如何理解大數(shù)據(jù)云安全解決方案

如何理解大數(shù)據(jù)云安全體系解決方案在我們了解大數(shù)據(jù)云安全體系解決方案之前，我想大家有必要對云安全有一個(gè)了解。那么到底什么是云安全呢？下面給大家做個(gè)簡單的介紹。1數(shù)據(jù)安全體系規(guī)劃針對數(shù)據(jù)安全需求，結(jié)合安全建設(shè)現(xiàn)狀及未來安全建設(shè)規(guī)劃，建立一套數(shù)據(jù)全生命周期安全體系。數(shù)據(jù)全生命周期安全體系將與云平臺基礎(chǔ)安全設(shè)施結(jié)合，保障技術(shù)落地時(shí)的易用性。同時(shí)應(yīng)按照管理權(quán)、執(zhí)行權(quán)、審計(jì)權(quán)的分立模式，實(shí)現(xiàn)統(tǒng)一大數(shù)據(jù)安全體系服務(wù)。具體框架下圖所示：數(shù)搖隱私保護(hù)裁據(jù)防泄掃數(shù)據(jù)生命咼期安全酸1MW55B^理.葩囲茁，!S5鼬換數(shù)搖隱私保護(hù)裁據(jù)防泄掃數(shù)據(jù)生命咼期安全酸1MW55B^理.葩囲茁，!S5鼬換?fWJE'GC&teli*戰(zhàn)啟詢課J5t±?5F珮￡V密胡昶fH45JR削璋閱？創(chuàng)?ffiSESE川卯井"取毛時(shí)毀^MSHS數(shù)據(jù)管理安全運(yùn)疔管理數(shù)據(jù)全生命周期安全框架圖數(shù)據(jù)中心實(shí)現(xiàn)了數(shù)據(jù)集中的同時(shí)，也導(dǎo)致了數(shù)據(jù)的風(fēng)險(xiǎn)集中。而數(shù)據(jù)是智融平臺數(shù)據(jù)平臺最重要的“隱形”資產(chǎn)，如何識別數(shù)據(jù)風(fēng)險(xiǎn)，進(jìn)而采集有針對性的數(shù)據(jù)安全防護(hù)控制措施，來緩解、轉(zhuǎn)移、規(guī)避數(shù)據(jù)安全風(fēng)險(xiǎn)，是平臺安全建設(shè)必須考慮的一環(huán)。從數(shù)據(jù)安全的全生命周期角度來看，數(shù)據(jù)的采集、傳輸、存儲、共享、使用、銷毀等各個(gè)階段，均伴隨著不同程度的風(fēng)險(xiǎn)，例如：采集和傳輸階段，采集前端仿冒、偽造風(fēng)險(xiǎn)，導(dǎo)致數(shù)據(jù)交換共享平臺存在被入侵的風(fēng)險(xiǎn)；傳輸鏈路被監(jiān)聽、嗅探，導(dǎo)致數(shù)據(jù)被篡改、竊取。存儲階段，DBA等特權(quán)用戶越權(quán)訪問、違規(guī)操作、誤操作，導(dǎo)致數(shù)據(jù)泄露；數(shù)據(jù)庫或文件未加密導(dǎo)致數(shù)據(jù)泄露。使用階段，終端用戶通過usb、藍(lán)牙等外設(shè)發(fā)送敏感數(shù)據(jù)，通過截屏、拍照等方式竊取數(shù)據(jù)；內(nèi)部人員通過應(yīng)用系統(tǒng)違規(guī)竊取或?yàn)E用數(shù)據(jù)；BI分析人員越權(quán)、違規(guī)操作數(shù)據(jù)。共享階段，傳輸鏈路被監(jiān)聽、嗅探，導(dǎo)致數(shù)據(jù)被篡改、竊取；外部應(yīng)用系統(tǒng)假冒數(shù)據(jù)接收對象獲取數(shù)據(jù)；敏感數(shù)據(jù)分發(fā)給外部單位。銷毀階段，重要存儲介質(zhì)維修/報(bào)廢前缺乏數(shù)據(jù)清除管控，未做到安全刪除，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)?！傲鲃?dòng)”中的數(shù)據(jù)伴隨著各種業(yè)務(wù)場景的風(fēng)險(xiǎn)。因此，智融平臺需要以大數(shù)據(jù)為核心，構(gòu)建覆蓋大數(shù)據(jù)全生命周期的安全保障體系，在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)共享與使用、數(shù)據(jù)銷毀等環(huán)節(jié)采取相應(yīng)的安全防護(hù)措施保障大數(shù)據(jù)工程的數(shù)據(jù)安全。2數(shù)據(jù)安全技術(shù)規(guī)劃組件安全基線檢查大數(shù)據(jù)平臺廣泛采用開源組件，各個(gè)組件獨(dú)立設(shè)計(jì)、開發(fā)，并根據(jù)不同的業(yè)務(wù)需求進(jìn)行組合搭建，若是針對各個(gè)組件的安全管控不當(dāng)極易造成安全風(fēng)險(xiǎn)。針對這些問題，制定了大數(shù)據(jù)平臺組件安全配置基線規(guī)范，旨在推動(dòng)針對大數(shù)據(jù)平臺組件安全的合規(guī)性檢查。根據(jù)組件的重要性與通用性，重點(diǎn)規(guī)范了HBase、HIVE、HDFS組件在身份認(rèn)證、訪問控制、數(shù)據(jù)保護(hù)、日志審計(jì)方面的安全基線要求。通過對大數(shù)據(jù)組件的配置進(jìn)行合規(guī)性安全檢查與分析，能夠發(fā)現(xiàn)其中可能導(dǎo)致安全風(fēng)險(xiǎn)的配置問題，并給出修復(fù)方案。組件安全漏洞掃描針對大數(shù)據(jù)組件對外暴露的端口和服務(wù)，做安全性檢測與掃描，從攻擊者的角度發(fā)現(xiàn)存在的安全風(fēng)險(xiǎn)和漏洞，及時(shí)告警并提供修復(fù)方案。數(shù)據(jù)全生命周期安全防護(hù)需要根據(jù)數(shù)據(jù)安全成熟度評估模型，從數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)共享、數(shù)據(jù)銷毀提供全生命周期安全防護(hù)。需要實(shí)現(xiàn)大數(shù)據(jù)平臺的數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)水印、數(shù)據(jù)安全運(yùn)維管控、安全審計(jì)、權(quán)限控制等方面的能力。數(shù)據(jù)安全管理平臺要求通過統(tǒng)一大數(shù)據(jù)安全管理平臺采集網(wǎng)絡(luò)流量、應(yīng)用行為日志，數(shù)據(jù)庫或大數(shù)據(jù)組件訪問日志、終端數(shù)據(jù)行為日志作為大數(shù)據(jù)平臺的安全風(fēng)險(xiǎn)分析數(shù)據(jù)來源。提供基于用戶行為分析、數(shù)據(jù)挖掘算法等技術(shù)，對敏感數(shù)據(jù)訪問行為進(jìn)行分析和挖掘，發(fā)現(xiàn)數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)篡改等異常行為并進(jìn)行預(yù)警，對事件或風(fēng)險(xiǎn)進(jìn)行集中的日志搜索、查詢、分析和溯源。數(shù)據(jù)分級分類建立數(shù)據(jù)的安全分類分級標(biāo)識工具；基于組織機(jī)構(gòu)的數(shù)據(jù)資產(chǎn)安全分類分級策略對數(shù)據(jù)進(jìn)行自動(dòng)的分類分級標(biāo)識，實(shí)現(xiàn)數(shù)據(jù)標(biāo)識結(jié)果的發(fā)布和審核等。記錄數(shù)據(jù)自動(dòng)化分類分級的結(jié)果與人工審核后的分類分級結(jié)果之間的差異，定期分析改進(jìn)分類分級標(biāo)識工具，以提升工具處理的準(zhǔn)確度。對數(shù)據(jù)分類分級的操作、變更過程進(jìn)行日志的記錄和分析，定期通過日志分析等技術(shù)手段進(jìn)行變更操作審計(jì)，確保數(shù)據(jù)分類分級過程可追溯。數(shù)據(jù)源鑒別及記錄提供有效的技術(shù)工具對外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識別和記錄，即通過數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤與其加工和計(jì)算數(shù)據(jù)相關(guān)的數(shù)據(jù)源。組織機(jī)構(gòu)關(guān)鍵的數(shù)據(jù)管理平臺／系統(tǒng)中提供了對數(shù)據(jù)的數(shù)據(jù)源類型進(jìn)行標(biāo)記的功能，從而實(shí)現(xiàn)對組織機(jī)構(gòu)內(nèi)部各類數(shù)據(jù)源的量化統(tǒng)計(jì)和分析。數(shù)據(jù)質(zhì)量管理結(jié)合元數(shù)據(jù)管理平臺，對數(shù)據(jù)實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的等級劃分，從而優(yōu)先實(shí)現(xiàn)對關(guān)鍵數(shù)據(jù)的數(shù)據(jù)質(zhì)量資源保障。利用工具對在線產(chǎn)生數(shù)據(jù)的平臺執(zhí)行在線數(shù)據(jù)監(jiān)控，從而實(shí)現(xiàn)異常數(shù)據(jù)的及時(shí)更正，同時(shí)通過對在線數(shù)據(jù)的監(jiān)控確保離線數(shù)據(jù)的一致性。利用工具對數(shù)據(jù)倉庫或數(shù)據(jù)開發(fā)平臺的離線關(guān)鍵數(shù)據(jù)進(jìn)行數(shù)據(jù)質(zhì)量管理和監(jiān)控，從而實(shí)現(xiàn)離線異常數(shù)據(jù)的及時(shí)告警或更正。建立數(shù)據(jù)質(zhì)量的度量技術(shù)指標(biāo)，并通過相關(guān)管理平臺量化評估數(shù)據(jù)質(zhì)量管理的水平。數(shù)據(jù)正當(dāng)使用建立組織機(jī)構(gòu)內(nèi)部統(tǒng)一的身份及訪問管理平臺，組織機(jī)構(gòu)內(nèi)部的系統(tǒng)均需接入，通過平臺實(shí)現(xiàn)對組織機(jī)構(gòu)內(nèi)部數(shù)據(jù)資源的統(tǒng)一管理策略。針對關(guān)鍵系統(tǒng)采用多因素認(rèn)證的方式進(jìn)行身份認(rèn)證，如可信的數(shù)字證書、生物識別方式等。通過身份及訪問管理平臺對各系統(tǒng)的用戶和數(shù)據(jù)資源進(jìn)行權(quán)限管理，遵循最小夠用的原則，并依據(jù)數(shù)據(jù)使用目的建立相應(yīng)強(qiáng)度或粒度的訪問控制機(jī)制。完整記錄數(shù)據(jù)使用過程的操作日志，以備潛在違約使用者責(zé)任的識別和追責(zé)。研究并利用新的技術(shù)提升對用戶的身份及訪問管理能力，并通過風(fēng)險(xiǎn)監(jiān)控與審計(jì)實(shí)現(xiàn)對數(shù)據(jù)使用的安全風(fēng)險(xiǎn)進(jìn)行自動(dòng)化分析和處理。數(shù)據(jù)共享安全組織機(jī)構(gòu)建立數(shù)據(jù)共享審核流程的在線平臺，組織機(jī)構(gòu)內(nèi)部的對外數(shù)據(jù)共享可通過平臺進(jìn)行審核并詳細(xì)記錄，確保沒有超出數(shù)據(jù)服務(wù)提供者的數(shù)據(jù)所有權(quán)和授權(quán)使用范圍。利用數(shù)據(jù)加密、安全通道等措施保護(hù)數(shù)據(jù)共享過程中的個(gè)人信息重要數(shù)據(jù)等敏感信息。建立數(shù)據(jù)共享過程的監(jiān)控工具，對共享數(shù)據(jù)及數(shù)據(jù)共享服務(wù)過程進(jìn)行監(jiān)控，確保共享的數(shù)據(jù)未超出授權(quán)范圍。建立數(shù)據(jù)共享審計(jì)和審計(jì)日志管理的工具，明確審計(jì)記錄要求，為數(shù)據(jù)共享安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供幫助。組織機(jī)構(gòu)在數(shù)據(jù)共享審核平臺上對各類審核流程中應(yīng)關(guān)注的安全風(fēng)險(xiǎn)進(jìn)行提示，以輔助審核人員進(jìn)行風(fēng)險(xiǎn)的評估，提升審核的準(zhǔn)確度和效率；配置專業(yè)數(shù)據(jù)共享機(jī)制或服務(wù)組件，明確數(shù)據(jù)共享最低安全防護(hù)基線要求。數(shù)據(jù)發(fā)布安全建立數(shù)據(jù)資源公開數(shù)據(jù)庫，通過數(shù)據(jù)發(fā)布平臺服務(wù)實(shí)現(xiàn)公開數(shù)據(jù)資源登記、用戶注冊等發(fā)布數(shù)據(jù)和發(fā)布組件的驗(yàn)證互認(rèn)機(jī)制。依法通過數(shù)據(jù)發(fā)布平臺服務(wù)實(shí)現(xiàn)數(shù)據(jù)服務(wù)相關(guān)數(shù)據(jù)資源公告、資格審查、成交信息、履約信息等數(shù)據(jù)發(fā)布信息。建立數(shù)據(jù)資