保護大資料：基礎設施準備

　　相比之下，大資料安全環境的建立需要依賴於前面提到的工具，為安全資訊輸入單一邏輯大資料安全資訊倉庫。這種倉庫的優勢在於，它將資料作為更大的安全生態系統的一部分，這個安全生態系統具有強大的分析和趨勢分析工具來識別威脅，威脅需要透過檢查多個數據集才能被確認，而不像傳統的方法那樣---安全團隊透過虛擬放大鏡來篩選鬆散耦合的資料集。

　　保護大資料：基礎設施支援

　　當然在其核心，這種新環境將需要對基礎設施進行調整，使其能夠收集和分析資料。

　　為了建立支援大資料環境的基礎設施，需要一個安全且高速的網路來收集很多安全系統資料來源，從而滿足大資料收集要求。鑑於大資料基礎設施的虛擬化和分散式性質，企業需要將虛擬網路作為底層通訊基礎設施。此外，從承載大資料的角度來看，在資料中心和虛擬裝置之間使用vlan等技術作為虛擬主機（已經部署了虛擬交換機內的網路是最佳選擇。由於防火牆需要檢查透過防火牆的每個會話的每個資料包，它們成了大資料快速計算能力的瓶頸。因此，企業需要分離傳統使用者流量與構成大資料安全資料的流量。透過確保只有受信任的伺服器流量流經加密網路通道以及消除之間的傳統基礎設施防火牆，這個系統就能夠以所需要的不受阻礙的速度進行通訊。

　　接著，這個安全資料倉庫的虛擬伺服器需要受到保護。最好的做法是，確保這些伺服器按照nist標準進行加強，解除安裝不必要的服務（例如ftp工具） 以及確保有一個良好的補丁管理流程。鑑於這些伺服器上的資料的重要性，我們還需要為大資料中心部署備份服務。此外，這些備份還必須加密--無論是透過磁帶介質還是次級驅動器的備份，畢竟在很多時候，安全資料站點發生資料洩露事故都是因為備份媒介的丟失或者被盜。另外，應該定時進行系統更新，同時，為了進行集中監控和控制，還應該部署具有正式運營中心的系統監視工具。

　　大資料安全：整合現有工具和流程

　　為了確保大資料安全倉庫位於安全事件生態系統的頂端，我們還必須整合現有安全工具和流程。當然，這些整合點應該平行於現有的連線，因為企業不能為了大資料的基礎設施改組而放棄其安全分析功能。對於一項新部署，最好的方法是儘量減少連線數量—透過連線企業和/或業務線的siem工具的輸出到大資料安全倉庫。由於這些資料已經被預處理，它將允許企業開始測試其分析演算法與加工後的資料集。

　　在與安全資訊和事件管理工具的整合工作完成後，初始趨勢和事件將開始顯現，我們還需要開發一個程式來去耦siem工具的輸入使其直接進入倉庫。最好的做法是為輸入選擇一個良好定義的標準化資料格式，這將大大較少所需要的整合和規範化步驟，確保對資料倉庫改善後的分析演算法的持續驗證。

個人和企業的資料安全將在2018年發生了變化。為了保證資料的安全，以下是人們需要的基本知識。

網際網路技術的進步改變了人類的生活方式。從人們透過社交媒體到改善工作場所的方式，科技在二十一世紀帶來了前所未有的變化，這在幾十年前是不可想象的。

但是，技術進步也有其弊端。網際網路的應用已經導致了不使用端點保護平臺的人員的個人隱私損失。這使得網際網路使用者容易受到駭客的攻擊，他們企圖滲透和盜取使用者的個人資訊。但是，採用安全技術也可以防止網路攻擊。

在過去的幾年裡，網路攻擊已經影響了一些全球規模最大的跨國公司。例如，駭客攻擊索尼公司採用的雅虎安全系統。這導致這家科技巨頭在停機時間損失了數十億美元，完全阻止這種網路犯罪是沒有萬無一失的。其主要原因是這些攻擊是經過測試和設計的，以利用安全系統中最薄弱的環節。駭客往往會選擇網路產品推廣成功的公司或者他們認為有利可圖的目標。

以下將重點介紹個人和企業組織可以安全儲存資料的方式。

1.遮蔽自己的IP地址

任何人或企業實體如果認真保護自己的線上身份，並且可能會危及個人身份的資訊，就需要有一個系統或軟體來遮蔽他們的網際網路協議地址。惡意軟體和網站可以透過企業或個人的IP地址追蹤線上行為。這些惡意系統以cookies的形式收集企業的使用者資料，然後在可能不擇手段的其他網站之間共享。可以使用HMA等系統來保護您的線上身份。HMA是一個安全分層的協議，最初由JackCator在2005年開發。

2.電子郵件設定

任何企業都應該考慮改變他們的電子郵件設定。假設所有網路服務和免費電子郵件服務（如Gmail）都容易受到駭客的攻擊。確保所在組織的電子郵件不在像微軟和谷歌這樣的大型科技公司所擁有的同一個IT系統上也是至關重要的。這些公司面臨的挑戰之一是，與訊息相關的元資料也可以揭示資訊。訊息元資料不能被加密，因為它是網際網路上的路由系統所要求的。大多數系統安全服務提供商儲存的資訊也可以由政府部門無需授權的情況下即可訪問。

像SelectMyHost這樣的網站提供了一個安全的基於雲計算的伺服器提供商的目錄。

3.雲計算服務

為美國國家安全域性工作的資訊科技專家愛德華？斯諾登披露了該機構有關窺探活動的大量資訊。斯諾登事件顯示，組織機構應該避開採用所有位於美國、英國、法國和其他盟國的雲計算服務提供商的服務。他們一直在受到國家安全域性的偵查。這些公司包括iCloud，Dropbox，Evernote等等。企業必須假設雲計算從這些服務中儲存的任何資料都容易被第三方訪問。

4.無線網路服務

在預設情況下，企業員工和管理層使用的所有移動裝置都必須關閉藍芽設定。這些裝置可能包括平板電腦、商業移動系統和智慧手機。避免使用公共的Wi-Fi，因為這可能會使企業也使用開放式網路的snoopers的風險。還要確保企業正在瀏覽的任何網站在地址的開頭都有HTTPS，以確認傳輸的資料是加密的，並且其站點的標識是真實的。

總之，安全要求在不斷髮展。透過企業團隊採用上述四種策略，可以在保護組織的資料方面取得重大進展。

立法，買賣盜竊個人資訊入刑，罰款不設上限。舉報可獲得30%罰款額。但是，大資料採集就是對隱私的侵犯，但大資料又是很多研發的基礎，到不如建立國家大資料庫，然後授權。避免部分公司採集一些敏感資料。

從技術角度來說，區塊鏈最早作為比特幣的技術應用，經過 10 年不斷的迭代演進，形成分散式（Decentralized）、免信任（Trustless）、時間戳（Time Stamp）、非對稱加密（Asymmetric Cryptography） 和智慧合約（Smart Contract）五大技術特徵。它的非對稱加密技術，可以保護資訊的私密性；分散式技術，透過構建分散式資料庫系統和參與者共識協議，可以保護資料的完整性，是最安全的儲存方式；而時間戳技術，透過生成一定時間段的資訊區塊和區塊之間首位相連的資料鏈，能夠形成追本溯源、可逐筆驗證、不可篡改、不可偽造的資料，每個參與者在生成資訊區塊時加蓋時間戳，能夠證明原創性和所有權歸屬。

從使用者需求角度來說，區塊鏈社交主要解決兩個需求：一、端對端即時通訊過程中的隱私安全需求，二、社交平臺上生產的資訊產權歸屬與存證。

隱私安全和保密性其實是通訊的基本需求，近代的郵局透過機構的承諾和信譽背書來滿足這種需求，早期使用的電子郵件透過 P2P 網路技術來滿足這種需求，Facebook 和微信以高度集中的模式提高了通訊的即時性，卻忽略了隱私安全。在問題未暴露前，這一需求是隱性的，但隨著問題暴露，這一需求又會重新變得顯性。所以，隱私安全不是小眾需求而是基本需求，只不過一直以來都被忽視。而社交平臺的資訊產權歸屬會隨著資訊的資產屬性逐漸凸顯，甚至會成為數字時代的基本需求。

從商業模式角度來說，區塊鏈系統的去中心化運作機制和燃料貨幣模式，提供了一種新的商業模式。去中心話運作機制指的是透過一系列公開公正的規則，可以在無人干預和管理的情況下自主執行的方式，一般一個公鏈系統的共識機制就是這個去中心組織的規則。燃料貨幣模式就是去中心化運作機制的盈利模式。任何人在使用該專案提供的服務時都會被要求使用代幣支付一定的服用（往往是較小數額），隨著使用者越來越多，就會對這些代幣產生更多需求，從而使代幣價格升值。因為在某一階段，代幣的數量肯定是有限的，且沒有人能隨意修改，升值後就可以進入二級市場進行流通。每次支付一定的費用就像給汽車加油，作為燃料使汽車能夠前行，因此叫燃料貨幣模式。基於這種燃料貨幣模式，已經有各種各樣複雜的代幣經濟模型，不同專案會設計不同的激勵方式，激勵系統中的不同角色為系統做貢獻，促使整個系統的市值不斷增長。相對於網際網路產品的免費模式來說，它是一種基於代幣體系的赤裸裸的付費模式。它的出現，起到了為網際網路技術在商業世界中的盈利模式矯枉改正的作用。

大資料帶來了新的安全問題。儘管我們的資料容量呈指數級增長，但對於許多甚至影響本地自包含資料的安全問題，我們都沒有完美的解決方案。

駭客技術超越了防禦技術，在安全領域，有一些不懷好意的人出沒於大型機構。政治和結構問題可能會對安全策略的有效性產生負面影響，組織容易受到心懷不滿的員工的惡意破壞，甚至更容易受到滿意但粗心的員工造成的破壞。

雲

內部構建大資料基礎設施是對研究、硬體、軟體和無數其他細節的重大時間和金錢投入，因此大多陣列織不會安裝自己的大資料基礎設施。因此，應該考慮雲中的大資料及其安全性。與大資料隱私相關的挑戰很少，問題可以分為四類:基礎設施安全、資料隱私、資料管理和完整性/反應性安全。

維護分散式計算框架中的安全性

分散式計算框架利用多個工作者之間的平行計算，為安全漏洞創造了機會。識別惡意或不可靠的工作計算機，並保護資料不受這些不可靠處理器的攻擊，是涉及大資料的安全解決方案的關鍵。

有兩種技術可以確保工作計算機的可靠性:

信任建立，其中工作人員經過嚴格的身份驗證，並且只有經過顯式授權的主機才授予訪問屬性。初始資格確定之後，必須定期檢查Worker屬性，以確保它們繼續符合預定義的標準。

強制訪問控制(MAC)，其中每個Worker的訪問被限制在一組非常有限的任務中。通常，在MAC系統中，使用者控制它建立的物件的能力受到高度限制。MAC向所有檔案系統物件新增標籤，定義每個物件的適當訪問許可權，以及所有使用者適當定義的訪問許可權。非關係資料儲存的最佳安全實踐

在尋找大資料管理的解決方案時，許多組織從傳統的關係資料庫遷移到NoSQL(不僅僅是結構化查詢語言)資料庫來處理非結構化資料。

NoSQL資料庫體系結構的一個巨大缺陷是安全的。NoSQL解決方案最初是作為特定於解決方案的工具構建的，以便在更大的框架中執行，將安全性留給父系統。此外，使NoSQL成為多源資料的良好解決方案的體系結構靈活性也使其容易受到攻擊。

解決方案:

應該透過應用程式或中介軟體層強制資料完整性，並且應該在任何時候使用加密——當資料處於傳輸和靜止狀態時。這意味著資料庫內容應該加密;應該使用SSL加密來連線客戶機和伺服器，從而保護處於靜止狀態的資料，並對傳輸中的資料進行額外的保護，以確保只有受信任的計算機才能訪問加密的資料。

為了維護整個系統的效能、可伸縮性和安全性，應該將NoSQL整合到一個框架中，該框架將處理系統的許多安全元件。

保留資料探勘和分析中的隱私

大資料可以實現“侵犯隱私，侵入性營銷，降低公民自由，增加國家和公司控制”。可以處理每個人收集的資訊量，以提供令人驚訝的完整圖片。因此，擁有資料的組織對其應用於其資料的安全性和使用策略負有法律責任。

嘗試匿名特定資料在保護隱私方面不成功，因為有太多可用的資料可用作識別目的的相關性。

使用者的資料也在不斷傳輸，由內部使用者和外部承包商，政府機構和共享研究資料的業務合作伙伴訪問。

解決方案：

出於法律原因，隱私必須保留，即使是以成本為代價 - 不僅僅是金錢而是系統性能。開發方法包括“差異隱私”，這是一種正式且經過驗證的模型，具有大量的系統開銷; 以及一種稱為同態加密的新興技術，它允許分析使用加密資料。更老，更標準的解決方案包括資料庫內的資料加密，訪問控制和嚴格的授權策略。保持安全補丁是最新的，另一點標準智慧，很重要。

實施隱私政策的一個重要考慮因素是法律要求因國家/地區而異，因此有必要遵守您所在國家/地區的政策。

加密的以資料為中心的安全性

應用安全控制來控制資料可見性有兩種不同的方法：首先，控制對系統的訪問，其次，對資料本身應用加密。第一種方法實施起來更容易，成本更低，效率也較低，因為它提供了所謂的更大的“攻擊面”。

如果系統被破壞，則攻擊者可以訪問所有資料。在粒度基礎上對所有資料部署加密有助於確保即使存在系統違規，資料本身仍然受到保護。

解決方案：

基於身份和屬性的加密可用於透過加密實施對單個物件的訪問控制。基於身份的系統可以加密純文字，以便只有具有特定身份的實體才能解密文字。基於屬性的加密基於屬性而不是身份應用相同的控制元件。如上所述，完整的同態加密方案即使在處理資料時也會保持資料的加密。

另一個幫助維護隱私的工具是“組簽名”的概念，它允許個體實體訪問其資料，但公開只能作為組的一部分進行識別。只有受信任的使用者才能訪問特定的身份資訊。

立法，買賣盜竊個人資訊入刑，罰款不設上限。舉報可獲得30%罰款額。但是，大資料採集就是對隱私的侵犯，但大資料又是很多研發的基礎，到不如建立國家大資料庫，然後授權。避免部分公司採集一些敏感資料。

從技術角度來說，區塊鏈最早作為比特幣的技術應用，經過 10 年不斷的迭代演進，形成分散式（Decentralized）、免信任（Trustless）、時間戳（Time Stamp）、非對稱加密（Asymmetric Cryptography） 和智慧合約（Smart Contract）五大技術特徵。它的非對稱加密技術，可以保護資訊的私密性；分散式技術，透過構建分散式資料庫系統和參與者共識協議，可以保護資料的完整性，是最安全的儲存方式；而時間戳技術，透過生成一定時間段的資訊區塊和區塊之間首位相連的資料鏈，能夠形成追本溯源、可逐筆驗證、不可篡改、不可偽造的資料，每個參與者在生成資訊區塊時加蓋時間戳，能夠證明原創性和所有權歸屬。

從使用者需求角度來說，區塊鏈社交主要解決兩個需求：一、端對端即時通訊過程中的隱私安全需求，二、社交平臺上生產的資訊產權歸屬與存證。

隱私安全和保密性其實是通訊的基本需求，近代的郵局透過機構的承諾和信譽背書來滿足這種需求，早期使用的電子郵件透過 P2P 網路技術來滿足這種需求，Facebook 和微信以高度集中的模式提高了通訊的即時性，卻忽略了隱私安全。在問題未暴露前，這一需求是隱性的，但隨著問題暴露，這一需求又會重新變得顯性。所以，隱私安全不是小眾需求而是基本需求，只不過一直以來都被忽視。而社交平臺的資訊產權歸屬會隨著資訊的資產屬性逐漸凸顯，甚至會成為數字時代的基本需求。

從商業模式角度來說，區塊鏈系統的去中心化運作機制和燃料貨幣模式，提供了一種新的商業模式。去中心話運作機制指的是透過一系列公開公正的規則，可以在無人干預和管理的情況下自主執行的方式，一般一個公鏈系統的共識機制就是這個去中心組織的規則。燃料貨幣模式就是去中心化運作機制的盈利模式。任何人在使用該專案提供的服務時都會被要求使用代幣支付一定的服用（往往是較小數額），隨著使用者越來越多，就會對這些代幣產生更多需求，從而使代幣價格升值。因為在某一階段，代幣的數量肯定是有限的，且沒有人能隨意修改，升值後就可以進入二級市場進行流通。每次支付一定的費用就像給汽車加油，作為燃料使汽車能夠前行，因此叫燃料貨幣模式。基於這種燃料貨幣模式，已經有各種各樣複雜的代幣經濟模型，不同專案會設計不同的激勵方式，激勵系統中的不同角色為系統做貢獻，促使整個系統的市值不斷增長。相對於網際網路產品的免費模式來說，它是一種基於代幣體系的赤裸裸的付費模式。它的出現，起到了為網際網路技術在商業世界中的盈利模式矯枉改正的作用。

大資料帶來了新的安全問題。儘管我們的資料容量呈指數級增長，但對於許多甚至影響本地自包含資料的安全問題，我們都沒有完美的解決方案。

駭客技術超越了防禦技術，在安全領域，有一些不懷好意的人出沒於大型機構。政治和結構問題可能會對安全策略的有效性產生負面影響，組織容易受到心懷不滿的員工的惡意破壞，甚至更容易受到滿意但粗心的員工造成的破壞。

雲

內部構建大資料基礎設施是對研究、硬體、軟體和無數其他細節的重大時間和金錢投入，因此大多陣列織不會安裝自己的大資料基礎設施。因此，應該考慮雲中的大資料及其安全性。與大資料隱私相關的挑戰很少，問題可以分為四類:基礎設施安全、資料隱私、資料管理和完整性/反應性安全。

維護分散式計算框架中的安全性

分散式計算框架利用多個工作者之間的平行計算，為安全漏洞創造了機會。識別惡意或不可靠的工作計算機，並保護資料不受這些不可靠處理器的攻擊，是涉及大資料的安全解決方案的關鍵。

有兩種技術可以確保工作計算機的可靠性:

信任建立，其中工作人員經過嚴格的身份驗證，並且只有經過顯式授權的主機才授予訪問屬性。初始資格確定之後，必須定期檢查Worker屬性，以確保它們繼續符合預定義的標準。

強制訪問控制(MAC)，其中每個Worker的訪問被限制在一組非常有限的任務中。通常，在MAC系統中，使用者控制它建立的物件的能力受到高度限制。MAC向所有檔案系統物件新增標籤，定義每個物件的適當訪問許可權，以及所有使用者適當定義的訪問許可權。非關係資料儲存的最佳安全實踐

在尋找大資料管理的解決方案時，許多組織從傳統的關係資料庫遷移到NoSQL(不僅僅是結構化查詢語言)資料庫來處理非結構化資料。

NoSQL資料庫體系結構的一個巨大缺陷是安全的。NoSQL解決方案最初是作為特定於解決方案的工具構建的，以便在更大的框架中執行，將安全性留給父系統。此外，使NoSQL成為多源資料的良好解決方案的體系結構靈活性也使其容易受到攻擊。

解決方案:

應該透過應用程式或中介軟體層強制資料完整性，並且應該在任何時候使用加密——當資料處於傳輸和靜止狀態時。這意味著資料庫內容應該加密;應該使用SSL加密來連線客戶機和伺服器，從而保護處於靜止狀態的資料，並對傳輸中的資料進行額外的保護，以確保只有受信任的計算機才能訪問加密的資料。

為了維護整個系統的效能、可伸縮性和安全性，應該將NoSQL整合到一個框架中，該框架將處理系統的許多安全元件。

保留資料探勘和分析中的隱私

大資料可以實現“侵犯隱私，侵入性營銷，降低公民自由，增加國家和公司控制”。可以處理每個人收集的資訊量，以提供令人驚訝的完整圖片。因此，擁有資料的組織對其應用於其資料的安全性和使用策略負有法律責任。

嘗試匿名特定資料在保護隱私方面不成功，因為有太多可用的資料可用作識別目的的相關性。

使用者的資料也在不斷傳輸，由內部使用者和外部承包商，政府機構和共享研究資料的業務合作伙伴訪問。

解決方案：

出於法律原因，隱私必須保留，即使是以成本為代價 - 不僅僅是金錢而是系統性能。開發方法包括“差異隱私”，這是一種正式且經過驗證的模型，具有大量的系統開銷; 以及一種稱為同態加密的新興技術，它允許分析使用加密資料。更老，更標準的解決方案包括資料庫內的資料加密，訪問控制和嚴格的授權策略。保持安全補丁是最新的，另一點標準智慧，很重要。

實施隱私政策的一個重要考慮因素是法律要求因國家/地區而異，因此有必要遵守您所在國家/地區的政策。

加密的以資料為中心的安全性

應用安全控制來控制資料可見性有兩種不同的方法：首先，控制對系統的訪問，其次，對資料本身應用加密。第一種方法實施起來更容易，成本更低，效率也較低，因為它提供了所謂的更大的“攻擊面”。

如果系統被破壞，則攻擊者可以訪問所有資料。在粒度基礎上對所有資料部署加密有助於確保即使存在系統違規，資料本身仍然受到保護。

解決方案：

基於身份和屬性的加密可用於透過加密實施對單個物件的訪問控制。基於身份的系統可以加密純文字，以便只有具有特定身份的實體才能解密文字。基於屬性的加密基於屬性而不是身份應用相同的控制元件。如上所述，完整的同態加密方案即使在處理資料時也會保持資料的加密。

另一個幫助維護隱私的工具是“組簽名”的概念，它允許個體實體訪問其資料，但公開只能作為組的一部分進行識別。只有受信任的使用者才能訪問特定的身份資訊。