云安全联盟大数据工作组上周五发布《大数据安全及隐私手册》,其内容的合作成员包括VMware、微软、AWS和红帽,为大数据中的10大安全及隐私挑战提供了100项最佳实践。
其中,对于使用分布式编程框架(如Hadoop)的企业,《手册》推荐使用Kerberos或类似认证,以帮助建立信任。而保护隐私方面,《手册》建议所有的个人可识别信息,包括姓名、地址、社会保险号等,要么屏蔽要么移除。另外,像地区编码、出生日期、性别等“准识别码”数据的出现也要谨慎。
使用非关系型数据存储(如NoSQL数据库)的公司,由于缺乏强力的嵌入式的安全功能,《手册》建议使用强加密,如AES、RSA或是SHA-256的算法对静态数据进行加密。并且,密钥和代码要分离存储,加密密钥要离线备份到安全的位置。
《手册》还包括了实时安全、合规监控、隐私保护分析、数据溯源和加密技术等方面的最佳实践。下面是《手册》目录中的主要内容:
1. 分布式编辑框架中的安全计算
1.1 建立初始信任
1.2 确保与预先定义的安全策略保持一致
1.3 数据去识别
1.4 授权访问预先定义安全策略的文件
1.5 确保未受信任的代码不会通过系统资源泄露信息
……
2. 非关系数据库的最佳安全实践
2.2 通过对静态数据的加密保护数据
2.3 使用TLS建立连接和通信
2.4 提供可插式的认证模块
……
3. 保护数据存储和传输日志
3.1 实施签名报名摘译的交换
3.2 确保定期的哈希链审计或持续性的认证目录
……
4. 终端输入确认/过滤
4.1 使用可信证书
4.2 做资源测试
……
5. 实时安全/合规监控
5.1 应用大数据分析检测对集群的异常连接
5.2 挖掘登录事件
……
6. 多层级和可组构的隐私保护分析
6.1 实施不同的隐私
6.2 使用同态加密
……
7. 大数据加密技术
7.1 为加密数据组建搜索、过滤系统
7.2 使用全同态加密保护计算资源外取
……
8. 细粒度访问控制
8.1 选择合适的满足需求的细粒度级
8.2 正常化易变要素,去正常化不易变素
……
9. 细粒度审计
9.1 以攻击的视角建立聚合力审计
9.2 评估信息完整性
……
10. 数据溯源
10.1 开发认证协议的基础设施
10.2 确保精准、周期性的状态更新
……
《大数据安全及隐私手册》完整版下载地址:
