一種分布式大數(shù)據(jù)的數(shù)據(jù)安全管控策略研究

王曉卉++孫玉林

摘要： 系統(tǒng)安全策略包含了為不同節(jié)點(diǎn)和各種服務(wù)設(shè)計(jì)的安全驗(yàn)證，用戶安全策略賦與了用戶自定義安全規(guī)則的能力，應(yīng)用于用戶自己的分布任務(wù)組件和數(shù)據(jù)存取上，有助于強(qiáng)化數(shù)據(jù)處理過(guò)程中用戶的數(shù)據(jù)安全。本文提出一種基于分布式大數(shù)據(jù)的數(shù)據(jù)安全管控策略，有效解決了大數(shù)據(jù)系統(tǒng)的數(shù)據(jù)面臨的被竊取和被篡改風(fēng)險(xiǎn)。

關(guān)鍵詞：數(shù)據(jù)安全 安全管控 集群

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）10-0212-01

1 引言

隨著大數(shù)據(jù)技術(shù)的不斷發(fā)展，分布式系統(tǒng)網(wǎng)絡(luò)通信安全問(wèn)題引起了越來(lái)越高的關(guān)注。安全問(wèn)題將直接影響大數(shù)據(jù)在關(guān)鍵部門及領(lǐng)域的應(yīng)用和普及速度，一方面，某些部門和領(lǐng)域的敏感數(shù)據(jù)不斷聚集，形成的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)不斷增長(zhǎng)，隨之產(chǎn)生了海量異構(gòu)數(shù)據(jù)的融合、存儲(chǔ)和管理的問(wèn)題，需要一種能在確保數(shù)據(jù)安全的前提下，進(jìn)行數(shù)據(jù)分析與挖掘處理的方法；另一方面，隨著危害網(wǎng)絡(luò)安全技術(shù)的不斷更新，傳統(tǒng)的數(shù)據(jù)分析方法存在諸多缺陷，特別是對(duì)于開源的Hadoop等系統(tǒng)，安全系統(tǒng)相互獨(dú)立，無(wú)有效手段協(xié)同工作，面臨的安全威脅日益顯現(xiàn)，動(dòng)搖了傳統(tǒng)的安全分析方法。

2 數(shù)據(jù)安全管控策略研究現(xiàn)狀

傳統(tǒng)解決分布式大數(shù)據(jù)系統(tǒng)數(shù)據(jù)安全問(wèn)題，采用的解決方案是構(gòu)建基于規(guī)則和特征的分析引擎。安全信息與事件分析系統(tǒng)為來(lái)自企業(yè)和組織中所有IT資源產(chǎn)生的安全信息進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控、歷史分析，對(duì)來(lái)自外部的入侵和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證、出具各種報(bào)表報(bào)告，實(shí)現(xiàn)IT資源合規(guī)性管理的目標(biāo)，同時(shí)提升企業(yè)和組織的安全運(yùn)營(yíng)、威脅管理和應(yīng)急響應(yīng)能力。

綜上所述，當(dāng)前分布式大數(shù)據(jù)安全管控方法，通過(guò)設(shè)置規(guī)則庫(kù)和特征庫(kù)，采用基于規(guī)則和特征的分析引擎。這種方法的缺點(diǎn)是規(guī)則庫(kù)和特征庫(kù)的滯后性導(dǎo)致的安全策略固態(tài)化。由于進(jìn)入規(guī)則庫(kù)和特征庫(kù)的過(guò)濾規(guī)則只能是技術(shù)人員可預(yù)測(cè)、已知的攻擊類型和威脅類型，無(wú)法動(dòng)態(tài)的添加安全策略規(guī)則，所以該策略無(wú)法防范未知攻擊和尚未被描述成規(guī)則的攻擊和威脅。另一方面，當(dāng)前分布式大數(shù)據(jù)處理系統(tǒng)在網(wǎng)絡(luò)通訊防竊取與防篡改技術(shù)上存在缺陷。

3 一種分布式大數(shù)據(jù)的數(shù)據(jù)安全管控策略

一種分布式大數(shù)據(jù)的安全管控策略，通過(guò)構(gòu)件化的方法解決分布式系統(tǒng)不同模塊對(duì)安全等級(jí)的需求不同的問(wèn)題，動(dòng)態(tài)調(diào)整系統(tǒng)安全級(jí)別。通過(guò)設(shè)置各層安全架構(gòu)策略，解決分布式系統(tǒng)網(wǎng)絡(luò)通訊過(guò)程中竊取和篡改的安全威脅。應(yīng)用SHA1簽名可以保證網(wǎng)絡(luò)間傳輸?shù)膬?nèi)容正確性，系統(tǒng)安全策略包含了為不同節(jié)點(diǎn)和各種服務(wù)設(shè)計(jì)的安全驗(yàn)證，用戶安全策略賦與了用戶自定義安全規(guī)則的能力，應(yīng)用于用戶自己的分布任務(wù)組件和數(shù)據(jù)存取上，有助于強(qiáng)化數(shù)據(jù)處理過(guò)程中用戶的數(shù)據(jù)安全。具體步驟如下：

步驟1：將分布式大數(shù)據(jù)系統(tǒng)分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個(gè)部分。內(nèi)部網(wǎng)絡(luò)由集群的所有權(quán)人負(fù)責(zé)實(shí)施和管理，是安全網(wǎng)絡(luò)；外部網(wǎng)絡(luò)是用戶負(fù)責(zé)范圍，用戶通過(guò)互聯(lián)網(wǎng)或者VPN的方式遠(yuǎn)程登錄進(jìn)入分布式集群執(zhí)行數(shù)據(jù)操作，是不安全網(wǎng)絡(luò)。

步驟2：設(shè)置內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，內(nèi)部網(wǎng)絡(luò)地址采用的IP段為192.168.53.10—192.168.53.255。

步驟3：設(shè)置網(wǎng)關(guān)節(jié)點(diǎn)為192.168.53.1，采用SHA1算法簽名，數(shù)據(jù)通信采用RSA加密后，再進(jìn)行對(duì)稱加密、系統(tǒng)安全策略、簽名和用戶安全策略。

步驟4：進(jìn)入通訊安全管理層面。判斷是否是內(nèi)部網(wǎng)絡(luò)通訊，如果是，則關(guān)閉安全通訊策略，執(zhí)行步驟5；如果否，執(zhí)行步驟6。

步驟5：外部網(wǎng)絡(luò)的網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)具有客戶機(jī)/服務(wù)器的雙重身份。在每一次網(wǎng)絡(luò)通信開始時(shí)，為了確?？蛻魴C(jī)是可以信任的，服務(wù)器要求客戶機(jī)出示通信安全憑證。這個(gè)憑證將保證雙方在安全的狀態(tài)下通信。通信安全憑證在FIXP服務(wù)器上配置，里面保存了客戶機(jī)必須出示的信息。安全通信類型分為三種：地址驗(yàn)證、賬號(hào)驗(yàn)證、地址/賬號(hào)復(fù)合驗(yàn)證。當(dāng)服務(wù)器要求出示安全憑證時(shí)，客戶機(jī)必須遵守這個(gè)協(xié)定，向服務(wù)器出示自己的安全憑證，否則通信將被服務(wù)器中止。通過(guò)安全憑證檢測(cè)后，可以確定網(wǎng)絡(luò)兩端間傳輸?shù)臄?shù)據(jù)是正確和可信任的，這樣就為后續(xù)的數(shù)據(jù)處理提供了一個(gè)基本的安全保障。

步驟6：執(zhí)行節(jié)點(diǎn)準(zhǔn)入制度。一個(gè)節(jié)點(diǎn)若要向另一個(gè)節(jié)點(diǎn)發(fā)起命令請(qǐng)求，必須首先以客戶機(jī)的身份登錄它的服務(wù)器節(jié)點(diǎn)，客戶機(jī)發(fā)出的每一條命令，都要接受服務(wù)器的驗(yàn)證和檢查。

步驟7：用戶登錄使用前端節(jié)點(diǎn)。登錄用戶可以自由組織數(shù)據(jù)內(nèi)容和數(shù)據(jù)格式。組織方式采用系統(tǒng)提供的可類化接口，在發(fā)送前，把數(shù)據(jù)按照自己理解的數(shù)據(jù)格式，用各種方式編排在一起，在接收后，再重新拆解。

步驟8：當(dāng)數(shù)據(jù)塊從緩存狀態(tài)轉(zhuǎn)向文件狀態(tài)過(guò)程中，系統(tǒng)計(jì)算這個(gè)數(shù)據(jù)塊的數(shù)據(jù)內(nèi)容，生成一個(gè)256位的簽名，做為校驗(yàn)碼保存到數(shù)據(jù)塊里。當(dāng)數(shù)據(jù)節(jié)點(diǎn)重新啟動(dòng)，或者數(shù)據(jù)塊被加載到內(nèi)存，或者通過(guò)網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)數(shù)據(jù)節(jié)點(diǎn)，系統(tǒng)會(huì)重新根據(jù)數(shù)據(jù)內(nèi)容再次生成一個(gè)校驗(yàn)碼，與已經(jīng)存在的校驗(yàn)碼進(jìn)行比較，確認(rèn)數(shù)據(jù)的完整性，以保證后續(xù)數(shù)據(jù)處理的數(shù)據(jù)本身是正確的。

步驟9：數(shù)據(jù)塊從緩存狀態(tài)轉(zhuǎn)入到文件狀態(tài)過(guò)程中，除生成數(shù)據(jù)塊簽名，還要根據(jù)數(shù)據(jù)塊的存儲(chǔ)模型，針對(duì)每一行或者每一列集合，生成各自的CRC32校驗(yàn)碼，并且保存在記錄的開始位置。數(shù)據(jù)安全管控流程完成，分布式大數(shù)據(jù)系統(tǒng)各環(huán)節(jié)依此方法進(jìn)行數(shù)據(jù)存取與通信。

4 結(jié)語(yǔ)

本文提出了一種分布式大數(shù)據(jù)數(shù)據(jù)安全管控系統(tǒng)策略。通過(guò)采用構(gòu)件化來(lái)分層解決分布式系統(tǒng)不同模塊對(duì)安全等級(jí)的需求不同的問(wèn)題，動(dòng)態(tài)調(diào)整系統(tǒng)安全級(jí)別。通過(guò)設(shè)置各層安全架構(gòu)策略，解決分布式系統(tǒng)網(wǎng)絡(luò)通訊過(guò)程中竊取和篡改的安全威脅。應(yīng)用SHA1簽名可以保證網(wǎng)絡(luò)間傳輸?shù)膬?nèi)容正確性，系統(tǒng)安全策略包含了為不同節(jié)點(diǎn)和各種服務(wù)設(shè)計(jì)的安全驗(yàn)證，用戶安全策略賦與了用戶自定義安全規(guī)則的能力，應(yīng)用于用戶自己的分布任務(wù)組件和數(shù)據(jù)存取上，有助于強(qiáng)化數(shù)據(jù)處理過(guò)程中用戶的數(shù)據(jù)安全。有效解決了大數(shù)據(jù)系統(tǒng)的數(shù)據(jù)面臨的被竊取和被篡改風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]蔡衍文.面向通信設(shè)備的構(gòu)件化網(wǎng)絡(luò)協(xié)議棧體系[D].浙江大學(xué)， 2004.

[2]陳駿.網(wǎng)絡(luò)構(gòu)件動(dòng)態(tài)優(yōu)化模型的研究[D].浙江大學(xué)，2004.

收稿日期：2016-09-01

基金項(xiàng)目：山東省科技發(fā)展計(jì)劃2014GGX101045

作者簡(jiǎn)介：王曉卉（1981—），女，山東壽光人，講師，碩士研究生，研究方向：數(shù)據(jù)挖掘、機(jī)器智能；孫玉林（1981—），男，山東煙臺(tái)人，講師，碩士研

究生，研究方向：數(shù)據(jù)挖掘，進(jìn)化計(jì)算。