×关闭背景

ChinaNetCloud侯维:围绕大数据的系统安全

2015-08-27 14:06:56      来源:移动Labs       

2015中国国际大数据大会

【摘要】【移动LABS】8月26—27日,2015中国国际大数据大会在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。ChinaNetCloud侯维做了题为“围绕大数据的系统安全”的主题演讲。

【移动LABS82627日,2015中国国际大数据大会在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。ChinaNetCloud侯维做了题为“围绕大数据的系统安全”的主题演讲。

ChinaNetCloud 侯维

以下为演讲速记:

现在对于很多传统企业来说,向云去迁移或以大数据为目的去做经济价值的开发越来越多了,但是我们作为传统的互联网安全企业,看到很多传统企业对于大数据这个时代或对于现代新兴公共互联时代技术上的薄弱环节。我今天这作为销售,就客户的痛点和经历的事情,跟大家做个经验分享。

我们有很多大数据,企业在短时间内对大数据进行分析,以便做出经营决策,但遗憾的是现在我们并不能在短时间内完成这个操作,但是这个发展会越来越快。传统行业或互联网行业都开始应用大数据、使用大数据,为什么?从搜索引擎、视频、音频来看,我们的数据已经不再那么规律,会给企业造成数据上的不适应。

现在大数据的增长是非常快的,每年现在以60%-80%的速度在增长,而且对大数据研究报告的分析,随着国内整体大数据应用研究,整体大数据将占总数据量的80%左右。为什么那么多企业或传统企业都在使用大数据或想使用大数据?因为它是围绕每个消费个体实时存在的,围绕大数据进行分析决策可以产生很大价值。

我们对大数据的比喻是好比一个金况,企业在里面挖掘价值。但是怎么保证安全价值?西北很多做羊毛衫等传统厂商也在想往电商方面发展,当我跟他们聊安全的时候,他跟我说“我们很安全,有很多保安在机房,有很多运维工程师在机房上架,所以保证我们的数据是安全的”。现在互联网的形成,使得大数据在各行业实现资源共享和数据的互通,而现在很多厂商又降低企业使用大数据的门槛,但是企业在享受数据带来方便的同时,另一侧可能连接着危险。

因为现在网络和公共平台相对开放,数据更容易到公网上,尤其像大数据这种规模量非常大、数据量非常大的体系,对于攻击者或黑客来说,它可以很容易的攻击。如果企业不知道这个结果,黑客可能就会获得滚雪球式的收益,对于攻击者或黑客来说这确实是个喜闻乐见的方式,所以对安全技术保障企业要做充分的考量和考虑。

大数据技术现在发展非常快,我在楼下二层展厅看了看,像人工智能、数据分析,还有电子狗等都非常可爱。但是随着技术的增长,大数据增长非常快,相关技术也发展非常快,但是对于安全方面的研究并没有增长。因为大数据的安全跟传统领域安全一样,也存在数据被窃取的风险。上周在亮马河那举行了一个国内黑客大赛,有研究显示,对大数据侵犯或窃取在300天左右为一个周期,企业攻击者会随着时间的延长获得利益慢慢越来越大化,是每天下载一点、每天下载一点。另外,因为大数据使用的方式比较特别,对于一般性的攻击种地来说,他需要时间去分析、去察看哪些是真正有价值的数据。正因为是时间周期较长,其实给企业造成的风险越大,在这么长的时间内,只要越往前发现风险,也可以越降低企业风险。

另外一块是篡改数据,相信大多数企业分析数据和使用数据的目的是为了做出经营决策,经营决策是靠前端准确数据决定的,如果我们数据被篡改了,可想而知结果会非常严重。另外一块是数据隐私,大数据的分析核心的问题就是对数据分析,分析数据势必会对终端用户进行影响,现在我们的社交或个人信息或多或少暴露在公网之上,数据厂商收集后加以利用,并结合消费习惯和位置信息,可以非常精确定位到某一个人。这样对上网企业来说做数据分析就承担很大终端用户的风险,所以企业在做整体架构设计时需要充分考虑这方面的问题。

数据收集一般企业分成两种,一种是有数据,一种是没有数据,没有数据需要收集,收集数据来自于何方?传统的方式是来自于一个机房、某台服务器,可以做出安全策略防止攻击的发生。现在物联网、车联网发展得越来越快,对于中间节点或终端节点采集都越来越难以评判,所以对于数据本身采集这一过程风险要充分考虑。大数据的处理相对来说会更加复杂,我们企业一个是要了解大数据本身的应用技术,另外一块不能忽视的是代码安全方面。

最后一块是数据存储,随着规模的增加,一方面增加存储成本,另一方面增大存储风险,一台服务器存储发生问题,对企业会产生非常深重的影响。现在很多企业由于成本原因,去选择了相对于廉价的存储方式,这种底层是怎么样的不是很清楚。所以我们要对企业非常了解,才能够完全规避存储方面的风险。

原本传统的数据安全更多考量的是对外防护,从端点来说更多是数据隔离、内网隔离。但是现在随着数据规模增加,或者采集数据整体体量适用性增加,传统的观念应该发生改变。风险从外部转加到内部,那企业要改变一下现在的思维,增加一些内部人工选择机制避免内部员工泄露企业的数据。

现在有很多风险,有数据自身安全风险、数据处理各个环节风险,那我们究竟怎么处理这些问题?可能大家都知道我们强密码,或在IT行业内有个规范,比如强密码要求有大小写字母、数字、符号才能构成稳健安全的密码,我们知道这个规则的情况下,有哪个企业真正去应用和执行?我相信也就1%-2%,为什么?因为用了这个规则会对企业员工登陆访问造成非常大的困扰,换句话说,不愿意为安全性去牺牲方便性。对于数据安全也是如此,系统会随着安全的层级增高而增高,但是负面会带来性能降低,因为企业应该保证系统性能前提下把安全做到最大化,适用就好。

安全怎么做?现在有两个主流方式,一种是增加新的大数据网络安全,来构建传统+新型大数据网络安全。另外一种方式,现在有很多基于大数据的安全体系是全新的,用这种方式也可以构建一个新的安全体系。所以就给企业造成了困扰,究竟选择哪种方式?我可以负责任的告诉大家,这两种方式都没有问题。企业现在的目的是希望把所有地方做到极致,但是能力并不一定达到这个要求,所以最重要的是找到薄弱环节。

大数据处理一般是4个环节,一个是数据收集,另外一个是对收集的数据进行处理,后两个是存储和底层设施:

1、收集数据。首先是确认采集内容,平衡采集与安全策略,如果企业没有办法做安全策略,我建议大家完成采集之后及时关闭,另外是未授权的访问,对采集来的数据给谁使用做全线优化,为后期数据审计提供好的方式和方法。

2、处理数据。这对代码也有一个较高的要求,Hadoop它本身的产出并不是直接的商业化的,所以它缺乏很好的访问控制和授权方式,熟悉传统数据安全的人都知道,这两种方式是数据方式的核心点,那怎么办?一方面我们要对Hadoop及时进行更新,随着它的升级换代,现在已经逐渐出现一些访问控制软件的版本,但还在测试阶段,另外还有一些访问控制软件。企业不管选择哪种方式,一定要做好访问控制和授权方式的策略。另外,要防范威胁,因为大数据采集要开放很多接口,企业要审视是否有必要开放这个接口,开的接口是不是应该在服务器上。DDOSCC攻击都是基于服务器接口,开放越多服务器接口风险就越大。一方面可以看一下开放接口必要性,一方面企业可以专门拿出网络接口服务器做对内和对外接口。另外一块是预防应用威胁,国外针对很多企业推出新型应用程序,但是我们每增加一个应用程序也增加了一个环节,如果企业确定要增加的话,一定要审视它的安全性,不要图方便把整体大数据安全降低。另外是数据采集的结果要做二次校验,现在更多的采集是基于公网方式,不能保证百分之百高效和可达,所以我们要对结果进行二次校验,保证数据最后分析的结果。

现在很多开源项目对企业是免费的,比如OWASP开源网络应用的安全检测,它定期会分享10条在公网上最容易受到攻击的方式,比如有授权的风险,而且同时会提出开源的工具,代码可以看到,不会有什么风险,企业利用这个工具审视自己是否达到代码要求。另外一块,对于代码的效率,从AC可以经过B,企业最高效的方式是从A直接到C,但是怎么保证企业代码现在是高效的呢?我推荐skipfishqualys这样的工具,通过这类方式可以降低企业的硬件成本,因为代码质量提高了,企业总体的运营成本就会下降。

3、存储。作为数据存储,一方面我们要考虑数据库本身的安全,可能从开发层面考虑得会比较多,但是对于底层的存储系统或存储磁盘安全,更多企业是这方面的安全性。我们要用加密方式来加密,即使把数据卷或磁盘拿走,也依然无法使用我们的数据。另外,密钥周期,密钥是一个很好的方式,但是管理密钥的分配。另外,使用过滤器,当发现数据去了不该去的IP,可以进行相应的访问隔离,还有上层的应用隔离器,可以看一下授权方式,哪个是不应该出网的,哪个是可以出网的,对于不应该出网的应该做严格审计,这样的话可以完整保证数据应该在安全掌控之下。最后,做好数据备份,不管是哪种方式,做得再出来,数据依然可能丢失,安全备份是企业最后一到关卡,在最快的方式下可以恢复数据。

4、底层设施。企业可能更多关注的是上层的应用,因为它直接产生企业分析结果。但是不要忘了,我们想从这座桥上面经过,得当底层架构非常安全以后,才能保证上层的应用、上层的分析产生好结果。基础设施,网页应用防火墙,可以把所有客户流量全都到公共路由上,筛选一圈以后再把真正访问数据、安全数据转到自己的内网或核心的业务服务器上。另外一块是企业内网的前端OWASP,这个对企业来说效率更高,会提高企业的效率。OWASP的好处是动态更新,比如公共社交平台的风险会到我们的OWASP上,通过OWASP看看公有云有没有风险。

传统的服务器,虽然前端有防火墙,但是要注意防火墙配置、用户运行、文件许可,不同开发部门的权限要单独设置,访问不同的服务器和文件夹。对日志这块,可以看一下日志是不是真正分析预判到了没有发生之前的风险。很多企业把日志归挡扔掉,但是日志是非常有价值的,它不仅可以看到我们可能会发生的风险。另外,对业务来说也有非常好的反馈。最后,我们要做好系统扫描和系统升级风险。

公共云可以降低企业的成本,一定要充分了解公共云的使用方式,我有一个客户之前用的是国外公有云厂商的产品,但是因为他不了解企业应用的方式,只买了一个主机的系统,当他有一次故障重启服务以后,发现自己的前端应用全部被清零了。公共云可以降低企业的成本,方便企业开展自己的业务,但是如果要使用的话还是要做好之前的准备,或者充分了解之后再使用公有云产品。最后,定期可以对系统、服务器、上层应用等定期做审计和报告,定期看一下服务器是不是真正在没有风险的情况下去做数据分析。

安全非常重要是毋庸置疑,很多第三方厂商和现在开放工具越来越多,大家不妨抱着开放心态去使用相关的应用产品。谢谢各位!

声明:所有会议记录均为现场速记整理,未经演讲者审阅,本站刊登此文出于传递更多信息之目的,并不表示赞同其观点或证实其描述。

更多会议精彩内容请参见专题:http://labs.chinamobile.com/bigdata_2015

(责任编辑:王源野)
共 1 页
分享到: 0

评论

全部评论我的评论

郝柯臣2015-08-27 14:10

受教了