企业网站pv是什么,手机网站开发价格,优秀的集团网站,地推加人2元1个目录
一、大数据安全的挑战与对策
#xff08;一#xff09;数据加密技术
#xff08;二#xff09;大数据安全与隐私
#xff08;三#xff09;大数据安全保障体系
#xff08;四#xff09;华为大数据安全解决方案
二、基础设施安全
#xff08;一#xff0…目录
一、大数据安全的挑战与对策
一数据加密技术
二大数据安全与隐私
三大数据安全保障体系
四华为大数据安全解决方案
二、基础设施安全
一认证技术
二访问控制
三公钥基础设施
四华为大数据平台 大数据安全是指在大数据环境下为了保护数据不被非法获取、篡改或破坏确保数据的安全性、完整性和可用性的一系列措施和技术。
一、大数据安全的挑战与对策
一数据加密技术
1、对称密码 对称密码的特征是加密密钥和解密密钥相同。对称密码不仅可用于数据加密也可用于消息的认证最有影响的对称密码是美国国家标准局颁布的DES/AES算法。对称密码系统的保密性主要取决于密钥的安全性因此必须通过安全可靠的途径如信使递送将密钥送至接收端。
2、密钥管理 如何将密钥安全、可靠地分配给通信对方包括密钥产生、分配、存储和销毁等多方面的问题统称为密钥管理。
3、非对称密码 非对称密码(公钥密码体制)的特征是加密密钥与解密密钥不同而且很难从一个推出另一个。两个密钥形成一个密钥对一个密钥用于加密另一个密钥用于解密。非对称密码算法基于数学问题求解的困难性而不再是基于代替和换位方法另外非对称密码使用两个独立的密钥一个可以公开称为公钥另一个不能公开称为私钥。 两个因素促进了双钥密码体制的产生一个是密钥管理与分配的问题另一个是数字签名的需求。双钥密码体制在数据加密、密钥分配和认证等领域都有重要的应用。 在非对称密码体制中公钥是可以公开的私钥是需要保密的。加解密算法都是公开的用公钥加密后只能用与之对应的私钥才能解密。
二大数据安全与隐私 大数据安全与隐私涉及众多领域包括数据安全系统安全和网络安全数据安全涉及数据加密和隐私保护系统安全涉及操作系统安全和数据库安全网络安全涉及身份认证、访问控制和审计技术。 大数据安全的核心技术主要包括加密技术访问控制和认证机制。
1、基础设施安全 基础设施安全主要体现在分布式计算和数据存储的保护方面。 一方面在分布式编程框架下的计算安全性面临着如何保证分布式数据映射的安全以及在不可信任的数据映射下如何确保数据安全的挑战。具体包括:计算节点配置错误或篡改导致计算结果错误或重要数据泄露计算节点间通信的重放攻击、中间人攻击或拒绝服务攻击等以及伪造计算节点等方面的问题。 另一方面在大数据系统中广泛使用的以NoSQL为代表的非关系型数据存储的安全性面临挑战。具体表现在:缺少完整性保护弱认证技术和弱口令易遭受重放攻击和暴力破解缺少基于角色的访问控制和授权机制防注入攻击的方案不成熟等。
2、数据管理安全 数据管理安全是指针对分布式可扩展数据集的数据存储、审计和溯源安全方案。分布式可扩展数据集在大数据系统中广泛应用。由于数据所有者与物理存储的分离以及不可信、不一致的存储和安全策略等原因分布式可扩展数据集产生了新的漏洞。主要表现在:数据保密性和完整性无法保证、拒绝服务攻击风险、副本间一致性无法保证、数据篡改存在纠纷和抵赖等。上述漏洞对数据安全存储和事件日志技术的防御方案提出了挑战。 很多行业的合规性要求大数据系统提供细粒度的审计记录而审计数据的完整性、实时性、准确性等关键因素面临未授权访问、数据清除和日志篡改等威胁成为审计数据和过程的难题。 在大数据应用中数据的起源信息变得十分复杂同时也容易受到内、外部的伪造、篡改和重放等攻击。因此大数据起源信息的可靠记录、安全集成、隐私保护和访问控制也是研究人员面临的挑战之一。
3、数据隐私 大数据的挖掘和分析为隐私的获取提供了可能。在数据挖掘过程中可能存在侵犯或泄露隐私、侵入式营销、降低公民自由等风险。如何避免公司内部及合作伙伴对隐私数据的滥用以及共享数据的匿名处理也是目前面临的难题。 在大数据环境下传统的通过系统访问控制确保数据可见性的方法暴露了更大的系统安全性攻击面如缓冲溢出、提权等。因此基于加密的数据保护在大数据环境更为有效。提供更强的加密算法并有效应用于大数据的保护是大数据安全技术的发展方向之一。 大数据分析越来越侧重于处理不同来源的数据而不同的数据来源对数据的法律和政策限制、隐私策略、共享协议等方面的要求各异。因此如何进行更细颗粒度的访问控制也是大数据安全面临的挑战。
4、安全验证和监控 多数大数据系统数据来源广泛可能存在攻击者篡改或伪造数据源甚至提供恶意输入的风险这对输入数据的验证和过滤技术提出了挑战。 大数据对实时安全监视技术也提出了更高的需求。一方面需要对大数据环境和应用本身进行监视以保证大数据处理节点、通信和应用程序的健康另一方面通过大数据技术对其他安全设备产生的海量报警以及系统事件、网络流量等海量数据进行挖掘以提供实时的系统异常检测和保护。 除此之外还包括如何建立形式化的威胁模型以覆盖大数据系统的网络攻击和数据泄露并设计易用的基于威胁模型的分析方案以及应对上述所有挑战的大数据安全和隐私保护解决方案如何在现有大数据系统实施的问题。
三大数据安全保障体系 1、基础设施安全 大数据部件的整体安全防护、认证和租户等安全特性包括身份认证、访问控制、数据加密、日志审计和多租户安全等技术方向。
2、数据管理安全 负责数据在采集、存储和分发使用过程的安全保障包括数据生命周期管理、数据水印、数据溯源、访问校验、细颗粒度访问控制、完整性保护和数据管理安全策略等技术方向。
3、隐私保护 支撑数据隐私保护的合法性原则、透明原则、数据主体参与原则、目的限制原则、最小化原则、准确原则、安全原则和可追溯原则包括匿名化/假名化、隐私还原管理、隐私策略管理、校验与监控和隐私风险识别等技术方向。
4、安全分析 利用大数据分析做安全态势感知实现威胁的检测、响应和防御包括智能监测、威胁预测、智能响应和可视化分析等技术方向。
5、数据运营安全 通过运营管理策略实现安全合规、风险管控和安全合作等。
四华为大数据安全解决方案 1、基础设施安全 基础设施安全包括所有大数据部件的整体安全防护、认证、租户等安全特性是大数据安全架的基础。提供大数据Hadoop体系部件的身份认证、数据加解密和访问控制大数据平台的安全日志审计、多服务实例与实例级资源隔离。
2、数据管理安全 数据管理安全贯穿大数据安全架构中数据流的生命周期负责数据在采集、存储和分发使用全过程的安全保障。
3、大数据分析 利用大数据分析实现对威肋检测和响应集成基于流采样的分布式拒绝服务Distributed Denial Of ServiceDDOS检测、基于多源复杂事件关联的安全态势感知和安全事件调査、基于软件定义网名Software Defined NetworkSDN的安全联动响应等技术并实现灵活的分析配置、智能数据分新以及高级可视化。
4、数据隐私保护 以特性功能和场景规格实现隐私保护并实现灵活的隐私策略管理和可度量的隐私风险评估。
二、基础设施安全
一认证技术 认证是阻止非法实施信息攻击的一种技术其作用为 1消息完整性认证验证信息在传输或存储过程中是否被篡改 2身份认证验证消息的收发者是否持有正确的身份认证符如口令、密钥 3消息序号和操作时间时间性等认证防止消息重放或会话劫持等攻击。 认证体制分为三个层次 安全管理协议、认证体制和密码体制。 认证体制必须考虑下列因素 1接收者能够验证消息的真实性、完整性以及合法性。 2消息的发送者不能抵赖发出的消息消息的接收者不能否认接收的消息。 3只有合法的发送者可以发送消息其他人不能伪造消息发送。 认证体制基本模型如下 。 认证体制相关技术包括数字签名消息认证和身份认证。
1、数字签名技术 一个完整的数字签名解决方案包括消息空间、签名及验证算法、安全参数、密钥生成算法等部分。数字签名可分为真数字签名和公证数字签名两大类。
1真数字签名签名者直接把签名消息传送给接收者接收者无须求助于第三方就能验证签名。
2公证数字签名签名者把签名消息通过可信第三方公证者发送给接收者接收者通过可信第三方公证者作为媒介来验证签名的合法性。
2、消息认证技术 消息认证通过对消息及附加信息进行加密或签名认证其作用包括消息完整性认证内容认证、消息的身份认证发送者和接收者的合法性以及消息的发送时间和发送序列号认证等。
1消息完整性认证内容认证 消息发送者在消息中增加认证码经加密后发送给接收者进行认证验算接收者用约定的算法对解密后的消息进行验算若通过则接收若未通过则拒绝接收。
2消息的身份认证 在消息认证中消息发送者和接收者的确认有两种方法第一种是双方事先约定消息数据加密的密钥接收者只需验证该密钥是否能把消息还原成明文就能认证发送者第二种是双方事先商定发送消息的特征字在发送消息时将特征字一起加密发送接收者只需检验消息中解密的特征字是否与约定特征字相同就可认证发送者。
3消息的发送时间和发送序列号认证 消息的发送时间和发送序列号的认证用于防止消息的重放攻击常用的认证信息包括:消息链接认证符、消息认证随机数和消息时间戳等。
3、身份认证 身份认证是确认系统用户身份的过程明确用户拥有对资源的访问和使用权限。身份认证是通过将一个证据与实体身份绑定来实现的实体可能是用户、计算单元、程序或进程。以身份认证为基础访问控制、安全审计、入侵检测等安全机制才能实施。 用户身份主要通过以下三种方式来确认。 1根据用户所知道的信息来确认用户的身份如约定信息。 2根据用户所拥有的东西来确认用户的身份如用户的身份信息。 3根据用户的特征来确认用户的身份例如生理特征如DNA、人脸等。 仅通过一个条件来验证一个人的身份称为单因子认证。由于仅使用一种条件判断用户的身份很容易被伪造存在很大的安全隐患作为改进我们可以通过组合多种不同的条件来证明一个人的身份如双因子认证。 目前有很多身份认证方法:用户名/密码方式、IC卡认证、USB Key、生物特征识别、动态密码 和数字签名等。
二访问控制 认证、访间控制和审计共同保障计算机系统的安全。 认证是用户进入系统的第一关访问控制是在用户以合法合法身份进入系统后通过监控器控制用户对数据信息的访问动作。 1、访问控制原理 认证服务建立用户的身份标识访问控制必须结合审计来解决系统安全问题。审计监控和记录系统监控所有用户的请求和活动并做事后分析。 访问控制按照安全策略实施管理针对所有资源的访问请求。根据系统安全策略访问控制对每个资源请求做出判断许可或限制访问防止用户非法访问和使用系统资源。 访问控制系统包括以下要素。 1主体访问操作的主动方用户、主机或应用程序主体可以访问客体。 2客体被调用的程序或访问的资源等数据、处理器和存储单元。 3安全访问政策用于确定一个主体是否对客体拥有访问能力的一套规则。 在访问控制系统中主体发起对客体的操作由系统的授权来决定主体可以创建子主体并由父主体控制子主体。主体与客体的关系是相对的一个主体被另一主体访问时就成为访问目标客体。 2、访问控制技术 访问控制技术是指为了实现访问控制所采取的管理措施。访问控制受操作系统指挥按照访问控制规则决定主体是否可以访问客体在系统工作的所有过程都有体现。
访问访问控制模型 1基于访问控制表的访问控制。 2基于能力关系表的访问控制。 3基于权限关系表的访问控制。 三公钥基础设施 PKI是一个依据公钥密码原理来提供公共安全服务支持的基础平台用户可利用PKI平台提供的安全服务进行安全通信认证。PKI按照密钥管理规则为所有交互应用提供加密和数字签名等服务所需的密钥和证书管理。 公钥基础设施主要包括认证机构、证书库、密钥备份和PKI应用接口系统等下面是PKI的几个特色。
1、认证机构 公钥技术面临的一个基本问题是发送方如何获得接收方的真实公钥。PKI使用公钥证书来处理基本问题公钥证书是接收方的身份标识与其持有公钥的结合在生成公钥证书之前由一个可信认证机构CA来证实用户的身份然后CA对由该用户身份标识及对应公钥组成的证书进行数字签名以证明公钥的有效性。
2、身份强识别 本地安全登录启动系统其操作过程是用户输入用户名和密码计算机通过检查这两个输入来验证用户身份确认登录的合法性。在远程登录时口令在普通网络上传送很容易被截取或监听因此这种简单方法不安全。 PKI采用公钥技术、高级通信协议和数字签名等方式进行远程登录不需要建立共享密钥不在网上传递密码等敏感信息。与简单的身份识别机制相比 PKI的身份识别机制被称为身份强识别。
3、透明性和一致性 PKI对终端用户的操作是透明的所有安全操作在后台自动进行无须用户干预也不会由于用户的错误操作对安全造成危害。除初始登录操作外PKI对用户是完全透明的。 PKI的优势是在应用环境中使用单一可信的安全技术如公钥技术它能保证很多程序和设备高效协同工作安全地进行数据通信和事务处理等操作。
四华为大数据平台 华为大数据平台FusionInsight 包括FusionInsight HD和FusionInsight Stream两个组件 1FusionInsight HD包含了开源社区的主要软件及其生态圈中的主流组件并进行了优化 2FusionInsight Stream是FusionInsight大数据分析平台中的实时数据处理引擎是以事件驱动模式处理实时数据的大数据技术解决高速事件流的实时计算问题提供实时分析、实时决策能力。 FusionInsight增强了网络隔离数据保密性等功能进一步提高安全性。
1、身份鉴别和认证 FusionInsight支持用户使用浏览器、组件客户端的方式登录集群。浏览器登录方式FusionInsight提供了基于CAS的单点登录用户在任意Web界页面登录后访问其他各组件Web页面无需再次输入用户口令进行认证。 2、用户和权限管理 FusionInsight提供基于角色的权限控制用户的角色决定了用户的权限。通过指定用户特定的角色给他赋予相应的权限。每种角色具有的权限根据需要访问的组件资源进行配置。 3、审计安全 FusionInsight支持记录审计日志审计日志可用于安全事件中定位问题原因及划分事故责任FusionInsight审计日志中记录了用户操作信息可以快速定位系统是否遭受恶意的操作和攻击。
审计日志类别审计日志内容审计日志内容1、事件类型 2、事件的风险级别 3、事件发生的时间 4、用户 5、被操作的主机、服务或实例 6、事件的结果。审计日志范围用户活动1、登录和注销 2、增加、删除用户和用户属性帐号、口令等的变更 3、用户的锁定和解锁 4、角色权限变更。审计日志范围操作指令1、对系统配置参数的修改 2、对系统进行启动、关闭、重启、暂停、恢复、倒换 3、对服务的加载、卸载 4、软件的升级操作包括远程升级和本地升级 5、对重要业务数据的创建、删除、修改 6、所有帐户的命令行操作命令。
4多租户安全 FusionInsight提供企业级的安全平台提供系统的安全解决方案 1认证AuthenticationFusionInsight平台集成Kerberos Ldap的认证方式保证企业级的帐户安全。 2授权Authorization基于用户和角色的认证统一体系遵从帐户/角色RBACRole-Based Access Control模型实现通过租户角色进行权限管理对用户进行批量授权管理。 3审计Auditing对登录FusionInsight Manager的用户的所有操作进行审计及时发现违规操作和安全风险。 未完待续……
