全结构图;
[0031 ]图6为本发明提供的身份认证结构图;
[0032]图7为本发明提供的配置基线步骤图;
[0033]图8为本发明提供的版本和补丁检测结构图;
[0034]图9为本发明提供的系统监控结构图。
【具体实施方式】
[0035]下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0036]请参阅图1,本发明实施例中,一种基于大数据处理平台的安全防护方法,利用基于大数据安全处理平台的系统从包括访问安全、存储安全、内容安全和运维安全在内的这四个方面进行安全防护;其中,访问安全是保证访问控制的安全,具体包括访问权限认证,流量和访问质量控制,用户访问行为监控,访问敏感信息告警、阻断和追踪;存储安全是保证数据存存储的安全,具体包括存储介质加密访问技术,文件加密存储技术,分布式存储分片加密和解密技术,数据备份和容灾;内容安全是保证数据内容的安全,具体包括大数据去隐私化技术和多维度审计技术,其中大数据去隐私化技术包括数据加密、限制发布和数据失真,多维度审计技术包括用户、数据对象、字段、敏感内容等审计;运维安全是保证系统管理和运维安全,具体包括安全策略管理,系统安全审计,用户和权限管理,配置基线检查,漏洞和补丁管理。
[0037]请参阅图2,本发明提供的基于大数据安全处理平台的系统架构包括数据存储层、数据处理层、应用接口层、业务支撑层和安全运维管理层;业务支撑层依次通过应用接口层、数据处理层与数据存储层交互信息,安全运维管理层分别与数据存储层、数据处理层、应用接口层交互信息。
[0038]数据存储层可以由HDFS/Hbase/Hive/DB组成安全访问认证模块;
[0039]数据处理层可以由去隐私化加载模块、策略化数据抽取、大数据多维度审计、大数据访问监控、批量加载服务、分析查询服务、数据迀移转换服务、数据定义服务、Hadoop*接口、数据库接口、全文检索接口组成安全大数据处理引擎;
[0040]应用接口层可以由数据访问接口,比如类SQL,JDBC库、ETL工具,组成安全访问认证模块;
[0041 ]业务支撑层由多种业务组成;
[0042]安全运维管理层包括安全策略管理、安全审计、访问安全、配置基线检查、系统监控和版本补丁管理;安全策略管理具体包括策略管理、策略部署;安全审计具体包括审计管理、事件管理、关联分析;访问安全具体包括身份认证、弱口令检查;配置基线检查具体包括合规检查、变更管理、基线监控;系统监控具体包括漏洞扫描、状态监控、资源监控;版本补丁管理具体包括版本检测、补丁分发、升级管理。
[0043]本发明利用基于大数据安全处理平台的系统从包括访问安全、存储安全、内容安全和运维安全在内的这四个方面进行安全防护,具体地,各方面的防护如下:
[0044]—,本发明利用基于大数据安全处理平台的系统对大数据系统进行的访问安全防护,体现在以下四个方面:数据访问权限控制、数据访问流量控制、数据访问传输控制、敏感信息访问控制。
[0045]请参阅图3,数据访问权限控制,分为:首先分权分域,针对不同的数据对象、用户、角色、分配访问权限、面对系统管理员,各类数据分析人员,审计人员等;其次数据网关,聚合数据访问,支持内外网分离,多网络负载均衡、数据访问方式,清洗、转换、加载、查询、挖掘。
[0046]数据访问流量控制,分为:首先流量控制技术(基于DPI的协议识别技术),基于TCP窗口整形的流控技术、基于队列的流控技术、基于干扰的流控技术;其次防止互联网广播风暴,或者病毒/木马造成网络瘫痪。
[0047]数据访问传输控制,分为:首先软件加密传输,传输之间进行数据加密,如:S/MIME加密邮件传输;其次安全网络协议,建立安全信息通道,SSL,安全套接字层等;再次系统安全认证,包括基于口令的安全认证、基于密钥的安全认证。
[0048]敏感信息访问控制,分为:首先访问敏感信息监控和告警,包括访问内容和访问行为的监控,访问权限、频率、敏感字段、敏感操作、异常操作等可进行告警;其次针对异常访问的操作限制,包括防止非法访问和非法操作等,告警访问、限制访问、阻断访问。
[0049]二,本发明对大数据系统的内容安全防护,主要体现在大数据去隐私化、大数据多维度审计方面。大数据去隐私化:包括基于失真的隐私保护技术、基于加密的隐私保护技术、基于限制发布信息的隐私保护技术;基于失真的隐私保护技术,表现在随机化(随机扰动、随机化应答),阻塞、凝聚、交换等技术,支持度和置信度;基于加密的隐私保护技术,表现在安全多方计算(SMC问题,分布式计算协议),分布式匿名化,K-TTP模型(分布式关联规则挖掘和分布式聚类);基于限制发布信息的隐私保护技术,表现在两种基本操作(抑制、泛化),Κ_匿名、1-Diversity,Τ_近邻。大数据多维度审计:包括对象审计、敏感字段、敏感内容、访问行为、访问行为;对象审计包括对象属性的约束、访问和操作权限、访问阻断和告警;敏感字段包括字段属性的约束、访问和操作权限、访问记录与监控;敏感内容包括敏感记录访问、敏感信息过滤、敏感信息统计;访问行为包括访问频率统计、用户访问轨迹、用户行为趋势。
[0050]三,请参阅图4,本发明对大数据系统的存储安全防护,包括存储认证、数据加密、副本和分片、备份容灾、数据备份容灾和存储认证。存储认证包括第三方认证系统对用户和权限进行设置和认证,具体包括大数据系统依靠外围可靠的认证系统,使用对称钥匙,比SSL的公共密钥快,操作简单,如废除一个用户只需要从KDC数据库中删除即可;数据加密包括数据条、对象、文件等不同粒度的加密和解密技术;副本和分片包括数据多副本级副本摆放和访问策略,数据分片和冗余存储;备份容灾包括数据导入导出、备份恢复和容灾方案等;数据备份容灾包括数据备份、数据恢复和数据容灾,数据备份包括数据快照、完全备份、增量备份、条件导出、副本和压缩,数据恢复包括数据导入、数据迀移、批量导入和索引维护,数据容灾包括数据同步、一致性检查、远程镜像、异地容灾和故障切换。
[0051]四,请参阅图5?9,本发明对大数据系统的运维安全防护,包括:用户身份认证技术、配置基线、版本和补丁检测、安全审计、漏洞扫描、系统监控。
[0052]用户身份认证技术包括:用户拥有的东西(手机、邮箱、USBkey、IC卡、证书、动态口令……);用户的身体特征(指纹识别、掌纹识别、人脸识别、语音识别、虹膜识别);多因素结合认证(动态口令+静态密码、USB key+静态密码,……);用户知道的信息(用户名、密码、密码提示信息、验证码,……)。具体如图6所示。
[0053]配置基线:主要从快速检索系统安全配置的自动解决方案;确保关键的可执行文件、配置文件的内容、权限、属性等不被恶意修改配置基线的完整性/合法性检查、变更管理与监控。具体如图7所示。
[0054]版本和补丁检测包括:I)软件版本:子系统软件版本号,Patch版本号,厂家包版本号;2)软件补丁:分类(接口、修正性、问题补丁),功能:版本检测、补丁分发、升级。具体如图8所示。
[0055]安全审计:包括网络安全审计、数据库安全审计、业务运维安全审计和日志审计。
[0056]漏洞扫描,包括:其一漏洞分类:应用软件漏洞:Wffff,FTP,SMPT等;操作系统漏洞:Windows中RPC,NetB0IS漏洞;其二扫描方法:特征匹配:基于规则的模式特征匹配。插件技术:调用插件进行检测、包括错误配置、简单口令、网络协议漏洞技术等。
[0057]系统监控结构包括集中存储、聚合分析、系