大數(shù)據(jù)分析平臺安全問題分析與建議

◆譚旺

（中國人民銀行長沙中心支行 湖南 410005）

2017年人民銀行科技工作會議提出：“構建以大數(shù)據(jù)為支撐的央行決策平臺、以分布式系統(tǒng)為核心的央行服務平臺、以數(shù)字貨幣探索為龍頭的央行創(chuàng)新平臺”。人民銀行“長沙中支”迅速行動，組織開展了人民銀行湖南省大數(shù)據(jù)分析平臺的建設工作。加強了大數(shù)據(jù)分析技術的學習和研究，對大數(shù)據(jù)分析平臺的可行性進行了論證，召開年度信息化項目立項審批會，將“大數(shù)據(jù)分析平臺”列為年度信息化建設項目。經(jīng)過多月開發(fā)測試，人民銀行湖南省大數(shù)據(jù)分析平臺上線運行。2017年11月至今，完成系統(tǒng)生產(chǎn)環(huán)境部署及近3年相關業(yè)務數(shù)據(jù)導入，平臺運行情況良好，各項功能達到或超過設計要求。

1 應用效果

人民銀行湖南省大數(shù)據(jù)分析平臺采用大數(shù)據(jù)領域的先進技術框架，順應大數(shù)據(jù)技術發(fā)展趨勢，便于技術的跟蹤、升級。從目前來看，大數(shù)據(jù)平臺運行效果較好，能夠滿足業(yè)務數(shù)據(jù)大規(guī)模存儲、分析、挖掘的需要。一是為海量業(yè)務數(shù)據(jù)提供了存儲空間。該平臺能夠存儲海量數(shù)據(jù)，設計存儲量可滿足未來10年幾十億條數(shù)據(jù)的存儲。二是能在海量數(shù)據(jù)下，完成快速計算、快速統(tǒng)計。目前數(shù)億數(shù)據(jù)量情況下，根據(jù)任意條件，精確、快速定位到對應記錄，查詢時間小于5秒。用戶進行數(shù)據(jù)統(tǒng)計生成圖表，相應時間在2秒以下。三是提供了多種數(shù)據(jù)展示手段，讓數(shù)據(jù)可視化。根據(jù)業(yè)務需求，該平臺提供對數(shù)據(jù)的多樣化統(tǒng)計、分析，以報表、多維分析、圖表等形式進行展現(xiàn)，為決策提供可靠的數(shù)據(jù)支持。

2 存在問題

人民銀行湖南省大數(shù)據(jù)分析平臺的成功應用，為履職提供了強有力的支撐，但在應用過程中，也發(fā)現(xiàn)存在一些安全隱患。下文結合大數(shù)據(jù)安全和傳統(tǒng)數(shù)據(jù)系統(tǒng)安全之間的差異，分析人民銀行湖南省大數(shù)據(jù)分析平臺存在的安全問題。

（1）缺乏全局的安全防護體系

一是大數(shù)據(jù)環(huán)境下的安全模式發(fā)生改變。在傳統(tǒng)數(shù)據(jù)系統(tǒng)中，數(shù)據(jù)來源及用途，對于安全維護人員都是可知可控的，因而可以建立起有針對性的安全保護措施。但是在大數(shù)據(jù)系統(tǒng)中，數(shù)據(jù)海量，數(shù)據(jù)來源多種多樣，一些不經(jīng)意的問題可能造成無法預料的結果。二是大數(shù)據(jù)系統(tǒng)的應用催生了網(wǎng)絡攻擊的新手段。傳統(tǒng)網(wǎng)絡攻擊手段，主要以癱瘓數(shù)據(jù)系統(tǒng)或竊取數(shù)據(jù)為主，攻擊方式較為直接，目的性強。而在大數(shù)據(jù)系統(tǒng)中，可持續(xù)攻擊（APT）被運用得更為廣泛，攻擊持續(xù)時間長，攻擊行為也更為隱蔽，給防護帶來困難。因此，大數(shù)據(jù)安全需要具有全局的思路，綜合考慮數(shù)據(jù)的傳輸、存儲和處理過程的安全，建立多角度的防護體系。目前人民銀行湖南省大數(shù)據(jù)分析平臺的安全依賴于傳統(tǒng)的安全防護策略，尚未建立針對大數(shù)據(jù)系統(tǒng)的全局安全防護體系。

（2）未實施有效的網(wǎng)絡隔離方案

大數(shù)據(jù)系統(tǒng)中，網(wǎng)絡安全防護體系的建設難度較傳統(tǒng)數(shù)據(jù)系統(tǒng)高。一是由于分布式的服務器和離散的數(shù)據(jù)采集，使得訪問控制的配置難度提高，容易出現(xiàn)配置漏洞，造成非授權數(shù)據(jù)訪問風險。二是數(shù)據(jù)在網(wǎng)絡中流動非常頻繁，而傳統(tǒng)網(wǎng)絡保護的方式對于較大較復雜的網(wǎng)絡往往力不從心，無法將監(jiān)控和保護部署到每個網(wǎng)絡節(jié)點，數(shù)據(jù)在流動中被竊取的可能性大大提高。目前人民銀行湖南省大數(shù)據(jù)分析平臺部署集中在省級數(shù)據(jù)中心，但是為了快速提供對外服務和同原有數(shù)據(jù)系統(tǒng)進行數(shù)據(jù)交換，大數(shù)據(jù)系統(tǒng)未同原有數(shù)據(jù)系統(tǒng)之間采取隔離措施，大數(shù)據(jù)系統(tǒng)復用了現(xiàn)有的存儲網(wǎng)絡和應用網(wǎng)絡，未使用獨立的安全域，這給大數(shù)據(jù)系統(tǒng)帶來了網(wǎng)絡方面的安全隱患。

（3）數(shù)據(jù)泄露風險大、溯源難度高

大數(shù)據(jù)系統(tǒng)中各種數(shù)據(jù)存儲在一起，如果未采取相應的措施進行安全等級分類，可能出現(xiàn)違規(guī)獲取的情況。另外，進行數(shù)據(jù)分析時，由于未進行數(shù)據(jù)細粒度權限控制，可能出現(xiàn)數(shù)據(jù)無法按需調用的情況。數(shù)據(jù)出現(xiàn)泄露情況后，由于數(shù)據(jù)來源復雜，使用量大，數(shù)據(jù)泄露的追蹤和溯源難度高。目前人民銀行湖南省大數(shù)據(jù)分析平臺數(shù)據(jù)來源于單一業(yè)務，使用人員也集中在單一部門，數(shù)據(jù)安全風險較低。平臺擴展后，數(shù)據(jù)來源廣，人員復雜，數(shù)據(jù)安全風險激增，勢必需要將數(shù)據(jù)安全防護體系與大數(shù)據(jù)系統(tǒng)同步規(guī)劃、同步建設、同步使用。

3 加強大數(shù)據(jù)平臺數(shù)據(jù)安全的措施建議

3.1 加強大數(shù)據(jù)系統(tǒng)本身的安全防護水平

（1）建立集中審計系統(tǒng)，對Hadoop的數(shù)據(jù)訪問和使用進行安全審計。由于Hadoop自身沒有審計系統(tǒng)，同時各組件的日志和審計記錄都分別存儲于組件內部，想通過Hadoop自身完成全范圍的安全審計幾乎不可能?？梢酝ㄟ^建立一個集中審計系統(tǒng)，從各組件中收集日志及審計記錄，進而集中存儲、分析，完成全系統(tǒng)安全審計。通過審計系統(tǒng)加強大數(shù)據(jù)系統(tǒng)責任管理，將數(shù)據(jù)安全責任落實到每個使用人身上。

（2）使用加密認證機制替代簡單認證機制。Hadoop中簡單機制是默認設置，根據(jù)客戶進程的有效UID確定用戶名，只能避免內部人員的誤操作。使用加密認證機制替代簡單認證機制，可更好地確保Hadoop集群的可靠性、安全性。目前，普遍采用的較為安全可靠的是Kerberos認證機制。Kerberos認證機制支持集群中服務器間的認證和Client到服務器的認證。Kerberos可以將認證的密鑰在集群部署時事先放到可靠的節(jié)點上，集群運行時，集群內的節(jié)點使用密鑰得到認證，認證通過后的節(jié)點才能提供服務，企圖冒充的節(jié)點由于沒有事先得到密鑰信息，無法與集群內部的節(jié)點通信，無法非授權使用或篡改Hadoop集群。

3.2 建立有效的網(wǎng)絡隔離機制

（1）建立獨立的網(wǎng)絡安全域供大數(shù)據(jù)平臺使用。通過使用網(wǎng)絡防火墻和交換機ACL策略，結合主機自身防火墻和遠程登錄配置，限制大數(shù)據(jù)平臺的外部訪問。通過防火墻映射等方式，保護大數(shù)據(jù)應用WEB服務。

（2）通過流量分析系統(tǒng)等網(wǎng)絡安全設備，建立針對大數(shù)據(jù)系統(tǒng)的網(wǎng)絡數(shù)據(jù)分析報告。通過對日志信息、流量數(shù)據(jù)等的采集、分析，可以對大數(shù)據(jù)系統(tǒng)的網(wǎng)絡流量、網(wǎng)絡行為等信息有整體的了解，從而制定針對性的網(wǎng)絡安全防護策略。

3.3 對敏感數(shù)據(jù)進行隔離監(jiān)控

（1）建立敏感數(shù)據(jù)保護視圖，加強數(shù)據(jù)分級?？筛鶕?jù)數(shù)據(jù)的不同來源，在大數(shù)據(jù)平臺中建立數(shù)據(jù)保護視圖。根據(jù)用戶的等級權限和業(yè)務需求，采用分級別保護的方式讓用戶接觸不到業(yè)務需求之外的數(shù)據(jù)，當數(shù)據(jù)使用者使用敏感數(shù)據(jù)時應有提醒。

（2）建立數(shù)字水印機制，使泄密數(shù)據(jù)可以溯源。數(shù)字水印是指將一些標識信息直接嵌入數(shù)字載體（包括多媒體、文檔、軟件等）當中，且不影響原載體的使用價值，也不容易被探知和再次修改。但生產(chǎn)方可以探查并通過這些標識信息確認數(shù)據(jù)來源。數(shù)字水印機制在數(shù)字版權保護系統(tǒng)中被廣泛使用，并被認為是有效的。數(shù)字水印在大數(shù)據(jù)中的應用，主要在于兩個方面：一是利用數(shù)字水印隱蔽和不可篡改的特性，判斷數(shù)據(jù)傳輸過程中是否遭到篡改；二是通過數(shù)據(jù)水印探測，對數(shù)據(jù)泄露進行溯源?；鶎友胄写髷?shù)據(jù)平臺可在數(shù)據(jù)源和數(shù)據(jù)分析結果中使用數(shù)字水印機制，一方面保證數(shù)據(jù)源的可用性；另一方面保障數(shù)據(jù)分析結果安全，當數(shù)據(jù)出現(xiàn)泄漏時，可及時發(fā)現(xiàn)并溯源。

（3）對敏感數(shù)據(jù)進行脫敏處理。數(shù)據(jù)脫敏是指對敏感信息通過脫敏規(guī)則對數(shù)據(jù)進行變形，實現(xiàn)敏感數(shù)據(jù)的保護。數(shù)據(jù)脫敏的主要方法有：一是加密方法，采用標準的加密算法，加密后完全失去業(yè)務屬性；二是基于數(shù)據(jù)失真的技術，使用隨機干擾、“亂序”等方式，不可逆的打亂數(shù)據(jù)，通過這種算法可以生成“看起來很真實的假數(shù)據(jù)”;三是可逆的置換算法，兼具可逆和保證業(yè)務屬性的特征，可以通過位置變換、表映射、算法映射等方式實現(xiàn)。脫敏后的數(shù)據(jù)，既不影響大數(shù)據(jù)的分析、挖掘，又可有效地保護數(shù)據(jù)安全。當用戶使用央行大數(shù)據(jù)平臺中的數(shù)據(jù)時，應根據(jù)用戶權限和數(shù)據(jù)用途等，對調用的數(shù)據(jù)進行脫敏處理，既可保證大數(shù)據(jù)的充分使用，又可防止敏感數(shù)據(jù)泄漏。