运营商大数据安全防护技术研究

陶冶，张云勇，张尼　本期关注　运营商大数据安全防护技术研究　Ｍｏｎｔｈｌｙ　Ｆｏｃｕｓ　．；；云普　莒　商大数据安全防护技术研究　Ｓｔｕｄｙ　ｏｎ　Ｂｉｇ　Ｄａｔａ　Ｐｒｏｔｅｃｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ　ｏｆ　Ｔｅｌｅｃｏｍ　Ｏｐｅｒａｔｏｒｓ　陶冶，张云勇，张尼（中国联通研究院，北京１０００３２）　Ｔａｏ　Ｙｅ，Ｚｈａｎｇ　Ｙｕｎｙｏｎｇ，Ｚｈａｎｇ　Ｎｉ（Ｃｈｉｎａ　Ｕｎｉｃｏｒｎ　Ｒｅｓｅａｒｃｈ　Ｉｎｓｔｉｔｕｔｅ，Ｂｅｉｊｉｎｇ　１　０００３２。Ｃｈｉｎａ）　摘要：　关键词：　大数据给电信运营商带来巨大发展机遇的同时，也带来了各类型的安全隐患。保　大数据；安全；隐私保护；防护技术　护大数据安全成为电信运营商大数据业务发展的关键。通过分析电信运营商大数　中图分类号：ＴＰ３９３．０８　据安全现状，总结国内运营商的大数据安全防护方案与技术。　文献标识码：Ａ　文章编号：１　００７—３０４３（２０１　４）０７—００４３—０４　Ａｂｓｔｒａｃｔ：　Ｂｉｇ　ｄａｔａ　ｈａｖｅ　ｂｒｏｕｇｈｔ　ｎｏｔ　ｏｎｌｙ　ｏｐｐｏｒｔｕｎｉｔｉｅｓ，ｂｕｔ　ａｌｓｏ　ｖａｒｉｏｕｓ　ｋｉｎｄｓ　ｏｆ　ｓｅｃｕ　ｒｉｔｙ　ｐｒｏｂｌｅｍｓ　ｔｏ　ｔｈｅ　ｔｅｌｅｃｏｍ　ｏｐｅｒａｔｏｒｓ．Ｐｒｏｔｅｃｔｉｎｇ　ｂｉｇ　ｄａｔａ　ｓｅｃｕｒｉｔｙ　ｂｅｃｏｍｅｓ　ａ　ｋｅｙ　ｆａｃｔｏｒ　ｔｏ　ｅｎｓｕｒｅ　ｔｈｅ　ｄｅｖｅｌｏｐｍｅｎｔ　ｏｆ　ｂｉｇ　ｄａｔａ　ｂｕｓｉｎｅｓｓ．Ｂａｓｅｄ　ｏｎ　ｔｈｅ　ａｎａｌｙｓｉｓ　ｏｎ　ｔｈｅ　ｃｕｒｒｅｎｔ　ｓｉｔｕａｔｉｏｎ　ｏｆ　ｔｅｌｅｃｏｍ　ｏｐｅｒａｔｏｒｓ’ｂｉｇ　ｄａｔａ　Ｉ３ｒｏｔｅｃｔｉｏｎ，ｉｔ　ｓｕｍｍａｒｉｚｅｓ　ｔｈｅ　ｂｉｇ　ｄａｔａ　ｐｒｏｔｅｃｔｉｏｎ　ｓｏｌｕｔｉｏｎ　ａｎｄ　ｔｅｃｈｎｏｌｏｇｙ　ｆｏｒ　Ｃｈｉｎｅｓｅ　ｔｅｌｅｃｏｍ　ｏｐｅｒａｔｏｒｓ．　Ｋｅｙｗｏｒｄｓ：　Ｂｉｇ　ｄａｔａ；Ｓｅｃｕｒｉｔｙ；Ｐｒｉｖａｃｙ　ｐｒｏｔｅｃｔｉｏｎ；Ｂｕｓｉｎｅｓｓ　ｓｔｒａｔｅｇｙ　０前言　元产值，帮助美国医疗保健行业每年提升３　０００亿美元　产值，并可帮助美国零售业获得６０％以上的净利润增　随着云计算、大数据技术愈发成熟，全球各大电　长。数据逐渐成为重要的生产因素，人们对于海量数　信运营商均大力开展大数据应用与业务。但是在大　据的运用将预示着新一波生产率增长和消费者盈余浪　数据带来机遇的同时，各种针对大数据的恶意攻击也　潮的到来。　为电信运营商带来安全威胁与挑战。如何保障大数　越来越多的企业开始进行大数据的研究，传统电　据安全成为电信运营商大数据业务能否健康发展的　信运营商、ＩＴ厂商等产业链成员纷纷开始将研发重心　关键问题。　投向大数据领域，希望在新一轮的契机中占领先机。　１大数据的机遇与挑战　其中电信行业由于具有电信行业市场集中、用户聚合　性高、网络业务状态感知能力强等特点，电信运营商在　１．１大数据为电信运营商带来的机遇　开展大数据应用方面具有得天独厚的数据资源优势。　麦肯锡全球研究机构在发布的报告《大数据：创　如何借助自身优势，为用户提供更加精确、个性化　新、竞争和生产力的下一个前沿领域》中表示，充分利　的大数据服务，成为移动互联网时代电信运营商在产　用大数据可帮助全球个人定位服务提供商增加１　０００　业链中竞争的关键手段，也为电信运营商在移动互联　亿美元收人，帮助欧洲公共部门每年提升２　５００亿美　网时代取得更大成功带来重大机遇。　１．２大数据带来的安全挑战　收稿日期：２０１４－０５－２２　大数据同时又是把双刃剑，在带来巨大机会的同　邮电设计技术／２ｏ１　４／０７｛４３　ｆ　Ｉ　本期关注　陶　台，张云勇，张尼　Ｍｏｎｔｈｌｙ　Ｆｏｃｕｓ　运营商大数据安全防护技术研究　时，也给社会带来了前所未有的挑战。数据的快速增　长让企业ＩＴ基础设施更加庞大而且难于管理。随之而　来的还有信息难于整合共享以及能耗的不断飙升。据　统计，过去１０年间，服务器数量增加了２倍。虚拟机数　量增加了４２％，安全漏洞增加了８倍；过去５年问，服务　器能耗增加了２倍。因此，在享受大数据所带来的收　益之前，产业界需要解决ＩＴ基础架构、核心数据所面　对的安全难题，否则在探索大数据的道路上难免会出　现各种障碍。　随着对大数据的理解加深，产业链成员，特别是全　球各大电信运营商已经开展大数据的安全布局工作，　不只是希望从全流程保障大数据安全，更期望依托大　数据挖掘出更多的安全类增值服务。　２电信运营商大数据安全防护现状　２．１中国联通　中国联通某省公司积极在大数据安全领域展开工　作，并推出了应用数据安全管理平台。该数据安全管　理平台包括３大部件：数据采集及隐私保护模块，负责　数据的集中采集、隐私转换与共享、数据标准化；数据　挖掘模块，负责对大数据进行分析和提取不同业务应　用的结果；数据安全应用审计模块，负责解决信息安全　问题。该数据安全管理平台能够解决以下问题。　ａ）把用户数据采集到信任区域。　ｂ）对用户数据进行预处理与整合。　ｃ）用户隐私保护转换。　ｄ）关键数据进行存储安全和标准化。　ｅ）对用户数据分析结果的使用可控。　２．２中国移动　中国移动研究院基于大云平台，选取网络日志分　析及查询进行大数据安全应用。该系统采用中等规模　数据（３０亿条／ｈ），使用大云数据仓库系统（ＨｕｇｅＴａｂｌｅ）　及数据存储和分析平台（Ｂｃ—Ｈａｄｏｏｐ），以及并行数据　挖掘工具集（ＢＣ—ＰＤＭ）、并行数据抽取转换（ＢＣ—　ＥＴＬ）、搜索引擎（ＢＣ—ＳＥ）等数据管理／分析工具，实现　了在１　ｍｉｎ内对数十个统计指标的查询，以及海量网络　日志数据的实时加载。网络日志分析及查询系统主要　通过访问权限控制、数据仓库机制、系统监控和管理实　现大数据应用的安全保障。　中国移动某省分公司针对合作类数据业务系统统　一建设了应用层集中安全防护系统。该系统使用基于　操作系统文件驱动层的访问控制技术，对各种操作系　４４｛２０１　４／０７／ＤＴＰＴ　　ｌ统文件的操作进行审计，同时采用动态防护模块，对用　户访问数据的合法性进行审计。该系统的防护功能主　要由安装在合作类数据业务系统服务器上的监控代理　客户端来实现，对重要文件和动态应用及数据调用进　行防护。在系统后台设置集中安全管理中心，对各客　户端进行管理、策略下发、日志收集、监控报警等。集　中安全防护系统不改变原有系统的维护与监控方式，　重点针对合作类业务系统各类资源进行保护。　２．３中国电信　中国电信推出基于云架构的大数据服务，为用户　提供机架、物理机、虚拟机、数据应用等一体化服务。　同时，电信某些省分公司已开展数据分析及精准广告　工作。中国电信提出了３方面的数据应用战略：第一，　构建数据共享服务体系，整合内部数据，为企业发展提　供数据支撑和决策建议；第二，积极发挥数据价值，优　化业务资源利用；第三，推进相关技术和应用，提升客　户洞察能力，支撑流量经营、智能管道。总的发展思路　是统筹考虑数据战略和大数据应用。　中国电信某省公司针对业务系统、主机、网络、　ＶＰＮ、中间件设备、数据库等数据，构建了综合审计平　台，分为统一数据采集中心、统一审计分析中心、预警　分析中心、策略管理中心、分析结果数据审计数据中心　等模块。该系统通过认证、加密、监控和追踪等技术手　段解决了业务系统面临的如移动存储设备管理、重要　文件流转控制、涉密信息审计、身份盗用及信息截取等　诸多突出泄密隐患，全面提高信息系统的工作效率和　安全防护能力。　２．４西班牙电信　西班牙电信于２０１２年１０月９日成立了名为Ｄｖ—　ｎａｍｉｃ　Ｉｎｓｉｇｈｔｓ的大数据业务部门，该部门隶属于数字　业务部门Ｔｅｌｅｆｏｎｉｃａ　Ｄｉｇｉｔａｌ，面向全球运营，为客户提　供信息和分析打包业务，帮助客户把握重大变化趋　势。Ｄｙｎａｍｉｃ　Ｉｎｓｉｇｈｔｓ推出的首款产品——智慧足迹是　将匿名的移动网络数据提供给零售企业等客户，让其　了解某个时段、某个地点的客流量，据此决策新店选　址、促销时段等。同时，西班牙电信英国公司与市场研　究公司ＧＦＫ联手，致力于大数据产品开发。　同时，为解决数据存储安全、文件共享隐私保护以　及用户的个人数据保护问题，西班牙电信推出了其云　数据存储服务，该服务除了包括笔记本、智能手机用户　的安全文件同步与分享服务外，还加人了通过云存储　网关进行的混合备份等功能。　运营商大数据安全防护技术研究　Ｍｏｎｔｈｌｙ　Ｆｏｃｕｓ　陶冶，张云勇，张尼　本期关注　２．５美国Ｖｅｒｉｚｏｎ　题，针对大数据安全保障的解决方案应该从数据处理　的各个环节人手，在采集阶段对数据进行分类分级管　美国电信运营商Ｖｅｒｉｚｏｎ于２０１２年１０月初成立了　精准营销部门Ｐｒｅｃｉｓｉｏｎ　Ｍａｒｋｅｔｉｎｇ　Ｄｉｖｉｓｉｏｎ。该部门提　供三方面的服务：首先是精准营销洞察，提供商业数据　理；在数据存储阶段对敏感数据进行特殊保护与脱敏　处理，并对数据使用人员进行细粒度的授权管理与访　问控制；在数据挖掘与应用阶段对数据的使用行为审　计与溯源。　分析服务；其次是精准营销，提供广告投放支撑；最后　是移动商务，主要面向Ｉｓｉｓ（Ｖｅｒｉｚｏｎ、ＡＴ＆Ｔ和Ｔ—Ｍｏｂｉｌｅ　发起的移动支付系统）。Ｖｅｒｉｚｏｎ认为，客户对于数据　服务的需求可以分为２个层面：一方面是将数据匿名、　聚合后，在不违反隐私政策的前提下直接提供；另一方　面是提供咨询性的解决方案服务，而Ｖｅｒｉｚｏｎ将寻求这　两者之间的最佳均衡。　Ｖｅｒｉｚｏｎ公司还定期对外公布公司研究部门的数　据泄露调查报告，对全球用户关心的各类型数据泄露　事件进行调研与分析。此外，Ｖｅｒｉｚｏｎ还通过企业云平　台加强对数据的保护。平台可以基于分层数据加密方　法、数据检查和防火墙功能协作，处理每一个ＶＭ的流　量。用户可以扩展私有网络到公有云中，而且无需改　变任何策略、地址和安全配置。　３大数据安全防护方案分析　３．１大数据处理的全流程防护成为主流方案　根据全球各大电信运营商的大数据安全现状分　析，保障大数据安全涉及到数据处理的全流程防护。　在大数据的整个处理流程中，数据都会面临着各　种各样的安全风险。　ａ）在数据采集阶段，系统可能会将用户的关键隐　私数据采集并流转至系统的非信任区域，并因此失去　对这些关键数据的控制，导致用户隐私数据泄露等安　全风险。　ｂ）在数据存储阶段，由于用户的所有关键数据的　明文存储，因此很可能存在数据被盗用、滥用情况，导　致用户隐私信息泄露。　ｃ）在数据挖掘阶段，对用户数据分析结果使用的　不可控性，在数据挖掘分析中会存在数据非授权访问，　并且，在挖掘算法升级时，系统的操作维护动作还可能　会将原始数据或加工数据直接丢弃，造成关键数据流　失。　ｄ）在数据应用阶段，广告投放过程和计费信任程　度不可控。　ｅ）数据交付过程中会存在不合规的数据挖掘结　果发布，以及数据泄露后无法追溯取证等问题。　因此，从数据生命周期或者业务流程角度考虑问　多个企业推出大数据安全防护解决方案，尝试在　大数据处理的各个环节中，对大数据的采集、存储、挖　掘、应用进行管控，全方位保护大数据安全。　３．２云计算防护技术成为大数据的安全基础　大数据的４Ｖ特征，使得大数据的存储、分析、处　理、发布等流程常常需要强大的基础计算能力。而由　于云计算具有的高性价比、分布式处理等优势，众多电　信运营商都选择将大数据应用部署在云端。例如，中　国联通将流量分析等大数据应用部署在联通“沃云”　上，利用“沃云”ＩａａＳ、云监控等能力，大大增强了大数　据处理性能与运维能力，另外中国移动、中国电信也纷　纷选择将其大数据分析、处理业务部署至云端，在提升　性能的同时大大降低了计算与运维成本。　虽然这些云计算服务能够帮助电信运营商捕捉、　管理和分析ＴＢ甚至ＰＢ级结构化和非结构化数据，但　是，如果云平台本身没有受到保护或者监管，云服务可　能为大数据带来数据泄漏、账户或服务劫持、滥用等风　险。由于大数据与云计算关系密切，所以云计算风险　常常等同于大数据风险。　所以，根据云计算与大数据的特性，云端的大数据　应用常常需要采取以下类型的安全防护措施。　ａ）虚拟化安全：虚拟化技术为大数据分析提供了　分布式处理的能力，提升了基础计算资源的利用率。　但是虚拟化层同样存在着许多安全漏洞，例如开源虚　拟化软件ＫＶＭ存在绕过安全权限漏洞。目前，常见的　虚拟化安全方案有２种：虚拟化层安全加固与虚拟机　安全代理。第一类方案对虚拟化层本身进行安全改　造，从底层实现了虚拟资料的安全防护，但实现难度较　大；第二类方案通过虚拟机上加载安全模块，实现虚拟　机数据加密、完整性保护等能力，但对大规模部署能力　的需求较高。无论采用哪类方案，虚拟化安全都是云　端大数据防护的基础。　ｂ）虚拟网络安全：随着ＳＤＮ、ＮＦＶ技术的出现，传　统的硬件网元设备逐渐被虚拟设备所取代，而这种新　的技术风暴也为传统的网络运维模式带来了强大的冲　击与挑战。例如，开源的虚拟交换机技术Ｏｐｅｎ　邮电设计￣／２０１　４／０７　ｌ　４５