2020年01月04日 星期六
協會動態
優秀安防企業
優秀論文
您當前所在的位置:首頁 > 協會動態 > 優秀論文
淺析新時代下的安防大數據系統安全
時間:2018-04-17 [ ] 瀏覽次數:2029 來源: 視力保護色:

 

淺析新時代下的安防大數據系統安全

 

朱俊聰

(浙江大華技術股份有限公司)

摘要:描述了安防大數據的來源和安防大數據系統安全的現狀,論述了安防大數據系統面臨的挑戰,并據此提出了應對策略,從建立大數據安全防護系統、加強大數據建設管理和做好大數據安全管控三個方面進行研究和應對。

關鍵詞:大數據;安防;信息安全;系統安全

1          引言

經過十幾年的高速推進,平安城市建設過程中安裝了數量龐大的攝像頭,這些攝像頭采集的視頻成為了各類案件偵破的重要源頭,為城市的長治久安立下了汗馬功勞。但隨著社會的發展,目前對視頻監控的利用也存在著越來越突出的問題。一是事后查看,監控視頻由于數據量巨大且大都沒有相應的分析、告警功能,只能在需要時以人工的方式檢索視頻,不僅耗費了大量人力物力,而且效率非常低下;二是沒有對監控視頻的內容進行分析和挖掘,無法自動識別視頻所包含的案事件信息;三是視頻信息僅服務于平安城市建設,沒有挖掘這些視頻的豐富信息,供智慧城市、智慧交通、智慧城管等相關行業和領域使用。本文將在分析安防大數據來源和安防大數據系統安全的現狀基礎上,闡述安防大數據系統面臨的挑戰和應對策略。

2          安防大數據的來源

從廣義上講,安防大數據的數據源不僅包括平安城市建設的攝像頭視頻數據、卡口數據,也包括能對城市安全防范起作用的其他數據,如RFID數據、MAC數據和互聯網數據等。安防大數據大致具體可分為如下幾類。

視頻數據

這部分數據包括各地平安城市建設的大量視頻監控數據,如交警、城管、消防、海關、邊防等部門建設的視頻監控數據以及接入電信運營商公共平臺的視頻數據等。隨著高清時代的到來,視頻數據已成為最重要的安防數據,也是挖掘工作量最大的安防數據。

卡口、電子警察數據

卡口產生的過車/人記錄和電子警察數據構成了安防大數據的主要來源,通過這些數據可以開展過車/人數據研判分析、套牌車分析、同行分析、碰撞分析、連續違法分析、首次入城分析、落腳點分析、車輛/人員智能布控預警等業務。

其他數據

另外,RFIDMAC和互聯網數據(如用戶日常上網記錄、消費記錄、通信數據等)作為安防大數據的輔助數據,與安防視頻數據、卡口/電子警察數據緊密結合,將極大提高安防大數據分析、挖掘的精度和效率。

3          安防大數據系統安全的現狀

大數據技術在理論研究、平臺技術以及應用等方面已經進入成熟階段。例如谷歌、亞馬遜、FaceBook、騰訊和阿里巴巴等互聯網企業就是大數據應用的典型實例,它們從大數據應用中獲得了巨大的收益。但大數據在信息安全方面的問題出也不斷凸顯。比如,20149月,美國蘋果公司iCloud遭黑客采取“撞庫”方式入侵,引發“好萊塢史上最大宗艷照門”事件。不久后,圍繞電影《采訪》引發的新一輪美朝黑客交鋒中,國際黑客組織“匿名者”多次攻擊朝鮮網站并致其癱瘓,甚至造成會員賬號信息泄露。20152月,海康威視遭遇的“黑天鵝”事件,引發了江蘇省公安廳針對轄區內視頻監控設備的全面清查和安全加固。由此可見,對于個人、企業乃至國家來說,如何做好大數據環境下的信息安全是一個十分嚴肅而又亟待解決的問題。

4          安防大數據系統安全面臨的挑戰

伴隨著大數據技術在安防領域呈現爆發性、多樣性的增長態勢,同樣給國家信息安全和個人信息安全帶來了嚴峻的威脅與挑戰。傳統的信息安全問題在大數據系統中均存在。同時,大數據又面臨特有的安全問題,主要有:訪問安全、內容安全、存儲安全和運維安全。

訪問安全

在大數據背景之下,訪問控制是實現受控共享的有效手段,常見的訪問控制策略有三類:自主訪問控制、強制訪問控制和基于角色的訪問控制。而針對大數據的大量化、快速化、多樣化及數據價值密度低的特性,自主訪問控制無法滿足由于用戶的多樣性帶來的權限多樣性的要求,強制訪問控制無法滿足權限的動態性,基于角色的訪問控制則無法有效地將角色和相應權限對應起來。因此在大數據框架下的訪問安全問題還需要進行探索實驗。

內容安全

在大數據背景之下,內容安全主要表現為兩種模式:信息泄露與信息破壞。隨著安防往互聯網+方向的發展,信息內容受到攻擊的情況比以前更為嚴重,攻擊的目的并不僅是讓服務器宕機,更多是以滲透APT的攻擊方式進行。因此,防止數據被損壞、篡改、泄露或竊取的任務十分艱巨。網絡空間中的數據來源涵蓋非常廣闊的范圍,一方面,大量的數據匯集,這些數據的集中增加了數據泄露風險;另一方面,一些敏感數據的所有權和使用權并沒有明確的界定,數據的權利邊界不斷模糊,很多基于大數據的分析都未考慮到其中涉及到的個體隱私問題,在未授權不知情的情況下一旦遭到泄漏或者破壞后果不堪設想。

存儲安全

大數據背景下,大都將數據進行集中后存儲在一起,這就使其在互聯網空間中更容易被“發現”,容易成為黑客攻擊的首選目標。大量數據文件在第三方平臺中進行存儲與處理,其安全性正在受到極大的挑戰。雖說能夠通過多對文件的訪問與授權來進行保護,但是這種保護機制本身就存在問題,它們大都依賴于系統本身的安全性,認證方式簡單,加之社會工程學在入侵領域的深入與安全漏洞的存在與不斷涌現,存儲安全面臨極為嚴峻的挑戰。

運維安全

不管在任何情況下,系統安全中最為重要的部分就是運維問題,如果運維管理制度不科學或者操作性不足就可能帶來運維安全風險。大數據是一個動態的過程,每天參與的角色多數量大,如果無法對網絡出現攻擊行為或內部人員的違規操作等進行實時的檢測、監控、報告與預警,那么當事故發生后,也就無法提供黑客攻擊行為的追蹤線索及破案依據,缺乏對網絡的可控性與可審查性。這種運維管理上的疏忽,造成數據的丟失無跡可尋,為以后的數據安全管理留下隱患。

5          安防大數據系統安全的應對策略

為了應對大數據環境下的系統安全威脅,有效解決訪問安全、內容安全、存儲安全和運維安全等問題,可以從建立大數據安全防護系統、規范大數據建設管理和加強大數據安全管控三個方面進行研究和應對。

建立大數據安全防護系統

大數據安全防護系統主要通過防火墻、網閘、入侵檢測、安全審計、抵抗拒絕服務攻擊、網絡防病毒系統,以及加密技術來實現訪問控制、數據加密、網絡隔離、入侵檢測、病毒防治和安全審計功能。

1.訪問控制。訪問控制是網絡安全防御和保護的主要功能。進行訪問控制的目的是對用戶訪問數據資源的權限進行嚴格的認證和控制,保證數據資源不被非法使用和非法訪問。訪問控制通常以用戶身份認證為前提,設置用戶訪問數據目錄和文件的權限,以此來控制和規范用戶,大大減少大數據存儲載體遭受攻擊和大數據管理中的安全風險。

2.數據加密。數據加密就是采用加密算法和加密密鑰將明文數據轉變成密文,從而將信息數據隱蔽起來。加密后的信息數據即使在傳輸過程中被竊取或截獲,竊取者也無法了解信息數據的內容,從而保證信息數據存儲和傳輸,尤其是無線傳輸中的安全性,防止信息泄露和信息破壞。

3.網絡隔離。大數據環境下,網絡隔離一般采用在數據存儲系統上部署防火墻和網閘等設備來實現。防火墻和網閘是通過對網絡的物理隔離和限制訪問等方法來控制網絡的訪問權限,只允許授權的數據通過。

4.入侵檢測。入侵檢測技術就是通過對互聯網絡和主機系統中的關鍵信息進行實時采集和分析,判定非法用戶入侵和合法用戶濫用資源行為,并作出適當反應的網絡安全技術。入侵檢測是一種主動的網絡安全防御措施,能夠有效彌補防火墻不能防范內部攻擊的不足,而且還能與防火墻或其他網絡安全產品聯動,實現對網絡和數據全方位保護的目的。

5.病毒防治。病毒防治主要通過防病毒系統來實現。防病毒系統主要包括病毒的預防、檢測、定位、清除和隔離等功能,能夠在第一時間內阻止病毒進入網絡和計算機系統。在大數據環境下,最理想的防止病毒攻擊的方法就是預防,而有效預防病毒的措施主要來自用戶良好的行為習慣。比如,在操作系統上安裝防病毒軟件并定期對病毒庫進行升級,及時為系統安裝最新的安全補丁,從網絡上下載數據前先進行安全掃描,不要隨意打開未知郵件等。

6.安全審計。安全審計主要通過網絡安全審計系統來實現。網絡安全審計系統通過旁路的方式,監聽捕獲并分析網絡數據包,還原出完整的協議和原始信息數據,通過設置策略規則,準確記錄網絡訪問時間、IP地址、域名、服務及端口號等關鍵信息,智能地判斷出網絡異常行為。

規范大數據建設管理

通過技術保護大數據安全固然重要,但大數據的建設管理卻更加關鍵。要從海量數據中提取價值,提高企業工作生產效率,就必須使用科學的大數據管理方法,降低各種安全隱患。

1.規范大數據建設。規范化建設可以促進大數據管理過程的正規有序,實現各級各類信息系統的網絡互連、數據集成、資源共享,在統一的安全規范框架下運行。

2.完善大數據資產管理。大數據資產管理包括精確地定義數據格式、別名、統計表以及其他特性標識符等數據元素,清楚地描述數據元素定義的信息來源及其相關數據元素的信息,完整地記錄數據元素的產生及修改、安全及訪問控制、訪問歷史記錄等相關使用信息等。

3.定期數據備份。大數據環境下,對數據進行備份是指將系統中的數據進行復制,當系統出現故障或災難事件時,能夠方便且及時地恢復系統中的有效數據,以保證系統正常運行。數據存儲系統由于系統崩潰、黑客入侵以及管理員的誤操作等都會導致數據丟失和損壞,為了保護數據安全,保證系統持續可靠運行,必須對數據進行定期備份。

加強大數據安全管控

安防大數據系統的建設依然遵循“三分技術、七分管理”的原則。建立完善的信息安全制度和管理措施,可以極大地提高大數據安全管控效能。

1.做好大數據安全風險評估。信息安全管控并不是管控的越牢越好,而應與其安全風險相適應。不同類型的數據形式以及數據的不同狀態,都有其不同的泄密風險層級。針對大數據的固有特點,對其進行安全風險等級評估,制定針對性強的安全防范措施,降低企業數據泄露風險,分析并消除信息安全管控盲點。

2.加強內部管理。目前,大數據運營廠商大都采用云存儲的方式進行數據管理。各廠商要嚴格落實各項網絡管理、系統管理和機房管理制度,細化管理員角色權重,用云存儲本身的自我監控和智能管理來代替大部分人為操作,用純數據的模式來避免人為原因造成的數據流失和信息泄露。

3.完善應急響應預案。應急響應是網絡安全防護模型的一個重要環節。各廠商要建立應急響應組織機制,制定符合實際操作性強的應急響應預案,明確分工和責任,細化操作步驟、處置內容和結果判定標準,定期組織演練,有效應對各種安全事件的發生。

4.提高企業員工安全意識。用戶的素質決定企業安全防護的效率。企業應加強對員工安全培訓,使其了解正在使用數據的價值,充分認清自己在企業數據安全中的重要角色,提升員工對大數據安全威脅的識別能力和做好數據安全防護的責任感,使每名員工能夠自覺地安裝防病毒軟件,及時為系統打補丁,設置強壯的口令,不斷減少安全風險。

6          結束語

安防大數據作為重要信息基礎支撐,因其體量巨大、產生高速、類型多樣、分布協同等特征,面臨嚴峻的安全挑戰。采用現有安全技術,結合具體應用,將大數據變成小數據,研究相關的安全關鍵技術在現階段更加切合實際。


參考文獻

[1]楊德利,張濤.安防大數據應用研究.電信科學.2015178.1-2

[2]戚小光,許玉敏,陳紅敏,周銳.大數據環境下的信息安全問題.中國信息化.20153).94-96

[3]馬立川,裴慶祺,冷昊,.大數據安全研究概述[J].無線電通信技術.2015,411.01-07

[4]郭三強,郭燕謹.大數據環境下的數據安全研究[J].科技廣場.20132.28-31

[5]桑運昌.大數據的安全現狀與應對策略研究.計算機科學.2015.372-373

 

更多
聯系電話:0851-85611319、85603233    通信地址:貴陽市南明區蟠桃宮蟠桃大廈20樓1號
技術支持:愛瑞科網絡   ICP備案號:黔ICP備11001522號   站點統計:2444605    今天:1087

貴公網安備 52010202000555號

2019白小姐特马救世报