大数据网络应用安全技术高峰论坛嘉宾观点集锦
在2017数博会“大数据网络应用安全技术高峰论坛”上,来自各行业的资深安全战略专家、技术专家,具有影响力的安全行业代表等齐聚一堂,就大数据基础系统、大数据应用中的安全问题以及大数据在实际应用场景中的安全技术和安全防护等问题展开深入探讨,小编将各位专家的精彩发言整理成集,以飨读者。
国家创新与发展战略研究会副会长郝叶力:
从贵阳攻防演练看大数据时代的安全与发展
郝叶力亲历见证了贵阳市组织的为期6年大数据与网络攻防演练的全过程,并在这次演练当中从安全机制和安全技术两个层面得到思考和启示。
她提到,贵阳以省会城市的实网为目标,进行真刀真枪的供给性测试,在国内尚属首创。这次演练是一次自上而下的安全推进,真抓实干的安全摸底,难能可贵的安全创新,问题驱动的安全亮点,举一反三的安全唤醒,是一次历史性的突破,具有里程碑意义,这次演练为贵州建设国家大数据综合实验区又增加了一张靚丽的名片。
“在整个攻防演练的过程中累计发现762个漏洞,攻陷140多个网站,突破69个内网,控制1500多台主机。此外还发现大量的银行帐号密码存在被泄露的风险和被劫持的可能。”她认为,本次攻防演练不仅展示了参与攻防团队过硬的技术,同时更体现出整个团队的职业操守,这些测试队伍在拿到敏感的数据之后,只是做了一些截图,打了一些标签,过程中无篡改、无破坏、无下载、无泄露,他们把实网络的测试做到最高点,演练全过程体现了测试队伍的职业操守。
郝叶力表示,本次攻防演练有利于进一步分析和思考大数据时代网络安全产业的发展方向是什么,找到未来大数据驱动安全的方法和路径以及技术上的发展趋势。通过对取得的成绩进行分析,发现了运用大数据、云计算、人工智能这三项技术进行测试能够发现更多的问题,获得更高的效率。
在大数据时代,如何用大数据、云计算、人工智能这样前沿的技术,将安全产业上升到现代化的并发流水线式的安全产业模式,为大数据时代的安全产业发展探索出高速的方式方法。
OWASP中国区副主席包悦忠:
Big Data Security Primer
论坛上,包悦忠为参会嘉宾介绍了大数据安全方面的基础知识,从一个安全专家的角度对大数据安全进行了详细解读。
包悦忠提到,在安全的领域,“首先要知道你要找什么,要知道什么是好的,什么是坏的。其次,必须了解不同的应用程序。再次,可以进行归纳,所以对大数据或者是对于AI、对于机器学习,更多是有关于如何应对这三方面所带来的挑战。”
当时最流行的数据处理平台设计当中并没有考虑到安全,当时使用的是分布式计算叫Hadoop,只有授权用户才可以访问,因此一些简单安全模块就可以完成安全保护的工作。在使用其他先进技术之后,安全保护方法增多,但是这些方法仍不足以保护数据安全。
“在安保环节我们学到哪些知识呢?我认为最基础安保策略是非常重要的”。包悦忠表示,可以将用户进行限制,让其不能进入未经允许的环境,同时对身份的认证以及准入的同意度也非常重要。
面对当下人们关注的隐私保护问题,包悦忠认为用户隐私的核心,是要给予用户数据的控制权。在数据搜集方面,信息挖掘者有很多技术可以采用,去做隐私保护的数据挖掘。
北京天空卫士网络安全技术有限公司CEO刘霖:
数据资产的保护和管理
“在现在的情况下,用大数据的结果是让数据更有价值,产生出更多的数据资产,但是数据资产一旦滥用对社会生活甚至对国家都会产生麻烦。”北京天空卫士网络安全技术有限公司CEO刘霖在发言时说。
“如果我们的思维方式还停留在攻防用同样的方式,遇到的问题会越来越多。”对于数据防泄露技术,刘霖提出,以统一策略为基础,采用深层内容分析,对静态数据、动态数据机使用中的数据进行识别、监控、保护的相关技术。
刘霖介绍了全面的数据识别技术中的指纹技术,他说指纹技术是整个数据防泄露里最尖端,最重要的东西可以指纹化,变成几K或者十几K文件的特征码,出去几万、几百万甚至上千万外发数据,只要离开这个边界,不管是终端,还是打印,还是网络,都会做比对。
刘霖说,内部威胁管理,需要大量内容的识别技术和控制技术,大量终端行为识别,还有内部网络上各种边界信息和日志,最后都会到使用神经网络构建大的智能系统里,同时在这个过程中不停进行各种策略的调试和调整,当它达到一定稳定程度以后会将内容传给管理员,这种技术是大数据安全行为分析的核心。
中国科学院院士郑建华:
面向大数据的密码技术
“大数据的概念比较宽泛,是基于大数据做安全,还是给大数据做保护,这个还是不太一样”。郑建华院士提到,信息使用要在信息所有者许可之下严格按照要求真实合理顺畅运用,信息的来源和信息使用均可以认证。
郑建华院士认为大数据的使用,比一般信息系统安全要求更为复杂。他希望针对不同大数据的应用,建立相应的安全模型,建立健全相应的密码技术。
郑建华院士说:“现在数据量巨大,需要数据的融合,所有不同数据放在一起加工,这才是深度大数据的应用,否则它是一个初级的应用,由于这些特点决定大数据安全一定是非常难解决的。”
关于安全诉求方面,郑建华院士提到,数据所有者对数据要求最高,一般要求保证数据的真实性与完整性,同时,要求对数据的使用可控。数据使用者按数据所有者赋予的权限,高效、真实、安全的使用数据。数据管理者要管理好数据,处理好数据,按照数据使用者的授权,对数据进行加工。
除数据安全需求外,郑建华院士对一些新密码理论和密码技术进行了介绍,他提到,如果用户的安全数据是经过加密保护,大数据需要把它做统计,一种办法是用户把数据解密,放在云平台上,提供给数据使用者,但这样做的安全问题太大。现在通过加密技术对数据进行加工,加工以后拿到加密数据,这样做既保护原始数据,使得数据管理者和使用者无法获取原始数据,同时又能做到对数据的可加工、可融合,这是非常好的密码学概念,但是挑战性非常大。
“整体来看,面向大数据安全的密码理论和技术尚处于积极研究,但不成熟阶段。有一些方案有安全性或者功能、效率的等各种各样的问题,现在实事求是客观来看,密码技术和大数据安全需求还有一定距离”。郑建华院士希望密码研究人员能大胆创新,积极探索,早日研究出成熟的数据加密方法。
网络密码认证北京重点实验室主任、研究员胡祥义:
基于“垂直认证”技术的大数据安全解决方案
大数据时代,信息安全面临前所未有的挑战与机遇,胡祥义说:“国际上解决大数据安全的方法基本上都是采用密码技术,主要功能是身份认证功能,实现安全登录,在网络应用层建立数字签名和数据加密协议,实现数据信封功能,保证两用户之间数据的软数安全;采用VPN技术建立,保证数据传输的安全。”
网络密码认证技术北京重点实验室提出内容安全的概念,把数据全部加密成密文,存储在云平台,用户通过身份证在客户端下载密文,在客户端利用加密芯片进行文件的解密。
胡祥义介绍,“垂直认证”技术,既采用对成密码算法建立认证架构,以及认证协议、签名协议和加密协议。特征是密钥集中生成、集中罐装、集中分发、集中修改、集中注销。“垂直认证”技术是在认证中心端使用硬件设备作为仲裁者,尤其涉及到认证签名的时候需要仲裁者,用加密机作为仲裁者。使用组合密钥生成算法,实现认证、签名和加密一次一变,这解决了对密码算法的密钥更新管理和难题。
胡祥义表示,大数据关系到个人安全、企业安全和国家安全,必须加强大数据安全技术的研究和标准制定,推动大数据安全的建设。
☞点击进入【2017数博会专题】
【关于数博会】
数博会作为全球首个大数据主题博览会,秉承“国际化、专业化、高端化、可持续化、产业化”的核心理念,旨在为全球范围大数据领域专业人士和企业提供行业前沿资讯、热点动态以及合作交流平台,促进大数据行业的技术发展和应用。数博会已成为全球大数据领域的盛会。
2017中国国际大数据产业博览会将于5月26日-29日在贵阳市举行,它将继续聚焦大数据的探索与应用,展示大数据最新的技术创新与成就,成为中国最具国际化和产业化的高端专业平台。
2017数博会官方微信
责任编辑:唐艳