大數(shù)據(jù)平臺(tái)安全體系探討

張曉梅

（華信咨詢?cè)O(shè)計(jì)研究院有限公司，浙江 杭州 310051）

0 引 言

在我國(guó)當(dāng)下的現(xiàn)代化建設(shè)過(guò)程中，信息技術(shù)已經(jīng)應(yīng)用到各個(gè)領(lǐng)域，并成為當(dāng)下各個(gè)行業(yè)發(fā)展的重要工具。各個(gè)行業(yè)在發(fā)展過(guò)程中，面對(duì)市場(chǎng)變革，格外重視數(shù)據(jù)分析，不斷挖掘信息的內(nèi)在價(jià)值，以期幫助企業(yè)實(shí)現(xiàn)進(jìn)一步的發(fā)展。然而，海量數(shù)據(jù)的安全問(wèn)題越來(lái)越受到人們的關(guān)注。

1 大數(shù)據(jù)平臺(tái)下的安全隱患

相較于傳統(tǒng)形式下的安全問(wèn)題，大數(shù)據(jù)平臺(tái)安全包含物理層面的安全、設(shè)備安全、網(wǎng)絡(luò)安全以及數(shù)據(jù)庫(kù)安全等內(nèi)容[1]。大數(shù)據(jù)平臺(tái)如圖1所示。

圖1 大數(shù)據(jù)平臺(tái)

1.1 數(shù)據(jù)采集

當(dāng)下，大數(shù)據(jù)的數(shù)據(jù)來(lái)源較為復(fù)雜多變，海量數(shù)據(jù)既存在結(jié)構(gòu)化的數(shù)據(jù)信息，同時(shí)也存在一些非結(jié)構(gòu)化的數(shù)據(jù)信息，這對(duì)數(shù)據(jù)的合規(guī)性以及真實(shí)性提出了更高的要求。數(shù)據(jù)的準(zhǔn)確性與質(zhì)量會(huì)直接對(duì)數(shù)據(jù)使用造成影響[2]。

1.2 數(shù)據(jù)傳輸

受到當(dāng)下網(wǎng)絡(luò)攻擊技術(shù)發(fā)展的影響，數(shù)據(jù)傳輸過(guò)程對(duì)網(wǎng)絡(luò)防御體系提出了更高的要求[3]。大數(shù)據(jù)信息傳輸過(guò)程往往會(huì)受到諸多不法分子的關(guān)注。一旦攻擊成功，不法分子便可以竊取到大量數(shù)據(jù)信息。這會(huì)造成嚴(yán)重的信息數(shù)據(jù)損失。

1.3 數(shù)據(jù)存儲(chǔ)

當(dāng)下，大數(shù)據(jù)自身的龐大規(guī)模對(duì)于數(shù)據(jù)的存儲(chǔ)構(gòu)架提出了全新的要求。大數(shù)據(jù)來(lái)源呈現(xiàn)出多樣化的特征，不同來(lái)源的數(shù)據(jù)結(jié)構(gòu)也較為多樣化，使得傳統(tǒng)形式下的結(jié)構(gòu)化存儲(chǔ)系統(tǒng)無(wú)法滿足大數(shù)據(jù)存儲(chǔ)的實(shí)際需求[4]。

1.4 數(shù)據(jù)處理

由于大數(shù)據(jù)體量龐大，一些重要數(shù)據(jù)信息的泄露風(fēng)險(xiǎn)隨之增加。大數(shù)據(jù)往往包含大量個(gè)人信息、屬性信息以及行為信息。在實(shí)際的大數(shù)據(jù)傳輸過(guò)程中，如果無(wú)法保障這些數(shù)據(jù)的安全，就會(huì)使一些個(gè)人隱私信息出現(xiàn)外泄的風(fēng)險(xiǎn)，由此造成個(gè)人經(jīng)濟(jì)損失[5]。使用數(shù)據(jù)時(shí)，可以基于交叉檢驗(yàn)的方式實(shí)現(xiàn)簡(jiǎn)單脫敏的數(shù)據(jù)處理。

1.5 數(shù)據(jù)應(yīng)用

大數(shù)據(jù)平臺(tái)的設(shè)計(jì)主要是基于各種類型的數(shù)據(jù)應(yīng)用構(gòu)建出相應(yīng)的應(yīng)用平臺(tái)，同時(shí)也需要對(duì)這些應(yīng)用進(jìn)行細(xì)粒度的訪問(wèn)控制，并對(duì)每一個(gè)數(shù)據(jù)信息采用基于生命周期的方式進(jìn)行管理。然而，這樣的管理模式無(wú)法很好地預(yù)置每一個(gè)單位的權(quán)限[6]。另外，不同用戶對(duì)數(shù)據(jù)的實(shí)際使用需求不同，不同的場(chǎng)景也會(huì)對(duì)權(quán)限造成一定的影響，進(jìn)一步提升了當(dāng)下數(shù)據(jù)管理的難度。

1.6 審計(jì)管理

在當(dāng)下的審計(jì)管理工作中，多組件、多維度及多用戶的審計(jì)信息方式，直接增加了審計(jì)信息的關(guān)聯(lián)分析難度系數(shù)，導(dǎo)致實(shí)際的數(shù)據(jù)關(guān)聯(lián)性分析出現(xiàn)一定程度的短板效應(yīng)，同時(shí)，也會(huì)對(duì)之后的信息處理工作造成一定的問(wèn)題[7]。

2 傳統(tǒng)網(wǎng)絡(luò)安全與大數(shù)據(jù)平臺(tái)的安全比較分析

傳統(tǒng)網(wǎng)絡(luò)的安全性以網(wǎng)絡(luò)安全為主，涉及基礎(chǔ)設(shè)施、網(wǎng)絡(luò)及系統(tǒng)等方面的安全。大數(shù)據(jù)平臺(tái)的安全性主要涉及信息安全，在傳統(tǒng)安全內(nèi)容的基礎(chǔ)上，添加了數(shù)據(jù)信息方面的安全考量。因此，當(dāng)下的安全分析需要進(jìn)行安全思維的轉(zhuǎn)變，從原本的網(wǎng)絡(luò)安全有效地轉(zhuǎn)變?yōu)樾畔⒎矫娴陌踩剂縖8]。

3 大數(shù)據(jù)平臺(tái)的安全框架

大數(shù)據(jù)平臺(tái)的安全管理體系由數(shù)據(jù)采集安全、數(shù)據(jù)存儲(chǔ)處理安全、數(shù)據(jù)應(yīng)用安全以及基礎(chǔ)設(shè)施安全4個(gè)方面構(gòu)成。在實(shí)際的設(shè)計(jì)過(guò)程中，數(shù)據(jù)采集安全模塊主要負(fù)責(zé)一些接入和權(quán)限管理以及數(shù)據(jù)校驗(yàn)等；數(shù)據(jù)存儲(chǔ)處理安全模塊是對(duì)數(shù)據(jù)保密、數(shù)據(jù)可用以及多租戶的管理服務(wù)；數(shù)據(jù)應(yīng)用安全模塊也是對(duì)接入安全、操作控制以及數(shù)據(jù)保密等進(jìn)行處理[9,10]。

4 基礎(chǔ)設(shè)施安全

4.1 網(wǎng)絡(luò)防火墻

大數(shù)據(jù)平臺(tái)網(wǎng)絡(luò)的邊界位置需要構(gòu)建網(wǎng)絡(luò)防火墻，這樣既可以很好地利用防火墻實(shí)現(xiàn)網(wǎng)絡(luò)層的隔離，并對(duì)訪問(wèn)行為進(jìn)行針對(duì)性地控制。網(wǎng)絡(luò)防火墻需要基于默認(rèn)拒絕配置的方式，通過(guò)源地址、服務(wù)協(xié)議以及目的地址的方式，實(shí)施較為嚴(yán)格的訪問(wèn)控制。網(wǎng)絡(luò)防火墻應(yīng)用如圖2所示。

圖2 防火墻示意圖

4.2 入侵檢測(cè)

在大數(shù)據(jù)平臺(tái)構(gòu)建過(guò)程中，在一些關(guān)鍵性的節(jié)點(diǎn)，如網(wǎng)絡(luò)邊界出口，需要部署入侵檢測(cè)系統(tǒng)，以此對(duì)每一個(gè)入侵行為進(jìn)行監(jiān)控。一旦發(fā)現(xiàn)入侵行為，如發(fā)現(xiàn)端口掃描、強(qiáng)力供給、木馬后門供給以及緩沖區(qū)溢出的攻擊行為，就要對(duì)行為進(jìn)行告警，明確具體的攻擊行為信息并全程記錄。入侵檢測(cè)系統(tǒng)需要具有特征匹配的功能，同時(shí)可以實(shí)現(xiàn)協(xié)議分析，在出現(xiàn)嚴(yán)重入侵行為時(shí)，可以馬上發(fā)出預(yù)警信息。

5 數(shù)據(jù)采集安全設(shè)計(jì)

5.1 接入安全

數(shù)據(jù)采集過(guò)程往往需要對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行相應(yīng)的配置采集，同時(shí)明確采集源端以及目標(biāo)端的路由，對(duì)訪問(wèn)連接的范疇進(jìn)行有效控制。

5.2 權(quán)限管理

權(quán)限管理過(guò)程涉及到數(shù)據(jù)采集工作。在實(shí)際的管理過(guò)程中，首先需要對(duì)文件服務(wù)器進(jìn)行設(shè)置，其次要在構(gòu)建的數(shù)據(jù)庫(kù)中，實(shí)現(xiàn)賬號(hào)密碼的驗(yàn)證，以此保障信息采集的合法性。同時(shí)，不同的系統(tǒng)需要配置獨(dú)立的賬號(hào)，避免出現(xiàn)不同系統(tǒng)共用賬號(hào)的問(wèn)題。數(shù)據(jù)采集的賬號(hào)還需定期進(jìn)行更新處理。

賬號(hào)權(quán)限管理過(guò)程是在數(shù)據(jù)采集流程設(shè)置合理的文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等服務(wù)器類型，以此形成不同的賬號(hào)權(quán)限。對(duì)于不同的賬號(hào)而言，賬號(hào)分配要具備相對(duì)獨(dú)立的數(shù)據(jù)存放空間，保證不同賬號(hào)都能隔離保存。

用戶采集到數(shù)據(jù)后，要有效管理數(shù)據(jù)，不能處理操作權(quán)限之外的數(shù)據(jù)信息。

5.3 數(shù)據(jù)校驗(yàn)

數(shù)據(jù)校驗(yàn)是基于系統(tǒng)數(shù)據(jù)與采集層數(shù)據(jù)的一致性檢測(cè)。在數(shù)據(jù)校驗(yàn)過(guò)程中，要保證實(shí)際內(nèi)容與接口協(xié)議一致。數(shù)據(jù)檢驗(yàn)過(guò)程也要對(duì)操作合法性進(jìn)行檢驗(yàn)，以此保障數(shù)據(jù)傳輸過(guò)程具有較高的安全性。例如，在為一些源端提供數(shù)據(jù)信息的過(guò)程中，要對(duì)文件進(jìn)行檢驗(yàn)，對(duì)于數(shù)據(jù)進(jìn)行安全檢驗(yàn)后，讓數(shù)據(jù)優(yōu)先進(jìn)入隔離區(qū)。只有通過(guò)了較為嚴(yán)格的檢測(cè)，數(shù)據(jù)才能進(jìn)入大數(shù)據(jù)平臺(tái)。

6 結(jié) 論

隨著生活生產(chǎn)中大量數(shù)據(jù)信息的形成，人們?cè)桨l(fā)重視大數(shù)據(jù)的使用安全。因此，大數(shù)據(jù)平臺(tái)需要利用高效率的大數(shù)據(jù)安全系統(tǒng)實(shí)現(xiàn)對(duì)大數(shù)據(jù)的安全防護(hù)，從而有效構(gòu)建并完善大數(shù)據(jù)安全體系。