大数据时代，数据泄露事件层出不穷，数据安全已经成为阻碍大数据发展的主要因素之一。因此，确保大数据时代下敏感数据的安全尤为重要。针对大数据安全所面临的挑战，提出以数据安全治理为中心的安全防护方案，重点从数据全生命周期的角度阐述了数据流转每个环节中的安全风险以及防护措施，为大数据环境下敏感数据的安全提供全方位的保障。

0、引　言

当前大数据已经融入社会各行各业中，它对社会经济、教育、医疗、金融，甚至人们的消费习惯、思维习惯都带来了非常大的转变，充分展现了“世界是平的、沟通一瞬间”，实现了“存储云共享、交流全息化”。但是我们也要看到，大数据是一把双刃剑，在给我们带来各种便利的同时，也伴随着越来越多信息安全问题。比如经常接到保险推销、卖房推销电话、提供贷款电话、早教班、辅导培训班推荐……这样的例子比比皆是，给我们的生活带来了很多困扰。IBM Security 和 Ponemon Institute 发布的《2018 年数据泄露成本分析报告》（如图1所示），数据泄露的平均成本从2017年的362万美元上升到386万美元，平均每条失窃记录的成本从141美元上升为148美元, 数据泄露的成本和数量都在持续攀升。

图 1  单条数据泄露成本分析

我们不禁要问，这些敏感数据是怎么泄露的？特别是近些年，资产的价值从有形的实体资产向无形的数据资产转移，数据的重要性被不断提高。这些重要数据和个人信息在采集、存储、传输、使用、共享、销毁过程中的每个环节都有泄露风险，一旦泄露将造成不可估量的损失，尤其对于政府职能部门，小至骚扰电话、电信诈骗等造成公民个人的经济损失，大到国家政策和宏观调控的影响，造成国家利益损害。

国家对重要数据安全也越来越重视，一方面，相关的法律、法规越来越多，如《网络安全法》规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，明确网络运营者处理个人信息的规则；《互联网个人信息安全保护指南》，该指南系首个由公安部牵头出台、现行有效且专门针对个人信息安全的文件，纳入了网络安全等级保护系列标准中的部分管理、技术要求，适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人；《数据安全管理办法》（征求意见稿）明确要求网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。另一方面，国家不断提升监管力度，公安部召开320会议发布的《关于紧急排查整改重要数据和公民个人信息泄露安全隐患的通知》，要求各单位做好数据安全防护工作，防止数据泄露。

1、数据安全面临挑战

1.1　数据流转复杂化使得数据泄露风险增大

大数据的环境下，数据生命周期增加了共享、交易等环节，数据的流动是“常态”，数据的静止存储才是“非常态”，多环节的信息隐性留存，导致数据流转追踪难、控制难。因此在复杂的流转环境中，数据安全的首要需求是，如何保证国家重要数据、企业机密数据以及用户个人数据等敏感数据的安全。实施和推进信息系统整合共享等一系列的举措，海量数据资源进一步共享和汇聚，怎样防止数据在使用、流通过程中不被非法复制、传播和篡改等泄露行为的发生，成为又一大挑战。

1.2　攻击手段多样化，传统安全技术不足以防护

大数据存储、计算、分析等技术的发展，催生出很多新型高级的网络攻击手段，使得传统的检测、防御技术暴露出严重不足，无法有效抵御外界的入侵攻击。传统防护通过在网络边界部署防火墙、IPS、IDS 等安全设备，以流量分析和边界防护的方式提供保护，而针对大数据环境下的高级可持续攻击（APT）通常具有隐蔽性高，感知困难等特点，常规安全措施基本无法防御。传统防护体系侧重于单点防护，而大数据环境下的网络攻击手段及攻击程序大量增多，导致出现了许多传统安全防护体系无法应对的问题，企业所面临的风险在不断增加。

1.3　大数据中的用户个人信息安全问题突出

近年来我国网络购物、共享经济、移动支付等数据经济发展迅猛，为广大民众提供便捷的服务。然而，用户享受便捷服务的同时也存在着个人信息泄露的风险。如淘宝、亚马逊、京东等各大购物网站都在记录着用户的购物习惯；QQ、微博、电话记录等窃听用户的社交关系网；监视系统监控着用户的 Email、聊天记录、上网记录等。个人隐私的泄露可能影响到个人的情感、身体以及财物等多个方面。但是在大数据时代，基于大数据对人们状态和行为的预测也是当前面临的主要威胁。如上所述的各大购物网站记录人们的购物习惯，然后基于这些数据推测人们的需求，进而进行广告的推送等，这些行为往往会对人们日常生活造成骚扰。因此，如何有效保护个人信息的安全，是大数据时代面临的巨大挑战之一。

2、数据安全治理理念

在Gartner 2017安全与风险管理峰会上，首次提到数据安全治理（Data Scurity Governance）这一概念，定义数据安全治理绝不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条，并认为数据安全治理是新形势下有效的数据安全防护手段。

传统网络安全为信息系统多方设防，相对于系统内的数据则属于静态保护，因为防御措施不随被保护的数据本身变化流动，对系统内部人员泄露数据难以防范，所以是防外不防内。大数据环境中，对内部窃取、滥用、疏忽等数据泄露风险有效的数据安全防护，关键在于明确哪些数据需要防护，各需要什么等级的防护，在此基础上设置相应的靶向防护策略与落地措施。数据安全治理思路如图2所示，首先通过数据分类分级找出需要保护的敏感数据，然后通过一系列技术措施盯住这些敏感数据，无论敏感数据在全网什么地方、往哪里流动变化衍生，都能进行精准的定位、追踪、告警、阻断、溯源等，执行分类分级的监控防护。所以，数据安全治理后的落地技术措施是靶向盯住敏感数据并随之流转变化的动态监控，不分内外， 而是全网追踪、内外兼防。

图 2  数据安全治理思路

3、数据安全治理流程

数据安全治理流程，如图3所示。通过对相关法规标准的梳理，结合实际的业务场景数量，对信息系统中的数据进行安全性分类分级，制定相应的分类分级防护策略、数据安全架构及组织制度保障，形成对数据全生命周期的安全管控，对管控效果定期检查、审计、评估，建立安全组织架构和制度，并将各项安全策略与架构落实到全套安全技术手段和安全服务措施中，从而实现对敏感信息的细粒度、全方位靶向监控，建立有效的数据安全防护体系。

图 3  数据安全治理流程

4、数据安全治理落地措施

数据安全治理落地措施如图4所示。包括基于全生命周期的数据安全防护、检查评估措施和安全服务措施三方面内容。

图 4  数据安全治理落地措施

4.1　基于全生命周期的数据安全防护

对数据生命周期的采集、存储、传输、使用、共享、销毁等环节进行防护，对涉密、重要、个人隐私、业务机密、传播违禁等敏感数据执行靶向监控，实现针对数据的分类分级型安全防护。

4.1.1　数据采集环节

本环节主要关注采集的数据是否符合国家法律法规以及相关行业的规定？是否合规？并且采集的数据中是否存在各种涉密信息、用户信息和业务敏感信息？从繁杂庞大的数据中发现敏感数据并进行安全保护，就很有必要对数据进行梳理，通过数据分类分级和数据标识，快速准时地识别出敏感数据并开展数据跟踪溯源。

因此，数据采集环节需要进行针对敏感数据分类分级及其来源属性的标记、数据来源验证等操作，以便后期对数据的泄露溯源。

4.1.2　数据存储和传输环节

本环节主要关注：①数据的传输是否合规？是否存在高安全域终端向低安全域终端非法传输、拷贝机密信息等行为，同时也可能存在非法用户获取合法权限向数据中心调用和查看高密级信息的风险；②存储在数据库和服务器的数据是否存在数据泄露的风险？

数据传输存储环节中的数据安全防护技术措施：

（1）敏感数据自动识别技术

使用自然语言处理、数据挖掘和机器学习技术的聚类/分类器，配合机器学习自动生成规则库，以提高对敏感内容识别的准确率和可靠性。

（2）敏感数据发现、定位能力

对敏感数据定位的策略手段，包括结构化数据和非结构化数据的定位，可以对敏感信息进行定位，如源代码、技术文档、运营资料、政券信息等，实现有效的防护控制。

（3）权限管控

根据文件的重要程度，按照组织架构（部门、用户、项目组等）对文件进行敏感分级授权管理。如可以对文档进行分级授权，设置只读、打印、修改、再次授权、阅读次数及生命周期等权限，授权用户只能按规定权限使用数据，无法通过属性修改、内容复制、副本另存等方式越权使用。

（4）透明加解密

透明加密意味着加密不需要太多的额外管理，主要体现在两个方面：首先，应用程序透明，用户或者开发商不需要对应用程序做任何改造；其次是加解密透明，对于具备密文访问权限的用户自动进行加解密，对于缺乏密文访问权限的用户拒绝访问。

（5）风险审计

记录所有外发数据的行为日志，依据安全规则及时发现异常行为并告警，提高安全人员的响应速度，并为事后的审计追溯提供依据。

（6）数据缓慢泄露防护

统计敏感数据在指定时间段内的持续累计泄露行为，并进行响应。

4.1.3　数据使用环节

本环节主要关注如何防控内部人员窃密、滥用和疏忽而导致的数据泄露风险；怎样防止开发、测试、分析和运维人员等获取敏感数据。

数据使用环节安全防护的目标是保障数据在授权范围内被访问、处理，防止数据遭窃取、泄露、损毁。为实现这一目标，在下一代防火墙、防DDoS、漏洞检测等网络安全防护技术措施外，还需要针对数据库访问、数据库操作、数据第三方共享使用等环节和过程进行安全防护。

敏感数据脱敏技术从保护敏感数据机密性的角度出发，对敏感数据进行模糊化处理，特别是对姓名、手机号码、身份证件号码等用户个人敏感信息，当需要查询原始敏感信息时，需要应用进行二次鉴权。在准生产区进行系统的开发、测试、培训或数据挖掘算法验证时，需要对生产数据进行批量脱敏，导入准生产区环境。

4.1.4　数据共享环节

本环节主要关注如何管控高密级数据流向低密级业务口；如何将人、设备的身份权限对应到应用、服务及数据的安全级别上。

在大数据平台的安全防护体系中，“零信任”身份权限控制是必要措施。在数据安全性分类分级的基础上建立完整数据鉴权机制是今日信息安全防御的前沿首选。在信息共享传输过程中，需要保证数据完整性及可追溯性，可采用电子签名及时间戳等相关技术来实现。另外，数据分享系统需要具备数据脱敏功能，实现部分敏感信息的脱敏。并且脱敏技术需要能在分享的大量数据中自动扫描发现敏感信息，实现高效、方便、准确的信息脱敏。

4.1.5　数据销毁环节

本环节主要关注如何监控数据销毁合规性；如何确保剩余敏感信息没有继续存留在数据库、服务器和终端上；如何防护隐私性数据片段被挖掘泄露。

数据销毁环节应采用数据销毁技术，能够完全删除数据库、服务器和终端上的剩余信息，并且销毁后需要进行敏感数据检查，以此验证销毁结果，防止部分删除、逻辑删除等现象。

4.2　检查评估措施

4.2.1　敏感信息分类及合规性检查

对敏感信息进行分类检查，如保密检查、隐私检查或者敏感检测等，检查的内容包括涉密信息、国家重要数据、业务机密信息、个人隐私信息、违禁传播信息等，并依据相关法规审查这些敏感信息的存储、传输或者使用的合规性。

4.2.2　风险评估

依据国家有关部门关键信息基础设施安全风险评估及信息安全风险评估等相关规定，对信息系统的信息资产、网络威胁、系统脆弱性等方面进行检测赋值，计算出信息系统的安全风险评估值，应对监管部门检查，把握信息安全风险，及时消除隐患。

4.2.3　动态审计

依据国家相关法规的规定，如公共计算机不允许存在含有敏感信息的文档，对敏感信息进行实时动态审计，一旦发现不合规行为，则按照预先设定的方式进行响应（报警提示、记录日志等），为防止或追查可能的泄密行为提供证据。

4.2.4　态势分析

对各类敏感信息检查及风险评估结果进行统计分析，并可视化呈现敏感信息分布与走势及信息安全风险态势。

4.3　安全服务措施

在对用户提供法规与数据安全治理咨询的基础上，提供相应的专业安全服务，包括安全运维、应急响应、安全检查与巡查、渗透测试、安全情报及安全培训等。

5、结　语

大数据的到来为我们的日常生活与工作带来巨大的便利，同时更是受到各个领域前所未有的关注。在大数据时代，确保重要数据不被泄露已成为人们首要关注的问题。通过对大数据环境中存在的安全挑战进行分析，并且从数据安全治理的角度，提出基于数据全生命周期的数据安全防护方案以及相关技术措施，该方案能够适用于不同行业数据安全防护需求，确保敏感数据的安全。