- 快召唤伙伴们来围观吧
- 微博 QQ QQ空间 贴吧
- 视频嵌入链接 文档嵌入链接
- 复制
- 微信扫一扫分享
- 已成功复制到剪贴板
牢筑移动互联网发展底座,共建数据安全行业生态
展开查看详情
1 .牢筑移动互联网发展底座 共筑数据安全行业生态
2 .
3 .
4 .• 数据安全行业观察 • 构建数据安全基础设施 • 完善数据安全保障体系
5 . 数据安全行业背景 u 我国高度重视大数据安全 • 2015年8月,国务院发布《促进大数据发展行动纲要》,将“强化安全保障,提高管理水平,促进健康发展” 作为任务之一,要求“明确数据采集、传输、存储、使用、开放等各环节保障网络安全的范围边界、责任主体和 具体要求,切实加强对涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等信息的保护。” 2017年12月8日,习近平总书记在主持中共中央政治局第二次集体学习时 强调,要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护 力度,维护广大人民群众利益、社会稳定、国家安全。 相关法律、法规、标准逐步完善 • 《网络安全法》:2017年6月正式施行; • 《数据安全法》:2021年6月10日,第十三届全国人民代表大会常务委 员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9 月1日起施行。 • 《个人信息保护法》:2021年8月17日至20日十三届全国人大常委会第 三十次会议根据各方面意见审议三次审议稿。
6 . 数据安全行业背景 在威胁数据安全方面,重点整治企业在数据收集、传输、存储及对外提供等环节,未按要求采取必要的管理和 技术措施等问题,包括数据传输时未对敏感信息加密、向第三方提供数据前未征得用户同意等场景。
7 . 企业面临的突出问题 不会做 不外化 不能用 数据安全涉及到的领域广泛,一般的企业既 数据安全建设缺乏显著的体现,难以证明 企业的数据如何能得到更加有效的使用, 缺乏数据安全相关的专业人员,更缺乏行之 相关的工作,导致内部管理困难,而外部 创造更大的社会效益和经济价值,是企业 有效的机制和标准,导致企业无从下手。 测试又会造成效率和成本的问题。 关心的重要问题。
8 .• 数据安全行业观察 • 构建数据安全基础设施 • 完善数据安全保障体系
9 .• 移动基础服务碎片化 • 开发者接入成本高 基 • 数据流转暴露风险 础 服 务 数 据 安 全 • 国家高度重视 移动互联网发展 • 法律政策频繁出台 底座内涵 • 企业面临合规压力
10 . 构建我国自主可控的移动基础服务 www.mobileservice.cn
11 .以匿名ID为例
12 .• 数据安全行业观察 • 构建数据安全基础设施 • 完善数据安全保障体系
13 . 中国信通院 卓信大数据计划 "卓信大数据计划“是由中国信通院发起的政、产、学、研、 法交流平台。该计划将构建包括基础设施、检测评估、人才 培训、法律咨询、数据审计、宣贯宣传的数据安全治理方面 的全要素生态。 泰尔实验室,安全研究所共同发起
14 .法律层面要求 《数据安全法》第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等 专业机构依法开展服务活动。 行业层面要求 2021年7月16日上午,国务院新闻办公 室举行新闻发布会。在记者提问环节, 工业和信息化部新闻发言人针对数据安 全管理方面工作进行了回答。建立数据 安全的认证体系。组织研究数据安全保 护认证体系,制定行业数据安全保护能 力的评定规范。建立由行业组织、科研 机构、骨干企业共同参与的评估认证机 制,指导开展相关认证工作。
15 .• 2021年4月,工业和信息化部网络安全局及中国信息通 信研究院发起首个国家级权威“大数据平台安全”认证。 • 通过2次线上/线下培训的方式,对来自500余家企业, 2000余人次提供了大数据平台安全标准解读和技术指导, 帮助企业加深对大数据平台安全的认知,提升企业数据 安全保障能力。 • 4月28日,在信通院举办的“卓信大数据峰会”上,为 参加本次行动,通过技术指导和相关测试,符合行业标 准要求的20家多家企业,颁发了“卓信大数据安全”证 书。 15
16 . 中国信通院发起移动应用(App)大数据平台安全认证专项推进行动 组件安全:认证、访问控制、授权、审计、最小化、版本更新、数据安全等; 基本安全 安全目标:可信任、可用性、可追溯、保密性、健壮性 集群管理、身份认证、访问控制、数据保护、日志审计、多租户安全、版本及补 安全控制点 丁管理、默认路径 采集组件:Kafka、Flume 组件安全 处理组件:Yarn&MR、Spark、Hive、Storm、Zookeeper、Impala 存储组件:MPP、Hbase、HDFS、Redis
17 . 基本安全要求 p 从五个安全维度对大数据平台组件的安全基线规范技术配置要求进行分类:可信任、可用性、 可追溯、保密性、健壮性 Ø可信任: 使用技术手段及安全配置,实现用户身份鉴权的可靠性及唯一性,访问权限设置的细粒度及最小化,限制非法用户的登录及越权访问 行为,保证大数据平台能被合法用户合规的进行使用。 涉及安全控制点:身份认证、访问控制。 Ø可用性: 为保证大数据平台各类应用服务的持续可用,在组件节点出现故障时保持服务的连续性,在系统出现安全风险时能够及时修复,故应 在大数据平台搭建时,对负载均衡及容灾措施进行相关配置,同时对应用版本进行及时的更新及补丁修复。 涉及安全控制点:集群管理。 Ø可追溯: 对分布在大数据平台各类设备、应用组件上的用户登录行为、数据访问行为、配置操作行为、设备状态等日志信息进行采集、分析及 处理,实现对各类事件的审计及关联分析,从而发现隐藏的安全事件并进行追踪溯源。 涉及安全控制点:日志审计。
18 . 基本安全要求 p 从五个安全维度对大数据平台组件的安全基线规范技术配置要求进行分类:可信任、可用性、 可追溯、保密性、健壮性 Ø保密性: 大数据平台应针对数据在采集、存储、计算、共享等各流程环 节,采用相关的安全配置及技术要求,确保数据在各类流转过程中不 被恶意窃取和泄露,保证数据安全。 Ø健壮性: 大数据平台应采取必要的技术手段及安全管理办法,确保平台 能够对已知的安全风险进行及时修复,对突发的安全问题进行实时处 理,满足大数据平台能够安全稳定运行的要求。 涉及安全控制点:版本与补丁管理。
19 . 中国信通院发起移动应用(App)大数据数据安全专项推进行动 组件安全:认证、访问控制、授权、审计、最小化、版本更新、数据安全等; 基本安全 安全目标:可信任、可用性、可追溯、保密性、健壮性 集群管理、身份认证、访问控制、数据保护、日志审计、多租户安全、版本及补 安全控制点 丁管理、默认路径 采集组件:Kafka、Flume 组件安全 处理组件:Yarn&MR、Spark、Hive、Storm、Zookeeper、Impala 存储组件:MPP、Hbase、HDFS、Redis
20 .安全控制点- 集群管理 检查项分类 组件管理 检查项 能够增加、删除受控大数据组件,实现软件的自动化部署、卸载; 能够实现组件的扩容和缩减; 能够实现对组件的不同角色进行调整; 运行管理 能够对大数据组件整体进行启动、停止、重启等操作 大数据平台由各类组件集合 能够对大数据组件某个节点或者角色进行启动、停止、重启等操作 能够根据大数据的组件特征,提供对应的管理操作,如HA切换、数据均衡等 而成,相同组件之间及不同 状态监控 能够对集群的硬件提供全面的监控,包括CPU、内存、存储空间、网络连接状态等信息 能够对大数据组件的运行状态提供全面的监控 组件之间都需要进行集群管 能够对大数据组件相关性能提供全面的监控 通过开源工具或者自研,建立不断完善的监控和告警系统。 理,包括运行管理、状态监 监控所有节点的健康状态和宕机事件,发生故障时及时发送告警给责任人及备份责任人 控、故障诊断、线性扩展等。 监控所有关键组件的健康状态,如YARN RM, HDFS NN等,发生故障时及时发送告警给责任人及备份责任人 监控重点作业的运行状态,发生任务超时或异常退出,失去响应等故障时,及时发送告警给责任人及备份责任人 监控所有节点的资源使用情况,可以随时查询 系统告警 能够对集群各类硬件监控信息进行告警 能够对大数据组件的运行状态进行告警 能够对大数据组件监控指标提供基于阈值的告警 统计报表 能够对集群各类硬件监控信息进行报表统计 能够对大数据组件各类性能监控信息进行报表统计 参数配置 能够对大数据组件提供参数查询和修改功能 能够提供参数配置信息集群内同步功能 能够提供参数备份和恢复功能 快速诊断 管理系统应提供快速的诊断工具,帮助用户快速准确、及时有效的找到故障的根本原因。 管理系统采用基于微内核的软件体系结构,实现模块、插件的生命周期动态管理,可具有良好的可扩展、可维护性,支持 良好扩展 模块级升级功能,支持动态在线升级功能。 http://www.caict.ac.cn/ 20
21 .安全控制点- 检查项分类 帐号的生成 系统中的帐号具有唯一性。 在新建和修改帐号时,系统须提供检查命名规则的功能: 检查项 身份认证 1. 账号长度:建议 1-32 个字符;帐号名称的最短长度和最长长度可配置; 2. 账号字符集:不包含具有转义功能的特殊字符。 帐号的安全使用 所有帐号都必须可被系统管理,并在资料中提供所有帐号及管理操作说明。 系统安装、初始化配置过程中使用到的临时帐号,在系统安装、初始化配置完成后,自动删除或者提供手工删除的指导书。 身份认证是用来检验主体的 数据库若存在多个默认帐号,必须将不使用的帐号禁用或删除。若无法删除或禁用,须在产品资料中提示修改默认帐号的口令并定期更新。 身份,所有发起到大数据集 对于管理面,系统须提供检测口令复杂度的功能,若设置的口令不符合复杂度要求,必须禁止设置成功并给出合理的提示。对于系统自动生成 的口令,须使用安全随机数生成。 群的服务访问都需要经过身 口令至少满足如下要求: 1. 口令长度至少 6 个字符; 份认证,以确保大数据集群 口令的生成 2. 口令必须包含如下至少两种字符的组合: -至少一个小写字母; -至少一个大写字母; 不会被非法用户访问。 -至少一个数字; -至少一个特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格。 3. 口令不能与帐号相同 身份认证过程中,除了要验 平台禁止使用开源软件缺省口令 口令的维护 系统禁止存在无法修改的口令。对于出厂时缺省设置的帐号/口令或用于传输的加密密钥,产品须提供修改机制。 证访问主体的帐户之外,访 面向最终用户打开远程登录的功能后,首次登录时系统须强制用户修改默认口令。 问主体还需要提供进一步的 系统存储口令时须加密,对于不需要还原的场景,需要对口令进行单向哈希,必须使用基于口令的密钥导出算法,算法强度不低于 PBKDF2。 在用户修改自己的口令前,系统须提供验证旧口令以及对新口令再次确认的功能。 凭证,这些凭证可以是用户 系统提供口令安全策略可配置的功能。 口令的安全使用 系统禁止明文显示口令。 所知道的、用户所拥有的或 系统禁止口令输入框拷出的功能。 用户的物理特征。帐号和口 认证场景 所有能对系统进行管理的人机接口以及跨信任网络的机机接口必须有安全的接入认证机制并缺省启用,标准协议没有认证机制的除外。 对于跨信任网络且重要的业务机机接口要提供接入认证机制,相关接入认证机制应缺省启用,标准协议没有认证机制的除外。如果产品支持关 令是作为身份标识符和凭证 闭认证机制,应在资料中提示风险。 对于重要的管理事务或重要的交易事务要进行重新认证,以防范会话劫持和跨站请求伪造给用户带来损失。 认证实现 对用户的最终认证处理过程必须在服务器端进行。 的最经济也是最常用的方法。 对于管理界面人机登录的场景,在登录界面禁止提供“自动登录/记住我”功能。 对于人机接口或跨信任网络的机机接口的登录认证必须支持口令防暴力破解机制,当重复输入错误口令次数(如 3 次)超过阈值时采取合适保护 措施。保护措施可参考:1)锁定帐号;2)锁定 IP;3)登录延迟;4)验证码;5)超长口令+IP 白名单+告警或日志。 认证失败后,登录界面以及认证服务端返回信息均不能提供详细的、可用于判断具体错误原因的提示。 http://www.caict.ac.cn/ 21
22 .安全控制点- 访问控制 检查 项分类 检 查项 访问控制是指用户向系统证 系统 中用 户 的权 限 应只 有负 责 权限 管理 的 管理 员才 可 以 修改, 普 通 用 帐号 权限变更 户不 能通 过 改写 配 置或 其它 非 正常 授权 方 式来 增加 自 己 的权限 。 明权限的个人标识,成功认 证后,系统必须确认用户已 默认 最小授权 新建 帐号 默 认不 授 予任 何权 限 或者 默认 只 指派 最小 权 限 的角色 。 被授权访问资源,且确认用 户能对该资源执行哪些操作。 运行 软件 程 序的 帐 号要 尽可 能 的使 用操 作 系统 低权 限 的 帐号。 核心原则是确保权限最小化 应用 软件的运行 和权限分离。 权限 属于 低权 限 用户 的 脚本 或程 序 不能 以高 权 限帐 号运 行 , 以高权 限 运 行 权限最小化是指一个帐号或 的脚 本或 程 序只 允 许其 属主 拥 有写 权限 。 帐号组只能拥有完成任务所 数据 库的权限安 必需的权限。权限分离是指 在程 序中 连 接数 据 库系 统的 帐 号不 能是 数 据库 系统 最 高 权限的 帐 号 。 全 对用户要有充分的角色和权 对于 每一 个 需要 授 权访 问的 请 求都 必须 核 实用 户是 否 被 授权执 行 这 限划分,做到职责分离,不 防止越 权 个操 作。 同用户承担不同的业务功能。 对于 每一 个 需要 访 问的 服务 端 口应 做到 权 限最 小化 , 并 对其访 问 进 端口 权限控制 行权 限控 制 。 http://www.caict.ac.cn/ 22
23 .安全控制点- 数据保护 检查项 分类 检 查项 数据保护指在大数据集群中 必须 使用 业 界公 开 的, 标准 的 加密 算法 加 的传输与存储的数据提供加 密 禁止 使用 业 界已 知 不安 全的 加 密算 法, 推 荐使 用 密功能,实现数据的保护。 算 强密 码算 法 法 使用 分组 密 码算 法 时, 应优 先 选择 GC M 或 数据保护应满足机密性与完 选 CBC 模式 整性。 择 分组 密码 算 法使 用 到的 I V 值 ,必 须 满足 具体 加 密模 式对 I V 值 的要 求对 称 密码 算 法中 在 使用 同 在加密算法选择、随机数使 一密 钥时 , 不应 当 两次 使用 同 一个 I V 加 密数 据 用、加密协议选择上需要满 使用 分组 加 密算 法 时, 填充 方 式建 议选 择 C MS - Pa d d i n g 或 I S O - Pa d d i n g 足如下要求,同时兼顾性能 对口 令进 行 单向 哈 希时 ,必 须 使用 基于 口 令的 密 考虑,需要对数据进行区分, 钥导 出算 法 只针对需要加密的数据进行 随 密码 算法 中 使用 到 的随 机数 必 须是 密码 学 意义 上 加密处理。 机 的安 全随 机 数 数 加 禁止 使用 S S L2 . 0 、 S S L3 . 0 协 议 密 S S H 协 议中 禁 止使 用 C B C 模 式 协 议 禁止 加密 协 议中 选 择匿 名认 证 、无 加密 、 弱身 份 认证 、弱 密 钥交 换 、对 称弱 加 密算 法和 消 息弱 认 http://www.caict.ac.cn/ 23 证算 法的 加 密算 法 套件
24 .安全控制点- 日志审计 检查项分类 日志场景(用 1、登录和注销。 检查项 户活动) 日志审计对大数据平台进行 2、增加、删除用户和用户属性(帐号、口令等)的变更。 集中采集主机、服务器、网 3、用户的锁定和解锁,禁用和恢复。 络设备、安全设备、数据库 4、角色权限变更。 以及各种应用服务系统产生 5、系统相关安全配置(如安全日志内容配置)的变更 的日志和事件;从海量日志 日志内容 事件发生的时间 数据中精确查找关键有用的 用户 ID 事件数据,准确定位网络故 访问发起端地址或标识(如关联终端、端口、网络地址或通信设备等)。 障并提前识别安全威胁;满 事件类型。 足合规性审计需要,可以为 被访问的资源名称。 事后定位问题、实时攻击检 事件的结果。说明: 测提供重要的数据支撑。 1)对于启用审计日志存在严重性能影响,且风险可控,不强制要求。 2)如果系统是单用户或者没有用户的概念,可不涉及用户 ID。 3)当目标设备是通过代理进行访问时,可以只记录代理的地址或标识。 http://www.caict.ac.cn/ 24
25 .安全控制点- 多租户 p 资源以租户为单位进行计划和分配 p 租户的资源消费能够被测量和统计 数据保护指在大数据集群中 p 租户之间的资源必须隔离,一个租户对资源的使用不能影响其他租 的传输与存储的数据提供加 户 密功能,实现数据的保护。 数据保护应满足机密性与完 整性。 在加密算法选择、随机数使 用、加密协议选择上需要满 足如下要求,同时兼顾性能 考虑,需要对数据进行区分, 只针对需要加密的数据进行 加密处理。 http://www.caict.ac.cn/ 25
26 . 中国信通院发起移动应用(App)大数据数据安全专项推进行动 组件安全:认证、访问控制、授权、审计、最小化、版本更新、数据安全等; 基本安全 安全目标:可信任、可用性、可追溯、保密性、健壮性 集群管理、身份认证、访问控制、数据保护、日志审计、多租户安全、版本及补 安全控制点 丁管理、默认路径 采集组件:Kafka、Flume 组件安全 处理组件:Yarn&MR、Spark、Hive、Storm、Zookeeper、Impala 存储组件:MPP、Hbase、HDFS、Redis
27 . 组件安全要求 采集组件的安全要求 1) 采集应用组件自身应开启身份认证策略,保证不被匿名访问; 2) 访问控制策略应进行严格配置,防止未授权访问造成严重影响; 3) 应对其运行状态及用户行为等进行日志记录和审计,以对安全 事件进行分析与追踪,同时确保日志文件授权用户的权限最小化; 4) 应对其客户端及服务端的重要配置文件进行加密,避免泄露明 文密码信息; 5) 应及时进行补丁更新,确保集群软件的已知漏洞得到及时修复。
28 . 组件安全要求 存储组件的安全要求 1) 存储组件自身应开启身份认证策略,保证不被匿名访问; 2) 应配置组件ACL功能、设置用户认证策略,防范身份仿冒风险; 3) 应设置服务连接数限制; 4) 应设置组件访问权限和程序运行权限的最小化,避免程序安全风险 导致的更大影响; 5) 应对其运行状态及用户行为等进行日志记录和审计,以对安全事件 进行分析与追踪; 6) 应对日志文件、日志目录进行最小化授权,避免不必要的信息泄露; 7) 遵从服务最小化原则,关闭不必要的服务及相关端口,减少安全危 险暴露面; 8) 应保证存储组件上不同租户之间的资源隔离; 9) 应对WebHDFS的安全性进行加固,开启身份认证授权并进行权限检 查; 10) 应根据业务需要,配置高危命令禁止功能; 11) 应对存储组件的数据存储、传输实施加密配置,防范信息泄露; 12) 应用服务应定期检查版本状态并及时进行补丁修复。
29 . 组件安全要求 处理组件的安全要求 1) 处理应用组件自身应开启身份认证策略,保证不被匿名访问; 2) 账号权限应严格控制,防止未授权访问造成严重影响; 3) 组件运行权限需最小化,避免程序安全风险导致的更大影响; 4) 应仅开启业务需要的服务和端口,减少暴露面; 5) 应设置服务连接数限制; 6) 应配置组件任务访问控制策略,仅允许指定的用户或组下处理、管理 或修改大数据处理任务; 7) 应对其运行状态及用户行为等进行日志记录和审计,以对安全事件进 行分析与追踪; 8) 应对日志文件、日志目录进行最小化授权,避免不必要的信息泄露; 9) 应以租户为单位进行资源计划和分配,对租户资源使用进行监控,确 保租户之间的资源隔离策略生效; 10) 应配置数据处理过程中的数据传输加密策略; 11) 应及时进行补丁更新,确保集群软件的已知漏洞得到及时修复。