大数据终端安全解决方案
更新时间:2022-04-21 10:37:07 字号:T|T
大数据终端安全解决方案(基于AI的零信任无边界终端访问控制系统ZTAC )宣以政一、大数据安全现状随着互联网络的发展,大数据越发成为我国...
大数据终端安全解决方案
(基于AI的零信任无边界终端访问控制系统ZTAC )
宣以政
宣以政
一、 大数据安全现状
随着互联网络的发展,大数据越发成为我国社会与经济发展的重要因素,国 家层面已将大数据的发展上升到战略高度,大数据的私密数据泄露和敏感信息 窃取等信息安全提出了更大的挑战。由于大数据往往是幵放性网络环境,终端用户非常多,且受众类型复杂,极 易受黒客木马攻击。大数据所存储的数据非常巨大,一旦黑客攻击成功,往往 造成严重的安全事件;病毒木马对数据的破坏,也将是灾难性的。大数据安全仍继承传统数据安全保密性、完整性和可用性三个特性,必须服务端、传输通讯和终端三个环节上形成安全闭环。大数据海量、多源、异 构、动态的特征导致大数据系统存储结构复杂、开放性、分布式计算和高效精 准的服务,这些特殊需求传统安全措施解决不了。
二、 大数据安全的主要问题是终端信息泄漏
纵观当前各种大数据安全解决方案,服务端和传输通讯上的安全措施比较 到位,而大数据的终端普遍存在信息泄露风险,没有真正形成安全闭环。终端 信息泄漏主要表现在:
1、 大数据平台的信息泄露风险在对大数据进行数据采集和信息挖掘的时候, 要注重用户隐私数据的安全问题,在不泄露用户隐私数据的前提下进行数 据挖掘。需要考虑的是在分布计算的信息传输和数据交换时各个存储 点内的用户隐私数据不被非法泄露和使用是当前大数据背景下信息安全 的主要问题。
2、 个人隐私安全问题。在现有隐私保护法规不健全、隐私保护技术不完善的 条件下,互联网上的个人隐私泄露失去管控,微信、微博、QQ等社交软件 掌握着用户的社会关系,监控系统记录着人们的聊天、上网、出行记录, 网上支付、购物网站记录着人们的消费行为。但在大数据传输时代,人们 面临的威胁不限于个人隐私泄露,还在于基于大数据传输对人的状态和 行为的预测。近年来,国内多省社保系统个人信息泄露、12306账号信息 泄露等大数据传输安全事件表明,大数据传输未被妥善处理会对用户隐私 造成极大的侵害。因此,在大数据传输环境下,如何管理好数据,在数据使用效益的同时保护个人隐私,是大数据传输时代面临的巨大挑战之
3、跨境数据流动。在现在这个时代,数据的流动很重要。全球性购物促销活 动多个国家都参与其中,数据的跨境流动是大数据的一个特殊属性。在法 律制度、数据服务外包、打击网络犯罪方面保护跨境数据的安全是很重要 的。
4、 外部非授权人员对信息系统进行恶意入侵,非法访问隐私数据;数据具有 易复制性,发生数据安全事件后,无法进行有效的追溯和审计;大数据有 流动、共享的需求,大量数据的汇聚加大了数据泄露的风险。
5、 应用访问控制愈加复杂。在数据库时代应用访问控制通过数据库的访问机 制解决。每一个用户都要注册,注册完才能访问到数据库。但是到了大数 据时代,存在大量未知的用户和大量未知的数据,有很多的用户不知道他 的身份,虽然他注册了也不知道他是谁,所以预先设置角色和预先设置角 色的权限都做不到。
三、大数据终端安全解决方案
针对当前大数据安全解决方案存在的主要问题是终端信息泄漏,没有形成 安全闭环,因此需要加强终端对大数据的安全访问控制。我们采用基于AI的零 信任无边界大数据终端安全访问控制系统(ZTAC)来达到目标。
1、将AI用于网络安全
随着网络攻击的数量和复杂性不断增加,人工智能(AI)提早知道威胁,快速 做出响应。通过人工智能持续学习、自我进化能力实现无特征检测,真正洞察威 胁本质,能够更有效的鉴定未知病毒。利用深度学习训练数干维度的算法模型, 多维度的检测技术,应用高检出率和低误报率的算法模型,并使用线上海量大数 据的运营分析,用特征训练不断完善算法。与此同时,辅以信誉库加上行为分 析、基因特征等技术,构建完善的防御体系,全面预防、有效检测。
2、零信任无边界终端访问控制系统
零信任无边界终端访问控制系统(Zero Trust Access Control system, ZTAC)依赖可信终端、可信身份、可信应用三大核心能力,实现终端在任意网络环境 中安全、稳定、高效地访问大数据资源。
(1)何谓"零信任"一一内外兼防
将信息安全的边界“终端设备"延伸至终端设备的使用者"人",实现了对“人” 的信息使用全过程的安全防护,解决了一个世界性技术难题一一信息使用者"人”的安全性问题。
信息安全是一个多层次的全方位的立体防御的系统工程,包括法规制度、管理教育、环境安全、实体安全、网络安全、终端安全、系统安全、应用安全和数据 安全等。在以往,信息安全的是防外不防内,管物不管人;重在防外部入 侵,疏于防内部失泄密;重在硬件设施的安全防护,疏于信息使用过程的安全防 护。然而“人"恰恰是不可控的因素,一切基于“默认内部人员皆为好人"的设计 路线都是不安全的。据统计,大部分泄密事件是内部泄密,即所谓"家贼难防""堡 垒容易在内部攻破"。世界上难防的莫过于“人”,而ZTAC不仅防外部黑客木 马窃密和病毒破坏,更是防内部人窃密,达到“内外兼防”的效果。
(2)何谓''无边界'--完全开放环境
在信息安全解决方案中,为了达到信息安全的目标,往往采用"封堵”和"隔 离"的方法,限制了计算机的功能,造成用户使用不方便,影响工作效率oZTAC 不限定使用何种终端设备,不设定网络边界,采用"疏导”的技术路线,在完全开 放环境里,构建一个全封闭的安全容器,在安全容器里登录大数据服务器,对大 数据资源进行采集、挖掘、提取和使用,而数据不会被泄漏到安全容器外面。
(3)何谓〃安全容器〃
安全容器是一个隔离的全封闭的环境,包括存储隔离、通讯隔离、应用隔 离、访问隔离、操作隔离、端口隔离、外设隔离、网络隔离,同时又可以特许访问 涉密信息系统服务器和数据库。其特点:①强制集中存储:数据强制集中存储在(云)服务器,据只进不岀,本地不 留数据,文件未经许可无法出去。
②内外兼防-一既防外部黑客木马窃密,又防内部人员无意泄密或有意 窃密;既能防范病毒破坏,又能防范勒索软件入侵。
③全程防护--对文件全生命周期进行全过程保护。从文件创建、编辑、保 存、传输、流转、拷贝、外发、归档、销毁的每一个环节都进行防护,达到“文件不 落地、本地的安全防护效果。
(4)终端安全管理
通过安全管控、合规准入、威胁感知、数据防泄漏等安全能力,全方位保护 终端对大数据资源的安全访问和使用。
(5)可信身份验证
在对用户授予企业应用的访问权限之前,提供包括企业微信扫码.Token双 因子认证在内的多种身份验证方式,验证所有用户的身份,以防止网络钓鱼和其 他访问威胁。
(6)可信设备安全
在设备接入内网之前以及接入运行后,通过终端安全管理模块,持续检查设 备安全状态,限制任何不符合安全要求的设备对内网的访问。
(7) 可信应用访问
根据特定用户/用户组的职能以及需求授予访问权限,确保用户在接入内网 后只能访问到权限内的应用和数据,实行小权限原则,更好地保护敏感生产环 境的访问安全。
(8)高级威胁检测与告警
透视全网终端安全态势,秒级发现入侵隐患,云端联动新威胁情报,对于 威胁事件即时产生告警、快速响应并极速处置收敛风险。
(9)多维度狙击信息泄露
从外设、文件、存储等多维度多层面保护大数据资产,对终端用户的泄密行 为进行记录、告警、阻断,并对终端用户行为进行审计,提高用户的保密意识。
