在线观看免费成人avI天天干天天操天天射I欧美日韩高清一区二区 国产亚洲免费看I精品国产一区在线观看I狠狠色噜噜狠狠狠狠2022I91精品一区二区三区久久久久久I91福利国产在线观看I不卡av免费在线观看I国产资源免费I色丁香久久I久久久国产精品麻豆I久久爱992xxoo

大數(shù)據(jù)安全和隱私問(wèn)題

互聯(lián)網(wǎng)+時(shí)代，伴隨著業(yè)務(wù)應(yīng)用的創(chuàng)新，銀行的數(shù)據(jù)存儲(chǔ)和計(jì)算形態(tài)正在發(fā)生巨大的變化，但數(shù)據(jù)的本質(zhì)和屬性并沒(méi)有改變，銀行對(duì)安全保障的本質(zhì)訴求也沒(méi)有改變。因此，在應(yīng)用創(chuàng)新和技術(shù)創(chuàng)新的引領(lǐng)下，各種各樣的新型安全事件，引起人們對(duì)新條件下銀行業(yè)大數(shù)據(jù)安全風(fēng)險(xiǎn)的關(guān)注。

明朝萬(wàn)達(dá)安全專家研究發(fā)現(xiàn)在《中國(guó)銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管白皮書(shū)》（以下簡(jiǎn)稱監(jiān)管白皮書(shū)）中，大數(shù)據(jù)等信息科技能力，肩負(fù)著更好地服務(wù)實(shí)體經(jīng)濟(jì)、支持小微企業(yè)和服務(wù)“三農(nóng)”、發(fā)展普惠金融提供源源不斷動(dòng)力的責(zé)任。

隨著網(wǎng)上銀行、手機(jī)銀行的廣泛使用，以及運(yùn)用大數(shù)據(jù)客戶畫(huà)像、小微信用模型、線上線下聯(lián)動(dòng)方式，提升了銀行金融服務(wù)的便利性,為更好地服務(wù)了實(shí)體經(jīng)濟(jì)為發(fā)展普惠金融提供了便利的同時(shí)，大數(shù)據(jù)的安全風(fēng)險(xiǎn)形勢(shì)也日益嚴(yán)峻。為此監(jiān)管白皮書(shū)，特別要求以銀行業(yè)大數(shù)據(jù)安全為重點(diǎn)，深入推進(jìn)實(shí)施國(guó)家信息安全等級(jí)保護(hù)制度，將大數(shù)據(jù)等納入等級(jí)保護(hù)管理，建立信息安全等級(jí)保護(hù)工作考核評(píng)價(jià)，實(shí)現(xiàn)信息化建設(shè)與網(wǎng)絡(luò)安全同步規(guī)劃、同步實(shí)施、同步運(yùn)行，持續(xù)健全銀行業(yè)網(wǎng)絡(luò)安全防護(hù)體系，保障和促進(jìn)銀行業(yè)健康有序發(fā)展。

近期發(fā)生的一些大數(shù)據(jù)安全事件，也為大數(shù)據(jù)運(yùn)營(yíng)團(tuán)隊(duì)敲響了安全威脅的警種。MongoDB經(jīng)常被用于大數(shù)據(jù)存儲(chǔ)，從2016年12月27日，明朝萬(wàn)達(dá)發(fā)現(xiàn)一些裸奔的MongoDB用戶數(shù)據(jù)被黑客刪除起，截至2017年啊2月3日根據(jù)shodan.io的統(tǒng)計(jì)結(jié)果顯示，在中國(guó)有15046個(gè)放在公網(wǎng)上的MangoDB數(shù)據(jù)庫(kù)，其中絕大部分安全管理防護(hù)體系脆弱。

2017年1月12日，黑客組織 NODATA4U 專門(mén)對(duì)Hadoop進(jìn)行攻擊，幾天內(nèi)就出現(xiàn)了 115 個(gè)機(jī)構(gòu)受到攻擊，這些機(jī)構(gòu)中不乏銀行類機(jī)構(gòu)。根據(jù)shodan.io的統(tǒng)計(jì)結(jié)果顯示，在中國(guó)有8300多個(gè)Hadoop集群暴露在公網(wǎng)上，其中就包括若干從事金融業(yè)務(wù)的機(jī)構(gòu)，出于安全風(fēng)險(xiǎn)的考慮，shodan.io沒(méi)有公布這些機(jī)構(gòu)的業(yè)務(wù)性質(zhì)、名稱或者地域信息。

Elasticsearch被廣泛應(yīng)用于數(shù)據(jù)存儲(chǔ)。2017年1月17日據(jù)國(guó)內(nèi)威脅情報(bào)預(yù)警機(jī)構(gòu)對(duì)68000余個(gè)Elasticsearch進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)目前全球共有9750臺(tái)存在勒索信息。其中此次被刪除的數(shù)據(jù)達(dá)到至少500億條，被刪除數(shù)據(jù)大小至少450TB。通過(guò)對(duì)比分析，發(fā)現(xiàn)有大概1%的Elasticsearch使用了身份驗(yàn)證插件，另外有2%則關(guān)閉Elasticsearch，現(xiàn)在已經(jīng)無(wú)法訪問(wèn)。目前全球中受影響最多的為美國(guó)4380臺(tái)，其次是中國(guó)第二944臺(tái)。法國(guó)787臺(tái)，愛(ài)爾蘭462臺(tái)，新加坡418臺(tái)。

大數(shù)據(jù)帶來(lái)的安全挑戰(zhàn)

基于上述安全態(tài)勢(shì)，明朝萬(wàn)達(dá)安全專家綜合研究了大數(shù)據(jù)技術(shù)在銀行業(yè)的應(yīng)用模型，認(rèn)為銀行業(yè)大數(shù)據(jù)安全態(tài)勢(shì)即有大數(shù)據(jù)安全風(fēng)險(xiǎn)的普遍性，也有大數(shù)據(jù)應(yīng)用于銀行業(yè)之后的特殊性。大數(shù)據(jù)生態(tài)系統(tǒng)，體現(xiàn)為基于主從結(jié)構(gòu)的三層服務(wù)模式：

第一層，數(shù)據(jù)接入層，完成海量數(shù)據(jù)接入大數(shù)據(jù)中心；

第二層，數(shù)據(jù)存儲(chǔ)計(jì)算層，支持海量數(shù)據(jù)在大數(shù)據(jù)中心存儲(chǔ)和計(jì)算；

第三層，數(shù)據(jù)服務(wù)層，保障大數(shù)據(jù)中心向外部業(yè)務(wù)系統(tǒng)等主體提供數(shù)據(jù)服務(wù)。

當(dāng)我們使用大數(shù)據(jù)各種優(yōu)勢(shì)特性的同時(shí)，大數(shù)據(jù)也帶來(lái)了新的安全威脅，主要體現(xiàn)在以下幾個(gè)方面：

在大數(shù)據(jù)生態(tài)的三層體系結(jié)構(gòu)中，我們面臨著網(wǎng)銀、手機(jī)銀行、電話銀行、信貸等系統(tǒng)接入大數(shù)據(jù)中心時(shí)，確保數(shù)據(jù)鏈路安全可靠，確保數(shù)據(jù)源是真實(shí)可信的，數(shù)據(jù)接入的通信鏈沒(méi)有被竊聽(tīng)，數(shù)據(jù)沒(méi)有被攔截或篡改以及接入數(shù)據(jù)的有效性和真實(shí)性。

在大數(shù)據(jù)中心存儲(chǔ)數(shù)據(jù)時(shí)，如何確保數(shù)據(jù)沒(méi)有被非法的復(fù)制等其它形式的外泄，數(shù)據(jù)沒(méi)有被篡改或者刪除等非法操作。這些企業(yè)現(xiàn)金數(shù)據(jù)、金融托管數(shù)據(jù)、貸記卡、借記卡、養(yǎng)老金等海量、異構(gòu)數(shù)據(jù)的管理問(wèn)題，是對(duì)每一個(gè)大數(shù)據(jù)運(yùn)營(yíng)者的挑戰(zhàn)。在網(wǎng)絡(luò)空間，大數(shù)據(jù)是更容易被“發(fā)現(xiàn)”的顯著目標(biāo)，大數(shù)據(jù)成為網(wǎng)絡(luò)攻擊的第一演兵場(chǎng)所。一方面，大量數(shù)據(jù)的集中存儲(chǔ)增加了泄漏風(fēng)險(xiǎn)，特別是銀行數(shù)據(jù)，關(guān)系到國(guó)計(jì)民生的各個(gè)方面，黑客的一次成功攻擊都能獲取大量?jī)r(jià)值極的數(shù)據(jù)，天然形成了一個(gè)價(jià)值密度高、收益高的黑客競(jìng)技場(chǎng)。另一方面，大數(shù)據(jù)意味著海量數(shù)據(jù)的匯集，這里面蘊(yùn)藏著更復(fù)雜、更敏感、價(jià)值巨大的關(guān)聯(lián)數(shù)據(jù)，這些數(shù)據(jù)會(huì)引來(lái)更多的潛在攻擊者。

在大數(shù)據(jù)中心計(jì)算數(shù)據(jù)時(shí)，防止非法節(jié)點(diǎn)進(jìn)入大數(shù)據(jù)生態(tài)參與計(jì)算。確保向外部提供數(shù)據(jù)服務(wù)時(shí)，暴露在網(wǎng)絡(luò)中的服務(wù)器能夠抵御外部攻擊，沒(méi)有經(jīng)過(guò)認(rèn)證的節(jié)點(diǎn)對(duì)大數(shù)據(jù)生態(tài)的非信息訪問(wèn)，沒(méi)有授權(quán)的節(jié)點(diǎn)、應(yīng)用或者命令對(duì)主節(jié)點(diǎn)訪問(wèn)以及繞過(guò)主節(jié)點(diǎn)對(duì)數(shù)據(jù)節(jié)點(diǎn)的訪問(wèn)等，各種各樣的針對(duì)大數(shù)據(jù)生態(tài)技術(shù)特點(diǎn)的安全威脅。

在大數(shù)據(jù)中心向外提供服務(wù)時(shí)，確保被服務(wù)的用戶、應(yīng)用或者節(jié)點(diǎn)是經(jīng)過(guò)認(rèn)證的，可信的，非法的用戶請(qǐng)求、應(yīng)用請(qǐng)求或者節(jié)點(diǎn)請(qǐng)求，可以被拒之門(mén)外。確保服務(wù)的權(quán)限是經(jīng)過(guò)受權(quán)的，并且經(jīng)過(guò)細(xì)粒度認(rèn)證的，避免經(jīng)過(guò)認(rèn)證的用戶等主體，獲取不其取權(quán)限范圍內(nèi)的數(shù)據(jù)而造成的數(shù)據(jù)外泄。確保每次用戶請(qǐng)求被詳細(xì)的記錄，支持審計(jì)管理業(yè)務(wù)中，對(duì)大數(shù)據(jù)服務(wù)能力進(jìn)行全面的追溯和審計(jì)評(píng)估。 

大數(shù)據(jù)安全挑戰(zhàn)應(yīng)對(duì)方式

在理清當(dāng)前銀行業(yè)大數(shù)據(jù)應(yīng)用安全態(tài)勢(shì)后，明朝萬(wàn)達(dá)安全專家基于多年安全領(lǐng)域經(jīng)驗(yàn)結(jié)合大數(shù)據(jù)技術(shù)與銀行業(yè)大數(shù)據(jù)應(yīng)用模式，認(rèn)為大數(shù)據(jù)安全保障應(yīng)從以下幾點(diǎn)著手：

基于KerberosCA密鑰管理的用戶認(rèn)證、應(yīng)用認(rèn)證、節(jié)點(diǎn)認(rèn)證技術(shù)。基于體系化的認(rèn)證技術(shù)，采用CA代理認(rèn)證與統(tǒng)一身份認(rèn)證系統(tǒng)，確保用戶可信。采用密鑰認(rèn)證方式，確保應(yīng)用可信。采用向節(jié)點(diǎn)發(fā)放證書(shū)的方式，確保節(jié)點(diǎn)可信，防止惡意用戶在集群中加入非法節(jié)點(diǎn)竊取數(shù)據(jù)，防止未經(jīng)認(rèn)證的用戶、應(yīng)用、節(jié)點(diǎn)進(jìn)入大數(shù)據(jù)中心。

基于數(shù)據(jù)分類分級(jí)HDFS透明加密Ranger數(shù)據(jù)脫敏數(shù)據(jù)防泄漏的存儲(chǔ)計(jì)算安全技術(shù)。在存儲(chǔ)計(jì)算環(huán)節(jié)，由于大數(shù)據(jù)的海量、異構(gòu)特性，對(duì)全部數(shù)據(jù)采用一致的安全管理策略與方法，顯然不是有效的處理方式。對(duì)G級(jí)基至T級(jí)、P級(jí)異構(gòu)數(shù)據(jù)加解密或者脫敏等其性能都無(wú)法滿足業(yè)務(wù)需求。因此數(shù)據(jù)分類分級(jí)是解決海量數(shù)據(jù)安全管理的基礎(chǔ)，從海量數(shù)據(jù)中識(shí)別出有價(jià)值的數(shù)據(jù)，為數(shù)據(jù)賦予不同的安全等級(jí)，根據(jù)相應(yīng)等級(jí)采取合理解決辦法，是大數(shù)據(jù)中心數(shù)據(jù)存儲(chǔ)安全的必由之路。大數(shù)據(jù)生態(tài)自身提供的HDFS透明加密，為我們解決數(shù)據(jù)加密提供了基礎(chǔ)條件和技術(shù)可行性參考。Apache Ranger，為我們解決大數(shù)據(jù)中心權(quán)限問(wèn)題提供了基礎(chǔ)條件和技術(shù)可行性參考。

基于主機(jī)隱藏Knox統(tǒng)一用戶管理的安全服務(wù)技術(shù)。大數(shù)據(jù)中心建設(shè)的重要使命是支撐業(yè)務(wù)運(yùn)營(yíng)，為上層業(yè)務(wù)系統(tǒng)提供基礎(chǔ)的存儲(chǔ)和計(jì)算能力，大數(shù)據(jù)中心的這種基本能力，往往以服務(wù)方式向外部應(yīng)用提供。通過(guò)主機(jī)隱藏，將大數(shù)據(jù)中心的NameNode節(jié)點(diǎn)和DataNode節(jié)點(diǎn)，隱藏在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，避免節(jié)點(diǎn)暴露在網(wǎng)絡(luò)中帶來(lái)的各種安全風(fēng)險(xiǎn)。Apache Knox為我們解決大數(shù)據(jù)中心統(tǒng)一訪問(wèn)服務(wù)提供了基礎(chǔ)條件和技術(shù)可行性參考。

基于大數(shù)據(jù)自身技術(shù)特性的安全大數(shù)據(jù)分析技術(shù)。大數(shù)據(jù)安全防護(hù)方面，可以基于大數(shù)據(jù)自身的海量數(shù)據(jù)存儲(chǔ)能力和分布式運(yùn)算能力，全面采集大數(shù)據(jù)環(huán)境運(yùn)行過(guò)程的各類信息，采取數(shù)據(jù)挖掘與機(jī)器學(xué)習(xí)等方法，發(fā)現(xiàn)識(shí)別各種安全風(fēng)險(xiǎn)、事件。通過(guò)圖表等形象的展示方式，展示大數(shù)據(jù)環(huán)境的運(yùn)行狀態(tài)及安全風(fēng)險(xiǎn)、事件，針對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)和事件，通過(guò)管理策略與安全管理手段進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)策略的動(dòng)態(tài)下發(fā)和及時(shí)的安全管控。