大數(shù)據(jù)應(yīng)用的核心資源是數(shù)據(jù)�����,對敏感數(shù)據(jù)的安全保護成為大數(shù)據(jù)應(yīng)用安全的重中之重。同時大數(shù)據(jù)運行環(huán)境涉及網(wǎng)絡(luò)����、主機、應(yīng)用��、計算資源�����、存儲資源等各個層面���,需要具備縱深的安全防護手段�����。因此���,面對上述大數(shù)據(jù)應(yīng)用的安全挑戰(zhàn),在進行大數(shù)據(jù)應(yīng)用安全防護時應(yīng)注重兩大核心:隱私保護與計算環(huán)境安全防護���。 其一���,通過重構(gòu)分級訪問控制機制����、解構(gòu)敏感數(shù)據(jù)關(guān)聯(lián)����、實施數(shù)據(jù)全生命周期安全防護,增強大數(shù)據(jù)應(yīng)用隱私保護能力�����。 大數(shù)據(jù)應(yīng)用中往往通過對采集到的數(shù)據(jù)進行用戶PII(Personal Identifiable Information���,個人可標識信息)與UL(User Label�,用戶標簽)信息分析�����,部分大數(shù)據(jù)應(yīng)用進一步分析PII與UI關(guān)聯(lián)信息�����,從而進行定向精準營銷等應(yīng)用�����,這類應(yīng)用對隱私侵害的影響最大�,因此PII與UL兩者關(guān)聯(lián)信息是大數(shù)據(jù)隱私保護的重點,同時由于PII直接關(guān)聯(lián)各類用戶信息�����,也是大數(shù)據(jù)隱私保護的重點�。 在大數(shù)據(jù)隱私保護中,應(yīng)基于PII與UL等數(shù)據(jù)的敏感度進行分級���,進而重構(gòu)數(shù)據(jù)安全訪問控制機制��。將原始數(shù)據(jù)����、UL數(shù)據(jù)����、PII數(shù)據(jù)及PII與UL關(guān)聯(lián)數(shù)據(jù)按安全等級由低到高進行分類,并根據(jù)安全需求實施用戶身份訪問控制���、加密等不同等級安全策略�����,限制數(shù)據(jù)訪問范圍����。同時在大數(shù)據(jù)運營中應(yīng)盡可能實現(xiàn)PII數(shù)據(jù)與個人屬性數(shù)據(jù)的解構(gòu),將PII數(shù)據(jù)與UL數(shù)據(jù)分開存儲�,并為PII數(shù)據(jù)建立索引,將UL與PII的關(guān)聯(lián)通過索引表完成�����,黑客即使獲得UL信息����,也無法獲得用戶的PII信息及對應(yīng)關(guān)系,同時對索引表進行加密存儲�����,黑客即使獲得索引表���,也無法得到用戶的PII信息�。 其二,做好大數(shù)據(jù)應(yīng)用計算平臺�、分布式探針�、網(wǎng)絡(luò)與主機等基礎(chǔ)設(shè)施安全防護,提升大數(shù)據(jù)計算環(huán)境安全防御水平�����。 大數(shù)據(jù)計算環(huán)境包括網(wǎng)絡(luò)����、主機、計算平臺����、分布式探針等,針對各層面面臨的安全風(fēng)險����,應(yīng)采取如下安全對策: 首先,加固大數(shù)據(jù)計算平臺�����,提升計算環(huán)境安全性����。引入Kerberos�,建立KDC安全認證中心��,需要部署多個KDC�����,規(guī)避單點缺陷�����;基于Kerberos方式進行訪問控制與授權(quán)���;對所有元數(shù)據(jù)進行存儲加密���;在性能允許的情況下可借助KMS等工具對HDFS原始數(shù)據(jù)進行透明加密,同時配置Web控制臺和MapReduce間的隨機操作使用SSL進行加密�,配置HDFS文件傳輸器為加密傳輸。 其次�����,加強各類大數(shù)據(jù)應(yīng)用探針的安全防護�����,防止源端數(shù)據(jù)泄露或濫用。對探針設(shè)備進行安全加固����,設(shè)置安全的登錄賬號和口令���,及時更新系統(tǒng)補丁�,設(shè)置防病毒與入侵檢測����;對遠程操作進行嚴格訪問控制,限制特定IP地址訪問�;對探針登錄與操作行為進行細粒度審計;對存儲在本地的數(shù)據(jù)進行加密保護�;在探針公網(wǎng)出口實施異常流量監(jiān)控與DDoS攻擊防護。
最后����,加強對大數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)、主機�����、終端等基礎(chǔ)設(shè)施運行環(huán)境的安全防護。應(yīng)采用傳統(tǒng)安全防護手段構(gòu)建縱深安全防護體系����,在網(wǎng)絡(luò)層面進行安全域劃分,部署邊界訪問控制�����、入侵檢測/防御���、異常流量監(jiān)控�����、DDoS攻擊防御��、VPN等安全手段���;在主機層面部署入侵檢測、漏洞掃描�����、病毒防護�、操作監(jiān)控�、補丁管理等安全手段���;在終端層面部署準入控制�、終端安全管理����、漏洞掃描、病毒防護等安全手段�����。此外���,應(yīng)構(gòu)建大數(shù)據(jù)統(tǒng)一安全管控、組件監(jiān)測�、資源監(jiān)測等基礎(chǔ)安全服務(wù)設(shè)施,對大數(shù)據(jù)平臺主機����、網(wǎng)絡(luò)、大數(shù)據(jù)組件�、租戶應(yīng)用等數(shù)據(jù)進行監(jiān)控分析,實現(xiàn)大數(shù)據(jù)平臺及時預(yù)警�、全面分析�����、快速響應(yīng)的安全運營能力�����。
|
