用可信计算构筑网`络安全.doc

用可信计算构筑网络安全 　　国务院发布的《促进大数据发展行动纲要》明确指出要重视大数据的安全，要研究大数据安全技术，落实等级保护制度，要建设大数据信息安全。我主要围绕三个问题来讲。一是大时代的安全需求，二是等级保护怎么落实，三是怎么把大数据技术、安全保障按照保障体系来建设 大数据很多，但是大数据不是数据库，大数据是指无法用现有的软件工具提取、存储、搜索、共享、分析和处理海量的、复杂的数据集合 大数据跟以前的海量数据有什么区别？从四个方面来概括。一是海量数据，数据量比较大。二是数据类型繁多，这是最主要的特点。以前的数据是关系数据，是严格结构化的，大数据甚至没有结构化的背景。三是价值密度低。四是要实时地处理这些数据，成本越低，价值越大。比如围绕大数据做的很庞大的数据中心，垃圾数据量特别大，价值不高。当然里面有金子、银子也有木头。单看起来没有价值的数据，可以梳理它的规律性，发掘它的知识，统筹高层次的指挥政策 全过程增强信息安全保障能力 大数据垃圾能反映出一个单位是干什么的。以前不是信息化时代，保密单位的垃圾要求一定要处理好，一定要扫得干干净净。情报机构会禁止你有垃圾。大数据网络普及之后，大数据处理过程更要重，现在网络犯罪特别多 拿系统安全来说，作为大数据会记得主要载体。云计算平台等系统安全将直接影响大数据安全。个人设备成为大数据的外延，最容易构成信息安全问题。如果我们利用大数据，信息安全就成为非常严重的激烈斗争。在大数据生产、存储和分析过程中，尽管丢掉一些不重要的，但是系统性破坏是相反的，数据安全是非常重要的，要保持源头数据不被破坏，原来数据梳理、外延以后，规律不走样。总之我们要重视大数据信息安全工作 做好大数据时代信息安全等级保护工作，有人说大数据以后信息安全等级保护模糊了，做不了，我说不是，我们要依托大数据网络技术，采用数据挖掘、关联分析等技术手段对分布式存储异构海量数据进行处理。这是处理的方式。这样的处理过程、处理方式，无论是网络环境、计算平台，还是存储的载体，都分属不同的信息系统。因此按等级保护制度来做是解决大数据安全的抓手 我们要立足信息安全等级保护，全过程增强信息安全保障能力。信息安全等级保护是按照两维来说的，一是处理系统的计算资源，就是处理设备系统;二是处理不同的数据信息。这两类是按网络空间的两维，网络空间也是全球可以互联的物理信息，还有就是处理这些信息的基础设施、固件。等级保护一开始就是两维的，因此我们也应该围绕着大数据处理过程数据本身，围绕处理过程中的设备设施系统的安全去做 等级保护是非常明确的，第一等级是用户自主保护级;第二等级是为安全审计保护级，相当于办公室办公，多个办公室就不行了，需要审计;第三等级为安全标识保护级，保密信息由上级单位专门机构说了算，叫强制性访问标记保护，有了保密信息以后，这个人是什么级别的，他能看什么，都有规定的制度;第四等级是结构化保护级，保密室门窗一定要严严密密的。第四等级是静态保护、动态建设，叫访问验证保护级 信息安全等级保护对大数据安全实行全过程保障，要求安全产品研发和系统安全建设者，按照标准设计开发安全产品，建设管理信息系统。要求专业测评者，按标准并运用专门的测评工具检测安全产品、评估系统，把住信息系统及产品安全保护等级的实现结果关。要求建设、管理、评估及监督检查者把好全过程的安全关。要求各兼管部门使用登记的标准和监测工具开展检查，对重要的领域进行严格的管理 积极规范构建大数据纵深防御防护体系 首先，应加快构建多层次、高质量的大数据纵深防御体系结构。任何一个数据体系结构都是非常重要的，但是我们现在做的都不是太理想，都是封堵查杀、防火墙等等。要构建大数据纵深防御体系，一是要加强大数据资源、环境、系统整体防护，建设多重防护、多级互联体系结构，确保大数据处理环境可信。二是要加强处理流程控制，防止内部攻击，提高计算节点自我免疫能力。三是要加强全局层面安全机制，制订数据控制策略，梳理数据处理流程，建立安全的数据处理新模式。四是加强技术平台支持下的安全管理，基于安全策略，与业务处理、监控及日常管理制度有机结合 其次，保障大数据安全，要做到攻击者进不去，非授权者重要信息拿不到，窃取保密信息看不懂，系统和信息改不了，系统工作瘫不成，攻击行为赖不掉，以前“震网”、“火焰”、“心脏滴血”等不查杀自灭。具体怎么做？怎么构建可信免疫、主动防护体系？可信免疫、主动防护要确保大数据可信、可控、可管 大数据时代，原有的信息资源处理手段已经不适应迅速增大的数据量级，原有的计算环境也在随着数据挖掘、关联分析等大数据技术的发展而变化。传统的封堵查杀就不好用了 可信免疫计算模式 可信计算是指计算运算的同时进行安全防护，使计算全程可测可控，不受干扰。就像人