精华内容
下载资源
问答
  • 更多相关内容
  • 大数据安全

    千次阅读 2020-10-28 21:58:23
    大数据安全

    大数据安全

    一、大数据安全概述
    大数据系统中的数据的安全。
    在这里插入图片描述
    企业可以利用大数据处理和分析来自各个IT基础设施、网络设备、业务系统中的数据,从而实时感知企业当前的安全态势,使得企业迅速的有针对性的采取处理措施消灭安全隐患于萌芽阶段成为可能,这是大数据系统在安全领域中的运用,是“安全大数据”而不是“大数据安全”。
    在这里插入图片描述
    数据是值钱的。大数据安全必然最关心的也就是数据在整个系统中,从诞生到收集、清洗、存储、分析、消费、存档以及销毁这个生命周期中,其机密性、完整性和可用性不被破坏。
    大数据处理和分析系统(也有人称之为大数据平台,下文统称“大数据系统”)中最重要的当然是数据,和数据共生的还有组成大数据系统的各个应用。数据在应用里诞生、流转、被消费,这些应用自身的安全性如何,在很大程度上将直接影响数据的安全性。因此,大数据安全也应该包含这些应用的安全。在这里插入图片描述
    光有数据和应用的大数据系统并不能真正发挥它的价值,直到大数据系统将分析处理后的高价值数据反馈给人的时候,在辅助企业做出业务甚至战略决策的时候,它的价值才被最大化。在这里插入图片描述
    二、大数据安全问题挑战

    1. 针对数据采集和加工处理数据量大的特点,需要考虑安全成本,也需要针对敏感数据进行特别考虑·
    2. 针对数据来源多样性的特点,需要进行数据分级(包括数据源、中间数据和结果数据),并考虑数据访问控制策略。有的大数据平台本身具有安全设计,有些则需要与企业其他安全机制进行集成。·
    3. 针对大数据平台高速处理的特点,对多节点处理的情况需要考虑如何有效监控。同时,传统安全工具大多针对交易型应用,无法处理大数据量高速处理的情况。
    4. 针对不同的大数据平台特点,考虑其特殊的安全需求
    5. 分布式文件系统,如Hadoop。Hadoop的安全框架基于Kebros认证体系和传输加密。Hadoop多节点分布式文件系统,协议复杂,增加了应用安全的复杂性。任何一个节点的数据受到破坏,都可能影响决策分析的结果。Hadoop本身没有提供对节点静态数据的加密特性,可能无法满足一些合规性的要求。目前有一些针对Hadoop安全的开源项目正在开展。如Rhino的目标就是解决HBase加密和单点登录问题。
    6. NoSQL数据库,如ApacheCassandra:Cassandra来自Facebook的混合型的非关系的数据库,面向列的设计抱枕针对网络社交计算的性能和扩展性,但在数据安全方面考虑的较少。Cassandra数据库仅提供简单的用户名密码认证,其平行节点分布处理模式不能够对写入数据库的数据进行验证。Cassandra的查询语言CQL也存在类似SQL注入的弱点,现有安全工具对CQL安全考虑的较少。
    7. 大数据云服务:通过云技术可以提供大数据基础计算环境支撑,也可以提供高级分析技术的运行环境。Hadoop和Cassandra也可以在云计算环境中部署。云服务提供商可以提供基础的平台安全和网络安全环境,但由于云计算多租户特点和运营环境的限制,要实现安全的大数据解决方案,在数据和应用层面需要额外的设计和考虑。企业需要考虑敏感数据在云端处理的安全性,也需要将认证和授权扩展到云计算环境。

    三、大数据安全保障框架

    大数据与传统数据资产相比,具有较强的社会属性。为实现安全防护目标,需要融合安全治理、技术、标准、运维和测评来系统性地解决大数据的安全问题。从安全治理着眼,以安全技术、安全运维和安全测评为支撑,构建流程、策略、制度、测评多重保障体系。同时,需要以标准为保障,实现安全互联协同,达到多维立体的防护。
    大数据安全保障框架
    3.1 大数据安全总体技术框架

    大数据的安全技术体系是支撑大数据安全管理、安全运行的技术保障。以“密码基础设施、认证基础设施、可信服务管理、密钥管理设施、安全监测预警”五大安全基础设施服务,结合大数据、人工智能和分布式计算存储能力,解决传统安全解决方案中数据离散、单点计算能力不足、信息孤岛和无法联动的问题。大数据的总体安全技术框架。
    大数据安全保障框架
    3.2 大数据安全治理

    大数据的安全治理体系的目标是确保大数据“合法合规”的安全流转,保障大数据安全的情况下,让其价值最大化,来支撑企业的业务目标的实现。大数据的安全治理体系建设过程中行使数据的安全管理、运行监管和效能评估的职能。

    3.3 大数据安全测评

    大数据的安全测评是保证大数据安全提供服务的支撑保障,目标是验证评估所有保护大数据的安全策略、安全产品和安全技术的有效性和性能等。确保所有使用的安全防护手段都能满足大数据中主要参与者安全防护的需求。

    3.4 大数据安全运维

    大数据的安全运维以技术框架为支撑,主要确保大数据系统平台能安全持续稳定可靠运行, 在大数据系统运行过程中行使资源调配、系统升级、服务启停、容灾备份、性能优化、应急处置、应用部署和安全管控等职能。

    四、大数据安全核心技术

    大数据安全防护技术体系,基于威胁情报共享和采用大数据分析技术,实现大数据安全威胁的快速响应,集安全态势感知、监测预警、快速响应和主动防御为一体,基于数据分级分类实施不同的安全防护策略,形成协同安全防护体系。围绕以数据为核心,以安全机制为手段,以涉及数据的承载主体为目标,以数据参与者为关注点,构建大数据安全协同主动防护体系。
    以数据为中心的安全防护要素组成
    (1)数据是指需要防护的大数据对象,此处指大数据流转的各个阶段包括采集、传输、存储、处理、共享、使用和销毁。
    (2)安全策略是指对大数据对象进行安全防护的流程、策略、配置和方法等,如根据数据的不同安全等级和防护需求,实施主动防御、访问控制、授权、隔离、过滤、加密、脱敏等。
    (3)安全产品指在对大数据进行安全防护时使用的具体产品,如数据库防火墙、审计、主动防御系统、APT检测、高速密码机、数据脱敏系统、云密码资源池、数据分级分类系统等。
    (4)防护主体是指需要防护的承载大数据流转过程的软硬件载体,包括服务器、网络设备、存储设备,大数据平台、应用系统等。
    (5)参与者是指参与大数据流转过程中的改变大数据状态和流转过程的主体,主要包括大数据提供者、管理者、使用者和大数据平台等。

    4.2 主动防御的大数据协同安全防护体系

    传统的安全防护技术注重某一个阶段或者某一个点的安全防护,在大数据环境下需要构建具有主动防御能力的大数据协同安全防护体系,在总体上达到“协同联动,体系防御”的安全防御效果。

    大数据协同安全防护体系必须具备威胁的自动发现、策略决策的智能分析、防御策略的全局协同、安全资源的自动控制调度以及安全执行效果的综合评估等特征。其中威胁的自动发现和防御策略的全局协同是实现具有主动防御能力大数据协同安全防护体系的基础。

    大数据的安全并不仅仅是大数据平台的安全,大数据的安全应该以数据生命周期为主线,兼顾满足各个参与者的安全诉求。大数据的安全动态协同防护体系架构。

    主动防御的大数据协同安全防护体系

    4.3 大数据协同安全防护流程

    大数据协同安全防护强调的是安全策略全局调配的协同性,安全防护手段的主动性,以威胁的自动发现和风险的智能分析为前提,采用大数据的分析技术通过安全策略的全局自动调配和防护手段的全局联动。具有主动防御能力的大数据协同安全防护流程。
    大数据协同安全防护流程
    五、 大数据安全防护技术体系

    1.数据采集安全技术

    1.1 传输安全

    虚拟专用网络将隧道技术、协议封装技术、密码技术和配置管理技术结合在一起,采用安全通道技术在源端和目的端建立安全的数据通道,通过将待传输的原始数据进行加密和协议封装处理后再嵌套装入另一种协议的数据报文中,像普通数据报文一样在网络中进行传输。

    1.2 SSL VPN

    SSL VPN采用标准的安全套接层协议,基于X.509证书,支持多种加密算法。可以提供基于应用层的访问控制,具有数据加密、完整性检测和认证机制,而且客户端无需特定软件的安装,更加容易配置和管理,从而降低用户的总成本并增加远程用户的工作效率。

    2.1.1 基于数据交换的隐私保护技术

    数据变换,简单的讲就是对敏感属性进行转换,使原始数据部分失真,但是同时保持某些数据或数据属性不变的保护方法,数据失真技术通过干扰原始数据来实现隐私保护。

    2.1.2 基于数据加密的隐私保护技术

    采用对称或非对称加密技术在数据挖掘过程中隐藏敏感数据,多用于分布式应用环境中,如分布式数据挖掘、分布式安全查询、几何计算、科学计算等。分布式应用一般采用两种模式存储数据:垂直划分和水平划分的数据模式。垂直划分数据是指分布式环境中每个站点只存储部分属性的数据,所有站点存储的数据不重复。水平划分数据是将数据记录存储到分布式环境中的多个站点,所有站点存储的数据不重复。

    2.1.3 基于匿名化的隐私保护技术

    匿名化是指根据具体情况有条件地发布数据。如不发布数据的某些域值、数据泛化等。限制发布即有选择的发布原始数据、不发布或者发布精度较低的敏感数据,以实现隐私保护。
    数据匿名化一般采用两种基本操作:
    抑制:抑制某数据项,即不发布该数据项。
    泛化:泛化是对数据进行概况、抽象的描述。譬如,对整数5的一种泛化形式是[3,6],W为5在区间[3,6]内。

    2.2 数据加密

    大数据环境下,数据可以分为两类:静态数据和动态数据。
    静态数据是指:文档、报表、资料等不参与计算的数据;
    动态数据是指需要检索或参与计算的数据。
    使用SSL VPN可以保证数据传输的安全,但存储系统要先解密数据,然后进行存储,当数据以明文的方式存储在系统中时,面对未被授权入侵者的破坏、修改和重放攻击显得很脆弱,对重要数据的存储加密是必须采取的技术手段。

    2.2.1 静态数据加密机制

    2.2.1.1 数据加密算法

    数据加密算法分为两类,对称加密和非对称加密算法。实际工程中常用的解决办法是对称和非对称加密算法结合起来,利用非对称密钥体系进行密钥分配,利用对称密钥加密算法进行数据的加密,尤其是在大数据环境下,加密大量的数据时,这种结合尤其重要。

    2.2.1.2 加密范围

    根据数据敏感性,对数据进行有选择的加密,仅对敏感数据进行按需加密存储,而免除对不敏感数据的加密,可以减小加密存储对系统性能造成的损失,对维持系统的高性能有着积极的意义。

    2.2.1.3 密钥管理方案

    密钥管理方案主要包括:密钥粒度的选择、密钥管理体系以及密钥分发机制。密钥是数据加密不可或缺的部分,密钥数据的多少与密钥的粒度直接相关。密钥粒度较大时,方便用户管理,但不适合于细粒度的访问控制。密钥粒度小时,可实现细粒度的控制,安全性更高,但产生的密钥数量大难于管理。

    2.2.2 动态数据加密机制

    同态加密是基于数学难题的计算复杂性理论的密码学技术。对经过同态加密的数据进行处理的得到一个输出,将这一输出进行解密,其结果与用统一方法处理未加密的原始数据得到的输出结果是一样的。记录加密操作为E,明文为m,加密得e,即e=E(m),m=E’(e)。已知针对明文有操作f,针对E可以构造F,使得F(e)=E(f(m)),这样E就是一个针对f的同态加密算法。

    2.3 备份与恢复

    数据存储系统应提供完备的数据备份和恢复机制来保障数据的可用性和完整性,一旦发生数据丢失或破坏,可以利用备份来恢复数据,从而保证在故障发生后数据不丢失。

    2.3.1 异地备份

    异地备份是保护数据最安全的方式。在发生火灾、地震等重大灾难的情况,在其他保护数据的手段都不起作用时,异地容灾的优势就体现出来了。困扰异地容灾的问题在于速度和成本,这要求拥有足够带宽的网络连接和优秀的数据复制管理软件。

    2.3.2 RAID

    RAID(独立磁盘冗余阵列)可以减少磁盘部件的损坏;RAID系统使用许多小容量磁盘驱动器来存储大量数据,并且使可靠性和冗余性得到增强;所有的RAID系统共同的特点是"热交换"能力,即用户可以取出一个存在缺陷的驱动器,并插入一个新的予以更换。对大多数类型的RAID来说,不必中断服务器或系统,就可以自动重建某个出现故障磁盘上的数据。

    2.3.3 数据镜像

    数据镜像就是保留两个或两个以上在线数据的拷贝。以两个镜像磁盘为例,所有写操作在两个独立的磁盘上同时进行;当两个磁盘都正常工作时,数据可以从任一磁盘读取;如果一个磁盘失效,则数据还可以从另外一个正常工作的磁盘读出。远程镜像根据采用的写协议不同可划分为两种方式,即同步镜像和异步镜像。本地社保遇到不可恢复的硬件损坏时,仍可以启动异地与此相同环境和内容的镜像设备,以保障服务不间断。

    2.3.4 快照

    快照可以是其所表示数据的一个副本,也可以是数据的一个复制品。快照可以迅速恢复遭破坏的数据。快照的作用主要是能够进行在线数据备份与恢复。当存储设备发生应用故障或者文件损坏时可以进行快速的数据恢复,将数据恢复某个可用时间点的状态。

    3 数据挖掘安全技术

    3.1 身份认证

    身份认证:计算机及网络系统确认操作者身份等过程。也就是证实用户等真实身份与其所声称的身份是否符合等过程。

    3.1.1 基于动态口令的认证机制
    动态口令机制是为了解决静态口令等不安全问题而提出的,基本思想是用动态口令代替静态口令,其基本原理是:在客户端登录过程中,基于用户等秘密通行短语(SPP,Secure Pass Phrase)加入不确定因素,SSP和不确定因素进行交换(如:使用md5消息摘要),所得的结果作为认证数据(即动态口令)提交给认证服务器。由于客户端每次认证数据都采用不同的不确定因素值,保证了客户端每次提交的认证数据都不相同,因此动态口令机制有效地提高了身份认证的安全性。

    3.2 访问控制
    访问控制是指主体根据某些控制策略或权限对客体或其资源进行的不同授权访问,限制对关键资源的访问,防止非法用户进入系统及合法用户对资源的非法使用。访问控制是进行数据安全保护的核心策略,为有效控制用户访问数据存储系统,保证数据资源的安全,可授予每个系统访问者不同的访问级别,并设置相应的策略保证合法用户获得数据的访问权。访问控制一般可以是自主或者非自主的,最常见的访问控制模式有如下3种:

    3.2.1 自主访问控制
    自主访问控制是指对某个客体具有拥有权(或控制权)的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体,并在随后的任何时刻将这些权限回收。这种控制是自主的,也就是指具有授予某种访问权力的主体(用户)能够自己决定是否将访问控制权限等某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限。自主访问控制中,用户可以针对被保护对象制定自己的保护策略。

    3.2.2 强制访问控制

    强制访问控制是指计算机系统根据使用系统的机构事先确定的安全策略,对用户的访问权限进行强制性的控制。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。强制访问控制进行了很强的等级划分,所以经常用于军事用途。强制访问控制在自主访问控制的基础上,增加了对网络资源的属性划分,规定不同属性下的访问权限。这种机制的优点是安全性比自主访问控制的安全性有了提高,缺点是灵活性要差一些。

    3.2.3 基于角色的访问控制

    数据库系统可以采用基于角色的访问控制策略,建立角色、权限与账号管理机制。基于角色的访问控制方法的基本思想在用户和访问权限之间引入角色的概念,将用户和角色联系起来,通过对角色的授权来控制用户对系统资源的访问。这种方法可根据用户的工作职责设置若干角色,不同的用户可以具有相同的角色,在系统中享受相同的权利,同一个用户又可以具有多个不

    3.3 关系型数据库安全策略

    关系型数据库都设置了相对完备的安全机制,在这种情况下,大数据存储可以依赖于数据库的安全机制,安全风险大大降低。

    3.4 非关系型数据块安全策略

    企业采用非关系型数据库存储大数据,非关系型数据库存储的安全问题的探讨十分必要。关系型数据库主要通过事务支持来实现数据存取的原子性、一致性、隔离性和持久性,保证数据的完整性和正确性,同时对数据库表、行、字段等提供基于用户级别的权限访问控制及加密机制。

    3.4.1 基于ACL的权限控制

    Hadoop支持的权限控制分为两级:服务级授权(service level authorization)以及上层的HDFS文件权限控制和MapReduce队列权限控制,服务级授权为系统级,用于控制Hadoop服务的访问,是最基础的访问控制,优先于HDFS文件权限和MapReduce队列权限验证。

    3.3 关系型数据库安全策略

    关系型数据库都设置了相对完备的安全机制,在这种情况下,大数据存储可以依赖于数据库的安全机制,安全风险大大降低。

    3.4 非关系型数据块安全策略

    3.4.1 基于ACL的权限控制

    通过ACL权限控制,Hadoop能保证数据库底层HDFS文件系统的服务级安全访问,通过用户和组的限制,防止非法用户对数据进行操作。文件的权限主要由NameNode管理。

    3.4.2 基于令牌的认证机制

    HDFS的服务间交互基本都是通过远程调用协议(RPC,remote procedurecall protocol)交互,但是HDFS客户端获取数据时却不完全依靠RPC机制。

    3.4.3 数据完整性与一致性

    HDFS的数据完整性分为两个部分:数据访问的完整性和数据传输的完整性。

    1.数据访问的完整性:HDFS主要实现了CRC32校验。HDFS客户端在访问DataNode数据块时,是通过socket的方式获取数据流,Hadoop在FSInputStream和FSoutputStream的基础上,实现两个支持校验和的类和文件系统,FSInputStream和FSoutputStream使用数据流支持校验和。在客户端写入一个新的HDFS文件时,会计算这个文件中包括的所有数据块的校验和,并将校验和作为一个单独的.crc文件格式的隐藏文件,与数据文件保存在同一命名空间。
    2.数据传输的完整性:HDFS数据块的存储支持完整性验证,主要通过核心类DataBlockScanner类实现,它通过在DataNode的后台执行一个独立的扫描线程的方式,周期性地对DataNode所管理的数据块进行CRC校验和检查。当它扫描发现数据块的校验和和原先不一致,将对数据块进行其他辅助操作。

    4 数据发布安全技术

    4.1 安全审计

    安全审计是指在记录一切(或部分)与系统安全有关活动的基础上,对其进行分析处理、评估审查,查找安全隐患,对系统安全进行审核、稽查和计算,追查事故的原因,并作出进一步的处理。

    4.1.1 基于日志的审计技术

    SQL数据库和NoSQL数据库均具有日志审计的功能,通过配置数据库的自审计功能,即可实现对大数据的审计。

    4.1.2 基于网络监听的审计技术

    基于网络监听的审计技术是通过将对数据存储系统的访问流量镜像到交换机某一个端口,然后通过专用硬件设备对该端口流量进行分析和还原,从而实现对数据访问的审计。

    4.1.3 基于网关的审计技术

    基于网关的审计技术通过在数据存储系统在部署网关设备,在线截获并转发到数据存储系统的流量而实现审计4.1.4 基于代理的审计技术

    4.2 数据溯源

    数据溯源是一个新兴的研究领域,起源于20世纪90年代,普遍理解为追踪数据的起源和重现数据的历史状态,目前还没有公认的定义。在大数据应用领域,数据溯源就是对大数据应用周期的各个环节的操作进行标记和定位,在发生数据安全问题时,可以及时准确地定位到出现问题的环节和责任者,以便于对数据安全问题的解决。

    4.2.1 将信息安全领域的数字水印技术用于溯源

    数字水印是将一些标识信息(即数字水印)直接嵌入数字载体(包括:多媒体、文档、软件)中,但不影响原载体的使用价值,也不容易被人的知觉系统(如:视觉或听觉系统)觉察或注意到。通过这些隐藏在载体中的信息,可以达到确认内容创建者、购买者、传送隐秘信息或者判断载体是否被篡改的目的。

    5.防范APT攻击

    5.1 APT攻击的概念

    美国国家标准技术研究所(NIST)对APT的定义为:攻击装掌握先进的专业知识和有效的资源,通过多种攻击途径(如:网络、物理设施和欺骗等),在特定组织的信息技术基础设施建立并转移立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系统,或者驻留在组织内部网络,进行后续攻击。
    APT攻击的原理相对其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,在收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序漏洞,在这些漏洞的基础上形成攻击者所需的命令与攻击(C&C)网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统。

    5.2 APT攻击特征

    5.2.1 极强的隐蔽性

    APT攻击与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。

    5.2.2 潜伏期长、持续性强

    APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境存在了一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把"被控主机"当成跳板,持续搜索,直到充分掌握了目标对象的使用行为。所以这种攻击模式,本质上是一种"恶意商业间谍威胁";因此具有很长的潜伏期和持续性。

    5.2.3 目标性强

    不同于以往的常规病毒,APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒,要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。

    5.2.4 技术高级

    攻击者掌握先进的攻击技术,使用多种攻击途径,包括购买或自己开发的0day漏洞,而一般攻击者却不能使用这些资源。而且攻击过程复杂,攻击持续过程在攻击者能够动态调整攻击方式,从整体上掌握攻击进程。

    5.2.5 威胁性大

    APT攻击通常拥有雄厚的资金支持,由经验丰富的黑客团队发起,一般以破坏国家或大型企业的关键基础设施为目标,窃取内部核心机密信息,危及国家安全和社会稳定。

    5.3 APT攻击的一般流程

    5.3.1 信息侦查

    在入侵之前,攻击者首先会使用技术和社会工程学手段对特定目标进行侦查。

    5.3.2 持续渗透

    利用目标人员的疏忽、不执行安全规范,以及利用系统应用程序、网络服务或主机的漏洞,攻击者使用定制木马等手段,不断渗透以潜伏在目标系统,进一步地在避免用户觉察的条件下取得网络核心设备的控制权。

    5.3.3 长期潜伏

    为了获取有价值信息,攻击者一般会在目标网络长期潜伏,有的达数年之久。潜伏期间,攻击者还会在已控制的主机上安装各种木马、后门,不断提高恶意软件的复杂度。以增加攻击能力并避开安全检测。

    5.3.4 窃取信息

    目前绝大部分APT攻击的目标都是窃取目标组织的机密信息。

    5.4 APT攻击检测

    从APT攻击的过程可以看出,整个攻击循环包括了多个步骤,这就为检测和防护提供了多个契机。

    5.4.1 沙箱方案

    针对APT攻击,攻击者往往使用了0day的方法,导致特征匹配不能成功,因此需要采用非特征匹配的方式来识别,智能沙箱技术就可以用来识别0day攻击与异常行为。智能沙箱技术最大的难点在于客户端的多样性,智能沙箱技术对操作系统类型、浏览的版本、浏览器安装的插件版本都有关系,在某种环境当中检测不到恶意代码,或许另外一个就能检测到。

    5.4.2 异常检测

    异常检测的核心思想是流量建模识别异常。异常检测的核心技术是元数据提取技术、基于连接特征的恶意代码检测规则,以及基于行为模式的异常检测算法。

    5.4.3 全流量审计

    全流量审计的核心思想是通过对全流量进行应用识别和还原,检测异常行为。

    5.4.4 基于深层协议解析的异常识别

    基于深层协议解析的异常识别,可以细细查看并一步步发现是哪个协议,如:一个数据查询,有什么地方出现了异常,直到发现异常点为止。

    5.4.5 攻击溯源(root cause explorer)

    通过已经提取出来的网络对象,可以重建一个时间区间内可疑的Web Session、Email、对话信息,发现攻击源。

    5.5 APT攻击的防范策略

    目前的防御技术、防御体系很难有效应对APT攻击,导致很多攻击直到很长时间后才被发现,甚至可能还有很多APT攻击未被发现。

    5.5.1 防社会工程

    木马入侵、社会工程是APT攻击的第一个步骤,防范社会工程需要一套综合性措施,既要根据实际情况,完善信息安全管理策略。社会工程是利用人性的弱点针对人员进行的渗透过程。

    5.5.2 全面采集行为记录,避免内部监控盲点

    对IT系统行为记录的收集是异常行为检测的基础和前提。大部分IT系统行为可以分为主机行为和网络行为两个方面,更全面的行为采集还包括物理访问行为记录采集。

    5.5.3 IT系统异常行为检测

    从前述APT攻击过程可以看出,异常行为包括对内部网络的扫描探测、内部的非授权访问、非法外联。

    展开全文
  • 滴滴大数据安全权限实践

    千次阅读 2020-12-17 21:12:09
    桔妹导读:在滴滴,数据是非常重要的资产,基于数据的数仓建设,数据分析、数据挖掘、数据科学等构建了滴滴的数据体系,支撑着滴滴的业务快速发展。在这个背景下,如何保障用户获取数据的易用性的同时...

    桔妹导读:在滴滴,数据是非常重要的资产,基于数据的数仓建设,数据分析、数据挖掘、数据科学等构建了滴滴的数据体系,支撑着滴滴的业务快速发展。在这个背景下,如何保障用户获取数据的易用性的同时可以更加安全,是对我们大数据平台提出来的非常大的挑战,本文将介绍下我们在面对挑战下,在大数据权限安全建设上实践。

    1. 

    用户认证 - 自研账号密码机制

    提到安全,首先要面对的就是用户认证,Hadoop 社区版本是没有安全认证的,因此只要随意 export HADOOP_USER_NAME=Anyone,就可以伪装为任意用户操作集群上的数据了,存在非常大的安全隐患。为了解决用户安全认证的问题,Hadoop 社区方案主要是基于 Kerberos,Kerberos 提供了比较完善安全认证的能力,但是运维成本比较高,而且 KDC 容易成为性能瓶颈,综合考虑下,我们基于 Hadoop 自研了一套易于运维管理的账号密码认证机制,流程交互大致如下图:

    下面将具体讲下各个模块是如何实现的。

    1. 客户端

    1.1 普通客户端

    • Hadoop 客户端,Spark 客户端,Hive 客户端,启动时都需要请求 Namenode,因此我们统一在 Namenode 做了密码校验

    • 如何传密码:我们在 hadoop 的IpcConnectionContext.proto里增加了 password 字段,而其他客户端(spark,hive)只需要基于 hadoop 客户端进行编译既可使用。

    • 如何设置密码:通过 export HADOOP_USER_PASSWORD=123456 或者System.setProperty("HADOOP_USER_PASSWORD", "123456");

    1.2 Beeline/JDBC:

    • 这种方式是通过Hive Serer2访问大数据的,我们在Hive Server2 做了密码验证

    • 如何设置密码:beeline -u jdbc:hive2://xxxxxx  -n test   -p 123456

    2. 服务端

    2.1 Namenode 验证:

    密码验证  我们在 Server.java 增加了密码校验功能,代码如下:

    密码更新 密码配置是以本地文件存在 Namenode 本地,然后定时进行刷新到 namenode 内存中

    2.2 Hive Server 验证:


    使用了 hive 提供的用户自定义安全验证,其中密码校验模块是我们自己实现的类似上述 Namenode 机制,具体如下配置:

    3. 用户管理模块

    这里主要是基于滴滴的数梦用户管理平台,主要是用来管理多租户的,维护着用户的数据资产信息,包括密码信息管理;涉及到密码管理,主要提供了3个功能,密码生成,密码维护,密码同步到服务端(Namenode和Hive server)。

    通过上面的各模块落地,当前我们是建设了一套相对比较完善的账号认证机制,通过账号和密码实现了用户身份的安全认证,但是仅有用户认证是不够的,同时最复杂的其实是权限鉴权体系,下面我将介绍下我们的权限鉴权是怎么做的。

    2. 

    权限认证 - 列级别鉴权体系

    说起滴滴的大数据权限机制,我们其实是经历了从0到1,又从1到2的过程,最早我们是基于 Hive SQL Standard-based+ HDFS UGO 机制构建了一套基于 hive 表粒度的权限体系,但是随着业务的发展和数据安全的诉求,我们在2018年对权限体系进行了重构 ,基于 Ranger 建设了基于列级别鉴权的数据权限体系,下面将具体说下,我会先讲下滴滴的数据权限的模型,以及我们是怎么实现的。

    1. 权限模型

    我们是设计了一套基于字段策略的 RBCA 的权限体系,下面具体展开说下。

    1.1 数据分级

    首先需要说下滴滴的数据分级,为了保障数据安全,在滴滴数据是做了非常严格的安全级别划分,依据数据的价值和敏感程度,从低到高划分为4个安全级别:公开数据(C1)、内部数据(C2)、秘密数据(C3)、机密数据(C4),基于安全等级不同,也指定了不同数据的访问权限审批模型,比如 C3及以下降低一些审核门槛;C4则需要更加严格审批流程才能使用。

    1.2 RBAC 模型

    我们是基于 RBCA 权限模型设计的权限体系,因此我们主要涉及到用户,角色,权限三个实体

    • 用户对应到 Ranger 的 User

    • 角色对应到 Ranger 的 Group

    • 权限对应到 Ranger 的 Policy

    1.3 基于字段的策略

    为什么要做基于字段的权限控制呢,主要是因为数据分级是按照具体数据内容来定义的,即是按照具体字段的数据来定义数据的安全等级,而不是按照表级别,很多情况下一张 Hive 表往往包括了好多字段数据,安全等级也是不一样,如果不支持字段级别鉴权,往往会有大量的表成为 C4表,这样一来一方面对安全的挑战是比较大的,另一方面也提高了用户使用数据的门槛,因为用户往往的需求是访问这个表的非 C4字段就够了。因此支持字段级别鉴权是势在必行,为了把权限细化到字段,我们在ranger里面配置的权限策略也细化到了字段级别,比如策略会配置为  db.db.table.$column.c4。

    为了提升易用性,降低大家使用数据的门槛,我们通过不同的安全等级分成了不同的角色包,比如对于 C1,C2 的字段可高效低门槛访问,这样对用户来说易用性大大的增强,对于我们来说也做到了字段级别的权限控制,保障了 C3,C4 数据的安全性,大致如下:

    2.权限的实现

    谈到实现,先给给大家展示下我们目前权限体系大致系统交互流程,如下图:

    是不是有点小复杂,下面具体介绍各自模块的作用以及权限体系是怎么工作起来的!

    2.1 数据分析模块

    主要是由滴滴安全部门负责进行对数据进行打标签,通过实时订阅 Kakfa 中的 DDL 事件获取到数据的元数据信息和数据内容,通过安全算法,定义出数据的具体安全等级,将具体到表的字段级别,再把分级好的数据发送到 DDMQ(滴滴自研的消息队列)。

    2.2 数据地图

    元数据管理服务

    面向用户提供统一的元数据查询管理服务,同时将实时订阅 DDMQ 中的数据分级信息,及时更新数据的分级信。

    人工标记服务

    用于人工进行表数据的分级设定或者修正,经过审核,系统也将也将实时更新发布到 DDMQ 中。

    表数据抽样

    用于提供表的样例数据查询,目前是基于 presto 随机查询10条样例数据。

    2.3 数据权限平台

    权限申请管理系统

    为用户提供可视化的管理和申请权限的平台,如下图:

    权限申请流程

    权限申请主要分为 Hive 表权限的申请和 HDFS 权限的申请,大概如下图:

    SQL 鉴权服务

    用于为数据查询平台类似数易报表,提取工具等服务提供基于 Restfull API 的 SQL 鉴权功能。值得说明的是,SQL 鉴权服务是独立于 ranger 体系的,数梦平台申请和维护权限的同时也将权限信息维护在数梦平台的 mysql 中,独立的提供了一套面向数据产品权限的鉴权服务。

     

    权限策略管理模块

    基于数据分级信息,生成对应的 ranger 权限策略,并通过 Ranger admin 的 api 更新策略数据,关于 api  可以参考: 

    https://cwiki.apache.org/confluence/display/RANGER/REST+APIs+for+Service+Definition%2C+Service+and+Policy+Management

    2.4 引擎层

    引擎层的鉴权流程大致如下图:

    接下来详细介绍一下:

    1.Ranger Admin (社区版本

    1. 作用:用于维护着所有的权限策略,可以通过 Ranger Admin 进行权限的增删改查,我们当前用的社区的0.6版本,更多信息可以参考

      https://cwiki.apache.org/confluence/display/RANGER/0.6+Release+-+Apache+Ranger

    2. 高可用:目前我们是基于 LVS 做的负载均衡,后面部署着多台 Ranger Admin 服务

    2.Ranger Metastore(自研)

    1. 作用:用于提供权限的查询的 Thrift Server。需要说明的是 Ranger 原生鉴权架构是客户端插件定时从 Ranger Admin 拉取所有的策略到本地,然后在本地进行的权限校验,这个机制会导致3个问题:1,在策略很多的时候,会造成拉取变慢,影响 SQL 执行引擎的整体性能;2.客户端比较多的情况下,客户端插件同时拉取的时候,对 Ranger Admin 的压力也会很大,机器带宽也会成为瓶颈;3,无法进行实时鉴权,比如用户申请权限后还需要等几分钟才可以生效,体验非常不好。因此为了解决上述痛点,我们基于 hive metastore 自研了中心化的实时鉴权方式。 

    2. 架构:

    1. 拓展 Hive Metastore 的 thrift 接口,定义鉴权请求的各个参数

    2. 将 Ranger 插件的功能移植到 Metastore 上

    3. 实现 thrift 客户端,增加 check_privilege 的 RPC

    4. 取消周期性的全量策略拉取,将创建 Evaluator 的逻辑从 Refresher 移到了 RangerHiveAuthorizer 调用 checkPrivileges 地方,从而直接从 Ranger Admin获取策略,这样实现了实时的鉴权

    Ranger Plugin(自研)

    引擎客户端鉴权插件,用于查询 Ranger metastore 的权限策略信息,并判断用户是否拥有权限。我们也是基于 Ranger metastore 自研了一套,具体实现方式如下:

    1.引擎依赖配置包含 ranger 鉴权接口的 hive 版本依赖

    2.然后配置文件中增加如下的配置:

    3.引擎侧构造 RangerMetastoreClient,请求 checkPrivilege 方法即可。如果能够正常的返回 true,说明鉴权通过,否则会收到异常信息。

    大账号机制(自研)

    前面说的基于 ranger 的鉴权,主要是针对 hive 元数据层面,然后涉及到 HDFS 权限,我们提供了一种基于大账户的机制,即当元数据权限鉴权通过后,将不进行 HDFS 鉴权,这样可以屏蔽掉 HDFS 权限,从而实现 hive 权限和 hdfs 权限的解耦,同时也可以比较好的支持视图权限:

    1.用户涉及到 hive 表操作,只要 ranger 权限校验通过,HDFS 将直接不鉴权

    2.涉及到直接 HDFS 路径操作(非 SQL 查询),将基于 HDFS UGO 权限机制进行鉴权通过上面介绍这些模块和组件,我们实现了比较成熟的基于字段级别的权限体系,目前已经落地并且运行俩年的时间,已经支持了超过数百万的安全权限策略,极大的提升了滴滴数据数据权限的安全性。

    3. 

    总结

    本文总结了我们在滴滴大数据安全权限方面的工作,从用户认证讲到了权限鉴权模块的实现,其实在安全权限实际推动落地的过程中远远要比文章写的要复杂,有兴趣的同学欢迎一起讨论,也欢迎大家加入我们,解决世界级的技术难题。

    本文作者

    团队招聘

    滴滴大数据架构离线引擎&HBase 团队主要负责滴滴集团大数据离线存储、离线计算、NoSQL 等引擎的开发与运维工作,通过持续应用和研发新一代大数据技术,构建稳定可靠、低成本、高性能的大数据基础设施,更多赋能业务,创造更多价值。

     

    团队持续招聘 HDFS,YARN,Spark,HBase 等领域专家,参与滴滴大数据架构的建设工作,欢迎加入。

     

    可投递简历到 diditech@didiglobal.com,邮件主题请命名为「姓名-应聘部门-应聘方向」。

    扫码了解更多岗位

    延伸阅读

    内容编辑 | Teeo

    联系我们 | DiDiTech@didiglobal.com

    
    
    展开全文
  • 大数据安全规范

    万次阅读 2016-04-23 23:31:30
    大数据的安全体系分为五个层次:周边安全、数据安全、访问安全(认证 - authentication和授权 - authorization)、访问行为可见、错误处理和异常管理

    大数据安全规范

       

    一、概述

    大数据的安全体系分为五个层次:周边安全、数据安全、访问安全(认证 - authentication和授权 - authorization)、访问行为可见、错误处理和异常管理。下面依次说明:

    1.周边安全技术即传统意义上提到的网络安全技术,如防火墙等;

     

    2.数据安全包括对数据的加解密,又可细分为存储加密和传输加密;还包括对数据的脱敏;

     

    3.访问安全主要是对用户的认证和授权两个方面:

    用户认证(Authentication)
    即是对用户身份进行核对, 确认用户即是其声明的身份, 这里包括用户和服务的认证

    用户授权(Authorization)

    即是权限控制,对特定资源, 特定访问用户进行授权或拒绝访问。用户授权是建立再用户认证的基础上,没有可靠的用户认证谈不上用户授权。

    访问安全还包括数据验证(data validation)

    1> type.   int string等
    2> format. phone
    email
    3> length.
    4> range.
    5> precense or absence.
    6> match in lookup tables.
    7> other bussiness rules 

    4.访问行为可见多指记录用户对系统的访问行为(审计和日志):如查看哪个文件;运行了哪些查询;访问行为监控一方面为了进行实时报警,迅速处置危险的访问行为;另一方面为了事后调查取证,从长期的数据访问行为中分析定位特定的目的。


     5.错误处理和异常管理

    这个主要是针对错误发现,一般做法是建立并逐步完善的监控系统,对可能发生或已发生的情况进行预警或者告警。还包括异常攻击事件监测,目前发现的针对攻击的办法有:

    1>攻击链分析,按照威胁检测的时间进行分析,描述攻击链条

    2>相同类型的攻击事件进行合并统计

    3>异常流量学习正常访问流量,流量异常时进行告警


    在这五个层次中,第三层(访问安全)同业务的关系最为直接:应用程序的多租户,分权限访问控制都直接依赖这一层的技术实现,那么我们的重点也将放在这一层上。众所周知的是, hadoop本身提供的认证(主要是kerberos)不易维护,授权(主要是ACL)又很粗粒度,为此我们通过对两个重量级公司(Cloudera和Hortonworks)开源的关于安全的服务进行对比(参见博文)后决定使用Hortonworks开源的Ranger。 Ranger为企业级hadoop生态服务提供了许多安全套件,通过集中化权限管理为用户/组提供文件、文件夹、数据库、表及列的认证、授权控制,还可以提供审计(通过solr进行查询),新推出的RangerKMS还支持对hdfs数据加密等

    二、大数据平台安全规范之访问安全


    2.1用户身份认证

    通过Ranger提供的用户/组同步功能实现认证,Ranger可以整合Unix或者LDAP进行用户认证管理


    2.2 用户权限管理


    2.2.1 账号管理

    帐号分为运维帐号和开发用户帐号。

     

    运维帐号按服务拆为多个账号,不同的账号操作不同的服务,具体如下:

     

    服务

    用户

    Flume

    flume

    HDFS

    hdfs

    MapReduce

    mapred

    HBase

    hbase

    Hive

    hive

    Kafka

    kafka

    Oozie

    oozie

    Ranger

    ranger

    Spark

    spark

    Sqoop

    sqoop

    Storm

    storm

    YARN

    yarn

    ZooKeeper

    zookeeper

    Ambari Metrics

    ams

      

    开发用户账号,每个用户一个帐号,按团队分组,不同的账号或组操作不同的文件或表,如果需要操作别人的数据,需要运维进行授权

     

    2.2.2 目录和文件规范

    目录

    规则

    /source

    主要存储原始采集的日志,存储规则如下: /source/{业务名称}/{日期},其中:

        业务名称: 比如发送记录等

        日期:    格式统一为yyyyMMdd

    /data

    存储的规范和source一样, 数据仓库之前的文件临时目录

    清理时间待定

    /workspace

    工作空间,存储规则如下:/workspace/{团队名称}/{业务名称|产品名称}

     对方

    /user

    用户空间,存储用户私有数据,仅用户自己可以访问。按照开发人员

    自己的习惯组织存储文件,用于存储用户的测试数据,

    清理时间待定
    当员工离职账户注销,空间存储回收。

    /user/hive/warehouse

    存储hive仓库,按照团队创建库;公共日志按照业务名进行创建,

    每个团队可以创建一个属于团队的hive库

    /temp

    用来存储一些临时文件

     

    每月清理一次

     





    2.2.3 用户权限管理

    权限管理有2种方案,ACL方案(粗粒度)和 ranger方案(细粒度),基于我们的数据需求,先考虑使用ranger提供的细粒度权限控制

     

    使用Ranger UI界面进行权限的管理,目前各个服务提供的权限如下:

    服务

    服务详情

    权限

    HDFS

    hdfs path

    Read、Write、Execute

    HBase

    table、column family、column

    Read、Write、Create、Admin

    Hive

    database、table|function、column

    Select、Update、Create、Drop、Alter、Index、Lock、All

    YARN

    queue

    Submit-job、Admin-queue

    Kafka

    topic

    Publish、Consume、Configure、Describe、Kafka Admin





    团队权限分配


    团队

    团队成员组

    服务

    权限

    dp(数据平台)

    dp

    HDFS

    Read、Write、Execute

    HBase

    Read、Write

    Hive

    Select

    YARN

    Submit-job

    Kafka

    Publish、Consume、Configure、Describe

    dm(数据挖掘)

    dm

    HDFS

    Read、Write、Execute

    HBase

    Read、Write

    Hive

    Select

    YARN

    Submit-job

    da(数据应用)

    da

    HDFS

    Read、Write、Execute

    HBase

    Read、Write

    Hive

    Select

    YARN

    Submit-job

    op(运维)

    hadoop管理员

    HDFS、HBase、Hive、YARN、Kafka

    All

     

     




    个人帐号:在线上操作要精确到个人

       

    申请权限流程:

         每个团队的leader向管理员提出申请,经过评审通过后方可授予相应的权限

    展开全文
  • 等级保护2.0-大数据安全要求梳理

    千次阅读 2020-05-24 09:35:14
    GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型 其中,等级保护2.0特指22239。22239对各种应用形态提出了不同的要求,包括通用、云计算应用、移动应用、物联网应用、工业控制系统应用。从低到高分别为一
  • 专题:大数据安全和隐私保护

    千次阅读 2018-03-07 10:23:39
    专题:大数据安全和隐私保护Big Data Security and Privacy Protection导读:随着DT时代的到来,数据像石油一样成为一种战略资源,给社会...
  • 《2018年大数据安全白皮书》首先从大数据带来的变革出发,探讨了大数据安全区别于传统安全的特殊内涵;然后聚焦技术领域,给出大数据安全技术总体视图,分别从平台安全、数据安全和个人隐私安全三个方面梳理了大数据...
  • 1212大数据安全分论坛

    千次下载 2015-12-30 17:34:03
    2015 BDTC大会讲师公开PPT-大数据安全分论坛
  • 图计算 在安全分析方向的思考
  • 大数据分析平台安全的重要性

    千次阅读 2022-04-06 13:51:55
    大数据存储安全:通过大数据安全存储保护措施的规划和布局,协同技术的发展,增加安全保护投资,实现大数据平台的安全保护,实现业务数据的集中处理。  2,大数据云安全:大数据一般需要在云端上传,下载和交互,...
  • 随着安全行业信息化向“整合、高共享、深应用”快速发展,安全信息资源种类和数据激增,信息集中度和敏感度明显增加,信息应用和共享方式日趋复杂,数据盗取、越权访问等造成安全敏感信息泄露、侵犯公民隐私的现象...
  • 云大物移智等新技术的使用,极提升了企业业务系统的运行效率,同时,企业数据安全所带来的风险也更加突出。以符合企业信息化发展要求为前提,开展企业数据安全建设成为企业广泛的迫切需求。 随着技术的发展...
  • 2.1 大数据安全 2.2 大数据隐私保密 三、 大数据安全与隐私保护技术框架 3.1 大数据安全技术 1.大数据访问控制 2.安全检索 四、基本密码学工具 4.1 加密技术 4.2 数字签名技术 4.3 Hash 和 MAC 技术 五、...
  • 数据安全治理面临哪些挑战

    千次阅读 2022-03-15 10:57:22
    虽然数据滥用风险、数据泄露风险、数据窃取风险、数据伪造风险、数据破坏风险等,成为了许多企业不得不面对且需重视的问题,但数据安全治理,往往由于其复杂性而被企业搁置,而当前新形势下海量变换的数据,更是给...
  • 数据安全实践指南

    千次阅读 2022-04-07 11:25:30
    随着互联网、物联网、云计算等技术的快速...在此背景下,国内外数据安全相关法律法规相继出台,以完善大数据安全领域的防护和技术要求,助力大数据安全建设。相较于传统网络安全,数据安全的标准化起步较晚,目前...
  • 2021年全球十大数据安全事件

    千次阅读 2022-01-07 23:35:55
    据数据统计,共有近2.2亿人受到以下十大数据安全事件的影响,其中三起泄密事件发生在科技公司,四起涉及敏感记录的泄露。 1、OneMoreLead 影响人数:6300万 发现时间:2021年8月 事件概要:
  • 电力行业数据安全解决方案

    千次阅读 2022-04-04 12:06:49
    电力数据安全防护建立应在安全监督的制度流程建设上,业务部门落实数据分类分级、资产管理制度,通过构建数据安全管控能力,促成业务数据更广泛的交换共享。
  • 其中以数据安全治理为核心的数据安全能力框架2.0和零信任身份安全解决方案动态细粒度访问控制能力和业务应用控制相结合,实现对数据流转的精准控制,做到主体的数字身份可信,行为操作合规以及计算环境和数据实体...
  • 大数据分析挖掘的价值 从大数据本身来看,存在有很多观点。比如2010年Science上刊文指出,能够根据个体之前的行为轨迹预测他/她未来行踪的可能性,即93%的人类行为可预测。 大数定理告诉我们,在试验不变的条件下...
  • HOW如何实现数据安全? 数据安全模型vs用户安全模型 设想一种场景,某企业客服部的一个员工将包含大量客户个人身份隐私信息(如身份证号、电话号码等)的Excel文件放在了一个公司所有人均有权访问的共享文件夹中...
  • 来源:中国信息安全本文多图,建议阅读10分钟。本报告探讨了大数据安全的特殊内涵,梳理了发展情况,并基于现状提出了未来发展方向与建议。点击“阅读原文”下载完整版白皮书 ...
  • 从企业层面看,在深刻认识到数据安全保护重要性的同时,建立本地化运营团队,构建大数据安全系统,展开数据长期的分析和提炼,包括数据生产、采集、分析、应用开发,把大数据分析能力赋能给各层面人员做决策支持。...
  • WHAT何为数据安全? 数据安全指的是用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护等过程。 与边界安全、文件安全、用户行为安全...
  • 数据安全平台——DSP

    千次阅读 2022-04-03 19:52:46
    DSP全称是Data Security Platforms,Gartner将数据安全平台(DSP)定义为以数据安全为中心的产品和服务,旨在跨数据类型、存储孤岛和生态系统集成数据的独特保护需求。 DSP涵盖了各种场景下的数据安全保护需求,DSP...
  • 数据安全法整理学习笔记

    千次阅读 2022-04-08 01:11:12
    数据安全法 一、内容学习 第一章 总则 目的:规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。 范围:境内数据处理活动;境外数据处理活动但损害中华...
  • 如何做好数据安全治理

    万次阅读 2022-03-15 11:00:21
    数据安全问题贯穿数据全生命周期的各个环节。在新形势下,要做好数据安全治理,就要做好企业的数据安全防护能力建设,建立起一个强保障且动态化...组织在进行数据安全治理时,应在这两个方向的指引下,对组织内部的数
  • 数据安全-整体解决方案

    千次阅读 2022-02-21 18:10:31
    数据安全面临的风险和压力 企业内部监管: 目前企业缺少数据安全方面的技术手段和有效的管理制度,增加数据泄漏风险。 另一个就是由于内部员工安全意识不足造成数据信息泄漏。 外部法律和合规要求: 随着国内外政府...
  • 金融数据安全分类分级解决方案

    千次阅读 2022-04-02 18:17:58
    数据安全法》的第二十一条“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害...
  • 数据安全简单分析总结

    千次阅读 2021-11-19 17:29:06
    数据安全是一个重要的模块,我们从三个层面入手:操作系统、应用系统、数据库、比较常用的是应用系统和数据库层面的安全保障措施, 在操作系统层面通过防火墙的设置,如设置端口成8080只有自己的电脑能访问,应用层...
  • 基于大数据分析的安全管理平台技术研究及应用 Research and Application of Big Data Analysis Based Security Management Platform Last Modified By yepeng @ 2014-1-14 【内容摘要】本文首先通过介绍大数据的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,076,100
精华内容 830,440
关键字:

大数据安全