一種基于大數(shù)據(jù)處理平臺(tái)的安全防護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及大數(shù)據(jù)的應(yīng)用技術(shù),具體是一種基于大數(shù)據(jù)處理平臺(tái)的安全防護(hù)方法。
【背景技術(shù)】
[0002]當(dāng)前隨著物聯(lián)網(wǎng)、云計(jì)算等新一代信息通信技術(shù)的發(fā)展,信息系統(tǒng)架構(gòu)演變也隨之變化,從傳統(tǒng)信息系統(tǒng)三層架構(gòu)(數(shù)據(jù)庫(kù)、服務(wù)器、PC機(jī)),轉(zhuǎn)變?yōu)槲磥?lái)信息系統(tǒng)三層架構(gòu)(大數(shù)據(jù)、云計(jì)算、智能終端)。因此,如何建立一套基于大數(shù)據(jù)處理平臺(tái)技術(shù)的安全防護(hù)方法已成為必然趨勢(shì)。
[0003]隨著大數(shù)據(jù)系統(tǒng)的應(yīng)用越來(lái)越廣泛,其安全性非常重要:大數(shù)據(jù)市場(chǎng)年增迅速,近5年平均增速50%以上,數(shù)據(jù)爆發(fā)式增長(zhǎng),使得信息成為戰(zhàn)略資產(chǎn);大數(shù)據(jù)技術(shù)影響到國(guó)家治理、企業(yè)決策和人民生活等等;然而對(duì)大數(shù)據(jù)應(yīng)用給信息安全提出了新的挑戰(zhàn)(數(shù)據(jù)泄密影響重大:saleforce、GooglegTalk、CSDN,天涯等相繼被曝用戶數(shù)據(jù)泄漏;制約大數(shù)據(jù)業(yè)務(wù)的融合和應(yīng)用發(fā)展);安全威脅大大提高,攻擊者背景更加復(fù)雜(安全威脅的目標(biāo)性、隱蔽性、破壞性都大大增加,攻擊者的動(dòng)機(jī)、目的、方法變得更加復(fù)雜);針對(duì)云計(jì)算的大數(shù)據(jù)應(yīng)用的攻擊成為新的攻擊方向。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于大數(shù)據(jù)處理平臺(tái)的安全防護(hù)方法,有效地解決了大數(shù)據(jù)處理平臺(tái)的安全性問(wèn)題,大大提高了大數(shù)據(jù)處理平臺(tái)的運(yùn)行安全性和運(yùn)維工作效率。
[0005]為實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案:
[0006]—種基于大數(shù)據(jù)處理平臺(tái)的安全防護(hù)方法,利用基于大數(shù)據(jù)安全處理平臺(tái)的系統(tǒng)從包括訪問(wèn)安全、存儲(chǔ)安全、內(nèi)容安全和運(yùn)維安全在內(nèi)的這四個(gè)方面進(jìn)行安全防護(hù);訪問(wèn)安全包括訪問(wèn)權(quán)限認(rèn)證,流量和訪問(wèn)質(zhì)量控制,用戶訪問(wèn)行為監(jiān)控,訪問(wèn)敏感信息告警、阻斷和追蹤;存儲(chǔ)安全包括存儲(chǔ)介質(zhì)加密訪問(wèn)技術(shù),文件加密存儲(chǔ)技術(shù),分布式存儲(chǔ)分片加密和解密技術(shù),數(shù)據(jù)備份和容災(zāi);內(nèi)容安全包括大數(shù)據(jù)去隱私化技術(shù)和多維度審計(jì)技術(shù),其中,大數(shù)據(jù)去隱私化技術(shù)包括數(shù)據(jù)加密、限制發(fā)布和數(shù)據(jù)失真,多維度審計(jì)技術(shù)包括用戶、數(shù)據(jù)對(duì)象、字段、敏感內(nèi)容方面的審計(jì);運(yùn)維安全包括安全策略管理,系統(tǒng)安全審計(jì),用戶和權(quán)限管理,配置基線檢查,漏洞和補(bǔ)丁管理。
[0007]作為本發(fā)明進(jìn)一步的方案:所述的基于大數(shù)據(jù)安全處理平臺(tái)的系統(tǒng)包括數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)處理層、應(yīng)用接口層、業(yè)務(wù)支撐層和安全運(yùn)維管理層;業(yè)務(wù)支撐層依次通過(guò)應(yīng)用接口層、數(shù)據(jù)處理層與數(shù)據(jù)存儲(chǔ)層交互信息,安全運(yùn)維管理層分別與數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)處理層、應(yīng)用接口層交互信息。
[0008]作為本發(fā)明進(jìn)一步的方案:所述的數(shù)據(jù)存儲(chǔ)層由HDFS/Hbase/Hive/DB組成安全訪問(wèn)認(rèn)證模塊;所述的數(shù)據(jù)處理層由去隱私化加載模塊、策略化數(shù)據(jù)抽取、大數(shù)據(jù)多維度審計(jì)、大數(shù)據(jù)訪問(wèn)監(jiān)控、批量加載服務(wù)、分析查詢服務(wù)、數(shù)據(jù)迀移轉(zhuǎn)換服務(wù)、數(shù)據(jù)定義服務(wù)、Hadoop*接口、數(shù)據(jù)庫(kù)接口、全文檢索接口組成安全大數(shù)據(jù)處理引擎;所述的應(yīng)用接口層由數(shù)據(jù)訪問(wèn)接口組成安全訪問(wèn)認(rèn)證模塊;所述的業(yè)務(wù)支撐層由至少一種業(yè)務(wù)組成;所述的安全運(yùn)維管理層包括安全策略管理、安全審計(jì)、訪問(wèn)安全、配置基線檢查、系統(tǒng)監(jiān)控和版本補(bǔ)丁管理,其中,安全策略管理包括策略管理和策略部署,安全審計(jì)包括審計(jì)管理、事件管理和關(guān)聯(lián)分析,訪問(wèn)安全包括身份認(rèn)證和弱口令檢查,配置基線檢查包括合規(guī)檢查、變更管理和基線監(jiān)控,系統(tǒng)監(jiān)控包括漏洞掃描、狀態(tài)監(jiān)控和資源監(jiān)控,版本補(bǔ)丁管理包括版本檢測(cè)、補(bǔ)丁分發(fā)和升級(jí)管理。
[0009]作為本發(fā)明進(jìn)一步的方案:具體步驟為:
[0010]—,訪問(wèn)安全防護(hù),包括數(shù)據(jù)訪問(wèn)權(quán)限控制、數(shù)據(jù)訪問(wèn)流量控制、數(shù)據(jù)訪問(wèn)傳輸控制、敏感信息訪問(wèn)控制四個(gè)方面;
[0011]數(shù)據(jù)訪問(wèn)權(quán)限控制:首先分權(quán)分域;其次數(shù)據(jù)網(wǎng)關(guān),聚合數(shù)據(jù)訪問(wèn),支持內(nèi)外網(wǎng)分離,多網(wǎng)絡(luò)負(fù)載均衡、數(shù)據(jù)訪問(wèn)方式,進(jìn)行清洗、轉(zhuǎn)換、加載、查詢、挖掘;
[0012]數(shù)據(jù)訪問(wèn)流量控制:首先流量控制技術(shù);其次防止互聯(lián)網(wǎng)廣播風(fēng)暴,或者病毒/木馬造成網(wǎng)絡(luò)癱瘓;
[0013]數(shù)據(jù)訪問(wèn)傳輸控制:首先軟件加密傳輸,傳輸之間進(jìn)行數(shù)據(jù)加密;其次安全網(wǎng)絡(luò)協(xié)議,建立安全信息通道;再次系統(tǒng)安全認(rèn)證,包括基于口令的安全認(rèn)證、基于密鑰的安全認(rèn)證;
[0014]敏感信息訪問(wèn)控制:首先訪問(wèn)敏感信息監(jiān)控和告警;其次針對(duì)異常訪問(wèn)的操作限制;
[0015]二,內(nèi)容安全防護(hù),包括大數(shù)據(jù)去隱私化和大數(shù)據(jù)多維度審計(jì)兩方面;大數(shù)據(jù)去隱私化包括基于失真的隱私保護(hù)技術(shù)、基于加密的隱私保護(hù)技術(shù)、基于限制發(fā)布信息的隱私保護(hù)技術(shù);大數(shù)據(jù)多維度審計(jì)包括對(duì)象審計(jì)、敏感字段、敏感內(nèi)容、訪問(wèn)行為和訪問(wèn)行為,對(duì)象審計(jì)包括對(duì)象屬性的約束、訪問(wèn)和操作權(quán)限、訪問(wèn)阻斷和告警,敏感字段包括字段屬性的約束、訪問(wèn)和操作權(quán)限、訪問(wèn)記錄與監(jiān)控,敏感內(nèi)容包括敏感記錄訪問(wèn)、敏感信息過(guò)濾、敏感信息統(tǒng)計(jì),訪問(wèn)行為包括訪問(wèn)頻率統(tǒng)計(jì)、用戶訪問(wèn)軌跡、用戶行為趨勢(shì);
[0016]三,存儲(chǔ)安全防護(hù),包括存儲(chǔ)認(rèn)證、數(shù)據(jù)加密、副本和分片、備份容災(zāi)、數(shù)據(jù)備份容災(zāi)和存儲(chǔ)認(rèn)證;存儲(chǔ)認(rèn)證包括第三方認(rèn)證系統(tǒng)對(duì)用戶和權(quán)限進(jìn)行設(shè)置和認(rèn)證;數(shù)據(jù)加密包括數(shù)據(jù)條、對(duì)象、文件不同粒度的加密和解密技術(shù);副本和分片包括數(shù)據(jù)多副本級(jí)副本擺放和訪問(wèn)策略,數(shù)據(jù)分片和冗余存儲(chǔ);備份容災(zāi)包括數(shù)據(jù)導(dǎo)入導(dǎo)出、備份恢復(fù)和容災(zāi)方案;數(shù)據(jù)備份容災(zāi)包括數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)和數(shù)據(jù)容災(zāi),數(shù)據(jù)備份包括數(shù)據(jù)快照、完全備份、增量備份、條件導(dǎo)出、副本和壓縮,數(shù)據(jù)恢復(fù)包括數(shù)據(jù)導(dǎo)入、數(shù)據(jù)迀移、批量導(dǎo)入和索引維護(hù),數(shù)據(jù)容災(zāi)包括數(shù)據(jù)同步、一致性檢查、遠(yuǎn)程鏡像、異地容災(zāi)和故障切換;
[0017]四,運(yùn)維安全防護(hù),包括用戶身份認(rèn)證技術(shù)、配置基線、版本和補(bǔ)丁檢測(cè)、安全審計(jì)、漏洞掃描、系統(tǒng)監(jiān)控;
[0018]用戶身份認(rèn)證技術(shù)包括用戶擁有的東西、用戶的身體特征、多因素結(jié)合認(rèn)證、用戶知道的信息;其中多因素結(jié)合認(rèn)證包括動(dòng)態(tài)口令+靜態(tài)密碼、USB key+靜態(tài)密碼,用戶知道的信息包括用戶名、密碼、密碼提示信息、驗(yàn)證碼;
[0019]配置基線:從快速檢索系統(tǒng)安全配置的自動(dòng)解決方案;確保關(guān)鍵的可執(zhí)行文件、配置文件的內(nèi)容、權(quán)限、屬性不被惡意修改配置基線的完整性/合法性檢查、變更管理與監(jiān)控;
[0020]版本和補(bǔ)丁檢測(cè)包括:I)軟件版本,包括子系統(tǒng)軟件版本號(hào)、Patch版本號(hào)、廠家包版本號(hào);2)軟件補(bǔ)丁,包括版本檢測(cè)、補(bǔ)丁分發(fā)、升級(jí);
[0021]安全審計(jì):包括網(wǎng)絡(luò)安全審計(jì)、數(shù)據(jù)庫(kù)安全審計(jì)、業(yè)務(wù)運(yùn)維安全審計(jì)和日志審計(jì);
[0022]漏洞掃描,包括利用特征匹配技術(shù)、插件技術(shù)對(duì)應(yīng)用軟件漏洞、操作系統(tǒng)漏洞進(jìn)行掃描,其中,特征匹配技術(shù)是基于規(guī)則的模式特征匹配;插件技術(shù)是調(diào)用插件進(jìn)行檢測(cè),包括錯(cuò)誤配置、簡(jiǎn)單口令、網(wǎng)絡(luò)協(xié)議漏洞技術(shù);
[0023]系統(tǒng)監(jiān)控結(jié)構(gòu)包括集中存儲(chǔ)、聚合分析、系統(tǒng)告警、運(yùn)維優(yōu)化和信息采集;集中存儲(chǔ)包括數(shù)據(jù)匯聚、信息規(guī)整、分布存儲(chǔ)和批量入庫(kù);聚合分析包括分類統(tǒng)計(jì)、聚集計(jì)算和異常檢測(cè);系統(tǒng)告警包括告警級(jí)別、告警方式和告警響應(yīng)機(jī)制;運(yùn)維優(yōu)化包括管理策略調(diào)整、故障處理和參數(shù)優(yōu)化;信息采集包括CPU、內(nèi)存、網(wǎng)絡(luò)、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)和應(yīng)用業(yè)務(wù)。
[0024]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:
[0025]本發(fā)明有效地解決了大數(shù)據(jù)處理平臺(tái)的安全性問(wèn)題,極大改善了現(xiàn)有的運(yùn)維的方式,填補(bǔ)了大數(shù)據(jù)處理平臺(tái)安全領(lǐng)域的空白,大大提高了大數(shù)據(jù)處理平臺(tái)的運(yùn)行安全性和運(yùn)維工作效率,是對(duì)現(xiàn)有的大數(shù)據(jù)安全處理模式的重大改革和突破。
【附圖說(shuō)明】
[0026]圖1為本發(fā)明提供的基于大數(shù)據(jù)系統(tǒng)安全技術(shù)體系圖;
[0027]圖2為本發(fā)明提供的基于大數(shù)據(jù)安全處理平臺(tái)的系統(tǒng)架構(gòu)圖;
[0028]圖3為本發(fā)明提供的數(shù)據(jù)訪問(wèn)權(quán)限控制圖;
[0029]圖4為本發(fā)明提供的大數(shù)據(jù)系統(tǒng)存儲(chǔ)安全結(jié)構(gòu)圖;
[0030]圖5為本發(fā)明提供的大數(shù)據(jù)系統(tǒng)運(yùn)維安