馬卓元 楊向東

摘 要：數(shù)據(jù)日益成為人們的重要資產(chǎn)之一，大數(shù)據(jù)時代已經(jīng)來臨。然而，大數(shù)據(jù)面臨的安全威脅日益嚴(yán)重。文章分析了大數(shù)據(jù)基礎(chǔ)平臺所面臨的安全風(fēng)險，并為大數(shù)據(jù)基礎(chǔ)平臺安全防護(hù)提出了相關(guān)要求。

關(guān)鍵詞：大數(shù)據(jù)；大數(shù)據(jù)平臺；安全要求

中圖分類號：TP309；TP311.13 文獻(xiàn)標(biāo)識碼：A

1 引言

由于風(fēng)險監(jiān)控與防范機(jī)制不夠健全、開源生態(tài)環(huán)境的安全缺陷，大數(shù)據(jù)基礎(chǔ)平臺面臨各類安全風(fēng)險，其安全問題已成為制約大數(shù)據(jù)基礎(chǔ)平臺建設(shè)部署及業(yè)務(wù)發(fā)展的重要阻礙。然而，目前現(xiàn)有研究主要聚集在安全體系架構(gòu)、隱私保護(hù)、安全管理、服務(wù)能力要求方面，仍缺乏對大數(shù)據(jù)基礎(chǔ)平臺的通用安全技術(shù)要求的研究，無法實現(xiàn)對大數(shù)據(jù)基礎(chǔ)平臺安全性的統(tǒng)一評價。因此，本文對大數(shù)據(jù)基礎(chǔ)平臺安全要求進(jìn)行了研究分析。

2 大數(shù)據(jù)基礎(chǔ)平臺安全風(fēng)險

2.1數(shù)據(jù)采集安全風(fēng)險

數(shù)據(jù)采集環(huán)節(jié)是大數(shù)據(jù)基礎(chǔ)平臺的入口，其安全性直接關(guān)系到整個大數(shù)據(jù)基礎(chǔ)平臺數(shù)據(jù)入口的安全。數(shù)據(jù)采集環(huán)節(jié)面臨的安全風(fēng)險包括五個方面。

（1）采集系統(tǒng)未對實施采集的接入終端開展身份認(rèn)證，造成終端非法接入進(jìn)行數(shù)據(jù)采集。

（2）采集人員較多且權(quán)限和角色分配不明確，造成非法采集或數(shù)據(jù)泄露。

（3）傳輸加密機(jī)制不完善，造成數(shù)據(jù)被惡意截獲。

（4）采集過程中臨時數(shù)據(jù)存儲到不可控區(qū)域，引起數(shù)據(jù)泄露。

（5）缺乏對采集賬號、采集人員、采集行為、采集操作等的審計手段[1]等。

2.2數(shù)據(jù)存儲安全風(fēng)險

采集到的數(shù)據(jù)需要在大數(shù)據(jù)基礎(chǔ)平臺進(jìn)行存儲后，才能進(jìn)行計算處理。數(shù)據(jù)存儲環(huán)節(jié)面臨的安全風(fēng)險包括四個方面。

（1）存儲系統(tǒng)自身的安全配置無法滿足基本安全配置要求，為攻擊者所利用，造成數(shù)據(jù)非授權(quán)訪問。

（2）存儲系統(tǒng)未安裝防病毒軟件或病毒庫未及時更新，造成病毒軟件入侵，導(dǎo)致敏感數(shù)據(jù)泄露。

（3）傳統(tǒng)數(shù)據(jù)庫、HDFS以及MPP數(shù)據(jù)倉庫等多種存儲系統(tǒng)共存，一旦賬號權(quán)限管理不當(dāng)，有可能造成同一賬號在不同存儲系統(tǒng)間的數(shù)據(jù)越權(quán)訪問。

（4）不完善的容災(zāi)備份機(jī)制會使得發(fā)生意外情況時，數(shù)據(jù)無法及時恢復(fù)，從而影響業(yè)務(wù)的正常開展等。

2.3 接口傳輸安全風(fēng)險

大數(shù)據(jù)基礎(chǔ)平臺接口包括內(nèi)部接口和外部接口，內(nèi)部接口主要是平臺內(nèi)部各組件之間的接口，外部接口包括數(shù)據(jù)源到平臺設(shè)施之間的接口、平臺設(shè)施到數(shù)據(jù)消費(fèi)之間的接口。接口傳輸環(huán)節(jié)面臨的安全風(fēng)險包括三個方面。

（1）數(shù)據(jù)源頭與大數(shù)據(jù)基礎(chǔ)平臺之間、大數(shù)據(jù)基礎(chǔ)平臺與上層應(yīng)用之間通過不安全的通道進(jìn)行數(shù)據(jù)傳輸時，有可能出現(xiàn)中間人攻擊等安全隱患。

（2）大數(shù)據(jù)基礎(chǔ)平臺內(nèi)部授權(quán)、認(rèn)證、訪問控制等功能的不完善，可能會造成平臺內(nèi)部數(shù)據(jù)泄露。

（3）大數(shù)據(jù)基礎(chǔ)平臺存在多種途徑供上層應(yīng)用訪問，一旦權(quán)限控制不當(dāng)，容易出現(xiàn)非授權(quán)用戶越權(quán)訪問或者合法用戶對數(shù)據(jù)的非授權(quán)訪問等。

2.4 大數(shù)據(jù)組件安全風(fēng)險

大數(shù)據(jù)基礎(chǔ)平臺承載著眾多組件，如Hive、Hbase、Impala、Solr、Spark等，完成大數(shù)據(jù)的存儲、處理工作，是大數(shù)據(jù)功能的實現(xiàn)基礎(chǔ)。大數(shù)據(jù)基礎(chǔ)平臺組件存在四項安全威脅。

（1）組件間存在不兼容問題，造成數(shù)據(jù)存儲、處理過程中發(fā)生錯誤，丟失、損壞數(shù)據(jù)或影響上層業(yè)務(wù)的正常進(jìn)行。

（2）組件的漏洞未及時更新版本或打補(bǔ)丁。

（3）外部機(jī)器仿冒集群內(nèi)服務(wù)器或假冒合法客戶端與其他機(jī)器進(jìn)行通信，造成數(shù)據(jù)泄露。

（4）隔離或控制措施不當(dāng)，多個租戶之間的業(yè)務(wù)可能會相互影響，甚至有惡意用戶利用漏洞偷窺其他租戶數(shù)據(jù)等。

3 大數(shù)據(jù)基礎(chǔ)平臺安全防護(hù)要求

3.1 基礎(chǔ)設(shè)施安全要求

（1）操作系統(tǒng)：定期評估，對補(bǔ)丁進(jìn)行及時更新；采用嚴(yán)格身份鑒別技術(shù)用于主機(jī)系統(tǒng)用戶的身份鑒別，限制匿名用戶的訪問權(quán)限；授予不同用戶各自所需的最小權(quán)限等。

（2）數(shù)據(jù)庫：配置連接數(shù)據(jù)庫的白名單列表；嚴(yán)格控制數(shù)據(jù)庫操作權(quán)限；完整的數(shù)據(jù)庫審計方案及實施；定期做好數(shù)據(jù)庫的備份容災(zāi)等。

（3）中間件：及時更新系統(tǒng)補(bǔ)??；異常界面替換或重新設(shè)定，防止系統(tǒng)信息泄漏等。

（4）虛擬機(jī)：禁用多余或危險的系統(tǒng)后臺進(jìn)程和服務(wù)；根據(jù)虛擬化平臺的具體實現(xiàn)，采用無代理或有代理的方式部署；實施嚴(yán)格的訪問控制，防止虛擬機(jī)之間的非法訪問等。

3.2 數(shù)據(jù)存儲安全要求

（1）訪問控制：用Kerberos認(rèn)證、細(xì)粒度授權(quán)等做好用戶或應(yīng)用程序的訪問控制；納入多人操作的金庫管控模式，使得單人無法擁有重要數(shù)據(jù)的完整操作權(quán)限等。

（2）加密存儲：根據(jù)數(shù)據(jù)機(jī)密不同級別實現(xiàn)HDFS、HIVE結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)透明加密；對部分安全性相關(guān)配置數(shù)據(jù)進(jìn)行加密存儲，防止篡改；根據(jù)數(shù)據(jù)密級采用不同的安全存儲機(jī)制等。

（3）備份和恢復(fù)安全：支持增量或全量備份；支持備份主數(shù)據(jù)或備份元數(shù)據(jù)；支持手動觸發(fā)備份或按周期或預(yù)約執(zhí)行；可由任意備份點(diǎn)進(jìn)行恢復(fù)等。

（4）殘留與銷毀：通過剩余信息保護(hù)的手段來進(jìn)行數(shù)據(jù)刪除；嚴(yán)格規(guī)范各類數(shù)據(jù)和文件的存儲生命周期；定期對臨時數(shù)據(jù)及文件進(jìn)行清理等。

3.3 接口傳輸安全要求

（1）外部接口：對采集終端和采集人員開展接入鑒權(quán)，并對采集行為進(jìn)行監(jiān)控；限制采集系統(tǒng)的IP地址、端口號等；對采集數(shù)據(jù)的傳輸、存儲及分類分級實施嚴(yán)格的安全要求；嚴(yán)格限制采集過程中臨時數(shù)據(jù)存儲區(qū)域，不得任意修改存儲區(qū)域地址；對采集到的數(shù)據(jù)按照數(shù)據(jù)的重要性及敏感度進(jìn)行分類分級處理；對采集行為進(jìn)行日志記錄，并對異常采集行為及時告警；對所有接入的用戶或業(yè)務(wù)進(jìn)行身份接入認(rèn)證和權(quán)限控制；定期對大數(shù)據(jù)基礎(chǔ)平臺對外接口進(jìn)行滲透測試和漏洞評估；針對大數(shù)據(jù)執(zhí)行邏輯代碼進(jìn)行嚴(yán)格的代碼安全審查；對應(yīng)用的非授權(quán)訪問行為進(jìn)行監(jiān)測與告警等。

（2）內(nèi)部接口：接入平臺的應(yīng)用需要經(jīng)過身份認(rèn)證；系統(tǒng)對接口的調(diào)用需要經(jīng)過鑒權(quán)，并記入日志，進(jìn)行定期審計；關(guān)鍵信息的傳輸應(yīng)支持安全信道傳輸或加密傳輸；檢查輸入數(shù)據(jù)的有效性；對出口數(shù)據(jù)進(jìn)行敏感性檢查和脫敏處理；限制用戶對接口的訪問次數(shù)；限制接口的最大連接量；實時監(jiān)控大數(shù)據(jù)基礎(chǔ)平臺與系統(tǒng)之間接口的流量，對流量異常的情況進(jìn)行告警與控制等。

3.4 平臺管理安全要求

（1）管理平臺：嚴(yán)格控制所有存儲資源的訪問權(quán)限；僅安裝需要的組件和應(yīng)用程序；篩查惡意代碼和相關(guān)漏洞；集群服務(wù)器節(jié)點(diǎn)之間開啟認(rèn)證機(jī)制；資源以租戶為單位進(jìn)行計劃和分配等。

（2）組件及補(bǔ)?。焊鱾€組件可配置自己的訪問控制策略；根據(jù)用戶的選擇為集群中的機(jī)器配置相應(yīng)的補(bǔ)??；提供完善的補(bǔ)丁管理、分發(fā)、升級功能等。

（3）安全事件：支持告警響應(yīng)行為的定義和設(shè)置告警響應(yīng)的方式，能夠開啟和關(guān)閉告警響應(yīng)；監(jiān)控所有軟硬件告警；設(shè)置告警觸發(fā)的條件閾值等。

（4）安全態(tài)勢感知：利用大數(shù)據(jù)分析技術(shù)建設(shè)集中化安全管理平臺，形成整體性安全風(fēng)險關(guān)聯(lián)分析及態(tài)勢感知能力等。

（5）容災(zāi)備份：為關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用建立異地備份；建立系統(tǒng)備份和處理機(jī)制等。

（6）日志審計：對訪問層、應(yīng)用層、數(shù)據(jù)存儲層、數(shù)據(jù)獲取層、元數(shù)據(jù)管理和數(shù)據(jù)質(zhì)量監(jiān)控等日志記錄進(jìn)行審計；實現(xiàn)日志的自動分析、異常檢測和基于風(fēng)控模型的風(fēng)險報警等。

4 結(jié)束語

本文研究了大數(shù)據(jù)基礎(chǔ)平臺面臨的安全風(fēng)險，并在基礎(chǔ)設(shè)施、數(shù)據(jù)存儲、接口傳輸、平臺管理等方面提出了統(tǒng)一的安全要求，對加強(qiáng)大數(shù)據(jù)基礎(chǔ)平臺安全技術(shù)防護(hù)，支撐上層大數(shù)據(jù)業(yè)務(wù)的安全健康有序發(fā)展具有重要意義。

參考文獻(xiàn)

[1] 于樂，馮運(yùn)波，江為強(qiáng)，任蘭芳.大數(shù)據(jù)平臺安全防護(hù)研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2017，30（11），6-11.