大數據平臺數據安全體系架構研究

◆王靖夫

數據安全與云計算

大數據平臺數據安全體系架構研究

◆王靖夫

（河南省煙草職工培訓中心 河南 461000）

基于構建大數據平臺數據安全體系架構的必要性和重要性，本文首先通過對構建大數據平臺數據安全架構體系的意義和設計原則作為研究突破點，然后對大數據平臺中數據采集、存儲、分析、計算等環節的數據安全建設做出重點闡述和論斷，從而為優化大數據平臺數據安全架構體系提供理論的借鑒和參考。希望通過本論文，能夠構建一種安全性高、可靠性強的大數據平臺數據安全體系架構，為現實中大數據平臺的面臨的數據安全問題提供一定的解決措施和方法。

大數據平臺；數據安全；體系架構

當前大數據技術在發展過程中，數據安全是當前迫切需要解決的問題。若大數據平臺的數據出現泄露和丟失、盜用等現象，將會給企業和社會等的發展造成巨大的威脅。因此，加快對大數據平臺中數據采集、存儲、分析、計算等環節的安全分析就顯得十分必要，為實現數據安全提供可能性。

1 構建大數據平臺數據安全體系架構的重要意義

隨著兩化的不斷深入和融合，大數據分析系統主體性人群逐漸增多，零散化、片面化且不科學的管理體系對海量數據信息科學的管理起到了消極影響。因此，加快構建大數據平臺數據安全體系架構建設既是時代發展的必然要求，同時也是當前大數據平臺發展過程中面臨的安全挑戰。不斷加強大數據平臺數據安全體系架構的建設，是應對大數據平臺所面臨安全挑戰的有效路徑，有利于滿足受眾對大數據平臺的安全需求，提高數據信息的安全性和可靠性，對社會經濟的發展起著積極的促進作用。

2 大數據平臺數據安全體系架構的設計原則

在大數據平臺數據安全體系架構的設計過程中，首先需遵循的是全面性原則即數據安全體系架構的構建要貫穿整個大數據平臺安全建設的全生命周期，是局部和整體的總括。其次，要遵循的就是實用性原則，數據安全體系構建要做到與現實生活的全面結合。最后是平衡性原則，在這一過程中，要做到兩個抓手，一是堅持科學管理這個抓手，二是做到技術運用另一個抓手，從數據信息的不同側面對數據安全做到保障，對外能夠嚴格遵循等級保護2.0標準、風險評估的要求，而對信息內部的管理能夠做到科學合理，實現數據信息和用戶信息保護的二者平衡。在大數據體系架構的構建過程中需要遵循的原則并不僅僅只有上述所列舉的三個，而上述原則是在實際應用過程中需要貫穿和指導的原則。

3 大數據平臺數據安全架構體系技術的分析

3.1 數據采集安全技術

為有效保障數據采集安全需要對大數據平臺的整體架構體系作出系統的設計，在建個網絡總體安全體系的過程中，通常要將大數據網絡安全域分為數據采集子域（主要包括對網絡內部數據的采集以及對網絡外部數據的采集兩大過程）、數據計算存儲子域（主要對不同分布列式的數據進行存儲、對不同用戶信息和數據資料分類的存儲、以及數據信息的分發過程、數據分布式計算等設備自身所在的區域）、管理子域（包括前臺和后臺業務管理平臺、網絡實時監控、數據安全的審計等設備所在的區間），在各個子域之間或各個區域的邊界處通過劃分VLAN、加強防火墻部署等的措施，對大數據平臺所潛藏的不同用戶信息進行不同強度的防護和隔離。

3.2 數據存儲安全技術

大數據平臺在應用過程中，主流的數據存儲方式主要有兩種，分布式文件存儲和分布式數據庫存儲。兩種不同存儲方式的加解密技術也是有差異的。以分布式文件數據加解密技術為例，其工作的基本原理是通過對存儲空間的加解密管理技術，當存儲的文件需要用加密等的儲存方式時，大數據平臺根據用戶需求自動存儲到要加密的區域，在這一過程中，通過身份證授權的合法用戶就能通過驗證及時的訪問數據信息，用戶想要查看的數據信息也會以自動解密的形式出現，而非身份認證的非法用戶在訪問大數據平臺的數據信息時，就會出現無法讀取或讀取到的亂碼信息。

分布式文件的加解密過程的解密步驟有三大方面，第一，系統創建的加密區域以區域密鑰的形式保存到密鑰管理系統，第二，用戶在加密區域創建源文件或子文件時，加密組件從KMS上申請密鑰，加密組件proxy獲取信息密鑰后，申請KMS 對EDEK 進行解密，有效達到獲取信息的目的。

3.3 數據脫敏

在這一過程中，主體用戶必須通過身份識別的形式完成技術認證，加密數據信息，對數據進行信息進行完整性保護，對不同用戶的信息以ABC分類理論的形式將其重要性和嚴密性都進行重點和難點劃分，通過運用加密、屏蔽、變形等的形式對用戶敏感數據進行脫敏處理，采用物理隔離和訪問受控等的手段，對不同用戶之間的數據信息進行彼此隔離，形成兩不相交的平行支線，達到技術安全的目的，以全文檢索的形式，從多角度審視數據安全，對用戶數據采用加密、失真、匿名化的技術手段對其數據進行隱私處理和保護，對安全基線的配置要適時調整，保證其反應數據的實時性和數據資料的完整性。通過策略化管理的方法對大數據平臺所采集的數據信息以策略化修改、添加、刪除等的形式，提升用戶信息的隱私性，同時對數據信息的敏感性要做到制定科學的策略來審計和監控，在Hadoop 節點上部署具有不同安全性能的加密網卡、安全探針來實現隱私對敏感數據的保護，在平臺數據的發布前期，技術工作人員盡量要對數據信息做全方位的性能和安全審查，以有效保障數據信息的系統完整。

3.4 身份認證與數據審計

該項技術的基本原理是采用不同級別的分類方法，對所屬平臺的身份信息進行管理，加密對信息權限的訪問設置，數據操作人員在訪問用戶信息的過程中，訪問記錄和操作過程都會留下印記，工作人員通過分析印記，從而有效保障用戶在訪問過程中的訪問記錄安全。訪問權限安全技術一般包括兩大方面的操作過程，一方面是訪問用戶在訪問大數據平臺的過程中需要受到訪問認證，只有被認證過的訪問人員才能夠進入系統，也就是普遍意義上的CA身份認證技術，該技術是網絡安全技術的重要組成部分，用戶在訪問平臺的安全系統之前，必須經過身份認證系統的識別，然后通過訪問監控模塊，平臺系統根據用戶的身份和授權的相關情況從而做出回應，決定用戶是否能夠訪問某個資源，其主要的認證方式有多個種類，雙因子（主要指通過密碼和數字證書、數字簽名、指紋虹膜等特征二者結合的方式從而實現對用戶的身份認證）的認證方式是當前使用最簡單且最容易實現的一種身份認證技術。該技術權限管理和登錄工作都是基于口令方式進行，當移動用戶在登錄計算機網絡平臺時，以雙因子認證的方式獲取相關數據信息。另一方面通過以計算機網絡為媒介的新興網絡技術，數據行為審計分析機制對用戶訪問記錄和權限做行為分析，通過數據庫審計的方式，有效實現對網絡數據庫活動的實時記錄，從而提高數據庫操作行為的規范性和審計工作的統一性，當數據庫信息遭遇風險行為時，強大的數據庫信息系統就會發出告警行為，同時對風險行為做出快速的診斷和阻斷，數據庫審計的方法有利于從內部和外部加強對數據庫網絡信息的行為記錄，有效提升數據庫信息資產的安全，該項行為機制主要適用于審計用戶在使用過程中的數據訪問和分析機制，數據訪問和分析機制的架構體系如表1和表2所示。

表1 用戶數據訪問認證機制架構

表2 用戶數據行為審計分析機制架構

從表1用戶訪問認證機制架構可以了解到，用戶訪問認證機制架構主要包括三大方面的操作模塊，即用戶信息的注冊登錄、以終端水印、用戶水印等技術確保用戶違規操作的不可否認性、以及確保數據安全訪問和使用的權限管控模塊，從表2用戶數據行為審計分析機制架構體系可以看出，用戶行為審計的分析機制架構體系包括三大模塊，對身份用戶信息的基本審計模塊、對用戶身份和操作過程的關聯分析模塊以及對事件安全風險等的高級審計過程模塊。

4 結束語

綜上所述，在信息技術迅猛發展的背景之下，大數據平臺在發揮數據價值的過程中，也存在潛在的安全隱患，數據信息泄露和數據內容被竊取的現象呈現高發狀態，數據安全防護問題已然成為制約大數據平臺發展的一大重要因素，因此，不斷加大對大數據平臺數據安全體系構建的分析力度是時代發展的必然要求，本文在對大數據平臺安全架構體系的分析過程中，探索出的一套數據安全架構建設方案能夠為整體大數據體系構建和規劃提供現實的可能性。

[1]姚舸. 大數據平臺安全架構體系研究[J]. 信息記錄材料，2019，20（10）：181-183.

[2]鄧利. 電信大數據平臺的網絡安全防護體系設計[J]. 無線互聯科技，2020，17（1）：58-61.

[3]劉枧，裴文. 貴州大數據網絡安全社會綜合治理體系研究[J]. 貴州警官職業學院學報，2019，31（5）：113-118.