大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)研究

◆王靖夫

數(shù)據(jù)安全與云計(jì)算

大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)研究

◆王靖夫

（河南省煙草職工培訓(xùn)中心 河南 461000）

基于構(gòu)建大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)的必要性和重要性，本文首先通過對(duì)構(gòu)建大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全架構(gòu)體系的意義和設(shè)計(jì)原則作為研究突破點(diǎn)，然后對(duì)大數(shù)據(jù)平臺(tái)中數(shù)據(jù)采集、存儲(chǔ)、分析、計(jì)算等環(huán)節(jié)的數(shù)據(jù)安全建設(shè)做出重點(diǎn)闡述和論斷，從而為優(yōu)化大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全架構(gòu)體系提供理論的借鑒和參考。希望通過本論文，能夠構(gòu)建一種安全性高、可靠性強(qiáng)的大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)，為現(xiàn)實(shí)中大數(shù)據(jù)平臺(tái)的面臨的數(shù)據(jù)安全問題提供一定的解決措施和方法。

大數(shù)據(jù)平臺(tái)；數(shù)據(jù)安全；體系架構(gòu)

當(dāng)前大數(shù)據(jù)技術(shù)在發(fā)展過程中，數(shù)據(jù)安全是當(dāng)前迫切需要解決的問題。若大數(shù)據(jù)平臺(tái)的數(shù)據(jù)出現(xiàn)泄露和丟失、盜用等現(xiàn)象，將會(huì)給企業(yè)和社會(huì)等的發(fā)展造成巨大的威脅。因此，加快對(duì)大數(shù)據(jù)平臺(tái)中數(shù)據(jù)采集、存儲(chǔ)、分析、計(jì)算等環(huán)節(jié)的安全分析就顯得十分必要，為實(shí)現(xiàn)數(shù)據(jù)安全提供可能性。

1 構(gòu)建大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)的重要意義

隨著兩化的不斷深入和融合，大數(shù)據(jù)分析系統(tǒng)主體性人群逐漸增多，零散化、片面化且不科學(xué)的管理體系對(duì)海量數(shù)據(jù)信息科學(xué)的管理起到了消極影響。因此，加快構(gòu)建大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)建設(shè)既是時(shí)代發(fā)展的必然要求，同時(shí)也是當(dāng)前大數(shù)據(jù)平臺(tái)發(fā)展過程中面臨的安全挑戰(zhàn)。不斷加強(qiáng)大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)的建設(shè)，是應(yīng)對(duì)大數(shù)據(jù)平臺(tái)所面臨安全挑戰(zhàn)的有效路徑，有利于滿足受眾對(duì)大數(shù)據(jù)平臺(tái)的安全需求，提高數(shù)據(jù)信息的安全性和可靠性，對(duì)社會(huì)經(jīng)濟(jì)的發(fā)展起著積極的促進(jìn)作用。

2 大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)的設(shè)計(jì)原則

在大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系架構(gòu)的設(shè)計(jì)過程中，首先需遵循的是全面性原則即數(shù)據(jù)安全體系架構(gòu)的構(gòu)建要貫穿整個(gè)大數(shù)據(jù)平臺(tái)安全建設(shè)的全生命周期，是局部和整體的總括。其次，要遵循的就是實(shí)用性原則，數(shù)據(jù)安全體系構(gòu)建要做到與現(xiàn)實(shí)生活的全面結(jié)合。最后是平衡性原則，在這一過程中，要做到兩個(gè)抓手，一是堅(jiān)持科學(xué)管理這個(gè)抓手，二是做到技術(shù)運(yùn)用另一個(gè)抓手，從數(shù)據(jù)信息的不同側(cè)面對(duì)數(shù)據(jù)安全做到保障，對(duì)外能夠嚴(yán)格遵循等級(jí)保護(hù)2.0標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評(píng)估的要求，而對(duì)信息內(nèi)部的管理能夠做到科學(xué)合理，實(shí)現(xiàn)數(shù)據(jù)信息和用戶信息保護(hù)的二者平衡。在大數(shù)據(jù)體系架構(gòu)的構(gòu)建過程中需要遵循的原則并不僅僅只有上述所列舉的三個(gè)，而上述原則是在實(shí)際應(yīng)用過程中需要貫穿和指導(dǎo)的原則。

3 大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全架構(gòu)體系技術(shù)的分析

3.1 數(shù)據(jù)采集安全技術(shù)

為有效保障數(shù)據(jù)采集安全需要對(duì)大數(shù)據(jù)平臺(tái)的整體架構(gòu)體系作出系統(tǒng)的設(shè)計(jì)，在建個(gè)網(wǎng)絡(luò)總體安全體系的過程中，通常要將大數(shù)據(jù)網(wǎng)絡(luò)安全域分為數(shù)據(jù)采集子域（主要包括對(duì)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的采集以及對(duì)網(wǎng)絡(luò)外部數(shù)據(jù)的采集兩大過程）、數(shù)據(jù)計(jì)算存儲(chǔ)子域（主要對(duì)不同分布列式的數(shù)據(jù)進(jìn)行存儲(chǔ)、對(duì)不同用戶信息和數(shù)據(jù)資料分類的存儲(chǔ)、以及數(shù)據(jù)信息的分發(fā)過程、數(shù)據(jù)分布式計(jì)算等設(shè)備自身所在的區(qū)域）、管理子域（包括前臺(tái)和后臺(tái)業(yè)務(wù)管理平臺(tái)、網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、數(shù)據(jù)安全的審計(jì)等設(shè)備所在的區(qū)間），在各個(gè)子域之間或各個(gè)區(qū)域的邊界處通過劃分VLAN、加強(qiáng)防火墻部署等的措施，對(duì)大數(shù)據(jù)平臺(tái)所潛藏的不同用戶信息進(jìn)行不同強(qiáng)度的防護(hù)和隔離。

3.2 數(shù)據(jù)存儲(chǔ)安全技術(shù)

大數(shù)據(jù)平臺(tái)在應(yīng)用過程中，主流的數(shù)據(jù)存儲(chǔ)方式主要有兩種，分布式文件存儲(chǔ)和分布式數(shù)據(jù)庫存儲(chǔ)。兩種不同存儲(chǔ)方式的加解密技術(shù)也是有差異的。以分布式文件數(shù)據(jù)加解密技術(shù)為例，其工作的基本原理是通過對(duì)存儲(chǔ)空間的加解密管理技術(shù)，當(dāng)存儲(chǔ)的文件需要用加密等的儲(chǔ)存方式時(shí)，大數(shù)據(jù)平臺(tái)根據(jù)用戶需求自動(dòng)存儲(chǔ)到要加密的區(qū)域，在這一過程中，通過身份證授權(quán)的合法用戶就能通過驗(yàn)證及時(shí)的訪問數(shù)據(jù)信息，用戶想要查看的數(shù)據(jù)信息也會(huì)以自動(dòng)解密的形式出現(xiàn)，而非身份認(rèn)證的非法用戶在訪問大數(shù)據(jù)平臺(tái)的數(shù)據(jù)信息時(shí)，就會(huì)出現(xiàn)無法讀取或讀取到的亂碼信息。

分布式文件的加解密過程的解密步驟有三大方面，第一，系統(tǒng)創(chuàng)建的加密區(qū)域以區(qū)域密鑰的形式保存到密鑰管理系統(tǒng)，第二，用戶在加密區(qū)域創(chuàng)建源文件或子文件時(shí)，加密組件從KMS上申請(qǐng)密鑰，加密組件proxy獲取信息密鑰后，申請(qǐng)KMS 對(duì)EDEK 進(jìn)行解密，有效達(dá)到獲取信息的目的。

3.3 數(shù)據(jù)脫敏

在這一過程中，主體用戶必須通過身份識(shí)別的形式完成技術(shù)認(rèn)證，加密數(shù)據(jù)信息，對(duì)數(shù)據(jù)進(jìn)行信息進(jìn)行完整性保護(hù)，對(duì)不同用戶的信息以ABC分類理論的形式將其重要性和嚴(yán)密性都進(jìn)行重點(diǎn)和難點(diǎn)劃分，通過運(yùn)用加密、屏蔽、變形等的形式對(duì)用戶敏感數(shù)據(jù)進(jìn)行脫敏處理，采用物理隔離和訪問受控等的手段，對(duì)不同用戶之間的數(shù)據(jù)信息進(jìn)行彼此隔離，形成兩不相交的平行支線，達(dá)到技術(shù)安全的目的，以全文檢索的形式，從多角度審視數(shù)據(jù)安全，對(duì)用戶數(shù)據(jù)采用加密、失真、匿名化的技術(shù)手段對(duì)其數(shù)據(jù)進(jìn)行隱私處理和保護(hù)，對(duì)安全基線的配置要適時(shí)調(diào)整，保證其反應(yīng)數(shù)據(jù)的實(shí)時(shí)性和數(shù)據(jù)資料的完整性。通過策略化管理的方法對(duì)大數(shù)據(jù)平臺(tái)所采集的數(shù)據(jù)信息以策略化修改、添加、刪除等的形式，提升用戶信息的隱私性，同時(shí)對(duì)數(shù)據(jù)信息的敏感性要做到制定科學(xué)的策略來審計(jì)和監(jiān)控，在Hadoop 節(jié)點(diǎn)上部署具有不同安全性能的加密網(wǎng)卡、安全探針來實(shí)現(xiàn)隱私對(duì)敏感數(shù)據(jù)的保護(hù)，在平臺(tái)數(shù)據(jù)的發(fā)布前期，技術(shù)工作人員盡量要對(duì)數(shù)據(jù)信息做全方位的性能和安全審查，以有效保障數(shù)據(jù)信息的系統(tǒng)完整。

3.4 身份認(rèn)證與數(shù)據(jù)審計(jì)

該項(xiàng)技術(shù)的基本原理是采用不同級(jí)別的分類方法，對(duì)所屬平臺(tái)的身份信息進(jìn)行管理，加密對(duì)信息權(quán)限的訪問設(shè)置，數(shù)據(jù)操作人員在訪問用戶信息的過程中，訪問記錄和操作過程都會(huì)留下印記，工作人員通過分析印記，從而有效保障用戶在訪問過程中的訪問記錄安全。訪問權(quán)限安全技術(shù)一般包括兩大方面的操作過程，一方面是訪問用戶在訪問大數(shù)據(jù)平臺(tái)的過程中需要受到訪問認(rèn)證，只有被認(rèn)證過的訪問人員才能夠進(jìn)入系統(tǒng)，也就是普遍意義上的CA身份認(rèn)證技術(shù)，該技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分，用戶在訪問平臺(tái)的安全系統(tǒng)之前，必須經(jīng)過身份認(rèn)證系統(tǒng)的識(shí)別，然后通過訪問監(jiān)控模塊，平臺(tái)系統(tǒng)根據(jù)用戶的身份和授權(quán)的相關(guān)情況從而做出回應(yīng)，決定用戶是否能夠訪問某個(gè)資源，其主要的認(rèn)證方式有多個(gè)種類，雙因子（主要指通過密碼和數(shù)字證書、數(shù)字簽名、指紋虹膜等特征二者結(jié)合的方式從而實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證）的認(rèn)證方式是當(dāng)前使用最簡(jiǎn)單且最容易實(shí)現(xiàn)的一種身份認(rèn)證技術(shù)。該技術(shù)權(quán)限管理和登錄工作都是基于口令方式進(jìn)行，當(dāng)移動(dòng)用戶在登錄計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)時(shí)，以雙因子認(rèn)證的方式獲取相關(guān)數(shù)據(jù)信息。另一方面通過以計(jì)算機(jī)網(wǎng)絡(luò)為媒介的新興網(wǎng)絡(luò)技術(shù)，數(shù)據(jù)行為審計(jì)分析機(jī)制對(duì)用戶訪問記錄和權(quán)限做行為分析，通過數(shù)據(jù)庫審計(jì)的方式，有效實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫活動(dòng)的實(shí)時(shí)記錄，從而提高數(shù)據(jù)庫操作行為的規(guī)范性和審計(jì)工作的統(tǒng)一性，當(dāng)數(shù)據(jù)庫信息遭遇風(fēng)險(xiǎn)行為時(shí)，強(qiáng)大的數(shù)據(jù)庫信息系統(tǒng)就會(huì)發(fā)出告警行為，同時(shí)對(duì)風(fēng)險(xiǎn)行為做出快速的診斷和阻斷，數(shù)據(jù)庫審計(jì)的方法有利于從內(nèi)部和外部加強(qiáng)對(duì)數(shù)據(jù)庫網(wǎng)絡(luò)信息的行為記錄，有效提升數(shù)據(jù)庫信息資產(chǎn)的安全，該項(xiàng)行為機(jī)制主要適用于審計(jì)用戶在使用過程中的數(shù)據(jù)訪問和分析機(jī)制，數(shù)據(jù)訪問和分析機(jī)制的架構(gòu)體系如表1和表2所示。

表1 用戶數(shù)據(jù)訪問認(rèn)證機(jī)制架構(gòu)

表2 用戶數(shù)據(jù)行為審計(jì)分析機(jī)制架構(gòu)

從表1用戶訪問認(rèn)證機(jī)制架構(gòu)可以了解到，用戶訪問認(rèn)證機(jī)制架構(gòu)主要包括三大方面的操作模塊，即用戶信息的注冊(cè)登錄、以終端水印、用戶水印等技術(shù)確保用戶違規(guī)操作的不可否認(rèn)性、以及確保數(shù)據(jù)安全訪問和使用的權(quán)限管控模塊，從表2用戶數(shù)據(jù)行為審計(jì)分析機(jī)制架構(gòu)體系可以看出，用戶行為審計(jì)的分析機(jī)制架構(gòu)體系包括三大模塊，對(duì)身份用戶信息的基本審計(jì)模塊、對(duì)用戶身份和操作過程的關(guān)聯(lián)分析模塊以及對(duì)事件安全風(fēng)險(xiǎn)等的高級(jí)審計(jì)過程模塊。

4 結(jié)束語

綜上所述，在信息技術(shù)迅猛發(fā)展的背景之下，大數(shù)據(jù)平臺(tái)在發(fā)揮數(shù)據(jù)價(jià)值的過程中，也存在潛在的安全隱患，數(shù)據(jù)信息泄露和數(shù)據(jù)內(nèi)容被竊取的現(xiàn)象呈現(xiàn)高發(fā)狀態(tài)，數(shù)據(jù)安全防護(hù)問題已然成為制約大數(shù)據(jù)平臺(tái)發(fā)展的一大重要因素，因此，不斷加大對(duì)大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全體系構(gòu)建的分析力度是時(shí)代發(fā)展的必然要求，本文在對(duì)大數(shù)據(jù)平臺(tái)安全架構(gòu)體系的分析過程中，探索出的一套數(shù)據(jù)安全架構(gòu)建設(shè)方案能夠?yàn)檎w大數(shù)據(jù)體系構(gòu)建和規(guī)劃提供現(xiàn)實(shí)的可能性。

[1]姚舸. 大數(shù)據(jù)平臺(tái)安全架構(gòu)體系研究[J]. 信息記錄材料，2019，20（10）：181-183.

[2]鄧?yán)? 電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)[J]. 無線互聯(lián)科技，2020，17（1）：58-61.

[3]劉枧，裴文. 貴州大數(shù)據(jù)網(wǎng)絡(luò)安全社會(huì)綜合治理體系研究[J]. 貴州警官職業(yè)學(xué)院學(xué)報(bào)，2019，31（5）：113-118.