• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      大數(shù)據(jù)分析平臺安全問題分析與建議

      2020-12-30 16:08:55譚旺
      網(wǎng)絡安全技術與應用 2020年8期
      關鍵詞:敏感數(shù)據(jù)數(shù)據(jù)系統(tǒng)數(shù)字水印

      ◆譚旺

      (中國人民銀行長沙中心支行 湖南 410005)

      2017年人民銀行科技工作會議提出:“構建以大數(shù)據(jù)為支撐的央行決策平臺、以分布式系統(tǒng)為核心的央行服務平臺、以數(shù)字貨幣探索為龍頭的央行創(chuàng)新平臺”。人民銀行“長沙中支”迅速行動,組織開展了人民銀行湖南省大數(shù)據(jù)分析平臺的建設工作。加強了大數(shù)據(jù)分析技術的學習和研究,對大數(shù)據(jù)分析平臺的可行性進行了論證,召開年度信息化項目立項審批會,將“大數(shù)據(jù)分析平臺”列為年度信息化建設項目。經(jīng)過多月開發(fā)測試,人民銀行湖南省大數(shù)據(jù)分析平臺上線運行。2017年11月至今,完成系統(tǒng)生產(chǎn)環(huán)境部署及近3年相關業(yè)務數(shù)據(jù)導入,平臺運行情況良好,各項功能達到或超過設計要求。

      1 應用效果

      人民銀行湖南省大數(shù)據(jù)分析平臺采用大數(shù)據(jù)領域的先進技術框架,順應大數(shù)據(jù)技術發(fā)展趨勢,便于技術的跟蹤、升級。從目前來看,大數(shù)據(jù)平臺運行效果較好,能夠滿足業(yè)務數(shù)據(jù)大規(guī)模存儲、分析、挖掘的需要。一是為海量業(yè)務數(shù)據(jù)提供了存儲空間。該平臺能夠存儲海量數(shù)據(jù),設計存儲量可滿足未來10年幾十億條數(shù)據(jù)的存儲。二是能在海量數(shù)據(jù)下,完成快速計算、快速統(tǒng)計。目前數(shù)億數(shù)據(jù)量情況下,根據(jù)任意條件,精確、快速定位到對應記錄,查詢時間小于5秒。用戶進行數(shù)據(jù)統(tǒng)計生成圖表,相應時間在2秒以下。三是提供了多種數(shù)據(jù)展示手段,讓數(shù)據(jù)可視化。根據(jù)業(yè)務需求,該平臺提供對數(shù)據(jù)的多樣化統(tǒng)計、分析,以報表、多維分析、圖表等形式進行展現(xiàn),為決策提供可靠的數(shù)據(jù)支持。

      2 存在問題

      人民銀行湖南省大數(shù)據(jù)分析平臺的成功應用,為履職提供了強有力的支撐,但在應用過程中,也發(fā)現(xiàn)存在一些安全隱患。下文結合大數(shù)據(jù)安全和傳統(tǒng)數(shù)據(jù)系統(tǒng)安全之間的差異,分析人民銀行湖南省大數(shù)據(jù)分析平臺存在的安全問題。

      (1)缺乏全局的安全防護體系

      一是大數(shù)據(jù)環(huán)境下的安全模式發(fā)生改變。在傳統(tǒng)數(shù)據(jù)系統(tǒng)中,數(shù)據(jù)來源及用途,對于安全維護人員都是可知可控的,因而可以建立起有針對性的安全保護措施。但是在大數(shù)據(jù)系統(tǒng)中,數(shù)據(jù)海量,數(shù)據(jù)來源多種多樣,一些不經(jīng)意的問題可能造成無法預料的結果。二是大數(shù)據(jù)系統(tǒng)的應用催生了網(wǎng)絡攻擊的新手段。傳統(tǒng)網(wǎng)絡攻擊手段,主要以癱瘓數(shù)據(jù)系統(tǒng)或竊取數(shù)據(jù)為主,攻擊方式較為直接,目的性強。而在大數(shù)據(jù)系統(tǒng)中,可持續(xù)攻擊(APT)被運用得更為廣泛,攻擊持續(xù)時間長,攻擊行為也更為隱蔽,給防護帶來困難。因此,大數(shù)據(jù)安全需要具有全局的思路,綜合考慮數(shù)據(jù)的傳輸、存儲和處理過程的安全,建立多角度的防護體系。目前人民銀行湖南省大數(shù)據(jù)分析平臺的安全依賴于傳統(tǒng)的安全防護策略,尚未建立針對大數(shù)據(jù)系統(tǒng)的全局安全防護體系。

      (2)未實施有效的網(wǎng)絡隔離方案

      大數(shù)據(jù)系統(tǒng)中,網(wǎng)絡安全防護體系的建設難度較傳統(tǒng)數(shù)據(jù)系統(tǒng)高。一是由于分布式的服務器和離散的數(shù)據(jù)采集,使得訪問控制的配置難度提高,容易出現(xiàn)配置漏洞,造成非授權數(shù)據(jù)訪問風險。二是數(shù)據(jù)在網(wǎng)絡中流動非常頻繁,而傳統(tǒng)網(wǎng)絡保護的方式對于較大較復雜的網(wǎng)絡往往力不從心,無法將監(jiān)控和保護部署到每個網(wǎng)絡節(jié)點,數(shù)據(jù)在流動中被竊取的可能性大大提高。目前人民銀行湖南省大數(shù)據(jù)分析平臺部署集中在省級數(shù)據(jù)中心,但是為了快速提供對外服務和同原有數(shù)據(jù)系統(tǒng)進行數(shù)據(jù)交換,大數(shù)據(jù)系統(tǒng)未同原有數(shù)據(jù)系統(tǒng)之間采取隔離措施,大數(shù)據(jù)系統(tǒng)復用了現(xiàn)有的存儲網(wǎng)絡和應用網(wǎng)絡,未使用獨立的安全域,這給大數(shù)據(jù)系統(tǒng)帶來了網(wǎng)絡方面的安全隱患。

      (3)數(shù)據(jù)泄露風險大、溯源難度高

      大數(shù)據(jù)系統(tǒng)中各種數(shù)據(jù)存儲在一起,如果未采取相應的措施進行安全等級分類,可能出現(xiàn)違規(guī)獲取的情況。另外,進行數(shù)據(jù)分析時,由于未進行數(shù)據(jù)細粒度權限控制,可能出現(xiàn)數(shù)據(jù)無法按需調用的情況。數(shù)據(jù)出現(xiàn)泄露情況后,由于數(shù)據(jù)來源復雜,使用量大,數(shù)據(jù)泄露的追蹤和溯源難度高。目前人民銀行湖南省大數(shù)據(jù)分析平臺數(shù)據(jù)來源于單一業(yè)務,使用人員也集中在單一部門,數(shù)據(jù)安全風險較低。平臺擴展后,數(shù)據(jù)來源廣,人員復雜,數(shù)據(jù)安全風險激增,勢必需要將數(shù)據(jù)安全防護體系與大數(shù)據(jù)系統(tǒng)同步規(guī)劃、同步建設、同步使用。

      3 加強大數(shù)據(jù)平臺數(shù)據(jù)安全的措施建議

      3.1 加強大數(shù)據(jù)系統(tǒng)本身的安全防護水平

      (1)建立集中審計系統(tǒng),對Hadoop的數(shù)據(jù)訪問和使用進行安全審計。由于Hadoop自身沒有審計系統(tǒng),同時各組件的日志和審計記錄都分別存儲于組件內部,想通過Hadoop自身完成全范圍的安全審計幾乎不可能??梢酝ㄟ^建立一個集中審計系統(tǒng),從各組件中收集日志及審計記錄,進而集中存儲、分析,完成全系統(tǒng)安全審計。通過審計系統(tǒng)加強大數(shù)據(jù)系統(tǒng)責任管理,將數(shù)據(jù)安全責任落實到每個使用人身上。

      (2)使用加密認證機制替代簡單認證機制。Hadoop中簡單機制是默認設置,根據(jù)客戶進程的有效UID確定用戶名,只能避免內部人員的誤操作。使用加密認證機制替代簡單認證機制,可更好地確保Hadoop集群的可靠性、安全性。目前,普遍采用的較為安全可靠的是Kerberos認證機制。Kerberos認證機制支持集群中服務器間的認證和Client到服務器的認證。Kerberos可以將認證的密鑰在集群部署時事先放到可靠的節(jié)點上,集群運行時,集群內的節(jié)點使用密鑰得到認證,認證通過后的節(jié)點才能提供服務,企圖冒充的節(jié)點由于沒有事先得到密鑰信息,無法與集群內部的節(jié)點通信,無法非授權使用或篡改Hadoop集群。

      3.2 建立有效的網(wǎng)絡隔離機制

      (1)建立獨立的網(wǎng)絡安全域供大數(shù)據(jù)平臺使用。通過使用網(wǎng)絡防火墻和交換機ACL策略,結合主機自身防火墻和遠程登錄配置,限制大數(shù)據(jù)平臺的外部訪問。通過防火墻映射等方式,保護大數(shù)據(jù)應用WEB服務。

      (2)通過流量分析系統(tǒng)等網(wǎng)絡安全設備,建立針對大數(shù)據(jù)系統(tǒng)的網(wǎng)絡數(shù)據(jù)分析報告。通過對日志信息、流量數(shù)據(jù)等的采集、分析,可以對大數(shù)據(jù)系統(tǒng)的網(wǎng)絡流量、網(wǎng)絡行為等信息有整體的了解,從而制定針對性的網(wǎng)絡安全防護策略。

      3.3 對敏感數(shù)據(jù)進行隔離監(jiān)控

      (1)建立敏感數(shù)據(jù)保護視圖,加強數(shù)據(jù)分級??筛鶕?jù)數(shù)據(jù)的不同來源,在大數(shù)據(jù)平臺中建立數(shù)據(jù)保護視圖。根據(jù)用戶的等級權限和業(yè)務需求,采用分級別保護的方式讓用戶接觸不到業(yè)務需求之外的數(shù)據(jù),當數(shù)據(jù)使用者使用敏感數(shù)據(jù)時應有提醒。

      (2)建立數(shù)字水印機制,使泄密數(shù)據(jù)可以溯源。數(shù)字水印是指將一些標識信息直接嵌入數(shù)字載體(包括多媒體、文檔、軟件等)當中,且不影響原載體的使用價值,也不容易被探知和再次修改。但生產(chǎn)方可以探查并通過這些標識信息確認數(shù)據(jù)來源。數(shù)字水印機制在數(shù)字版權保護系統(tǒng)中被廣泛使用,并被認為是有效的。數(shù)字水印在大數(shù)據(jù)中的應用,主要在于兩個方面:一是利用數(shù)字水印隱蔽和不可篡改的特性,判斷數(shù)據(jù)傳輸過程中是否遭到篡改;二是通過數(shù)據(jù)水印探測,對數(shù)據(jù)泄露進行溯源?;鶎友胄写髷?shù)據(jù)平臺可在數(shù)據(jù)源和數(shù)據(jù)分析結果中使用數(shù)字水印機制,一方面保證數(shù)據(jù)源的可用性;另一方面保障數(shù)據(jù)分析結果安全,當數(shù)據(jù)出現(xiàn)泄漏時,可及時發(fā)現(xiàn)并溯源。

      (3)對敏感數(shù)據(jù)進行脫敏處理。數(shù)據(jù)脫敏是指對敏感信息通過脫敏規(guī)則對數(shù)據(jù)進行變形,實現(xiàn)敏感數(shù)據(jù)的保護。數(shù)據(jù)脫敏的主要方法有:一是加密方法,采用標準的加密算法,加密后完全失去業(yè)務屬性;二是基于數(shù)據(jù)失真的技術,使用隨機干擾、“亂序”等方式,不可逆的打亂數(shù)據(jù),通過這種算法可以生成“看起來很真實的假數(shù)據(jù)”;三是可逆的置換算法,兼具可逆和保證業(yè)務屬性的特征,可以通過位置變換、表映射、算法映射等方式實現(xiàn)。脫敏后的數(shù)據(jù),既不影響大數(shù)據(jù)的分析、挖掘,又可有效地保護數(shù)據(jù)安全。當用戶使用央行大數(shù)據(jù)平臺中的數(shù)據(jù)時,應根據(jù)用戶權限和數(shù)據(jù)用途等,對調用的數(shù)據(jù)進行脫敏處理,既可保證大數(shù)據(jù)的充分使用,又可防止敏感數(shù)據(jù)泄漏。

      猜你喜歡
      敏感數(shù)據(jù)數(shù)據(jù)系統(tǒng)數(shù)字水印
      干擾條件下可檢索數(shù)字版權管理環(huán)境敏感數(shù)據(jù)的加密方法
      實現(xiàn)虛擬機敏感數(shù)據(jù)識別
      基于網(wǎng)屏編碼的數(shù)字水印技術
      電子制作(2019年20期)2019-12-04 03:51:30
      基于透明加密的水下通信網(wǎng)絡敏感數(shù)據(jù)防泄露方法
      基于Spark的高速收費站大數(shù)據(jù)系統(tǒng)的設計與實現(xiàn)
      基于計算機軟件開發(fā)技術的物聯(lián)網(wǎng)數(shù)據(jù)系統(tǒng)
      基于4A平臺的數(shù)據(jù)安全管控體系的設計與實現(xiàn)
      非均勻采樣數(shù)據(jù)系統(tǒng)的新型模型描述方法
      自動化學報(2017年5期)2017-05-14 06:20:51
      基于數(shù)字水印的人臉與聲紋融合識別算法
      基于矩陣分解和混沌置亂的數(shù)字水印算法
      平塘县| 淳安县| 报价| 永济市| 赤水市| 平阳县| 洪雅县| 南开区| 孝昌县| 枣强县| 赣州市| 康马县| 香港 | 同德县| 深泽县| 营口市| 垦利县| 仁布县| 宝鸡市| 甘泉县| 香格里拉县| 阿拉善左旗| 宁远县| 乐清市| 陆丰市| 平阳县| 乐安县| 尤溪县| 洪泽县| 巴楚县| 荔浦县| 大洼县| 罗江县| 龙游县| 股票| 仁布县| 武山县| 蓝山县| 安龙县| 仙居县| 张掖市|