態(tài)防御的大數(shù)據(jù)安全技術(shù)涉及大數(shù)據(jù)自身安全，主要包括以下 5 個(gè)技術(shù)路線。

針對(duì)海量數(shù)據(jù)及屬性難維護(hù)、異構(gòu)數(shù)據(jù)模型不統(tǒng)一、安全威脅不直觀、敏感數(shù)據(jù)資產(chǎn)可視能力不 足等問(wèn)題， 數(shù)據(jù)資產(chǎn)可視化分級(jí)分類保護(hù)技術(shù) [11-12] 根據(jù)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)，實(shí)現(xiàn)多來(lái)源、多種類、多 密級(jí)、多種安全保密防護(hù)要求以及不同網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)資產(chǎn)的綜合管理能力，支撐數(shù)據(jù)綜合安全治理 裝備體系構(gòu)建，滿足數(shù)據(jù)在不同應(yīng)用場(chǎng)景下多密級(jí) 安全保密策略的動(dòng)態(tài)化、體系化管控需求。數(shù)據(jù)資 產(chǎn)可視化分級(jí)分類保護(hù)技術(shù)主要包括數(shù)據(jù)分級(jí)保護(hù) 策略自動(dòng)化生成技術(shù)、敏感資產(chǎn)自動(dòng)化發(fā)現(xiàn)技術(shù)、 多場(chǎng)景數(shù)據(jù)資產(chǎn)威脅可視化分析處理技術(shù)。

4.1.1 數(shù)據(jù)分級(jí)保護(hù)策略自動(dòng)化生成技術(shù)

數(shù)據(jù)在多應(yīng)用場(chǎng)景下，存在多密級(jí)的情況，不 同業(yè)務(wù)的安全防護(hù)需求在不同密級(jí)情況下要求也不 同。針對(duì)大數(shù)據(jù)的多源異構(gòu)數(shù)據(jù)，利用數(shù)據(jù)安全標(biāo)識(shí)，在數(shù)據(jù)安全基線的基礎(chǔ)上，構(gòu)建統(tǒng)一數(shù)據(jù)安全 模型，自動(dòng)生成安全防護(hù)策略，建立數(shù)據(jù)安全屬性 與安全保密能力的連接關(guān)系，提供多層次安全防護(hù) 策略，實(shí)現(xiàn)自動(dòng)化數(shù)據(jù)安全防護(hù)。

4.1.2 敏感資產(chǎn)自動(dòng)化發(fā)現(xiàn)技術(shù)

基于數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)，研究敏感數(shù)據(jù)屬性 分類機(jī)制，統(tǒng)一敏感數(shù)據(jù)結(jié)構(gòu)描述方法，建立統(tǒng)一 的敏感數(shù)據(jù)發(fā)現(xiàn)體系。此外，在統(tǒng)一發(fā)現(xiàn)體系基礎(chǔ) 上，實(shí)現(xiàn)敏感數(shù)據(jù)資產(chǎn)及其屬性和數(shù)據(jù)關(guān)系的自動(dòng) 發(fā)現(xiàn)， 全面盤(pán)點(diǎn)敏感數(shù)據(jù)資產(chǎn)， 形成敏感數(shù)據(jù)地圖。

4.1.3 多場(chǎng)景數(shù)據(jù)資產(chǎn)威脅可視化分析處理技術(shù)

研究海量異構(gòu)數(shù)據(jù)信息在數(shù)據(jù)生命周期各階段 不同場(chǎng)景下的威脅可視化呈現(xiàn)方式和操作方式，并 基于數(shù)據(jù)分類分級(jí)，將數(shù)據(jù)威脅與敏感數(shù)據(jù)自動(dòng)關(guān)聯(lián)，實(shí)現(xiàn)敏感數(shù)據(jù)威脅的高效可視化管控，提升綜合安全治理決策效率。

4.2 數(shù)據(jù)安全風(fēng)險(xiǎn)感知與協(xié)同防御技術(shù)

面向大數(shù)據(jù)環(huán)境下的各類信息系統(tǒng)和業(yè)務(wù)系統(tǒng)，通過(guò)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換和銷 毀的各個(gè)環(huán)節(jié)存在的各種脆弱性和威脅，研究數(shù)據(jù)安全風(fēng)險(xiǎn)智能感知、風(fēng)險(xiǎn)評(píng)估和協(xié)同防御技術(shù) [13-15]， 為大數(shù)據(jù)動(dòng)態(tài)防御體系提供用于智能化決策的預(yù)警信息并制定動(dòng)態(tài)協(xié)同防御策略，有力支撐大數(shù)據(jù)動(dòng) 態(tài)防御體系構(gòu)建。數(shù)據(jù)安全風(fēng)險(xiǎn)感知與協(xié)同防御技術(shù)主要包括全態(tài)化防御信息采集及行為分析技術(shù)、 數(shù)據(jù)安全風(fēng)險(xiǎn)智能識(shí)別技術(shù)、數(shù)據(jù)安全態(tài)勢(shì)預(yù)測(cè)模型和評(píng)估指標(biāo)體系、攻擊評(píng)估與協(xié)同防御技術(shù)。

4.2.1 全態(tài)化防御信息采集及行為分析技術(shù)

從多維度、全方位進(jìn)行全態(tài)化數(shù)據(jù)收集，研究數(shù)據(jù)系統(tǒng)中軟硬件、網(wǎng)絡(luò)、業(yè)務(wù)多種類信息精準(zhǔn)、高效、可動(dòng)態(tài)調(diào)整采集方法；并基于采集的數(shù)據(jù)， 構(gòu)建數(shù)據(jù)及網(wǎng)絡(luò)流量的行為特征模型，通過(guò)數(shù)據(jù)通 信協(xié)議特征、訪問(wèn)行為與訪問(wèn)接口之間的關(guān)系，構(gòu)建流量分析模型和內(nèi)容分析模型，通過(guò)特征學(xué)習(xí)、 關(guān)系學(xué)習(xí)等流量分析和內(nèi)容識(shí)別手段發(fā)現(xiàn)隱藏在數(shù)據(jù)流量中的安全威脅。

4.2.2 數(shù)據(jù)安全風(fēng)險(xiǎn)智能識(shí)別技術(shù)

首先，研究并建立一種形式化數(shù)據(jù)安全風(fēng)險(xiǎn)描述模型，構(gòu)建大數(shù)據(jù)環(huán)境下數(shù)據(jù)流經(jīng)的環(huán)境安全風(fēng)險(xiǎn)集；其次，基于粗糙集理論研究數(shù)據(jù)安全風(fēng)險(xiǎn)篩選規(guī)則技術(shù)，從安全事件中學(xué)習(xí)規(guī)則，使獲得的各安全域的數(shù)據(jù)安全風(fēng)險(xiǎn)更加貼近真實(shí)情況，從而能夠準(zhǔn)確實(shí)時(shí)地識(shí)別出數(shù)據(jù)安全風(fēng)險(xiǎn)。

4.2.3 數(shù)據(jù)安全態(tài)勢(shì)預(yù)測(cè)模型和評(píng)估指標(biāo)體系

研究大數(shù)據(jù)環(huán)境下安全態(tài)勢(shì)數(shù)據(jù)采集和統(tǒng)一的信息交互表示協(xié)議和標(biāo)準(zhǔn)、系統(tǒng)配置漏洞、運(yùn)行環(huán)境漏洞、目標(biāo)代碼漏洞及其關(guān)聯(lián)環(huán)境漏洞，提出對(duì)漏洞、違規(guī)操作、攻擊行為的多維度監(jiān)測(cè)識(shí)別手段。 研究態(tài)勢(shì)量化評(píng)估和預(yù)測(cè)模型，利用機(jī)器深度學(xué)習(xí)態(tài)勢(shì)評(píng)估算法實(shí)現(xiàn)安全態(tài)勢(shì)綜合評(píng)估，基于攻擊意圖推演實(shí)現(xiàn)態(tài)勢(shì)趨勢(shì)預(yù)測(cè)和預(yù)警。

4.2.4 攻擊評(píng)估與協(xié)同防御技術(shù)

針對(duì)大數(shù)據(jù)環(huán)境下的惡意行為的攻擊階段、影響范圍、威脅程度進(jìn)行智能化評(píng)估，并結(jié)合實(shí)際情況制定相應(yīng)的防御措施，分級(jí)別、分層次、分范圍地對(duì)大數(shù)據(jù)系統(tǒng)進(jìn)行協(xié)同防御策略制定和分發(fā)，形成圍繞“網(wǎng)絡(luò)—應(yīng)用—平臺(tái)—數(shù)據(jù)”的協(xié)同防御系統(tǒng)，提供大數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)“一處發(fā)現(xiàn)威脅，全網(wǎng)協(xié) 同防御”的能力。

4.3 數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)

數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)針對(duì)大數(shù)據(jù)場(chǎng)景下數(shù)據(jù) 安全服務(wù)面臨的身份仿冒、越權(quán)訪問(wèn)、數(shù)據(jù)監(jiān)聽(tīng)、 惡意攻擊等問(wèn)題，提升大數(shù)據(jù)服務(wù)的身份安全驗(yàn)證能力和數(shù)據(jù)共享使用時(shí)的細(xì)粒度訪問(wèn)控制能力，提供數(shù)據(jù)服務(wù)系統(tǒng)配置自動(dòng)化處理、動(dòng)態(tài)編排、動(dòng)態(tài) 調(diào)整、快速集成等數(shù)據(jù)安全增強(qiáng)服務(wù)，保證各類敏感數(shù)據(jù)的合理、安全、保密等共享使用。數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)主要包括數(shù)據(jù)服務(wù) Web 服務(wù)透明加固和細(xì)粒度參數(shù)保護(hù)技術(shù)，安全配置自動(dòng)生成、動(dòng)態(tài)部署及監(jiān)控技術(shù)， 安全服務(wù)能力在線編排與重構(gòu)、 調(diào)整調(diào)度、快速集成技術(shù)。

4.3.1 數(shù)據(jù)服務(wù) Web 服務(wù)透明加固和細(xì)粒度參數(shù)保護(hù)技術(shù)

針對(duì)數(shù)據(jù)服務(wù)缺乏細(xì)粒度管控，數(shù)據(jù)服務(wù)缺乏保護(hù)等問(wèn)題， 研究大數(shù)據(jù)服務(wù)場(chǎng)景下的 Web 服務(wù)透明化加固和參數(shù)級(jí)管控技術(shù)，實(shí)現(xiàn)對(duì)業(yè)務(wù)透明的數(shù)據(jù)加密和參數(shù)粒度的數(shù)據(jù)安全管控。

4.3.2 安全配置自動(dòng)生成、動(dòng)態(tài)部署及監(jiān)控技術(shù)

研究安全配置自動(dòng)生成并將目標(biāo)系統(tǒng)模型自動(dòng)轉(zhuǎn)化為機(jī)器可識(shí)讀的配置劇本以及安全配置的形式 化驗(yàn)證方法，確保配置高層語(yǔ)義滿足一致性條件和 正確性、安全性要求。研究在編排器和控制器上將高層安全配置劇本按照全局一致性和過(guò)渡一致性的約束下執(zhí)行配置指令及以及系統(tǒng)運(yùn)行狀態(tài)與抽象描述一致性監(jiān)控方法。

4.3.3 安全服務(wù)能力在線編排與重構(gòu)、調(diào)整調(diào)度、 快速集成技術(shù)

面向服務(wù)節(jié)點(diǎn)應(yīng)用場(chǎng)景的特定需要，通過(guò)對(duì)基 礎(chǔ)安全服務(wù)按照一定模式流程的順序關(guān)聯(lián)調(diào)用，抑或針對(duì)基礎(chǔ)安全保密服務(wù)的模式化擴(kuò)展，實(shí)現(xiàn)安全服務(wù)節(jié)點(diǎn)安全服務(wù)能力在線編排、重構(gòu)、調(diào)整調(diào)度 和快速集成。

4.4 數(shù)據(jù)安全能力綜合評(píng)估技術(shù)

數(shù)據(jù)安全能力綜合評(píng)估技術(shù)針對(duì)大數(shù)據(jù)環(huán)境下的各類數(shù)據(jù)安全設(shè)備和大數(shù)據(jù)平臺(tái)等對(duì)象實(shí)體，按 照數(shù)據(jù)安全動(dòng)態(tài)防護(hù)的思路，以數(shù)據(jù)安全能力動(dòng)態(tài)評(píng)估與持續(xù)提升為目標(biāo)，通過(guò)對(duì)各數(shù)據(jù)安全設(shè)備的據(jù)安全策略執(zhí)行效果、大數(shù)據(jù)平臺(tái)自身安全脆弱 性情況，以及數(shù)據(jù)生命周期重要環(huán)節(jié)過(guò)程控制情況 等進(jìn)行稽查和評(píng)估，核實(shí)數(shù)據(jù)安全策略以及過(guò)程控制等執(zhí)行情況，判斷各數(shù)據(jù)安全能力是否充分和有效發(fā)揮，達(dá)到對(duì)各數(shù)據(jù)安全設(shè)備、大數(shù)據(jù)平臺(tái)內(nèi)生的數(shù)據(jù)安全能力的“可視、可查、可審”的目的， 以及優(yōu)化數(shù)據(jù)安全防護(hù)策略，為數(shù)據(jù)安全能力持續(xù)改進(jìn)、迭代提升提供支撐。數(shù)據(jù)安全能力綜合評(píng)估技術(shù)主要包括數(shù)據(jù)安全能力智能稽查技術(shù)、數(shù)據(jù)安全風(fēng)險(xiǎn)智能評(píng)估技術(shù)。

4.4.1 數(shù)據(jù)安全能力智能稽查技術(shù)

研究數(shù)據(jù)安全設(shè)備的策略配置、安全配置等數(shù)據(jù)安全配置基線的智能構(gòu)建以及實(shí)時(shí)監(jiān)控技術(shù)，并構(gòu)建數(shù)據(jù)安全綜合監(jiān)控模型。

4.4.2 數(shù)據(jù)安全風(fēng)險(xiǎn)智能評(píng)估技術(shù)

通過(guò)對(duì)大數(shù)據(jù)平臺(tái)自身安全配置和安全漏洞進(jìn)行掃描，基于人工智能和機(jī)器學(xué)習(xí)對(duì)數(shù)據(jù)行為綜合 關(guān)聯(lián)分析，構(gòu)建大數(shù)據(jù)安全能力智能評(píng)估模型，構(gòu)建智能評(píng)估體系。

4.5 數(shù)據(jù)安全風(fēng)險(xiǎn)追蹤溯源技術(shù)

數(shù)據(jù)安全風(fēng)險(xiǎn)追蹤溯源技術(shù)針對(duì)大數(shù)據(jù)環(huán)境下 的數(shù)據(jù)安全風(fēng)險(xiǎn)存在動(dòng)態(tài)變化的新情況，對(duì)數(shù)據(jù)訪問(wèn)行為監(jiān)控、全路徑追蹤溯源以及安全風(fēng)險(xiǎn)根因分 析等技術(shù)開(kāi)展研究，實(shí)現(xiàn)數(shù)據(jù)的風(fēng)險(xiǎn)追蹤溯源，為安全防御策略制定提供支撐，確保數(shù)據(jù)全生命周期安全、可控。主要包括多源異構(gòu)數(shù)據(jù)行為監(jiān)控與全路徑追蹤溯源技術(shù)、數(shù)據(jù)安全風(fēng)險(xiǎn)根因分析技術(shù)。

4.5.1 多源異構(gòu)數(shù)據(jù)行為監(jiān)控與全路徑追蹤溯源技術(shù)

研究各類數(shù)據(jù)形態(tài)的數(shù)據(jù)實(shí)體，及數(shù)據(jù)流轉(zhuǎn)過(guò)程中實(shí)體之間的依賴關(guān)系提取技術(shù)，構(gòu)建數(shù)據(jù)分布情況信息庫(kù)、數(shù)據(jù)等級(jí)分布情況信息庫(kù)、數(shù)據(jù)使用情況信息庫(kù)以及數(shù)據(jù)血緣關(guān)系庫(kù)。以數(shù)據(jù)標(biāo)簽為基礎(chǔ)，將數(shù)據(jù)標(biāo)簽與數(shù)據(jù)結(jié)合并貫穿于數(shù)據(jù)整個(gè)生命周期，利用大數(shù)據(jù)綜合關(guān)聯(lián)分析及機(jī)器學(xué)習(xí)對(duì)數(shù)據(jù)行為進(jìn)行分析并實(shí)行監(jiān)管。數(shù)據(jù)追蹤溯源是實(shí)現(xiàn)權(quán) 責(zé)分離、數(shù)據(jù)安全管控的重要基礎(chǔ)，基于標(biāo)識(shí)實(shí)現(xiàn)數(shù)據(jù)全生命周期的唯一性，通過(guò)對(duì)結(jié)構(gòu)化、非結(jié)構(gòu) 化、半結(jié)構(gòu)化的數(shù)據(jù)按照內(nèi)容屬性、安全屬性、簽 名屬性等不同視角進(jìn)行標(biāo)注，對(duì)每個(gè)數(shù)據(jù)的跨域訪問(wèn)進(jìn)行全路徑追蹤溯源。

4.5.2 數(shù)據(jù)安全風(fēng)險(xiǎn)根因分析技術(shù)

根據(jù)數(shù)據(jù)流轉(zhuǎn)、調(diào)用鏈等信息流勾勒數(shù)據(jù)流動(dòng) 畫(huà)像;利用強(qiáng)化學(xué)習(xí)、逆強(qiáng)化學(xué)習(xí)等算法建立根因追溯模型；基于圖搜索等根因追溯算法，進(jìn)行根因定位；構(gòu)建安全風(fēng)險(xiǎn)根因追溯評(píng)估指標(biāo)，對(duì)根因追溯模型及算法準(zhǔn)確性進(jìn)行有效評(píng)估；研究基于數(shù)據(jù) 安全風(fēng)險(xiǎn)根因的主動(dòng)防御系統(tǒng)聯(lián)動(dòng)機(jī)制，在發(fā)生安全風(fēng)險(xiǎn)時(shí)能夠及時(shí)采取對(duì)系統(tǒng)影響最小的應(yīng)對(duì)措施進(jìn)行阻斷。

05  結(jié) 語(yǔ)

本文在分析了大數(shù)據(jù)的安全風(fēng)險(xiǎn)和動(dòng)態(tài)防御方面安全需求的基礎(chǔ)上，圍繞數(shù)據(jù)全生命周期，給出了面向動(dòng)態(tài)防御的“梳—管—控—監(jiān)—評(píng)—溯”大數(shù)據(jù)安全防御模型，對(duì)模型的動(dòng)態(tài)防護(hù)流程進(jìn)行了說(shuō)明并對(duì)模型中涉及的數(shù)據(jù)資產(chǎn)可視化分級(jí)分類保護(hù)技術(shù)、數(shù)據(jù)安全風(fēng)險(xiǎn)感知與協(xié)同防御技術(shù)、數(shù)據(jù)安全服務(wù)增強(qiáng)技術(shù)、數(shù)據(jù)安全能力綜合評(píng)估技術(shù)以 及數(shù)據(jù)安全風(fēng)險(xiǎn)追蹤溯源技術(shù)進(jìn)行了討論和研究。 本文提出的思路和方法體現(xiàn)了大數(shù)據(jù)安全體系化動(dòng)態(tài)防御的先進(jìn)性和實(shí)用性，能夠?yàn)橄嚓P(guān)的研究提供指導(dǎo)和借鑒。

引用本文： 許杰， 張鋒軍， 陳捷， 等 . 面向動(dòng)態(tài)防御的大數(shù)據(jù)安全技術(shù)研究 [J]. 通信技術(shù)， 2021， 54(11)：2551-2556.

作者簡(jiǎn)介 >>>

許 杰 ， 男， 博 士， 高 級(jí) 工程師，主要研究方向?yàn)榇髷?shù)據(jù)安全、信息 安全;

張鋒軍， 男， 博士研究生，研究員級(jí)高工，主要研究方向?yàn)樵朴?jì)算和大數(shù)據(jù)安全、信息系統(tǒng)智能管控技術(shù);

陳 捷， 博士研究生， 研究員級(jí)高工， 主要研究方向?yàn)橥ㄐ啪W(wǎng)絡(luò)與信息安全;

李慶華 ， 男， 學(xué)士， 高級(jí)工程師， 主要 研究方向?yàn)檐浖こ獭⒃朴?jì)算與大數(shù)據(jù)安全技術(shù);

牛作元 ，男， 碩士， 高級(jí)工程師， 主要 研究方向?yàn)樵朴?jì)算與大數(shù)據(jù)安全;

石 凱 ， 男， 碩士， 工程師， 主要研究方向?yàn)樵朴?jì)算與大數(shù)據(jù)安全。

選自《通信技術(shù)》2021年第11期

來(lái)源：信息安全與通訊保密雜志社