鄧偉奇

[摘 要]大數(shù)據(jù)時代的到來使數(shù)據(jù)成為人們的重要資產(chǎn)之一。為了更好地使用大數(shù)據(jù)，數(shù)據(jù)的有償或者無償共享將會逐漸成為趨勢。其中，針對大數(shù)據(jù)平臺進(jìn)行統(tǒng)一訪問入口，集中管理賬號權(quán)限以及集中提供大數(shù)據(jù)平臺操作界面就成為了保證大數(shù)據(jù)平臺訪問安全的手段。據(jù)此，本文在簡要分析現(xiàn)階段大數(shù)據(jù)平臺數(shù)據(jù)訪問中存在的安全問題的基礎(chǔ)上，對大數(shù)據(jù)平臺訪問控制方法進(jìn)行了研究，希望能夠提高大數(shù)據(jù)平臺訪問安全性。

[關(guān)鍵詞]大數(shù)據(jù)平臺；數(shù)據(jù)；訪問；安全

doi：10.3969/j.issn.1673 - 0194.2017.22.092

[中圖分類號]TP309；TP333 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2017）22-0-02

0 引 言

大數(shù)據(jù)是IT行業(yè)的一大顛覆性技術(shù)變革，以Hadoop為核心的大數(shù)據(jù)平臺在互聯(lián)網(wǎng)、金融、運營商中得到了廣泛使用，并且影響巨大。根據(jù)我國《大數(shù)據(jù)市場現(xiàn)狀調(diào)研與發(fā)展趨勢分析報告（2015-2020年）》顯示，在這5年中，全球大數(shù)據(jù)技術(shù)和市場服務(wù)增長率將達(dá)到31.7%。調(diào)查資料顯示，我國的大數(shù)據(jù)市場在2015-2017年保持著60%以上的增長速率，表明大數(shù)據(jù)時代已經(jīng)到來。

1 大數(shù)據(jù)平臺業(yè)務(wù)行為安全

Hadoop來自開源社區(qū)，并由其發(fā)展壯大，但是十多年來，一直缺乏安全相關(guān)的組件以及考慮，多數(shù)用戶是依靠自己的力量維護(hù)該架構(gòu)的安全?，F(xiàn)階段大數(shù)據(jù)平臺存在的安全問題主要有以下3個方面。

1.1 訪問授權(quán)控制問題

在訪問控制系統(tǒng)中，哪些資源能夠被用戶訪問是由管理員控制的，但是資源本身過于龐大，針對每條資源設(shè)置訪問權(quán)限本來就是一種繁瑣的工作。尤其是面對那些規(guī)模巨大、來源復(fù)雜的數(shù)據(jù)時，管理員更難實施授權(quán)管理操作，所以為了保證用戶的系統(tǒng)使用感，有些大數(shù)據(jù)是面向全部用戶開放的。例如，在各大運營商中，用戶每月的消費情況是可以被運營商市場部的營銷人員訪問的，但是哪部分消費情況可以被哪類營銷人員查看就屬于“過度授權(quán)”的范疇，由于系統(tǒng)應(yīng)用的復(fù)雜性，管理人員在面對具體問題時經(jīng)?？紤]不到位，大數(shù)據(jù)中用戶授權(quán)不足的現(xiàn)象也越來越多。

1.2 細(xì)粒度訪問控制實施問題

現(xiàn)階段，非結(jié)構(gòu)化的數(shù)據(jù)正在占據(jù)大數(shù)據(jù)時代。據(jù)調(diào)查報告顯示，企業(yè)80%的數(shù)據(jù)都是非結(jié)構(gòu)化數(shù)據(jù)，并且這些數(shù)據(jù)正在以每年60%的速度呈指數(shù)增長。非結(jié)構(gòu)化的數(shù)據(jù)本身就蘊含著更為豐富的內(nèi)容，例如在通訊系統(tǒng)中，不同用戶的消費記錄都是不同的，有的用戶通話消費較多，有的用戶流量消費較多，但這些細(xì)化的信息并不能在訪問權(quán)限中顯示并同時被選擇性限制。因此，為了在大數(shù)據(jù)應(yīng)用中體現(xiàn)細(xì)粒度的訪問控制，需要進(jìn)一步探究訪問控制策略中的非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)客體的描述方式。

1.3 訪問主體結(jié)構(gòu)組成復(fù)雜

以手機話費信息系統(tǒng)為例，其涉及流量費用、通話費用、短信費用等眾多方面。在這種情況下，用戶的話費繳納通知單既能被收費人員查看，也能被市場營銷人員、財務(wù)人員以及運營售后服務(wù)人員查看，用戶的個人信息就被無限制地泄露。同時，該繳費單能夠在同一時段被不同人員訪問，也從另一方面體現(xiàn)了訪問控制并沒有起到應(yīng)有的作用，如同虛設(shè)。

2 大數(shù)據(jù)平臺數(shù)據(jù)訪問安全控制策略

2.1 角色挖掘

這里的角色挖掘是建立在系統(tǒng)已經(jīng)具備一定的訪問控制的前提下進(jìn)行的。首先，開發(fā)人員從已有的用戶權(quán)限分配關(guān)系中找出潛在的關(guān)聯(lián)和角色，將角色和用戶、角色和關(guān)系相關(guān)聯(lián)。具體的關(guān)聯(lián)方法可以參照聚類方法，也就在權(quán)限的基礎(chǔ)上進(jìn)行分層聚類，最終獲得樹狀的角色層次，這種方法不僅貼近實際，而且更便于后期的角色管理。其次，開發(fā)人員通過權(quán)限的使用次數(shù)來生成角色也是非常實用的一種方法。實際結(jié)果表明，這種考慮權(quán)限使用情況的角色挖掘方法更符合系統(tǒng)的實際需求。

2.2 風(fēng)險訪問控制

大數(shù)據(jù)時代的到來在為訪問控制帶來問題的同時，數(shù)據(jù)分析技術(shù)也可以被用來分析訪問行為的風(fēng)險，從而實現(xiàn)風(fēng)險訪問控制。例如，基于費用交付信息系統(tǒng)的風(fēng)險控制方案就將用戶信息劃分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)兩種。數(shù)據(jù)分析人在數(shù)據(jù)提取系統(tǒng)中接收到需求單時，首先要分析出該數(shù)據(jù)是敏感性數(shù)據(jù)還是非敏感性數(shù)據(jù)，根據(jù)數(shù)據(jù)的不同性質(zhì)分門別類上傳到對應(yīng)區(qū)域。敏感性數(shù)據(jù)只允許查看和審核，并不允許下載；非敏感性數(shù)據(jù)可以查看、審核，審核結(jié)束之后可以由市場營銷人員下載到本地。這樣工作人員既能夠順利地展開工作，用戶的個人信息也能夠得到保護(hù)。

2.3 非結(jié)構(gòu)化數(shù)據(jù)訪問控制

非結(jié)構(gòu)化的數(shù)據(jù)及其細(xì)粒度訪問控制等難以實施的問題，使用XML樹型半結(jié)構(gòu)化數(shù)據(jù)表更為簡單。除了XML樹型半結(jié)構(gòu)化數(shù)據(jù)外，由于社交網(wǎng)絡(luò)的朋友關(guān)系，開發(fā)人員還可以設(shè)立基于關(guān)系的訪問控制模型。這種模型將訪問請求者和資源所有者之間的關(guān)系做了訪問控制判定。例如，某位用戶只想將照片與自己的朋友分享，而不讓朋友的朋友看到，就需要系統(tǒng)針對關(guān)系分別建立角色，再根據(jù)角色內(nèi)容描述訪問控制需求。

3 提高大數(shù)據(jù)安全事件快速分析能力

如果發(fā)生大數(shù)據(jù)安全事件，工作人員首先要及時進(jìn)行事件安全分析，提高大數(shù)據(jù)安全事件快速分析能力，這是縮短安全事件處置時間、降低損失的最佳辦法。具體步驟有以下幾方面。

首先，建立全面、及時的安全數(shù)據(jù)收集。管理者可以通過SNMP、SYSLOG、API接口、數(shù)據(jù)接口以及端口景象等數(shù)據(jù)源，對網(wǎng)絡(luò)中的數(shù)據(jù)設(shè)備、安全保障設(shè)備、系統(tǒng)本身和數(shù)據(jù)庫進(jìn)行數(shù)據(jù)收集。

其次，要對收集上來的數(shù)據(jù)進(jìn)行解析和處理。具體的處理方式可以通過安全數(shù)據(jù)字段的識別、時間字段的偵察監(jiān)測、時間同步等功能實現(xiàn)，這些技術(shù)不僅能夠節(jié)省時間，還能夠提升數(shù)據(jù)解析的成功率。

再次，要建立數(shù)據(jù)關(guān)聯(lián)分析模型?，F(xiàn)階段常用的數(shù)據(jù)關(guān)聯(lián)技術(shù)為Spark Streaming。該技術(shù)可以對系統(tǒng)采集的數(shù)據(jù)進(jìn)行實時關(guān)聯(lián)分析，其優(yōu)點在于系統(tǒng)內(nèi)部設(shè)置有安全管理規(guī)則，可以保障關(guān)聯(lián)的安全性。該技術(shù)的主要關(guān)聯(lián)模式有統(tǒng)計關(guān)聯(lián)、漏洞關(guān)聯(lián)、策略關(guān)聯(lián)等。

再次，可以根據(jù)關(guān)聯(lián)網(wǎng)絡(luò)對用戶進(jìn)行行為畫像分析。系統(tǒng)可以以用戶合法行為白名單和行為前提和基礎(chǔ)，建立用戶行為分析引擎。該引擎可以分析用戶的所有操作，一旦發(fā)現(xiàn)用戶有異常舉動，如在異常時間登錄訪問、異常區(qū)域登錄或登錄訪問數(shù)據(jù)量遠(yuǎn)遠(yuǎn)大于平時，又或者是將訪問的數(shù)據(jù)上傳至其他網(wǎng)址供其他人查看等，引擎就會及時追查并及時報告給用戶，提醒用戶注意自己的數(shù)據(jù)安全。

最后，要建立分等級的警告規(guī)則。這里的警告指的是在發(fā)現(xiàn)異常行為之后向用戶發(fā)出的警報，系統(tǒng)根據(jù)異常行為的不同將警告分為不同等級：低級警告（補丁未更新、惡意卸載等）、中級警告（密碼未及時更新、軟件病毒感染、惡意掃描等）、高級警告（違反軟件安全要求、違規(guī)登錄、數(shù)據(jù)泄露等）。

4 結(jié) 語

大數(shù)據(jù)時代的到來對訪問控制技術(shù)提出了新要求，本文研討了數(shù)據(jù)訪問中的3個問題以及相應(yīng)的解決措施?？傊?，現(xiàn)階段關(guān)于大數(shù)據(jù)訪問控制的研究尚處在初級階段，相關(guān)理論還不充分。大數(shù)據(jù)對訪問控制領(lǐng)域既是一個機遇也是一個挑戰(zhàn)，相關(guān)研究還需要專家學(xué)者共同完成。

主要參考文獻(xiàn)

[1]崔新會，陳剛，何志強.大數(shù)據(jù)環(huán)境下云數(shù)據(jù)的訪問控制技術(shù)研究[J].現(xiàn)代電子技術(shù)，2016（15）.

[2]王志華，龐海波，李占波.一種適用于Hadoop云平臺的訪問控制方案[J].清華大學(xué)學(xué)報：自然科學(xué)版，2014（1）.

[3]程代娣.基于云存儲技術(shù)的數(shù)據(jù)安全策略研究[J].齊魯工業(yè)大學(xué)學(xué)報：自然科學(xué)版，2015（4）.

[4]卞咸杰.基于移動互聯(lián)網(wǎng)科技論文共享平臺數(shù)據(jù)的安全策略研究[J].現(xiàn)代情報，2015（6）.

[5]金松昌，楊樹強，樊華，劉斐.面向大型關(guān)鍵業(yè)務(wù)的Hadoop云計算平臺數(shù)據(jù)安全策略研究[J].信息網(wǎng)絡(luò)安全，2012（8）.endprint