基于Hadoop明朝万达构建完整可用安全大数据平台

2019-03-19 12:58:37 作者:舒孟影 出处 : 厂商稿

  随着信息技术的高速发展,大数据的应用越来越广泛,数以千计的企业从事与大数据相关的工作,企业的数据每隔1~2年就增加一倍,呈现出数据量大、产生速度快、数据来源复杂、潜在价值高等特性。Hadoop(分布式系统基础架构)作为大数据时代存储和处理海量数据的最热门技术,基于Hadoop技术,建设大数据基础平台,对大数据应用提供对海量数据的存储及处理。但是,各行业在建设大数据平台、开展大数据应用的同时也面临一系列安全问题。

  (1)大数据平台基于开源生态环境,各组件分别由不同的开源项目独立设计、开发,缺乏整体的基础平台安全框架,使用户或应用程序绕过权限控制,恶意节点加入等方式,利用开源平台安全漏洞,危及基础平台安全;

  (2)大数据平台“积木”式搭建,不同机构按需采用不同组件实现,缺乏整体的安全防护技术手段,使各组件基于自身安全机制,重复认证与鉴权控制,效率低下,影响基础平台业务操作与安全;

  (3)大量的数据集中存储、关联分析将有可能产生更大的商业价值,这将会吸引黑色产业链各方带来潜在的、更严峻的安全威胁。

  基于基础平台各组件,围绕接入、存储、计算、服务等方面都有相应风险,如图所示:

说明: C:\Users\lichengri\AppData\Local\Microsoft\Windows\INetCache\Content.Word\图片1.png

  图1基础平台安全风险

  针对以上问题,明朝万达提出了大数据基础平台安全防护解决思路,围绕设施安全、采集安全、存储安全、处理安全、接口安全,构建整体的基础平台安全框架,如图所示:

说明: C:\Users\lichengri\AppData\Local\Microsoft\Windows\INetCache\Content.Word\图片2.png

  图2基础平台安全框架

  基于基础平台安全框架,对平台组件安全进行研究,提出围绕准入控制、认证、鉴权、脱敏、加密等手段进行安全防护,如图所示:

说明: C:\Users\lichengri\AppData\Local\Microsoft\Windows\INetCache\Content.Word\图片3.png

  图3基础平台安全防护手段

  (1)准入控制

  基于IP、端口对终端用户或应用程序进行准入控制,进行源IP控制、目的IP控制、IP时效性控制。

  (2)认证

  支持Kerberos、用户名/密码进行身份认证,保证访问用户或应用程序的合法性。

  (3)鉴权

  支持DAC、MAC、RBAC等多种授权模型进行鉴权,避免非法用户或应用程序接入及访问控制。

  (4)加密

  支持大数据进行分类分级,敏感数据基于国密标准算法对数据进行加密存储。

  (5)脱敏

  敏感数据处理基于脱敏规则(正则替换、字符乱序)及脱敏策略,对数据进行脱敏。

  基于大数据基础平台安全框架,围绕大数据安全防护手段,明朝万达研制大数据安全防护平台(ChinaSec BDSafe)产品,部署于网络边界,从接入、存储、计算、接口等方面进行全方位安全防护,保障大数据平台安全,推动大数据应用发展。

说明: C:\Users\lichengri\AppData\Local\Microsoft\Windows\INetCache\Content.Word\图片1.png

  图4 ChinaSec BDSafe产品