保证大数据平台安全 让海量的静态数据安心“活动”

中国信息通信研究院

2020年全球遭到了新冠肺炎疫情的打击，据经济合作组织2020年9月16日发布的《经济展望中期报告》，受新冠肺炎疫情影响，2020年全球GDP预计萎缩4.5%，各国面临着经济逆行的巨大挑战。为应对经济压力，各国纷纷将目光聚焦于数字经济，将其作为经济逆境中的新动力。据中国信通院发布的《全球数字经济新图景(2020年)》预计，2020年全球数字化转型技术和服务支出将增长10.4%，达到1.3万亿美元，是2020年中为数不多的经济增长亮点之一。

大数据是数字经济的重要基础，蕴含着巨大的潜在价值，为探索客观世界新规律、减少战略决策中的主观因素影响提供了可能。据2020年9月10日国家互联网信息办公室印发的《数字中国建设发展进程报告(2019年)》，2019年我国大数据产业规模超过8100亿元，同比增长32%，依托大数据，人工智能、区块链、工业互联网等数字经济产业得到快速发展。

大数据平台为大数据提供了计算和存储的能力，这使得海量的静态数据“活动”起来，并释放出自身价值。然而，一旦缺少了平台安全这个前提，数据价值的释放将受到阻碍。如果将大数据平台比作大厦，其价值的释放能力和安全能力分别是大厦的地面建筑和地基，地基的深度决定了大厦地面建筑的高度，地基不稳的大数据平台，注定只能是“空中楼阁”。为了“测量”并“夯实”大数据平台的安全“地基”，我院在2020年发起了卓信大数据平台安全专项行动。行动开展过程中，我们发现大数据平台在建设和运维方面确实存在一定的安全问题并对此进行了深入分析。

“工欲善其事，必先利其器”，在数字经济蓬勃发展的大背景下，我们深刻认识大数据平台安全，不仅需要技术手段上的安全防护，还需要安全意识和管理运维水平的同步提升，亟需多方共同协作努力。

01

大数据平台概况

当今时代大数据产业持续发展，对于挖掘新的经济增长点大有益处，大数据成为了推动各行业发展的新动力。大数据平台作为大数据的载体起到了关键作用。

大数据产业蓬勃发展。根据IDC最新预测，2020年中国大数据相关市场的总体收益将达到104.2亿美元，较2019年同比增长16.0%，如下图所示，增幅领跑全球大数据市场。

2020年，大数据硬件在中国整体大数据相关收益中将继续占主导地位，占比高达41.0%；大数据软件和大数据服务收入比例分别为25.4%和33.6%。而到2024年，随着技术的成熟与融合、以及数据应用和更多场景的落地，软件收入占比将逐渐增加，服务相关收益占比将保持平稳，而硬件收入在整体的占比则将逐渐减少。硬件、服务、软件三者的比例将逐渐趋近于各占三分之一的比例。IDC预计，在2020-2024年的预测期间内，中国大数据相关技术与服务市场将实现19.0%的年均复合增长率。

大数据平台应用模式多样化演进。大数据平台通常使用ApacheHadoop架构进行搭建，由存储、计算、平台资源管理、传输交换等类型组件组成整个平台。目前，大数据平台主要有基于开源技术的自建平台和商业化平台两种。其特点是自建平台灵活性强、自主性高，而商业化平台安全性强、使用便捷。

02

大数据平台安全现状

及解决方案建议

随着企业大数据平台对内运营的支撑能力不断提升，数据来源不断丰富，数据分析挖掘功能不断创新，数据安全问题与挑战日益增加，企业对大数据平台的安全保障要求也不断提升。目前，大数据平台组件往往独立设计、开发，并根据不同的业务需求进行组合搭建，若是对平台组件的安全管控不当，极易造成非法访问、敏感数据泄露等安全风险。

本次专项行动检测的大数据平台类型基本涵盖了主流平台应用类型，具体分布如下图所示，CDH平台占39%，HDP占31%，EMR占17%(其中阿里云EMR占9%，腾讯云EMR占8%)，原生ApacheHadoop集群占9%，优刻得Ucloud和星环TDC等其他平台占4%。其中，普遍存在组件配置类安全隐患、组件安全漏洞方面的风险。

大数据平台自身的复杂性以及企业对大数据平台安全建设和管理的不到位造成了大数据平台的安全隐患。为帮助企业弥补在大数据平台安全保护上的短板，针对大数据平台安全问题提出了解决方案建议。加强大数据平台安全基线管理。对于组件配置管理，应加强三个方面的建设。

一是，明确安全基线具体内容，建立安全基线更新机制。企业需要梳理自身大数据平台的技术特点，针对性的建立适合自身的安全基线。同时，针对各开源组件或商业产品的漏洞爆发，应有预警和预案，及时进行处理，并且更新现有的安全基线，形成预警-基线更新-安全配置更新的良性循环。二是，建立组件配置统一管理平台。以自动化部属配置的方式替代人工修改配置的方式，解决人工修改配置易出错、效率低的问题。同时组件配置统一管理平台可进一步接入态势感知系统中，实现配置自动化更替，及时防范来自内部和外部的安全风险。三是，加强大数据平台组件的安全漏洞管理工作。理清平台各组件的版本和各组件间的版本兼容关系，一旦发现安全漏洞，根据组件版本兼容关系及时选择安全补丁或升级组件。

对大数据平台安全进行整体规划。针对大数据平台建设应有整体的安全规划。在大数据平台建设的初始阶段，在解决平台功能方面从无到有的问题的同时，亦要考虑到平台安全防护的从无到有。在大数据平台功能迭代的同时，应考虑到当下的防护手段是否能够满足当下的防护需求。当大数据平台的规模和性能从量变到质变的时候，亦要考虑到安全技术手段能够满足当下的规模和性能，如果不能应及时更新安全技术手段。

大数据平台边界防护与内部安全建设并重。杜绝大数据平台防护只讲边界防护而忽视内部安全的问题。大数据平台的安全规划应该是具有全面性的，既要守好“家门”，又要管好“家人”。两者的防护应是相辅相成的关系，任何一方的薄弱，都会带来“木桶”效应，让非法入侵者有机可乘。

建立完善的大数据平台安全制度流程。在大数据平台安全流程制度的建设方面，有如下两方面建议。一方面制定针对大数据平台的专项安全制度，实现“对症下药”。

安全制度方面宜包括组织架构、人员规范和技术要求。在组织架构方面，应明确大数据平台对应的各组织的安全责任关系;在人员规范方面，应对大数据平台的使用者制定基本的访问、操作规范，使人员“有法可依”;在技术要求方面，应针对企业大数据平台自身的防护需求，提出安全技术要求，以明确平台安全技术建设的方向。另一方面建立大数据平台的使用管理规范。对于大数据平台管理、开发部门内部和外部人员宜有不同的使用流程规范，在使用效率和流程安全之间做出权衡。

增强企业技术人员安全能力。在大数据平台人员安全能力方面，有以下两个方面建议。一方面设置大数据平台的专职安全人员。专职的安全人员应具备大数据平台的基础知识以及安全防护知识，对大数据平台的安全防护有深入的理解。同时，专职的安全人员可以配置较高的大数据平台权限，定期进行大数据平台的组件配置安全基线检查以及进行安全漏洞扫描。另一方面开展大数据平台使用人员的安全教育培训。大数据平台存储有海量的用户数据和业务数据，平台的使用人员在使用这些数据的时候应有职业操守和相应的安全意识。安全意识教育是加强人员安全意识的有效手段，通过安全意识教育可以让平台的使用者明确哪些可为哪些不可为，同时反面案例的宣传教育要能够对平台使用者起到警示作用。另外安全技能的培训可以增强大数据平台使用人员对安全技术的理解，并可使其真正应用在开发和运维工作当中去。

03

大数据平台安全

未来发展建议

近年来，大数据产业蓬勃发展的同时，也暴露出了一些安全问题。基于所梳理的大数据平台安全现状与问题，我们对大数据平台安全发展提出如下几点建议:加强企业大数据平台安全防护工作的监管。大数据平台存储的数据量巨大，数据一旦泄露或者被破坏，将导致严重的后果，政府部门需要加强对企业大数据平台安全的监管指导。一方面，强化大数据平台安全管理制度，明确平台管理主体责任和工作要求，加强对大数据平台和应用的监督指导，定期对相关企业开展监督检查。另一方面，推动大数据平台安全标准落地实施。目前，行业标准《电信网和互联网大数据平台安全防护要求》已经发布，为平台厂商、安全服务提供商、大数据服务提供上等开展大数据平台安全防护工作提供了技术要求和参考规范，下一步建议加快推动标准落地实施，全面提升平台安全防护能力。

强化大数据平台安全防护技术研究。平台安全是大数据系统安全的基石，目前无论是自建大数据平台还是商业化大数据平台，都处在高速发展阶段，平台安全防护却依然依赖边界防护和操作系统安全机制，需要产业各方在大数据平台安全技术研究方面加大投入。一方面，提升大数据平台本身的安全防御能力，引入组件身份认证、细粒度的访问控制、数据操作安全审计、数据隐私保护机制，从机制上防止数据的未授权访问和泄露，同时加强对平台紧急安全事件的响应能力;另一方面，从攻防两方面入手，密切关注大数据攻击和防御两方面的技术发展趋势，建立适应大数据平台环境的安全防护和系统安全管理机制，构筑更加安全可靠的大数据平台。

推动大数据平台安全产品和服务市场发展。目前，大数据平台的核心技术机制仍存在很大的完善空间，且Hadoop集群模式及主流大数据平台技术均发源于国外。因此，可以鼓励国内重点企业、科研机构、高校等加强合作，加快对大数据平台核心关键技术的公关，重视大数据平台安全问题，推动大数据平台安全集中管理、平台安全代码审计、平台应用安全监测等相关安全产品和服务的开发应用，提升大数据平台应用安全水平和抗攻击能力，不断优化大数据平台。

鼓励并促进大数据平台安全行业自律工作。大数据技术发展日新月异，大数据安全问题也需要各方共同关注和解决。建议相关企业同步开展行业自律，作为政府管理的补充力量，充分发挥专业性、经济性、灵活性等优势，共同营造大数据安全良好生态。一方面，鼓励第三方安全供应商、评估机构等自发或依托相关行业协会、社会组织平台，根据法律法规要求、国家标准和行业标准规范，共同制定大数据平台安全准则，签订行业自律公约，形成行业自治。另一方面，推进第三方评估机构和人员资质认证等配套机制建设，为推进大数据平台安全提供服务保障和人员保障。

来源：本刊原创文章

编辑：艾丽

审核：赵涵