大數據技術安防工作中的核心與策略

大數據應用的核心資源是數據，對敏感數據的安全保護成為大數據應用安全的重中之重。同時大數據運行環境涉及網路、主機、應用、計算資源、存儲資源等各個層面，需要具備縱深的安全防護手段。因此，面對上述大數據應用的安全挑戰，在進行大數據應用安全防護時應注重兩大核心：隱私保護與計算環境安全防護。

其一，通過重構分級訪問控制機制、解構敏感數據關聯、實施數據全生命周期安全防護，增強大數據應用隱私保護能力。

大數據應用中往往通過對採集到的數據進行用戶PII(Personal Identifiable Information，個人可標識信息)與UL(User Label，用戶標籤)信息分析，部分大數據應用進一步分析PII與UI關聯信息，從而進行定向精準營銷等應用，這類應用對隱私侵害的影響最大，因此PII與UL兩者關聯信息是大數據隱私保護的重點，同時由於PII直接關聯各類用戶信息，也是大數據隱私保護的重點。

在大數據隱私保護中，應基於PII與UL等數據的敏感度進行分級，進而重構數據安全訪問控制機制。將原始數據、UL數據、PII數據及PII與UL關聯數據按安全等級由低到高進行分類，並根據安全需求實施用戶身份訪問控制、加密等不同等級安全策略，限制數據訪問範圍。同時在大數據運營中應儘可能實現PII數據與個人屬性數據的解構，將PII數據與UL數據分開存儲，並為PII數據建立索引，將UL與PII的關聯通過索引表完成，黑客即使獲得UL信息，也無法獲得用戶的PII信息及對應關係，同時對索引表進行加密存儲，黑客即使獲得索引表，也無法得到用戶的PII信息。

在對數據進行分級與解構的基礎上，還應對數據實施全生命周期的安全防護。重點加強數據介面管控，對數據批量導出介面進行審批與監控，對數據介面進行定期審計與評估，規範數據介面管理，且在數據流出時對敏感數據進行脫敏處理。同時採用安全通信協議傳輸數據，如SSL/TLS、HTTPS、SFTP等，並對重要數據的傳輸根據需要進行加密。在數據銷毀時，應清除數據的所有副本，保證用戶鑒別信息、文件、目錄和資料庫記錄等資源所在的存儲空間被釋放或再分配給其他用戶前，得到完全清除。

其二，做好大數據應用計算平台、分散式探針、網路與主機等基礎設施安全防護，提升大數據計算環境安全防禦水平。

大數據計算環境包括網路、主機、計算平台、分散式探針等，針對各層面面臨的安全風險，應採取如下安全對策：

1.加固大數據計算平台安全性

引入Kerberos，建立KDC安全認證中心，需要部署多個KDC，規避單點缺陷;基於Kerberos方式進行訪問控制與授權;對所有元數據進行存儲加密;在性能允許的情況下可藉助KMS等工具對HDFS原始數據進行透明加密，同時配置Web控制台和MapReduce間的隨機操作使用SSL進行加密，配置HDFS文件傳輸器為加密傳輸。

2.加強各類大數據應用探針的安全防護

對探針設備進行安全加固，設置安全的登錄賬號和口令，及時更新系統補丁，設置防病毒與入侵檢測;對遠程操作進行嚴格訪問控制，限制特定IP地址訪問;對探針登錄與操作行為進行細粒度審計;對存儲在本地的數據進行加密保護;在探針公網出口實施異常流量監控與DDoS攻擊防護。

3.加強對大數據基礎設施運行環境的安全防護

應採用傳統安全防護手段構建縱深安全防護體系，在網路層面進行安全域劃分，部署邊界訪問控制、入侵檢測/防禦、異常流量監控、DDoS攻擊防禦、VPN等安全手段;在主機層面部署入侵檢測、漏洞掃描、病毒防護、操作監控、補丁管理等安全手段;在終端層面部署准入控制、終端安全管理、漏洞掃描、病毒防護等安全手段。此外，應構建大數據統一安全管控、組件監測、資源監測等基礎安全服務設施，對大數據平台主機、網路、大數據組件、租戶應用等數據進行監控分析，實現大數據平台及時預警、全面分析、快速響應的安全運營能力。

除非特別註明，本站所載內容來源於互聯網、微信公眾號等公開渠道，不代表本站觀點，僅供參考、交流之目的。轉載的稿件版權歸原作者或機構所有，如有侵權，請聯繫刪除。