江　雪，韓偉力，朱　磊

?

大數(shù)據(jù)安全對策：自適應(yīng)訪問控制

江雪，韓偉力，朱磊

摘 要：隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)等新興服務(wù)的發(fā)展，數(shù)據(jù)的種類和規(guī)模不斷井噴增長，大數(shù)據(jù)時代已經(jīng)到來。大數(shù)據(jù)逐漸應(yīng)用于政治、經(jīng)濟(jì)、文化等重要領(lǐng)域，在帶來巨大價值的同時也引入了安全問題和風(fēng)險。介紹了大數(shù)據(jù)的基本特征，分析了大數(shù)據(jù)應(yīng)用為傳統(tǒng)訪問控制方法帶來的挑戰(zhàn)，并且提出采用自適應(yīng)訪問控制方法作為安全對策。

關(guān)鍵詞：大數(shù)據(jù)；信息安全；自適應(yīng)訪問控制

0　引言

隨著云計算、物聯(lián)網(wǎng)技術(shù)的興起，以及微信、博客、社交網(wǎng)絡(luò)等新型信息發(fā)布方式的不斷涌現(xiàn)，人類社會的數(shù)據(jù)正以前所未有的速度呈現(xiàn)爆炸式地增長。據(jù)統(tǒng)計，F(xiàn)acebook用戶每天共享信息超過40億條，Twitter每天處理50億次會話，平均每秒有200萬用戶在使用谷歌搜索，科學(xué)計算、醫(yī)療衛(wèi)生、金融、零售業(yè)等各行業(yè)也有大量數(shù)據(jù)在不斷產(chǎn)生。2015年全球信息總量已經(jīng)達(dá)到8 ZB，預(yù)計2020年這一數(shù)值將達(dá)到35ZB。

大數(shù)據(jù)是繼云計算、物聯(lián)網(wǎng)之后IT產(chǎn)業(yè)又一次顛覆性的技術(shù)革命，大數(shù)據(jù)挖掘和應(yīng)用可創(chuàng)造出超萬億美元的價值,將是未來信息領(lǐng)域最大的市場機(jī)遇之一。大數(shù)據(jù)對國家治理模式、企業(yè)決策、組織和業(yè)務(wù)流程，以及個人生活方式等都將產(chǎn)生巨大的影響。大數(shù)據(jù)時代，數(shù)據(jù)價值越來越大，面對海量數(shù)據(jù)的收集、存儲、管理、分析和共享，信息安全問題成為重中之重。

1　大數(shù)據(jù)的定義和特征

百度百科的定義：大數(shù)據(jù)是指無法在可承受的時間范圍內(nèi)用常規(guī)軟件工具進(jìn)行捕捉、管理和處理的數(shù)據(jù)集合。

維基百科的定義：大數(shù)據(jù)指的是所涉及的資料量規(guī)模巨大到無法通過目前主流軟件工具，在合理時間內(nèi)達(dá)到擷取、管理、處理并整理成為幫助企業(yè)經(jīng)營決策目的的資訊。

麥肯錫的定義[1]：大數(shù)據(jù)是指無法在一定時間內(nèi)用傳統(tǒng)數(shù)據(jù)庫軟件工具對其內(nèi)容進(jìn)行采集、存儲、管理和分析的數(shù)據(jù)集合。

研究機(jī)構(gòu) Gartner 的定義：大數(shù)據(jù)是指需要新處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)。

大數(shù)據(jù)具有以下4個特點(diǎn)[2]，即4個“V”。

（1）數(shù)據(jù)體量（Volumes）巨大。大型數(shù)據(jù)集，從TB級別，躍升到PB級別。

（2）數(shù)據(jù)類別（Variety）繁多。數(shù)據(jù)來自多種數(shù)據(jù)源，數(shù)據(jù)種類和格式?jīng)_破了以前所限定的結(jié)構(gòu)化數(shù)據(jù)范疇，包括了半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。

（3）價值（Value）密度低。以監(jiān)控視頻為例，連續(xù)不間斷監(jiān)控過程中，可能有用的數(shù)據(jù)僅僅一兩秒鐘。

（4）處理速度（Velocity）快。包含大量在線或?qū)崟r數(shù)據(jù)分析處理的需求。

2　大數(shù)據(jù)應(yīng)用的安全挑戰(zhàn)

人們可以從大數(shù)據(jù)中獲取巨大的價值，一是獲得知識和趨勢預(yù)測，大數(shù)據(jù)可以幫助人們透過現(xiàn)象、更好地把握信息背后的規(guī)律，基于數(shù)據(jù)挖掘出的知識，可以更好地對自然或社會現(xiàn)象進(jìn)行預(yù)測，比如對天氣的預(yù)測、對流行性疾病的預(yù)測、對股票行情的預(yù)測等；二是分析掌握個性化特征，企業(yè)分析用戶行為規(guī)律，可以為用戶提供更好的個性化產(chǎn)品和服務(wù)、推廣，例如Google通過其大數(shù)據(jù)產(chǎn)品對用戶的喜好進(jìn)行分析，可以幫助廣告商提高效率。

大數(shù)據(jù)來源多且復(fù)雜，一是來源于人，人們在使用互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)過程中產(chǎn)生的各類數(shù)據(jù)，包括文字、圖片、視頻、音頻等信息；二是來源于計算，各類信息系統(tǒng)產(chǎn)生的數(shù)據(jù)，包括文件、數(shù)據(jù)庫、多媒體、日志等；三是來源于物，例如物聯(lián)網(wǎng)中各種物產(chǎn)生的特征值、各類數(shù)字設(shè)備采集的信號等。隨著數(shù)據(jù)爆炸性增長，保密數(shù)據(jù)、隱私數(shù)據(jù)也成倍增長，大量信息跨越組織邊界傳播，信息安全問題相伴而生，國家安全、知識產(chǎn)權(quán)、個人信息等等都面臨著前所未有的安全挑戰(zhàn)。

大數(shù)據(jù)的數(shù)據(jù)量巨大，通常采用云端存儲，數(shù)據(jù)管理比較分散，對用戶進(jìn)行數(shù)據(jù)處理的場所無法控制，很難區(qū)分合法與非法用戶，容易導(dǎo)致非法用戶入侵，竊取或篡改重要數(shù)據(jù)信息。如何保證大數(shù)據(jù)的安全以及分析結(jié)果的可靠是信息安全領(lǐng)域需要解決的新課題。大數(shù)據(jù)中包含了大量的個人隱私，以及各種行為的細(xì)節(jié)記錄。如何在大數(shù)據(jù)的應(yīng)用中找到個人信息開放和保護(hù)的平衡點(diǎn)，是大數(shù)據(jù)提出的又一大難題。

訪問控制是實(shí)現(xiàn)數(shù)據(jù)共享同時保證數(shù)據(jù)安全的有效手段。大數(shù)據(jù)由于數(shù)據(jù)量大、用戶群復(fù)雜，可能被用于多種不同場景，其訪問控制需求十分突出。大數(shù)據(jù)訪問控制的特點(diǎn)與難點(diǎn)在于：

（1）角色比較難定義，更難于預(yù)先設(shè)置。由于大數(shù)據(jù)應(yīng)用范圍廣泛，它通常要為來自不同組織或部門、不同身份與目的的用戶所訪問，實(shí)施訪問控制是基本需求。然而，在大數(shù)據(jù)的場景下，有大量的用戶需要實(shí)施權(quán)限管理，且用戶具體的權(quán)限要求未知。面對未知的大量數(shù)據(jù)和用戶，預(yù)先設(shè)置角色十分困難。

（2）角色的提前授權(quán)比較困難。由于大數(shù)據(jù)場景中包含海量數(shù)據(jù)，無法準(zhǔn)確地為用戶指定訪問的數(shù)據(jù)范圍。而且提前授權(quán)給用戶缺少可擴(kuò)展性、效率較低下。以研究領(lǐng)域應(yīng)用為例，市場研究人員為了完成工作可能需要訪問大量信息，但對于數(shù)據(jù)能否訪問應(yīng)該由工作需求來決定，如果提前做好了權(quán)限，后續(xù)可能因?yàn)闄?quán)限不足而導(dǎo)致工作效率低下。但同時又應(yīng)該能夠提供對市場研究人員訪問行為的檢測與控制，限制其對企業(yè)或消費(fèi)者數(shù)據(jù)的過度訪問。

（3）定義數(shù)據(jù)重要性比較困難。大數(shù)據(jù)的價值在于針對大數(shù)據(jù)的挖掘和分析，隨著數(shù)據(jù)分析、數(shù)據(jù)挖掘技術(shù)的發(fā)展，一些看似無關(guān)緊要的數(shù)據(jù)中可以分析出重要商業(yè)情報、個人隱私等，這使得定義數(shù)據(jù)的重要性變得越來越困難。

（4）感應(yīng)式設(shè)備產(chǎn)生的數(shù)據(jù)難以用傳統(tǒng)方式進(jìn)行訪問控制。大數(shù)據(jù)產(chǎn)生于各式各樣的設(shè)備、軟件收集和匯聚數(shù)據(jù)，而近年來新興的移動式設(shè)備越來越依賴各種感應(yīng)器收集數(shù)據(jù)從而運(yùn)作，比如 Microsoft Kinect、Google glass、Apple watch等，都要持續(xù)不斷采集感應(yīng)數(shù)據(jù)才能發(fā)揮功能。這些感應(yīng)設(shè)備持續(xù)工作會帶來用戶自身的數(shù)據(jù)泄漏問題，比如用戶的車牌號；如果戴著Google glass進(jìn)入浴室，則周圍人的隱私也會遭到侵犯。傳統(tǒng)訪問控制方式無法保證這些感應(yīng)設(shè)備在保持工作的同時，也能保護(hù)用戶自身和用戶周圍人群的隱私數(shù)據(jù)。

3　自適應(yīng)訪問控制

JASON于2004年發(fā)布了一份權(quán)威戰(zhàn)略咨詢報告[3]引起了國際學(xué)術(shù)界和企業(yè)界對量化風(fēng)險自適應(yīng)的系統(tǒng)安全機(jī)制的關(guān)注。這份報告指出：“1.我們可以認(rèn)為任何新系統(tǒng)必須滿足以下基本標(biāo)準(zhǔn)?；2.它應(yīng)該是基于風(fēng)險的，而且其風(fēng)險也應(yīng)該是量化的；3.它應(yīng)該在調(diào)節(jié)易變的風(fēng)險接受程度和變換合作者方面是敏捷且可擴(kuò)展的；4.它可以應(yīng)對面向信息共享的刺激??！盝ASON是專門為美國政府提供科學(xué)技術(shù)咨詢的一個組織，所提供的報告在美國甚至全球科研領(lǐng)域具有非常重要的影響力?；贘ASON報告，在美國AFOSR的支持下，UMBC、Purdue、UIUC等六所美國大學(xué)從2008 年起開展了為期5年的“A Framework for Managing the Assured Information Sharing Lifecycle”聯(lián)合項(xiàng)目研究[4]，為信息共享提供更為柔性的安全保障框架。其核心思想是在用戶對信息發(fā)起訪問請求時，實(shí)時地根據(jù)對訪問時上下文的評估風(fēng)險，并在評估相關(guān)條件的基礎(chǔ)上做出是否允許訪問的決策，使得信息共享在一些緊急的情況下可以方便地進(jìn)行。實(shí)現(xiàn)該思路的關(guān)鍵在于訪問時量化風(fēng)險的計算以及計算的結(jié)果在訪問決策形成時的運(yùn)用。

Gartner在2009年的一篇技術(shù)報告中提到了自適應(yīng)訪問控制方法[5]，并且在 2014年公布的年度十大信息安全技術(shù)中將自適應(yīng)訪問控制排在第二位，使該技術(shù)備受關(guān)注[6]。自適應(yīng)訪問控制是一種上下文敏感的動態(tài)系統(tǒng)安全訪問技術(shù)[5][7]，它的安全策略表達(dá)和實(shí)施圍繞風(fēng)險量化或收益量化來展開。與傳統(tǒng)的強(qiáng)制訪問控制（MAC）、自主訪問控制（DAC）和基于角色的訪問控制（RBAC）方法不同，自適應(yīng)訪問控制方法并不是簡單設(shè)定允許訪問、拒絕訪問的固定條件，而是在風(fēng)險和信任之間取一個平衡，根據(jù)訪問行為發(fā)生時所處的上下文進(jìn)行動態(tài)決策，在采取風(fēng)險減輕措施同時有條件地允許或拒絕訪問。相對于原有的訪問控制方法，自適應(yīng)訪問控制可以在很大程度上提高訪問控制策略的彈性，提高信息的可用性和流動性。

4　大數(shù)據(jù)應(yīng)用的安全對策

由于在大數(shù)據(jù)場景中，數(shù)據(jù)種類和來源復(fù)雜，用戶角色也十分復(fù)雜，往往無法準(zhǔn)確地為用戶預(yù)先指定其可以訪問的數(shù)據(jù)，最好是在某個訪問行為發(fā)生時針對具體上下文進(jìn)行判斷。因此，自適應(yīng)的訪問控制是針對大數(shù)據(jù)場景比較推薦一種訪問控制方法。

自適應(yīng)的訪問控制是一種上下文敏感的動態(tài)系統(tǒng)安全訪問與技術(shù)，區(qū)別于傳統(tǒng)的自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制方法，自適應(yīng)訪問控制的安全策略表達(dá)和實(shí)施圍繞風(fēng)險量化展開。在訪問行為發(fā)生的時刻，不是簡單地允許或拒絕敏感訪問，而是在風(fēng)險量化基礎(chǔ)上，采用動態(tài)風(fēng)險消減、激勵機(jī)制等方式，有條件地允許或者拒絕訪問，平衡信任和風(fēng)險。上下文敏感意味著訪問控制決策反映出了當(dāng)前的狀況；動態(tài)風(fēng)險消減意味著在當(dāng)前消減風(fēng)險條件下是允許訪問的，而在其他情況下很可能因?yàn)闊o法消減風(fēng)險而被阻塞；激勵機(jī)制意味著當(dāng)訪問行為主體在當(dāng)前的訪問中安全利用敏感資源提升了組織的整體收益，該主體將受到激勵有利于下一次訪問。這說明自適應(yīng)的訪問控制方法兼具靈活性、實(shí)用性、安全性，可以大大提高訪問控制策略執(zhí)行的柔性，提高了系統(tǒng)的可用性，同時也考慮到了風(fēng)險控制。

自適應(yīng)訪問控制方面的關(guān)鍵技術(shù)包括：風(fēng)險度量方法、風(fēng)險消減方法與激勵機(jī)制、安全策略模型與表達(dá)、針對新興設(shè)備特性創(chuàng)新訪問控制機(jī)制。

（1）風(fēng)險度量方法為敏感操作計算合理的數(shù)值化的風(fēng)險或者風(fēng)險向量[8]。當(dāng)前主要存在著兩類方法度量風(fēng)險：一種是利用預(yù)設(shè)的計算模型，Cheng等人[9]提出了一個基于多級別安全模型的風(fēng)險自適應(yīng)訪問控制解決方案，這個方案是基于貝葉斯公式的風(fēng)險模型；Ni等人[10]提出了另一個解決方案，將信息的數(shù)目和用戶以及信息的安全等級作為進(jìn)行風(fēng)險量化的主要參考參數(shù)，當(dāng)用戶訪問的資源的風(fēng)險數(shù)值高于某個預(yù)定的門限時，則限制用戶繼續(xù)訪問，這個方案則是基于模糊邏輯的風(fēng)險模型。還有一種是參考經(jīng)濟(jì)模型和市場機(jī)制實(shí)現(xiàn)風(fēng)險的度量。Jason的報告[3]參考經(jīng)濟(jì)模型描述了風(fēng)險量化和訪問額度的概念。Ian Molloy等人[11]提出了參考市場機(jī)制的風(fēng)險量化方法，為每次訪問行為的風(fēng)險進(jìn)行定價，訪問者持有支付風(fēng)險價格的貨幣，足夠支付者可以訪問，否則不能訪問。

（2）風(fēng)險消減的目的是通過某種措施降低敏感操作的風(fēng)險，比如通過細(xì)粒度記錄敏感操作過程可以有效降低該操作風(fēng)險，即便敏感操作造成損失，也可以及時發(fā)現(xiàn)決策失誤并實(shí)施彌補(bǔ)方案；而激勵機(jī)制則通過調(diào)控方式，刺激敏感操作的進(jìn)行[12]，這是因?yàn)樵诨陲L(fēng)險的控制過程中，安全策略往往會按照操作的最大風(fēng)險設(shè)置門檻，這提高了系統(tǒng)的安全性但減低了系統(tǒng)整體的可用性。因此需要通過激勵機(jī)制在風(fēng)險可控的情況下提高敏感操作的執(zhí)行頻率。

（3）安全策略模型與表達(dá)，通過擴(kuò)展現(xiàn)有模型[13]和策略語言[14]實(shí)現(xiàn)自適應(yīng)訪問控制控制的支持。

（4）針對感應(yīng)式設(shè)備持續(xù)工作的情況，F(xiàn)ranziska Roesner等人提出了一種新的訪問控制機(jī)制[15]，基于CA認(rèn)證模型為現(xiàn)實(shí)中的對象設(shè)置passport，并且設(shè)置自適應(yīng)敏感策略，感應(yīng)設(shè)備自動過濾禁止訪問的對象。

當(dāng)然，大數(shù)據(jù)應(yīng)用環(huán)境中，風(fēng)險的定義和量化比以往更加困難，新的設(shè)備、新的數(shù)據(jù)采集、數(shù)據(jù)訪問方式也會不斷涌現(xiàn)。如何針對大數(shù)據(jù)具體應(yīng)用場景設(shè)計合適的安全策略模型、設(shè)計新的訪問控制機(jī)制，在充分運(yùn)用大數(shù)據(jù)應(yīng)用的同時保護(hù)個人或組織的重要信息，并在有效控制風(fēng)險前提下提高數(shù)據(jù)價值，還需要進(jìn)行更多的研究和探索。

5　總結(jié)

大數(shù)據(jù)時代已經(jīng)來臨，大數(shù)據(jù)應(yīng)用逐漸滲入經(jīng)濟(jì)、政治、文化等各個重要領(lǐng)域，在為人們帶來便利的同時也帶來了信息安全的問題和挑戰(zhàn)。如何做到既深入挖掘大數(shù)據(jù)給人類帶來的價值，又充分保護(hù)數(shù)據(jù)安全性、防止非法訪問，在大數(shù)據(jù)的應(yīng)用中找到高效挖掘、高效共享數(shù)據(jù)的同時又能充分保護(hù)數(shù)據(jù)安全的平衡，本文提出以自適應(yīng)訪問控制方法作為大數(shù)據(jù)應(yīng)用訪問控制的解決方案。

參考文獻(xiàn)

[1] 計算機(jī)行業(yè)—大數(shù)據(jù)(Big Data)專題報告[R]. 上海:光大證券股份有限公司研究所，2011.

[2] 大數(shù)據(jù)分析技術(shù)的發(fā)展[EB/ OL]. 2012-05-16. http://www.ccidnet.com/2012/0516/3859799.shtml.

[3] JASON Report. HORIZONTAL INTEGRATION: Broader Access Models for Realizing Information Dominance[J], MITRE Corporation, JSR-04-132, 2004, http://www.fas.org/irp/agency/dod/jason/classpol.pdf.

[4] Tim Finin, Anupam Joshi, Hillol Kargupta, et al. Assured Information Sharing Life Cycle[C], IEEE Conference on Intelligence and Security Informatics, 2009 (ISI’09).

[5] Gartner. Adaptive Access Control Emerges. 2009. https://www.gartner.com/doc/1124812/adaptive-access-co ntrol-emerges.

[6] Garter. Gartner Identifies the Top 10Technologies for Information Security in 2014, 2014, http://www.gartner. com/newsroom/id/2778417.

[7] Ching Lin and Vijay Varadharajan. Trust Based Risk Management for Distributed System Security - A New Approach. In Proceedings of the First International Conference on Availability[J], Reliability and Security (ARES’06), 2006, 8-15.

[8] Lei Zhang, Alexander Brodsky, Sushil Jajodia. Toward Information Sharing: Benefit and Risk Access Control (BARAC) [J]. In Proceedings of the 7th IEEE International Workshop on Policies for Distributed Systems and Networks (POLICY’06), 2006, 45-53.

[9] Pau-Chen Cheng, Pankaj Rohatigi, Claudia Keser, Paul A. Karger, Grant M. Wagner, Angela Schuett Reninger. Fuzzy Multi-Level Security: An Experiment on Quantified Risk-Adaptive Access Control[J]. In Proceeding of the 2007 IEEE Symposium on Security and Privacy (SP’07), 2007, Oakland, CA, USA: 222-230.

[10] Qun Ni, Elisa Bertino, Jorge Lobo. Risk-based Access Control Systems Built on Fuzzy Inferences[J]. In Proceedings of the 5th ACM Symposium on Information, Computer and Communications Security (ASIACCS 2010), April 13-16, 2010, Beijing, China.

[11] Ian Molloy, Pau-Chen Cheng, Pankaj Rohatgi. Trading in Risk: Using Markets to Improve Access Control[J], In Proceedings of New Security Paradigms Workshop (NSPW'08), 2008, Lake Tahoe, California, USA, 1-19.

[12] Debin Liu, XiaoFeng Wang, L. Jean Camp. Mitigating Inadvertent Insider Threats with Incentives[M], Thirteenth International Conference on Financial Cryptography and Data Security (FC’2009), 2009, Barbados.

[13] Nathan Dimmock, Andr Belokosztolszki, David Eyers, Jean Bacon, Ken Moody. Using trust and risk in role-based access control policies[J]. In Proceedings of the Ninth ACM Symposium on Access Control Models and Technologies, 2004, 156-162.

[14] Chen Chen, Weili Han, Jianming Yong. Specify and Enforce the Policies of Quantified Risk Adaptive Access Control[J], In Proceedings of the 14th International Conference on Computer Supported Cooperative Work in Design (CSCWD 2010), April, 2010, Shanghai China.

[15] Roesner, F., Molnar, D., Moshchuk, A., Kohno, T., and Wang, H. World-driven access control for continuous sensing[M]. Tech. rep., Microsoft Research, 2014.

中圖分類號：TP393

文獻(xiàn)標(biāo)志碼：A

文章編號：1007-757X(2016)07-0012-03

收稿日期：（2015.02.02）

基金項(xiàng)目：信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室開放課題項(xiàng)目資助（C15612）

作者簡介：江 雪（1983-），女，公安部第三研究所助理研究員，復(fù)旦大學(xué)，博士研究生，研究方向：信息安全，上海，200031韓偉力（1975-），男，復(fù)旦大學(xué)，副教授，研究方向：安全策略和信息安全，上海，201203 朱 磊（1988-），男，公安部第三研究所，信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室，助理研究員，研究方向：信息安全，上海，200031

Adaptive Access Control: A security solution for Big Data

Jiang Xue1,2, Han Weili2, Zhu Lei3
(1.Training Center, The Third Research Institute of Ministry of Public Security, Shanghai 200031, China; 2.School of Computer Science, Fudan University, Shanghai 201203, China; 3. Network Security Research and Development Center, The Third Research Institute of Ministry of Public Security; Key Lab of Information Network Security, Ministry of Public Security ; Shanghai 200031, China)

Abstract:With the development of cloud computing, internet of things , mobile internet and social networks, it witnesses information explosion in many important fields such as politics, economy and culture. The era of big data is coming. It brings risks and threats as well as big fortune. This paper introduces basic concept of big data, it also analyzes the risks and challenges. It suggests using adaptive access control as a security solution for big data.

Key words:Big Data; Information Security; Adaptive Access Control