大數據安全管理規范

1. 保護大數據安全的10個要點

一項對2021年數據泄露的分析顯示，總共有50億份數據被泄露，這對所有參與大數據管道工作的人來說，從開發人員到DevOps工程師，安全性與基礎業務需求同等重要。

大數據安全是指在存儲、處理和分析過於龐大和復雜的數據集時，採用任何措施來保護數據免受惡意活動的侵害，傳統資料庫應用程序無法處理這些數據集。大數據可以混合結構化格式(組織成包含數字、日期等的行和列)或非結構化格式(社交媒體數據、PDF 文件、電子郵件、圖像等)。不過，估計顯示高達90%的大數據是非結構化的。

大數據的魅力在於，它通常包含一些隱藏的洞察力，可以改善業務流程，推動創新，或揭示未知的市場趨勢。由於分析這些信息的工作負載通常會將敏感的客戶數據或專有數據與第三方數據源結合起來，因此數據安全性至關重要。聲譽受損和巨額經濟損失是大數據泄露和數據被破壞的兩大主要後果。

在確保大數據安全時，需要考慮三個關鍵階段:

當數據從源位置移動到存儲或實時攝取(通常在雲中)時，確保數據的傳輸

保護大數據管道的存儲層中的數據(例如Hadoop分布式文件系統)

確保輸出數據的機密性，例如報告和儀錶板，這些數據包含通過Apache Spark等分析引擎運行數據收集的情報

這些環境中的安全威脅類型包括不適當的訪問控制、分布式拒絕服務(DDoS)攻擊、產生虛假或惡意數據的端點，或在大數據工作期間使用的庫、框架和應用程序的漏洞。

由於所涉及的架構和環境復雜性，大數據安全面臨著許多挑戰。在大數據環境中，不同的硬體和技術在分布式計算環境中相互作用。比如：

像Hadoop這樣的開源框架在設計之初並沒有考慮到安全性

依賴分布式計算來處理這些大型數據集意味著有更多的系統可能出錯

確保從端點收集的日誌或事件數據的有效性和真實性

控制內部人員對數據挖掘工具的訪問，監控可疑行為

運行標准安全審計的困難

保護非關系NoSQL資料庫

這些挑戰是對保護任何類型數據的常見挑戰的補充。

靜態數據和傳輸中數據的可擴展加密對於跨大數據管道實施至關重要。可擴展性是這里的關鍵點，因為除了NoSQL等存儲格式之外，需要跨分析工具集及其輸出加密數據。加密的作用在於，即使威脅者設法攔截數據包或訪問敏感文件，實施良好的加密過程也會使數據不可讀。

獲得訪問控制權可針對一系列大數據安全問題提供強大的保護，例如內部威脅和特權過剩。基於角色的訪問可以幫助控制對大數據管道多層的訪問。例如，數據分析師可以訪問分析工具，但他們可能不應該訪問大數據開發人員使用的工具，如ETL軟體。最小許可權原則是訪問控制的一個很好的參考點，它限制了對執行用戶任務所必需的工具和數據的訪問。

大數據工作負載所需要的固有的大存儲容量和處理能力使得大多數企業可以為大數據使用雲計算基礎設施和服務。但是，盡管雲計算很有吸引力，暴露的API密鑰、令牌和錯誤配置都是雲中值得認真對待的風險。如果有人讓S3中的AWS數據湖完全開放，並且對互聯網上的任何人都可以訪問，那會怎麼樣?有了自動掃描工具，可以快速掃描公共雲資產以尋找安全盲點，從而更容易降低這些風險。

在復雜的大數據生態系統中，加密的安全性需要一種集中的密鑰管理方法，以確保對加密密鑰進行有效的策略驅動處理。集中式密鑰管理還可以控制從創建到密鑰輪換的密鑰治理。對於在雲中運行大數據工作負載的企業，自帶密鑰 (BYOK) 可能是允許集中密鑰管理而不將加密密鑰創建和管理的控制權交給第三方雲提供商的最佳選擇。

在大數據管道中，由於數據來自許多不同的來源，包括來自社交媒體平台的流數據和來自用戶終端的數據，因此會有持續的流量。網路流量分析提供了對網路流量和任何潛在異常的可見性，例如來自物聯網設備的惡意數據或正在使用的未加密通信協議。

2021年的一份報告發現，98%的組織感到容易受到內部攻擊。在大數據的背景下，內部威脅對敏感公司信息的機密性構成嚴重風險。有權訪問分析報告和儀錶板的惡意內部人員可能會向競爭對手透露見解，甚至提供他們的登錄憑據進行銷售。從內部威脅檢測開始的一個好地方是檢查常見業務應用程序的日誌，例如 RDP、VPN、Active Directory 和端點。這些日誌可以揭示值得調查的異常情況，例如意外的數據下載或異常的登錄時間。

威脅搜尋主動搜索潛伏在您的網路中未被發現的威脅。這個過程需要經驗豐富的網路安全分析師的技能組合，利用來自現實世界的攻擊、威脅活動的情報或來自不同安全工具的相關發現來制定關於潛在威脅的假設。具有諷刺意味的是，大數據實際上可以通過發現大量安全數據中隱藏的洞察力來幫助改進威脅追蹤工作。但作為提高大數據安全性的一種方式，威脅搜尋會監控數據集和基礎設施，以尋找表明大數據環境受到威脅的工件。

出於安全目的監視大數據日誌和工具會產生大量信息，這些信息通常最終形成安全信息和事件管理(SIEM)解決方案。

用戶行為分析比內部威脅檢測更進一步，它提供了專門的工具集來監控用戶在與其交互的系統上的行為。通常情況下，行為分析使用一個評分系統來創建正常用戶、應用程序和設備行為的基線，然後在這些基線出現偏差時進行提醒。通過用戶行為分析，可以更好地檢測威脅大數據環境中資產的保密性、完整性或可用性的內部威脅和受損的用戶帳戶。

未經授權的數據傳輸的前景讓安全領導者徹夜難眠，特別是如果數據泄露發生在可以復制大量潛在敏感資產的大數據管道中。檢測數據泄露需要對出站流量、IP地址和流量進行深入監控。防止數據泄露首先來自於在代碼和錯誤配置中發現有害安全錯誤的工具，以及數據丟失預防和下一代防火牆。另一個重要方面是在企業內進行教育和提高認識。

框架、庫、軟體實用程序、數據攝取、分析工具和自定義應用程序——大數據安全始於代碼級別。 無論是否實施了上述公認的安全實踐，代碼中的安全缺陷都可能導致數據泄漏。 通過在軟體開發生命周期中檢測自研代碼及開源組件成分的安全性，加強軟體安全性來防止數據丟失。

2. 大數據安全面臨哪些風險及如何防護

現如今大數據已經逐漸改變了我們的生活方式，成為必不可少的存在，在我們享野首受大數據給我們帶來的便利時，安全性無論對於企業還是個人都是必須要解決的重大課題。

總結大數據面臨的三大風險問題如下

1.個人隱私問題凸顯

例如大數據中的精準營銷定位功能，通常是依賴於高度採集個人信息，通過多種關聯技術分析來實現信息推廣，精準營銷。企業會掌握用戶大量的數據，不排除隱私部分的敏感數據，一旦伺服器遭到不法分子攻擊導致數據泄露，很可能危及用戶的隱私、財產甚至是人身安全。

2.數據准確與權威性

大數據通過各種渠道獲取大量數據進行計算分析，企業通常直接通過分析結果進行支持決策，有時候企業只看結果，卻忽略了源頭數據的准確性，不準確的數據直接影響大數據分析的結果和企業的利益，錯誤的指導會對企業帶來一定的風險與損失。

3.基礎設施維護壓力

數據量越大，對基礎設施的性能要求就越高，同樣對於網路的安全、恢復、防範依賴性就越強，一定程度上對企業設施安全的維護造成了壓力，基礎設施建設不完善、維護不到位，抱有沒出問題就得過且過的態度，時刻面臨被攻擊的危險可能。

針對上述問題的防護措施如下

1.對用戶早脊嘩而言

雖然在互聯網時代下要完全保護自己的隱私是比較困難的，但也要加強自身信息的防範意識。注冊賬號時，遵循最少原則，不要隨意泄露敏感信息，降陸行低隱私信息被泄露的危險；

2.對企業而言

加強數據安全管理，實現數據的治理與清洗，從源頭保證數據的一致性、准確性。首先升級基礎伺服器環境，建立多重防護、多級互聯體系結構，確保大數據處理環境可信度。其次全方位實時監控、審計、防護，防止敏感數據泄露、丟失，確保數據風險可控，並不斷通過體系化的大數據安全評估，形成數據安全治理的閉環管理；

3.對政策而言

應該加強對數據信息的保護，對數據的使用進行一定的監管與限制，對非法盜用、濫用數據信息者嚴懲，之後加強對技術安全研發使用的推廣與實施，保證數據安全，加強對數據治理的力度。

大數據時代的到來，可以為我們的生活帶來切實的利益，行業的數據規范正在建立並逐步趨於完善，對於我們來說，既不要因為安全風險問題而排斥大數據，也不要疏忽於對個人/企業信息的保護，合理看待和利用大數據，讓其發揮真正的價值。

3. 貴陽市大數據安全管理條例

第一章總 則第一條為了加強大數據安全管理，維護國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進大數據發展應用，推動實施大數據戰略，根據《中華人民共和國網路安全法》等有關法律法規的規定，結合本市實際，制定本條例。第二條本條例適用於本市行政區域內大數據發展應用中的安全保護、監督管理以及相關活動。

涉及國家秘密的大數據安全管理，按照有關保密法律法規的規定執行。

本條例所稱大數據安全，是指大數據發展應用中，數據的所有者、管理者、使用者和服務提供者（以下簡稱安全責任單位）採取保護管理的策略和措施，防範數據偽造、泄露或者被竊取、篡改、非法使用等風險與危害的能力、狀態和行動。

本條例所稱大數據，是指以容量大、類型多、存取速度快、應用價值高為主要特徵的數據集合，是對數量巨大、來源分散、格式多樣的數據進行採集、存儲和關聯分析，發現新知識、創造新價值、提升新能力的新一代信息技術和服務業態。

本條例所稱數據，是指通過計算機或者其他信息終端及相關設備組成的系統收集、存儲、傳輸、處理和產生的各種電子化的信息。第三條實施大數據安全管理，應當堅持正確的網路安全觀，遵循統一領導、政府管理、行業自律、社會監督、風險防控、權責統一、包容審慎、支持創新的原則。第四條市人民政府統一領導本市大數據安全管理工作。區（市、縣）人民政府領導本轄區大數據安全管理工作。第五條市網信部門負責統籌協調全市大數據安全監督管理工作，組織開展全市關鍵信息基礎設施監管等工作。區（市、縣）網信部門按照職責負責綜合協調本轄區大數據安全監督管理工作。

市公安機關負責開展大數據安全的等級保護、日常巡查、執法檢查、信息通報、應急處置等監督管理工作。區（市、縣）公安機關按照職責負責本轄區大數據安全監督管理工作。

市大數據主管部門統籌協調本市大數據安全保障體系建設。區（市、縣）大數據主管部門按照職責負責本轄區大數據安全管理的相關工作。

保密、國家安全、密碼管理、通信管理等主管部門按照各自職責，做好大數據安全管理的相關工作。第六條安全責任單位應當加強大數據安全能力建設，履行大數據安全保護職責，接受有關主管部門監督管理和社會監督。第七條縣級以上人民政府以及網信、公安、大數據等主管部門和安全責任單位、大眾傳播媒介按照各自職責，做好大數據安全宣傳教育工作。第八條市人民政府設立統一的大數據安全監管服務、投訴舉報平台，建立相應的工作機制。

任何單位和個人都有權投訴舉報危害大數據安全的行為；有關部門應當對投訴舉報予以保密。第二章安全保障第九條安全責任單位應當根據職責明確、意圖合規、質量保障、數據最小化、最小授權操作、分類分級保護和可審計的原則，採取有效措施保護數據的保密性、完整性、真實性、可控性、可靠性和可核查性。第十條安全責任單位的法定代表人或者主要負責人是本單位大數據安全的第一責任人。

安全責任單位應當根據數據的生命周期、規模、重要性和本單位的性質、類別、規模等因素，建立安全管理內控制度和支撐保障機制，明確安全管理負責人，落實不同崗位的安全管理職責；關鍵信息基礎設施的運營者還應當設置專門安全管理機構。第十一條安全責任單位應當根據數據類型、級別、敏感程度以及數據安全能力成熟度等要求，制定安全規則、管理規范和操作規程，採取相應的安全管理策略、管理措施和技術手段實施有效管理。第十二條安全責任單位應當按照大數據安全等級保護要求進行系統安全功能配置，制定實施系統配置技術管理規程、軟體采購使用限制策略和外部組件使用安全策略，規定配置管理的審批、操作流程，提供符合規范標準的管理與服務，對系統重要配置進行及時更新。第十三條安全責任單位應當制定完善訪問控制策略，採取授權訪問、身份認證等技術措施，防止未經授權查詢、復制、修改或者傳輸數據。對個人信息和重要數據實行加密等安全保護，對涉及國家安全、社會公共利益、商業秘密、個人信息的數據依法進行脫敏脫密處理。第十四條安全責任單位應當建立大數據安全審計制度，規定審計工作流程，記錄並保存數據分類、採集、清洗、轉換、載入、傳輸、存儲、復制、備份、恢復、查詢和銷毀等操作過程，定期進行安全審計分析。

4. 貴州省大數據安全保障條例

第一章總 則第一條為了保障大數據安全和個人信息安全，明確大數據安全責任，促進大數據發展應用，根據《中華人民共和國網路安全法》和有關法律、法規的規定，結合本省實際，制定本條例。第二條本省行政區域內大數據安全保障及相關活動，應當遵守本條例。

涉及國家秘密的大數據安全保障，還應當遵守《中華人民共和國保守國家秘密法》等法律、法規的規定。第三條本條例所稱大數據安全保障，是指採取預防、管理、處置等策略和措施，防範大數據被攻擊、侵入、干擾、破壞、竊取、篡改、刪除和非法使用以及意外事故，保障大數據的真實性、完整性、有效性、保密性、可控性並處於安全狀態的活動。

本條例所稱大數據是指以容量大、類型多、存取速度快、應用價值高為主要特徵的數據集合，是對數量巨大、來源分散、格式多樣的數據進行採集、存儲和關聯分析，發現新知識、創造新價值、提升新能力的新一代信息技術和服務業態。

本條例所稱大數據安全責任人，是指在大數據全生命周期過程中對大數據安全產生或者可能產生影響的單位和個人，包括大數據所有人、持有人、管理人、使用人以及其他從事大數據採集、存儲、清洗、開發、應用、交易、服務等的單位和個人。第四條大數據安全保障工作堅持總體國家安全觀，樹立正確的網路安全觀，按照政府主導、責任人主體，統籌規劃、突出重點，預防為主、綜合治理，包容審慎、支持創新，安全與發展、監管與利用並重的原則，維護大數據總體和動態安全。第五條大數據安全保障工作應當圍繞國家大數據戰略和省大數據戰略行動實施，建立健全大數據安全管理制度，建設大數據安全地方標准體系、大數據安全測評體系、大數據安全保障體系等，採取大數據安全攻防演練等安全保障措施，推動大數據安全技術、制度、管理創新和發展。第六條省人民政府負責全省大數據安全保障工作，市、州和縣級人民政府負責本行政區域內大數據安全保障工作。

開發區、新區管理機構根據設立開發區、新區的人民政府的授權，負責本轄區大數據安全保障的具體工作。第七條縣級以上有關部門按照下列規定，履行大數據安全保障職責：

（一）網信部門負責統籌協調、檢查指導和相關監督管理等工作；

（二）公安機關負責安全保護和管理、風險評估、監測預警、應急處置和違法行為查處等監督管理工作；

（三）大數據發展管理部門負責與大數據安全相關的數據管理、產業發展、技術應用等工作；

（四）通信管理部門負責電信網、公共互聯網運行安全監督管理等工作；

（五）保密行政管理部門負責保密監督管理等工作；

（六）密碼管理部門負責密碼監督管理等工作；

（七）其他部門按照有關法律、法規的規定和各自職責做好大數據安全保障工作。第八條省人民政府應當根據大數據發展應用總體規劃，編制大數據安全保障規劃；網信、公安、大數據發展管理等部門應當根據大數據安全保障規劃，編制本部門、本行業大數據安全保障專項規劃。第九條縣級以上人民政府應當建立大數據安全保障工作領導協調機制和責任機制，協調和指導本行政區域內大數據安全保障有關事項。

公安機關應當按照網路安全等級保護要求，會同有關部門制定大數據風險測評、應急防範等安全制度，加強對大數據安全技術、設備和服務提供商的風險評估和安全管理。第十條任何單位和個人都有維護大數據安全的義務，不得從事危害大數據安全的活動，不得利用大數據從事危害國家安全以及損害國家利益、社會公共利益和他人合法權益的活動。

對危害大數據安全或者利用大數據從事違法犯罪活動的行為，任何單位和個人都有權勸阻、制止、投訴、舉報。收到投訴舉報的部門應當依法及時查處，保護舉報人的合法權益；不屬於本部門職責的，應當及時移送有權處理的部門。第十一條鼓勵開展大數據安全知識宣傳普及、教育培訓，增強全社會大數據安全意識，提高大數據安全風險防範能力。第十二條鼓勵、支持成立大數據安全聯盟、行業協會等社會組織，開展行業自律、交流合作和安全技術研究等大數據安全工作。第二章安全責任第十三條實行大數據安全責任制，保障大數據全生命周期安全。

大數據安全責任，按照誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責以及誰採集誰負責的原則確定。

大數據基於復制、流通、交換等同時存在的多個安全責任人，分別承擔各自安全責任。

5. 數據安全基礎能力要求包括

數據安全基礎能力要求包括如晌談下：

1、基礎安全要求：大數據服務提供者要創建大數據服務安全策略和規程，建立系統和數據資產清單、組織和人員崗位，形成滿足大數據服務的元數據結構和符合業務流程的數據和系統供應鏈結構，以及符合法律法規和相關標准要求的大數據服宴做碰務基礎安全能力要求。

大數據服務提供者應：

1、建立數據資產安全管理規范，明確大數據服務相關數據資產的安全管理目標和安全原則。

2、建立數據資產分類分級方晌談法和操作指南，以及數據資產分類分級的變更審批流程和機制。

3、建立數據資產組織和管理模式，制定數據資產登記制度，宴做碰明確數據資產管理相關方。

4、建立數據資產清單，明確數據資產管理范圍和屬性。

5、定期審核和更新數據資產安全管理相關的安全規范、管理制度等。

6. 大數據安全管理制度實行數據什麼管理制度

首先員工的防泄密意識要培養起來，也要有相關的規章制度，起碼入職時要進行防泄密方面的回規章和答行為培訓，哪些行為是禁止的要明示，然後員工的上網行為和對重要文件的操作行為要規范，對於移動存儲設備的接入要嚴格一些。