如何理解大数据云安全解决方案

如何理解大数据云安全体系解决方案在我们了解大数据云安全体系解决方案之前，我想大家有必要对云安全有一个了解。那么到底什么是云安全呢？下面给大家做个简单的介绍。1数据安全体系规划针对数据安全需求，结合安全建设现状及未来安全建设规划，建立一套数据全生命周期安全体系。数据全生命周期安全体系将与云平台基础安全设施结合，保障技术落地时的易用性。同时应按照管理权、执行权、审计权的分立模式，实现统一大数据安全体系服务。具体框架下图所示：数摇隐私保护裁据防泄掃数据生命咼期安全酸1MW55B^理.葩囲茁，!S5鼬换数摇隐私保护裁据防泄掃数据生命咼期安全酸1MW55B^理.葩囲茁，!S5鼬换•fWJE'GC&teli*战启詢課J5t±?5F珮£V密胡昶fH45JR削璋阅？创•ffiSESE川卯井"取毛時毀^MSHS数据管理安全运疔管理数据全生命周期安全框架图数据中心实现了数据集中的同时，也导致了数据的风险集中。而数据是智融平台数据平台最重要的“隐形”资产，如何识别数据风险，进而采集有针对性的数据安全防护控制措施，来缓解、转移、规避数据安全风险，是平台安全建设必须考虑的一环。从数据安全的全生命周期角度来看，数据的采集、传输、存储、共享、使用、销毁等各个阶段，均伴随着不同程度的风险，例如：采集和传输阶段，采集前端仿冒、伪造风险，导致数据交换共享平台存在被入侵的风险；传输链路被监听、嗅探，导致数据被篡改、窃取。存储阶段，DBA等特权用户越权访问、违规操作、误操作，导致数据泄露；数据库或文件未加密导致数据泄露。使用阶段，终端用户通过usb、蓝牙等外设发送敏感数据，通过截屏、拍照等方式窃取数据；内部人员通过应用系统违规窃取或滥用数据；BI分析人员越权、违规操作数据。共享阶段，传输链路被监听、嗅探，导致数据被篡改、窃取；外部应用系统假冒数据接收对象获取数据；敏感数据分发给外部单位。销毁阶段，重要存储介质维修/报废前缺乏数据清除管控，未做到安全删除，存在数据泄露风险。“流动”中的数据伴随着各种业务场景的风险。因此，智融平台需要以大数据为核心，构建覆盖大数据全生命周期的安全保障体系，在数据采集、数据传输、数据存储、数据共享与使用、数据销毁等环节采取相应的安全防护措施保障大数据工程的数据安全。2数据安全技术规划组件安全基线检查大数据平台广泛采用开源组件，各个组件独立设计、开发，并根据不同的业务需求进行组合搭建，若是针对各个组件的安全管控不当极易造成安全风险。针对这些问题，制定了大数据平台组件安全配置基线规范，旨在推动针对大数据平台组件安全的合规性检查。根据组件的重要性与通用性，重点规范了HBase、HIVE、HDFS组件在身份认证、访问控制、数据保护、日志审计方面的安全基线要求。通过对大数据组件的配置进行合规性安全检查与分析，能够发现其中可能导致安全风险的配置问题，并给出修复方案。组件安全漏洞扫描针对大数据组件对外暴露的端口和服务，做安全性检测与扫描，从攻击者的角度发现存在的安全风险和漏洞，及时告警并提供修复方案。数据全生命周期安全防护需要根据数据安全成熟度评估模型，从数据采集、数据传输、数据存储、数据使用、数据共享、数据销毁提供全生命周期安全防护。需要实现大数据平台的数据加密、数据脱敏、数据水印、数据安全运维管控、安全审计、权限控制等方面的能力。数据安全管理平台要求通过统一大数据安全管理平台采集网络流量、应用行为日志，数据库或大数据组件访问日志、终端数据行为日志作为大数据平台的安全风险分析数据来源。提供基于用户行为分析、数据挖掘算法等技术，对敏感数据访问行为进行分析和挖掘，发现数据泄露、数据滥用、数据篡改等异常行为并进行预警，对事件或风险进行集中的日志搜索、查询、分析和溯源。数据分级分类建立数据的安全分类分级标识工具；基于组织机构的数据资产安全分类分级策略对数据进行自动的分类分级标识，实现数据标识结果的发布和审核等。记录数据自动化分类分级的结果与人工审核后的分类分级结果之间的差异，定期分析改进分类分级标识工具，以提升工具处理的准确度。对数据分类分级的操作、变更过程进行日志的记录和分析，定期通过日志分析等技术手段进行变更操作审计，确保数据分类分级过程可追溯。数据源鉴别及记录提供有效的技术工具对外部收集的数据和数据源进行识别和记录，即通过数据溯源的机制能够保证数据管理人员能够追踪与其加工和计算数据相关的数据源。组织机构关键的数据管理平台／系统中提供了对数据的数据源类型进行标记的功能，从而实现对组织机构内部各类数据源的量化统计和分析。数据质量管理结合元数据管理平台，对数据实现数据资产的等级划分，从而优先实现对关键数据的数据质量资源保障。利用工具对在线产生数据的平台执行在线数据监控，从而实现异常数据的及时更正，同时通过对在线数据的监控确保离线数据的一致性。利用工具对数据仓库或数据开发平台的离线关键数据进行数据质量管理和监控，从而实现离线异常数据的及时告警或更正。建立数据质量的度量技术指标，并通过相关管理平台量化评估数据质量管理的水平。数据正当使用建立组织机构内部统一的身份及访问管理平台，组织机构内部的系统均需接入，通过平台实现对组织机构内部数据资源的统一管理策略。针对关键系统采用多因素认证的方式进行身份认证，如可信的数字证书、生物识别方式等。通过身份及访问管理平台对各系统的用户和数据资源进行权限管理，遵循最小够用的原则，并依据数据使用目的建立相应强度或粒度的访问控制机制。完整记录数据使用过程的操作日志，以备潜在违约使用者责任的识别和追责。研究并利用新的技术提升对用户的身份及访问管理能力，并通过风险监控与审计实现对数据使用的安全风险进行自动化分析和处理。数据共享安全组织机构建立数据共享审核流程的在线平台，组织机构内部的对外数据共享可通过平台进行审核并详细记录，确保没有超出数据服务提供者的数据所有权和授权使用范围。利用数据加密、安全通道等措施保护数据共享过程中的个人信息重要数据等敏感信息。建立数据共享过程的监控工具，对共享数据及数据共享服务过程进行监控，确保共享的数据未超出授权范围。建立数据共享审计和审计日志管理的工具，明确审计记录要求，为数据共享安全事件的处置、应急响应和事后调查提供帮助。组织机构在数据共享审核平台上对各类审核流程中应关注的安全风险进行提示，以辅助审核人员进行风险的评估，提升审核的准确度和效率；配置专业数据共享机制或服务组件，明确数据共享最低安全防护基线要求。数据发布安全建立数据资源公开数据库，通过数据发布平台服务实现公开数据资源登记、用户注册等发布数据和发布组件的验证互认机制。依法通过数据发布平台服务实现数据服务相关数据资源公告、资格审查、成交信息、履约信息等数据发布信息。建立数据资