大数据环境下电信运营商数据安全保护方案浅析

大数据环境下电信运营商数据安全保护方案浅析摘要随着互联网、移动物联网、物联网、云计算的不断发展，社会各个领域都在源源不断地产生大量的数据。例如，在物联网快速发展的趋势下，根据预测，2020年全球可接入网络的物体数量将达到250亿，全球联网设备带来的数据将达到44ZB。由此可见，未来的世界将会充斥着大量杂乱无章的、各种类型的数据。尤其当前数据的获取、存储、处理的成本不断降低，也促使着数据的不断膨胀。数据资源被各国视为未来最重要的国家资产，推动着未来人类社会生产、生活模式的改变和创新。近两年，各国不断颁布推动大数据发展的政策，大数据应用也开始逐渐落地，从概念阶段正式进入成熟阶段。电信运营商作为大数据的重要拥有者，其数据具备数量体大、类型多、真实、准确的特点。当前，运营商在大数据技术与应用方面已颇为成熟，在行业中也是先行一步，未来电信运营商将是大数据发展的重要整合者和推动者。关键词大数据；运营商；数据安全前言随着信息化的飞速发展，社交网络的兴起及云存储、物联网等新兴信息技术的广泛应用，全球数据飞速增长。为应对海量多样化数据对信息的有效存储、快速读取、检索提出的挑战，大数据技术成为电信运营商关注的热点。新技术往往带来新的安全挑战，电信运营商数据由于集中化等特点，面临着新的安全风险。如何在大数据环境下确保电信运营商数据共享的安全性，如何为用户提供更为精细的数据共享安全控制策略等问题值得深入研究。1大数据安全面临的安全风险1.1数据集中管理电信运营商某省公司大数据平台中，集中存储有B域、M域、O域及DPI信令等各类数据，一旦发生安全事件则可能涉及海量客户敏感信息及公司数据资产。1.2平台组件开源电信运营商某省公司大数据平台使了Hadoop、Hive、第三方组件等开源软件，这些软件设计初衷是为了高效数据处理能力，系统安全功能相对缺乏，安全防护能力远远滞后业务发展。1.3数据对外开放电信运营商某省公司数据商业价值巨大，随着与第三方合作进一步普及与深化，一旦发生安全事件，将对企业声誉、公司利益、用户隐私产生重大影响[1]。2电信运营商数据安全实施方案2.1数据采集传输安全数据传输加密可以选择在链路层、网络层、传输层等层面实现，采用网络传输加密技术保证网络传输数据信息的机密性、完整性、可用性。一般来说，数据传输的安全要求有如下几点。（1）机密性：只有预期的目的段才能获得数据。（2）完整性：数据在传输过程中未受到未经授权的篡改，即接收到的数据与发送的数据完全相同。（3）真实性：数据来源真实可靠。（4）防止重放攻击：每个数据分组必须是单一的，保证攻击者捕捉的数据分组不能重发或者重用。要达到上述安全要求，一般采用的技术手段如下：（1）目的端认证源端的身份，确保数据的真实性。（2）数据加密以满足数据机密性要求。（3）密文数据后附加MAC（消息认证码），以达到数据完整性保护的目的。（4）数据分组中加入时间戳或不可重复的标识来保证数据抵抗重放攻击的能力。VPN（虚拟专用网）技术将隧道技术、协议封装技术、密码技术和配置管理技術结合在一起，采用安全通道技术在源端和目的端建立安全的数据通道，通过将待传输的原始数据进行加密和协议封装处理后再嵌套装入另一种协议数据报文中，像普通数据报文一样在网络中进行传输。只有源端和目的端的用户对通道中的嵌套信息能够进行解释和处理。因此，采用VPN技术可以通过在数据节点以及管理节点之间布设VPN的方式，满足安全传输的要求。目前较成熟的VPN实用技术均有相应的协议规范和配置管理方法。这些常用配置方法和协议主要包括路由过滤技术、通用路由封装（genericroutingencapsulation，GRE）协议、第二层转发协议（level2forwardingprotocol，L2F）、IP安全（IPsecurity，IPSec）协议、SSL协议等，如图1所示。其中，SSLVPN凭借其简单、灵活、安全的特点，得到了迅速发展，尤其在大数据环境下的远程接入访问应用方面，SSLVPN具有明显的优势。2.2数据加密大数据环境下，可以根据数据敏感特性，对数据进行选择性的加密。敏感数据加密，阻止攻击者从数据传输过程中获取非授权的敏感信息。数据加密可分为静态数据（文档、报表、资料等不参与计算的数据）加密和动态数据（需要检索或参与计算的数据）加密。静态数据加密可选择文件或数据块进行加密。动态数据加密主要考虑数据传输到Hadoop系统过程中要进行保护，SASL（simpleauthenticationandsecuritylayer，扩充C/S模式验证能力的机制）认证框架用于加密流动中的数据。每个安全级别定义唯一加密密钥，存储在有凭证的DateNode（数据节点）中。只有授权响应安全级别的用户可以请求对应的密钥，敏感数据也基于安全级别选择加密密钥。当用户运行MapReduce作业访问分类的数据集时，要从有凭证的数据节点获取对应的密钥发送给MapReduce作业。只有用户通过对应安全级别授权，才可以获取到密钥。在Hadoop中存储和获取数据以及在数据流动过程中都要保证数据安全。2.3数据发布安全保护数据发布前必须进行全面的安全审查，确保输出的数据符合“不泄密、无隐私、不超限、合规约”等要求。在数据发布后，一旦出现机密外泄、隐私泄露等数据安全问题，必须要有必要的数据溯源机制，确保能够迅速定位到出现问题的环节、出现问题的实体，以便对出现泄露的环节进行封堵，追查责任者，杜绝类似问题发生[2]。3结束语在大数据的背景下，电信运营商数据管理中依然存在更多挑战。本文以此为基础提出了相应的保护对策，为我国电信运营商更好地对客户数据信