精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

一、阿里云大數(shù)據(jù)安全實(shí)踐

阿里云數(shù)加大數(shù)據(jù)平臺(tái)提供從數(shù)據(jù)采集，加工、數(shù)據(jù)分析、機(jī)器學(xué)習(xí)到最后數(shù)據(jù)應(yīng)用的全鏈路技術(shù)和服務(wù)。

基于阿里云數(shù)加大數(shù)據(jù)平臺(tái)，除了可以打造智能可視化透明工廠、智能交通實(shí)時(shí)預(yù)測(cè)和實(shí)時(shí)監(jiān)控監(jiān)測(cè)、智能醫(yī)院就醫(yī)接診服務(wù)，以及大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)外，還可以打造成一個(gè)滿足政府不同部門以及政企之間實(shí)現(xiàn)數(shù)據(jù)共享的數(shù)據(jù)交換平臺(tái)。

為了保障數(shù)據(jù)共享和交換過程中的數(shù)據(jù)安全，數(shù)家大數(shù)據(jù)平臺(tái)通過安全機(jī)制和管控措施實(shí)現(xiàn)不同用戶之間數(shù)據(jù)的“可用不可見”，具體如圖B-1所示：

▊為確保數(shù)據(jù)交換和共享的安全，避免數(shù)據(jù)濫用，阿里云數(shù)加平臺(tái)提供了一系列安全措施：

密鑰管理和鑒權(quán)。提供統(tǒng)一的密鑰管理和訪問鑒權(quán)服務(wù)，支持多因素鑒權(quán)模型;

訪問控制和隔離。實(shí)施多租戶訪問隔離措施，實(shí)施數(shù)據(jù)安全等級(jí)劃分，支持基于標(biāo)簽的強(qiáng)制訪問控制，提供基于ACL的數(shù)據(jù)訪問授權(quán)模型，提供全局?jǐn)?shù)據(jù)視圖和私有數(shù)據(jù)視圖，提供數(shù)據(jù)視圖的訪問控制;

數(shù)據(jù)安全和個(gè)人信息保護(hù)。提供數(shù)據(jù)脫敏和個(gè)人信息去標(biāo)識(shí)化功能，提供滿足國產(chǎn)密碼算法的用戶數(shù)據(jù)加密服務(wù);

安全審計(jì)和血緣追蹤。提供數(shù)據(jù)訪問審計(jì)日志，支持?jǐn)?shù)據(jù)血緣追蹤，跟蹤數(shù)據(jù)的流向和衍生變化過程;

審批和預(yù)警。支持?jǐn)?shù)據(jù)導(dǎo)出控制，支持人工審批或系統(tǒng)預(yù)警;提供數(shù)據(jù)質(zhì)量保障系統(tǒng)，對(duì)交換的數(shù)據(jù)進(jìn)行數(shù)據(jù)質(zhì)量評(píng)測(cè)和監(jiān)控、預(yù)警;

生命周期管理。提供從采集、存儲(chǔ)、使用、傳輸、共享、發(fā)布、到銷毀等基于數(shù)據(jù)生命周期的技術(shù)和管理措施。

阿里云基于數(shù)據(jù)生命周期構(gòu)建全面的數(shù)據(jù)安全保障體系，從數(shù)據(jù)行為、數(shù)據(jù)內(nèi)容、數(shù)據(jù)環(huán)境等角度提供技術(shù)和管理措施，具體如圖B-2所示：

通過實(shí)施阿里云大數(shù)據(jù)安全管控體系，提供“可用不可見”的大數(shù)據(jù)交換共享平臺(tái)安全環(huán)境，以保障大數(shù)據(jù)在“存儲(chǔ)、流通、使用”過程中的安全。

二、百度大數(shù)據(jù)安全實(shí)踐

數(shù)據(jù)是百度公司的重要資產(chǎn)。百度公司在內(nèi)部構(gòu)建了公司級(jí)大數(shù)據(jù)平臺(tái)，收錄公司各個(gè)業(yè)務(wù)領(lǐng)域的數(shù)據(jù)，建設(shè)數(shù)據(jù)閉環(huán)解決方案，推動(dòng)全公司數(shù)據(jù)的統(tǒng)一管理、數(shù)據(jù)共享、數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)使用。這些聚在一起的數(shù)據(jù)資產(chǎn)來自多個(gè)部門和業(yè)務(wù)，對(duì)安全的要求也不同。

百度非常重視大數(shù)據(jù)應(yīng)用過程中的安全保障，在安全方面形成了統(tǒng)一的大數(shù)據(jù)安全框架，通過在數(shù)據(jù)全生命周期各環(huán)節(jié)實(shí)施安全技術(shù)和管理機(jī)制，為大數(shù)據(jù)平臺(tái)和用戶數(shù)據(jù)提供安全保障。

▊百度大數(shù)據(jù)平臺(tái)安全架構(gòu)

百度大數(shù)據(jù)平臺(tái)具備基礎(chǔ)的系統(tǒng)安全、安全管理，以及以數(shù)據(jù)安全分級(jí)機(jī)制為核心的數(shù)據(jù)安全架構(gòu)，如圖B-3所示：

系統(tǒng)安全和安全管理是百度大數(shù)據(jù)平臺(tái)中最基礎(chǔ)的安全機(jī)制。數(shù)據(jù)安全架構(gòu)在整個(gè)大數(shù)據(jù)安全架構(gòu)中處于極為重要的位置。數(shù)據(jù)安全架構(gòu)包括安全審計(jì)、安全控制和安全加密三部分，并采用安全分級(jí)機(jī)制，分為基礎(chǔ)級(jí)和可選級(jí)。

安全基礎(chǔ)級(jí)別包括安全審計(jì)和安全控制兩個(gè)功能，它是所有在大數(shù)據(jù)平臺(tái)的業(yè)務(wù)數(shù)據(jù)都會(huì)得到的安全基礎(chǔ)保障，為大數(shù)據(jù)平臺(tái)上的數(shù)據(jù)提供生命周期過程中的可審計(jì)性和細(xì)粒度完整控制功能?？蛇x級(jí)別包括數(shù)據(jù)的加解密功能，支持各種強(qiáng)度的加解密算法。

百度大數(shù)據(jù)平臺(tái)支持?jǐn)?shù)據(jù)的加密存儲(chǔ)，考慮到平臺(tái)每天產(chǎn)生的數(shù)據(jù)量極其龐大，以及數(shù)據(jù)運(yùn)算的效率要求，可以根據(jù)數(shù)據(jù)的業(yè)務(wù)特點(diǎn)和密級(jí)要求來選擇不同強(qiáng)度的加密算法。

▊百度大數(shù)據(jù)平臺(tái)關(guān)鍵安全能力

百度提出4A安全體系來構(gòu)建大數(shù)據(jù)平臺(tái)的關(guān)鍵安全能力，主要包括：

Account(賬號(hào))：為每個(gè)用戶創(chuàng)建唯一的用戶賬號(hào)，并對(duì)用戶身份進(jìn)行鑒別，確保數(shù)據(jù)訪問控制和安全審計(jì)可以追溯到個(gè)人賬號(hào)。同時(shí)，采用基于角色的用戶分組管理，將系統(tǒng)管理角色、系統(tǒng)數(shù)據(jù)建設(shè)角色和數(shù)據(jù)查看角色進(jìn)行區(qū)分。

Authentication(鑒別)：百度大數(shù)據(jù)平臺(tái)上的數(shù)據(jù)訪問必須有統(tǒng)一的身份鑒別機(jī)制。百度大數(shù)據(jù)平臺(tái)采用統(tǒng)一單點(diǎn)登錄身份認(rèn)證技術(shù)對(duì)用戶進(jìn)行身份鑒別管理。

Authorization(授權(quán))：百度大數(shù)據(jù)平臺(tái)需要根據(jù)數(shù)據(jù)訪問主體身份，以及被訪問數(shù)據(jù)的密級(jí)，實(shí)現(xiàn)對(duì)各類數(shù)據(jù)的訪問授權(quán)。對(duì)于機(jī)密等級(jí)以上的數(shù)據(jù)，需要對(duì)接到具體的電子審批流程。此外，數(shù)據(jù)在流轉(zhuǎn)過程中，大數(shù)據(jù)平臺(tái)可以自動(dòng)判斷對(duì)應(yīng)的下一個(gè)節(jié)點(diǎn)的安全等級(jí)和人員授權(quán)情況，進(jìn)行數(shù)據(jù)流轉(zhuǎn)的安全判斷和維護(hù)。

Audit(審計(jì))：百度大數(shù)據(jù)平臺(tái)具有審計(jì)日志記錄功能，實(shí)現(xiàn)對(duì)系統(tǒng)中針對(duì)用戶管理、權(quán)限管理、用戶登陸、數(shù)據(jù)獲取/訪問/修改等行為的完整日志記錄?；谙到y(tǒng)審計(jì)日志，可以實(shí)現(xiàn)事中的安全監(jiān)控，以及事后的行為溯源和取證分析。

三、華為大數(shù)據(jù)安全實(shí)踐

華為大數(shù)據(jù)分析平臺(tái)FusionInsight基于開源社區(qū)軟件hadoop進(jìn)行功能增強(qiáng)，提供企業(yè)級(jí)大數(shù)據(jù)存儲(chǔ)、查詢和分析的統(tǒng)一平臺(tái)，幫助企業(yè)快速構(gòu)建海量數(shù)據(jù)信息處理系統(tǒng)。

FusionInsight是完全開放的大數(shù)據(jù)分析平臺(tái)，并針對(duì)金融、運(yùn)營商等數(shù)據(jù)密集型行業(yè)的運(yùn)行維護(hù)、應(yīng)用開發(fā)等需求打造了高可靠、高安全、易使用的運(yùn)行維護(hù)系統(tǒng)和全量數(shù)據(jù)建模中間件。華為FusionInsight大數(shù)據(jù)分析平臺(tái)框架圖如圖B-4所示：

大數(shù)據(jù)分析平臺(tái)匯聚著大量數(shù)據(jù)，面臨著更多的安全威脅和挑戰(zhàn)，包括數(shù)據(jù)濫用和用戶隱私泄露問題。華為FuisonInsight大數(shù)據(jù)分析平臺(tái)提供可運(yùn)營的安全體系，從網(wǎng)絡(luò)安全、主機(jī)安全、用戶安全和數(shù)據(jù)安全方面提供全方位的安全防護(hù)(如圖B-5)：

　　▊網(wǎng)絡(luò)安全

FusionInsight集群支持通過網(wǎng)絡(luò)平面隔離的方式保證網(wǎng)絡(luò)安全。

▊主機(jī)安全

通過對(duì)FusionInsight集群內(nèi)節(jié)點(diǎn)的操作系統(tǒng)安全加固等手段保證節(jié)點(diǎn)正常運(yùn)行，包括更新最新補(bǔ)丁、操作系統(tǒng)內(nèi)核安全加固、操作系統(tǒng)權(quán)限控制、端口管理、部署防病毒軟件等。

▊用戶安全

通過提供身份認(rèn)證、權(quán)限控制、審計(jì)控制等安全措施防止用戶假冒、越權(quán)、惡意操作等安全威脅：

身份認(rèn)證。FusionInsight使用LDAP作為帳戶管理系統(tǒng)，并通過Kerberos對(duì)帳戶信息進(jìn)行安全認(rèn)證;統(tǒng)一了Manager系統(tǒng)用戶和組件用戶的管理及認(rèn)證，提供單點(diǎn)登錄。

權(quán)限控制?；谟脩艉徒巧恼J(rèn)證統(tǒng)一體系，遵從帳戶/角色RBAC(基于角色的訪問控制)模型，實(shí)現(xiàn)通過角色進(jìn)行權(quán)限管理，對(duì)用戶進(jìn)行批量授權(quán)管理，降低集群的管理難度;通過角色創(chuàng)建訪問組件資源的權(quán)限，可以細(xì)粒度管理資源(例如文件、目錄、表、數(shù)據(jù)庫、列族等訪問權(quán)限);將角色授予用戶/用戶組，簡(jiǎn)化用戶/用戶組的權(quán)限配置。

審計(jì)日志。FusionInsight審計(jì)日志中記錄了用戶操作信息，可以快速定位系統(tǒng)是否遭受惡意的操作和攻擊，并避免審計(jì)日志中記錄用戶敏感信息：確保每一項(xiàng)用戶的破壞性業(yè)務(wù)操作被記錄審計(jì)，保證用戶業(yè)務(wù)操作可回溯;為系統(tǒng)提供審計(jì)日志的查詢、導(dǎo)出功能，可為用戶提供安全事件的事后追溯、定位問題原因及劃分事故責(zé)任的重要手段。

▊數(shù)據(jù)安全

從集群容災(zāi)、備份、數(shù)據(jù)完整性、數(shù)據(jù)保密性等方面保證用戶數(shù)據(jù)的安全。

文件系統(tǒng)加密：Hive、HBase可以對(duì)表、字段加密，集群內(nèi)部用戶信息禁止明文存儲(chǔ);

加密靈活：加密算法插件化，可進(jìn)行擴(kuò)充，亦可自行開發(fā)。非敏感數(shù)據(jù)可不加密，不影響性能;

業(yè)務(wù)透明：上層業(yè)務(wù)只需指定敏感數(shù)據(jù)(Hive和HBase表級(jí)、列級(jí)加密)，加解密過程業(yè)務(wù)完全不感知。

▊數(shù)據(jù)容災(zāi)

FusionInsight集群容災(zāi)為集群內(nèi)部保存的用戶數(shù)據(jù)提供實(shí)時(shí)的異地?cái)?shù)據(jù)容災(zāi)功能;它對(duì)外提供了基礎(chǔ)的運(yùn)維工具，包含主備集群關(guān)系維護(hù)，數(shù)據(jù)重建，數(shù)據(jù)校驗(yàn)，數(shù)據(jù)同步進(jìn)展查看等功能。

四、京東大數(shù)據(jù)安全實(shí)踐

數(shù)據(jù)資源已經(jīng)成為一種基礎(chǔ)戰(zhàn)略資源，數(shù)據(jù)的共享和流通會(huì)產(chǎn)生巨大價(jià)值。然而，數(shù)據(jù)資源在流通過程中卻面臨著諸多瓶頸和制約，尤其是當(dāng)數(shù)據(jù)一種特殊的數(shù)字內(nèi)容產(chǎn)品時(shí)，其權(quán)益保護(hù)難度遠(yuǎn)大于傳統(tǒng)的大數(shù)據(jù)，一旦發(fā)生侵權(quán)問題，舉證和追責(zé)過程都十分困難。

為了解決這些問題，京東萬象數(shù)據(jù)服務(wù)平臺(tái)(如圖B-6所示)利用區(qū)塊鏈技術(shù)對(duì)流通的數(shù)據(jù)進(jìn)行確權(quán)溯源，數(shù)據(jù)買家在數(shù)據(jù)服務(wù)平臺(tái)上購買的每一筆交易信息都會(huì)在區(qū)塊鏈中存儲(chǔ)起來，數(shù)據(jù)買家通過獲得交易憑證可以看到該筆交易的數(shù)字證書以及該筆交易信息在區(qū)塊鏈中的存儲(chǔ)地址，待買家需要進(jìn)行數(shù)據(jù)確權(quán)時(shí)，登錄用戶中心進(jìn)入查詢平臺(tái)，輸入交易憑證中的相關(guān)信息，查詢到存儲(chǔ)在區(qū)塊鏈中的該筆交易信息，從而完成交易數(shù)據(jù)的溯源確權(quán)。

在安全保障方面，為了防止數(shù)據(jù)流通過程中的個(gè)人身份冒用問題，京東萬象數(shù)據(jù)服務(wù)平臺(tái)通過使用公安部提供的個(gè)人身份認(rèn)證服務(wù)對(duì)用戶身份進(jìn)行識(shí)別和保護(hù)。京東萬象數(shù)據(jù)服務(wù)平臺(tái)結(jié)合公安部eID技術(shù)，該技術(shù)密碼技術(shù)為基礎(chǔ)、以智能安全芯片為載體、由“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”簽發(fā)給公民的網(wǎng)絡(luò)身份標(biāo)識(shí)，能夠在不泄露身份信息的前提下在線遠(yuǎn)程識(shí)別用戶身份。

京東萬象數(shù)據(jù)服務(wù)平臺(tái)通過區(qū)塊鏈溯源和eID技術(shù)，有效解決了合法用戶基于互聯(lián)網(wǎng)開展大數(shù)據(jù)安全交易的數(shù)字產(chǎn)品版權(quán)保護(hù)問題，保障了數(shù)據(jù)擁有者在數(shù)據(jù)交易中的合法權(quán)益。

五、奇虎360大數(shù)據(jù)安全實(shí)踐

奇虎360在面對(duì)日益嚴(yán)峻的安全挑戰(zhàn)時(shí)，不斷更新技術(shù)思路，實(shí)現(xiàn)了及時(shí)響應(yīng)最新的網(wǎng)絡(luò)安全威脅。為應(yīng)對(duì)千變?nèi)f化的網(wǎng)絡(luò)安全威脅，奇虎360通過部署的數(shù)萬臺(tái)大數(shù)據(jù)服務(wù)器，對(duì)當(dāng)前網(wǎng)絡(luò)安全事件進(jìn)行實(shí)時(shí)監(jiān)測(cè)與分析，采用大數(shù)據(jù)技術(shù)對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行跟蹤和防范。

為了保障安全，大數(shù)據(jù)平臺(tái)依照“安全三同步”原則進(jìn)行建設(shè)，即同步規(guī)劃、同步組織實(shí)施、同步運(yùn)作投產(chǎn)。

奇虎360的大數(shù)據(jù)平臺(tái)安全保障體系框架如圖B-7所示。大數(shù)據(jù)平臺(tái)安全保障體系框架包括“安全職責(zé)劃分”，“安全區(qū)域劃分”，“安全級(jí)別劃分”，“安全監(jiān)測(cè)模塊”，“安全防御模塊”，“業(yè)務(wù)安全與安全運(yùn)維模塊”，“安全響應(yīng)中心模塊”等部分。

　　▊安全職責(zé)劃分

安全職責(zé)劃分是整體方案的基礎(chǔ)，所有技術(shù)手段都應(yīng)貼近安全職責(zé)劃分，為其服務(wù)。梳理大數(shù)據(jù)平臺(tái)各方安全責(zé)任邊界，對(duì)整個(gè)活動(dòng)中的安全事件進(jìn)行詳細(xì)的責(zé)任劃分。

▊安全區(qū)域劃分

大數(shù)據(jù)平臺(tái)環(huán)境相對(duì)復(fù)雜，涉及多類業(yè)務(wù)，多類系統(tǒng)，現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)考慮了分級(jí)問題，在此基礎(chǔ)上，需進(jìn)一步細(xì)化安全域的劃分以及不同安全域、不同安全級(jí)別的訪問控制設(shè)計(jì)。

▊安全級(jí)別劃分

按照安全區(qū)域劃分結(jié)果，為每個(gè)區(qū)域制定響應(yīng)的安全等級(jí)，區(qū)域安全等級(jí)與用戶安全等級(jí)、數(shù)據(jù)安全等級(jí)相互對(duì)應(yīng)。通過安全級(jí)別的劃分確?？尚藕弦?guī)使用資源。

▊安全監(jiān)測(cè)模塊

其中主要包括大數(shù)據(jù)平臺(tái)安全防御審查系統(tǒng)并提供基于人工或自動(dòng)化的多層次的安全監(jiān)測(cè)服務(wù)。

▊安全防御模塊

按照統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)的設(shè)計(jì)思路，在充分考慮當(dāng)前網(wǎng)絡(luò)應(yīng)用和實(shí)際環(huán)境的基礎(chǔ)上，對(duì)整體的網(wǎng)絡(luò)劃分為若干個(gè)安全域和安全區(qū)，建設(shè)大數(shù)據(jù)平臺(tái)面向各個(gè)區(qū)域的基礎(chǔ)安全防御系統(tǒng)和大數(shù)據(jù)平臺(tái)自身的防御系統(tǒng)。

▊業(yè)務(wù)安全與安全運(yùn)維模塊

實(shí)現(xiàn)安全運(yùn)維操作的分級(jí)管理，針對(duì)大數(shù)據(jù)業(yè)務(wù)安全和安全運(yùn)維工作的用戶賦予符合其安全職責(zé)劃分的權(quán)限，實(shí)現(xiàn)業(yè)務(wù)安全和安全運(yùn)維。

▊安全響應(yīng)中心模塊

采用本地響應(yīng)+安全響應(yīng)的新型工作模式。本地響應(yīng)實(shí)現(xiàn)當(dāng)前問題的及時(shí)規(guī)范化處理，安全響應(yīng)結(jié)合云端的情報(bào)威脅聯(lián)動(dòng)、本地終端協(xié)調(diào)聯(lián)動(dòng)、以及專家等提供及時(shí)的技術(shù)保障服務(wù)。

六、騰訊大數(shù)據(jù)安全實(shí)踐

騰訊一直把大數(shù)據(jù)應(yīng)用作為公司的重要發(fā)展戰(zhàn)略，并依托十多年的互聯(lián)網(wǎng)產(chǎn)品開發(fā)和運(yùn)營經(jīng)驗(yàn)，形成了一套完整、可靠、擴(kuò)展性強(qiáng)的大數(shù)據(jù)業(yè)務(wù)應(yīng)用框架，為用戶提供大數(shù)據(jù)處理服務(wù)。

▊騰訊大數(shù)據(jù)業(yè)務(wù)應(yīng)用框架為用戶提供三大基礎(chǔ)能力：

數(shù)據(jù)：提供海量的數(shù)據(jù)接入能力與處理能力;

連接：提供開放接口，做互聯(lián)網(wǎng)+的連接器;

安全：重視網(wǎng)絡(luò)安全，將其作為連接一切的防護(hù)體系。

騰訊特別注重在提供大數(shù)據(jù)處理服務(wù)過程中的數(shù)據(jù)安全和隱私保護(hù)問題，采取安全技術(shù)和管理措施確保大數(shù)據(jù)業(yè)務(wù)的健康發(fā)展。大數(shù)據(jù)和云計(jì)算密不可分，騰訊云通過端、主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)的安全服務(wù)，為客戶提供安全的大數(shù)據(jù)業(yè)務(wù)。騰訊大數(shù)據(jù)安全涉及的安全關(guān)注重點(diǎn)如圖B-8所示。

　　▊平臺(tái)安全

關(guān)注系統(tǒng)自身的安全性，防止來自系統(tǒng)層面的攻擊，同時(shí)為更高級(jí)安全防御措施提供系統(tǒng)級(jí)別的支持，包括：系統(tǒng)防御，即防御來自系統(tǒng)層面的攻擊，如漏洞攻擊、嗅探攻擊、流量攻擊(如DDoS)等;權(quán)限管理，即提供文件、設(shè)備等底層資源的權(quán)限管理能力，防止越權(quán)訪問;操作審計(jì)：即提供文件、設(shè)備等底層資源的訪問、操作歷史日志，為更高級(jí)的審計(jì)提供數(shù)據(jù)和功能支持。

▊數(shù)據(jù)安全

關(guān)注數(shù)據(jù)生命周期各階段的安全性，防止數(shù)據(jù)丟失、覆蓋、篡改帶來的損失。包括：存儲(chǔ)安全，即采用多副本方式存儲(chǔ)數(shù)據(jù)，防止數(shù)據(jù)非正常丟失;抹除安全，即數(shù)據(jù)延遲刪除，防止誤操作帶來的數(shù)據(jù)丟失。

▊傳輸安全

關(guān)注數(shù)據(jù)在傳輸過程中的安全性，包括：接口安全，即采用安全接口設(shè)計(jì)及高安全的數(shù)據(jù)傳輸協(xié)議，保證在通過接口訪問、處理、傳輸數(shù)據(jù)時(shí)的安全性，避免數(shù)據(jù)被非法訪問、竊聽或旁路嗅探;中間層安全，即使用加密等方法隱藏實(shí)際數(shù)據(jù)，保證數(shù)據(jù)在通過中間層的過程中不被惡意截獲，只有數(shù)據(jù)管理者通過密鑰等方式可以在平臺(tái)中動(dòng)態(tài)解密并訪問原始數(shù)據(jù)。

▊安全管理

關(guān)注對(duì)大數(shù)據(jù)分析平臺(tái)的合理、合規(guī)使用，通過與技術(shù)配套的管理手段控制風(fēng)險(xiǎn)，保證安全。包括：認(rèn)證、鑒權(quán)、授信管理，即確保用戶對(duì)平臺(tái)、接口、操作、資源、數(shù)據(jù)等都具有相應(yīng)的訪問權(quán)限，避免越權(quán)訪問;分級(jí)管理，即根據(jù)敏感度對(duì)數(shù)據(jù)進(jìn)行分級(jí)，對(duì)不同級(jí)別的數(shù)據(jù)提供差異化的流程、權(quán)限、審批要求等管理措施，數(shù)據(jù)安全等級(jí)越高，管理越嚴(yán)格;

審計(jì)管理，基于底層提供的審計(jì)數(shù)據(jù)，在權(quán)限管理、數(shù)據(jù)使用、操作行為等多個(gè)維度上對(duì)大數(shù)據(jù)分析平臺(tái)的運(yùn)轉(zhuǎn)提供安全審計(jì)能力，確保及時(shí)發(fā)現(xiàn)大數(shù)據(jù)分析平臺(tái)中的隱患點(diǎn)，視不同嚴(yán)重程度采取包括排除隱患、挽回?cái)?shù)據(jù)、人員追責(zé)在內(nèi)的多種補(bǔ)救措施，同時(shí)指導(dǎo)大數(shù)據(jù)分析平臺(tái)不再重復(fù)類似的問題。

七、中國移動(dòng)大數(shù)據(jù)安全實(shí)踐

為應(yīng)對(duì)大數(shù)據(jù)應(yīng)用服務(wù)過程中數(shù)據(jù)濫用和個(gè)人隱私安全風(fēng)險(xiǎn)，中國移動(dòng)建立了完善的大數(shù)據(jù)安全保障體系，目標(biāo)是保護(hù)大數(shù)據(jù)權(quán)屬性、保密性、完整性、可用性、可追溯性，實(shí)現(xiàn)大數(shù)據(jù)“可管、可控、可信”，保護(hù)公司各領(lǐng)域大數(shù)據(jù)資產(chǎn)及用戶隱私。大數(shù)據(jù)安全保障體系框架如圖B-9所示。

▊中國移動(dòng)大數(shù)據(jù)安全保障體系涉及安全策略、安全管理、安全運(yùn)營、安全技術(shù)、合規(guī)評(píng)測(cè)、服務(wù)支撐等六大體系：

安全策略體系：是在遵循國家大數(shù)據(jù)安全政策框架的基礎(chǔ)上，開展頂層設(shè)計(jì)，明確公司大數(shù)據(jù)安全總體策略，指導(dǎo)相關(guān)管理制度、技術(shù)防護(hù)、安全運(yùn)營、合規(guī)評(píng)測(cè)、服務(wù)支撐工作的開展，是其它體系建設(shè)的基本依據(jù)。

安全管理體系：是通過管理制度建設(shè)，明確運(yùn)營方安全主體責(zé)任，落實(shí)安全管理措施，相關(guān)制度包括第三方合作管理、內(nèi)部安全管理、數(shù)據(jù)分類分級(jí)管理、應(yīng)急響應(yīng)機(jī)制、資產(chǎn)設(shè)施保護(hù)和認(rèn)證授權(quán)管理等安全管理規(guī)范要求。

安全運(yùn)營體系：是通過定義運(yùn)營角色，明確運(yùn)營機(jī)構(gòu)安全職責(zé)，實(shí)現(xiàn)對(duì)大數(shù)據(jù)業(yè)務(wù)及數(shù)據(jù)的全流程、全周期安全管理，通過對(duì)大數(shù)據(jù)的平臺(tái)系統(tǒng)、業(yè)務(wù)服務(wù)、數(shù)據(jù)資產(chǎn)和用戶隱私的有效安全運(yùn)營管控，保障業(yè)務(wù)可持續(xù)健康發(fā)展。

安全技術(shù)體系建設(shè)：目標(biāo)是有效預(yù)構(gòu)塔防能力，包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理以及業(yè)務(wù)應(yīng)用等層次安全防護(hù)。通過制定涉及網(wǎng)絡(luò)、平臺(tái)、系統(tǒng)、數(shù)據(jù)、業(yè)務(wù)系列安全技術(shù)規(guī)范支撐開展安全防護(hù)能力建設(shè)。

安全合規(guī)評(píng)測(cè)體系：建設(shè)目標(biāo)是持續(xù)優(yōu)化安全評(píng)估能力，通過合規(guī)評(píng)估、安全測(cè)試、攻擊滲透等手段，實(shí)現(xiàn)對(duì)大數(shù)據(jù)業(yè)務(wù)各環(huán)節(jié)風(fēng)險(xiǎn)點(diǎn)的全面評(píng)估，保障安全管理制度及技術(shù)要求的有效落實(shí)。

大數(shù)據(jù)服務(wù)支撐體系：理念是“安全保數(shù)據(jù)、數(shù)據(jù)促安全”，重點(diǎn)是基于大數(shù)據(jù)資源為信息安全保障提供支撐服務(wù)，如基礎(chǔ)安全態(tài)勢(shì)感知、數(shù)據(jù)安全監(jiān)測(cè)預(yù)警、情報(bào)分析輿情監(jiān)測(cè)、以及不良信息治理等安全領(lǐng)域的應(yīng)用。通過開展大數(shù)據(jù)在大數(shù)據(jù)安全管控等各個(gè)領(lǐng)域的應(yīng)用研究，為信息安全管控提供新型的支撐服務(wù)手段。

▊中國移動(dòng)對(duì)用戶個(gè)人信息的各個(gè)處理環(huán)節(jié)施行嚴(yán)格規(guī)定與落實(shí)：

對(duì)客戶信息所包含的內(nèi)容進(jìn)行界定、分類及分級(jí);

明確信息安全管理責(zé)任部門及職責(zé)。對(duì)各部門的職責(zé)進(jìn)行了嚴(yán)格要求和細(xì)致規(guī)定，并明確相關(guān)崗位角色及權(quán)限;

對(duì)客戶敏感信息操作進(jìn)行嚴(yán)格管理。對(duì)于涉及用戶敏感信息的關(guān)鍵操作，嚴(yán)格遵守金庫模式保護(hù)要求，采取“關(guān)鍵操作、多人完成、分權(quán)制衡”的原則，實(shí)現(xiàn)操作與授權(quán)分離;

設(shè)立客戶信息安全檢查制度;

不斷提高客戶信息系統(tǒng)技術(shù)管控水平;

嚴(yán)控第三方信息安全風(fēng)險(xiǎn)。

另外，中國移動(dòng)自主研發(fā)了大數(shù)據(jù)安全管理平臺(tái)——雷池，實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一認(rèn)證、集中細(xì)粒度授權(quán)、審計(jì)監(jiān)控、數(shù)據(jù)脫敏以及異常行為檢測(cè)告警，可對(duì)數(shù)據(jù)進(jìn)行全方位安全管控，做到事前可管、事中可控、事后可查。

八、Cloudera大數(shù)據(jù)安全實(shí)踐

Hadoop已經(jīng)廣泛應(yīng)用于金融、電信、制造、能源以及健康醫(yī)療領(lǐng)域，這些領(lǐng)域的客戶基于Hadoop搭建企業(yè)數(shù)據(jù)湖，完成企業(yè)數(shù)據(jù)整合。數(shù)據(jù)整合之前是存放在相對(duì)獨(dú)立的系統(tǒng)進(jìn)行安全存儲(chǔ)及管理。

數(shù)據(jù)整合之后，原本只有少數(shù)人訪問到的數(shù)據(jù)分享給更多的用戶進(jìn)行分析，如何有效的對(duì)訪問者進(jìn)行身份審核，數(shù)據(jù)的權(quán)限管理，數(shù)據(jù)訪問留痕即審計(jì)，以及對(duì)涉密程度比較高的數(shù)據(jù)在大數(shù)據(jù)平臺(tái)進(jìn)行加密，是企業(yè)數(shù)據(jù)湖面臨的重要問題。

Cloudera在大數(shù)據(jù)安全保障方面，提供了從數(shù)據(jù)平臺(tái)身份認(rèn)證、訪問授權(quán)管理、數(shù)據(jù)加密保護(hù)到安全審計(jì)全流程的安全解決方案體系架構(gòu)。Cloudera大數(shù)據(jù)平臺(tái)安全體系架構(gòu)如圖B-10所示：

　　▊邊界

關(guān)注于控制外部用戶或者服務(wù)對(duì)集群的訪問過程中的身份鑒別，也稱之為身份認(rèn)證模塊，這是實(shí)施大數(shù)據(jù)安全架構(gòu)的基礎(chǔ);在Cloudera數(shù)據(jù)平臺(tái)中所有組件都能提供基于Kerberos的認(rèn)證功能，某些組件還能提供額外的基于LDAP(Active Directory)或者是SAML的認(rèn)證;

用戶在訪問啟用了安全認(rèn)證的集群時(shí)，必須能通過服務(wù)所需要的安全認(rèn)證方式。在部署身份認(rèn)證時(shí)，根據(jù)的企業(yè)基礎(chǔ)設(shè)施不同，可以選擇不同的部署解決方案。

▊訪問

關(guān)注于用戶或者應(yīng)用訪問數(shù)據(jù)時(shí)，對(duì)用戶的權(quán)限定義和實(shí)施過程，通常稱為授權(quán);Cloudera可以限定用戶是否有對(duì)某種資源的訪問能力?；贖adoop的數(shù)據(jù)平臺(tái)通常都提供了多樣化的資源和服務(wù)，但受限于訪問控制措施，不得不限制了Hadoop使用的廣度和深度。

起初Hadoop僅僅是作為ETL的補(bǔ)充開放給SQL開發(fā)者使用，后來各業(yè)務(wù)分析部門意識(shí)到Hadoop的便利性，也需要相應(yīng)數(shù)據(jù)和服務(wù)的訪問授權(quán)，這就要求大數(shù)據(jù)平臺(tái)需要和企業(yè)現(xiàn)有LDAP或者AD進(jìn)行整合，同時(shí)能給不同應(yīng)用提供一致的基于角色的訪問控制能力。

Cloudera通過ApacheSentry來完成對(duì)大數(shù)據(jù)系統(tǒng)訪問策略的配置和權(quán)限控制實(shí)施，從而可以實(shí)現(xiàn)一致的訪問權(quán)限控制配置和實(shí)施過程，比如說，一個(gè)用戶通過Hive或者Impala對(duì)某張表實(shí)施了權(quán)限配置，那么此用戶通過Spark或者Search訪問這個(gè)數(shù)據(jù)時(shí)，ApacheSentry同樣能確保一致的權(quán)限控制效果。

▊透明

理解數(shù)據(jù)的來源，以及知道數(shù)據(jù)怎么被使用的，對(duì)監(jiān)測(cè)大數(shù)據(jù)系統(tǒng)中是否存在非法數(shù)據(jù)訪問非常關(guān)鍵，這需要通過安全審計(jì)來實(shí)現(xiàn)。安全審計(jì)的目的是捕獲系統(tǒng)內(nèi)的完整活動(dòng)記錄，且不可被更改。

Navigator提供了自動(dòng)化的數(shù)據(jù)上下游關(guān)系收集，并能進(jìn)行可視化展示。對(duì)任何一個(gè)Hadoop上的數(shù)據(jù)源，細(xì)致到數(shù)據(jù)表的一個(gè)列，可以抽取這個(gè)列是由上游的哪些數(shù)據(jù)源、哪些列，生成了下游數(shù)據(jù)源的哪些列。

▊數(shù)據(jù)

提供數(shù)據(jù)在傳輸過程及靜態(tài)存儲(chǔ)的加密保護(hù)，在敏感數(shù)據(jù)被越權(quán)訪問時(shí)仍然能夠得到有效保護(hù)。Cloudera推薦通過ClouderaManager配置TLS來完成數(shù)據(jù)在傳輸過程的加密，數(shù)據(jù)的靜態(tài)加密可以通過HDFSData-at-RestEncryption，Navigator Encrypt以及Navigator Key Trustee來完成。

關(guān)于加密的秘鑰管理，Cloudera平臺(tái)除了支持傳統(tǒng)基于Java Key Store的加密密鑰管理方式外，還提供了Navigator Key Trustee服務(wù)提供更好的秘鑰存儲(chǔ)方案，它還能提供和企業(yè)現(xiàn)有的HSM集成解決方案。

通過ClouderaManager提供的向?qū)讲僮鹘缑妫奖銌⒂肏adoop的Kerberos認(rèn)證，避免企業(yè)用戶受到黑客勒索攻擊。Sentry為大數(shù)據(jù)平臺(tái)的組件Hive，Impala，Solr以及HDFS提供細(xì)粒度的基于角色的權(quán)限管理功能，避免數(shù)據(jù)集中后的非授權(quán)訪問。

Navigator提供大數(shù)據(jù)平臺(tái)所有組件的統(tǒng)一審計(jì)功能。NavigatorEncrypt保障數(shù)據(jù)傳輸過程及靜態(tài)存儲(chǔ)都是以加密形式存在避免黑客截取數(shù)據(jù)及數(shù)據(jù)泄露。與此同時(shí)，Cloudera也在不斷加強(qiáng)Hadoop生態(tài)系統(tǒng)的安全特性，比如Record Service為Hadoop平臺(tái)提供統(tǒng)一的安全管控。增強(qiáng)Kudu，Spark等技術(shù)在數(shù)據(jù)存儲(chǔ)及處理的安全。

九、Hadoop大數(shù)據(jù)安全實(shí)踐

當(dāng)前，以Hadoop為基礎(chǔ)的大數(shù)據(jù)開源生態(tài)圈應(yīng)用非常廣泛。最早，Hadoop考慮只在可信環(huán)境內(nèi)部署使用，而隨著越來越多部門和用戶加入進(jìn)來，任何用戶都可以訪問和刪除數(shù)據(jù)，從而使數(shù)據(jù)面臨巨大的安全風(fēng)險(xiǎn)。另外，對(duì)于內(nèi)部網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)銷毀過程管控的疏漏，在大數(shù)據(jù)背景下，如不采取相應(yīng)的安全控制措施，也極易出現(xiàn)重大的數(shù)據(jù)泄露事故。

為了應(yīng)對(duì)上述安全挑戰(zhàn)，2009年開始，Hadoop開源社區(qū)開始注重保護(hù)大數(shù)據(jù)安全，相繼加入了身份驗(yàn)證、訪問控制、數(shù)據(jù)加密和日志審計(jì)等重要安全功能，如圖B-11所示：

身份驗(yàn)證是確認(rèn)訪問者身份的過程，是數(shù)據(jù)訪問控制的基礎(chǔ)。在身份驗(yàn)證方面，Hadoop大數(shù)據(jù)開源軟件將Kerberos作為目前唯一可選的強(qiáng)安全的認(rèn)證方式，并以此為基礎(chǔ)構(gòu)建安全的大數(shù)據(jù)訪問控制環(huán)境?；谏矸蒡?yàn)證的結(jié)果，Hadoop使用各種訪問控制機(jī)制在不同的系統(tǒng)層次對(duì)數(shù)據(jù)訪問進(jìn)行控制。

HDFS(Hadoop分布式文件系統(tǒng))提供了POSIX權(quán)限和訪問控制列表兩種方式，Hive(數(shù)據(jù)倉庫)則提供了基于角色的訪問控制，HBase(分布式數(shù)據(jù)庫)提供了訪問控制列表和基于標(biāo)簽的訪問控制。數(shù)據(jù)加密作為保護(hù)數(shù)據(jù)安全、避免數(shù)據(jù)泄漏的主要手段在大數(shù)據(jù)應(yīng)用系統(tǒng)中廣泛采用，有效地防止通過網(wǎng)絡(luò)嗅探或物理存儲(chǔ)介質(zhì)銷毀不當(dāng)而導(dǎo)致數(shù)據(jù)泄密。

對(duì)于數(shù)據(jù)傳輸，Hadoop對(duì)各種數(shù)據(jù)傳輸提供了加密選項(xiàng)，包括對(duì)客戶端和服務(wù)進(jìn)程之間以及各服務(wù)進(jìn)程之間的數(shù)據(jù)傳輸進(jìn)行加密。同時(shí)Hadoop也提供了數(shù)據(jù)在存儲(chǔ)層落盤加密，保證數(shù)據(jù)以加密形式存儲(chǔ)在硬盤上。最后，Hadoop生態(tài)系統(tǒng)各組件都提供日志和審計(jì)文件記錄數(shù)據(jù)訪問，為追蹤數(shù)據(jù)流向，優(yōu)化數(shù)據(jù)過程，以及發(fā)現(xiàn)違規(guī)數(shù)據(jù)操作提供原始依據(jù)。

基于上述系列安全機(jī)制，Hadoop基本構(gòu)建起了滿足基本安全功能需求的大數(shù)據(jù)開源環(huán)境。Kerberos作為事實(shí)上的強(qiáng)安全認(rèn)證方式被業(yè)界廣泛采用。但由于Kerberos采用對(duì)稱密鑰算法來實(shí)現(xiàn)雙向認(rèn)證，在大規(guī)模部署基于Kerberos的分布式認(rèn)證系統(tǒng)時(shí)，可能會(huì)帶來部署和管理上的挑戰(zhàn)。普遍解決方案是采用第三方提供的工具簡(jiǎn)化部署和管理流程。

訪問控制方面，大數(shù)據(jù)環(huán)境訪問控制的復(fù)雜性不僅在于訪問控制的形式多樣，另一方在于大數(shù)據(jù)系統(tǒng)允許在不同系統(tǒng)層面廣泛共享數(shù)據(jù)，需要實(shí)現(xiàn)一種集中統(tǒng)一的訪問控制從而簡(jiǎn)化控制策略和部署。數(shù)據(jù)加密方面，通過基于硬件的加密方案，可以大幅提高數(shù)據(jù)加解密的性能，實(shí)現(xiàn)最低性能損耗的端到端和存儲(chǔ)層加密。

然而，加密的有效使用需要安全靈活的密鑰管理，這方面開源方案還比較薄弱，需要借助商業(yè)化的密鑰管理產(chǎn)品。日志審計(jì)作為數(shù)據(jù)管理，數(shù)據(jù)溯源以及攻擊檢測(cè)的重要措施不可或缺。然而Hadoop等開源系統(tǒng)只提供基本的日志和審計(jì)記錄，存儲(chǔ)在各個(gè)集群節(jié)點(diǎn)上。如果要對(duì)日志和審計(jì)記錄做集中管理和分析，仍然需要依靠第三方工具。

十、IBM大數(shù)據(jù)安全實(shí)踐

IBM Security Guardium是一個(gè)完整的數(shù)據(jù)安全平臺(tái)，提供了一套完整的能力，比如敏感數(shù)據(jù)的發(fā)現(xiàn)和分類、分級(jí)，安全性評(píng)價(jià)，數(shù)據(jù)和文件活動(dòng)檢測(cè)，通過偽裝，阻斷，報(bào)警和隔離保護(hù)敏感數(shù)據(jù)。

Guardium不僅保護(hù)數(shù)據(jù)庫，它還被擴(kuò)展到保護(hù)數(shù)據(jù)倉庫、ECM、文件系統(tǒng)和大數(shù)據(jù)環(huán)境等。除了安全平臺(tái)，IBM架構(gòu)提供了云上應(yīng)用構(gòu)建的實(shí)踐。IBM為大數(shù)據(jù)分析和安全開發(fā)了客戶云架構(gòu)，這個(gè)構(gòu)架作為參考架構(gòu)和行業(yè)標(biāo)準(zhǔn)在CSCC發(fā)布，它描述了使用云計(jì)算托管大數(shù)據(jù)分析解決方案的廠商中立的最佳實(shí)踐及構(gòu)成這個(gè)架構(gòu)的所有組件的細(xì)節(jié)。這個(gè)參考架構(gòu)的所有組件都可以用開源技術(shù)實(shí)現(xiàn)。

▊IBM安全參考架構(gòu)和數(shù)據(jù)安全

如圖B-12所示，IBM安全參考架構(gòu)提供了保護(hù)云上部署，開發(fā)和運(yùn)維的安全組件的概覽。

在談及數(shù)據(jù)安全時(shí)我們通常需要區(qū)分靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)。數(shù)據(jù)安全旨在發(fā)現(xiàn)、分類和保護(hù)云數(shù)據(jù)和信息資產(chǎn)，重點(diǎn)在于對(duì)靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)的保護(hù)。

IBM數(shù)據(jù)安全架構(gòu)包括所有數(shù)據(jù)類型，如傳統(tǒng)企業(yè)數(shù)據(jù)及大數(shù)據(jù)環(huán)境中任意形式的數(shù)據(jù)(結(jié)構(gòu)化的和非結(jié)構(gòu)化的)。IBM數(shù)據(jù)安全架構(gòu)囊括了基于治理、風(fēng)險(xiǎn)和合規(guī)的數(shù)據(jù)安全所需要的各個(gè)模塊，以下總結(jié)了云計(jì)算解決方案中需要考量的數(shù)據(jù)安全相關(guān)的關(guān)鍵模塊。

▊數(shù)據(jù)保護(hù)

一個(gè)完備的云計(jì)算數(shù)據(jù)保護(hù)解決方案需要考慮將以下服務(wù)選項(xiàng)提供給客戶：

云環(huán)境中的靜態(tài)數(shù)據(jù)加密

存儲(chǔ)塊和文件存儲(chǔ)加密服務(wù)

使用IBM Cleversafe的對(duì)象存儲(chǔ)加密

使用IBM Cloud Data Encryption Services(ICDES)的數(shù)據(jù)加密服務(wù)

基于云的硬件安全模塊(HSM)

使用IBM Key Project的密鑰管理和證書管理

針對(duì)以上的每一個(gè)服務(wù)選項(xiàng)，都需要制定一套具體的流程、控制方案和實(shí)施策略用于實(shí)施。

▊數(shù)據(jù)完整性

數(shù)據(jù)完整性旨在維護(hù)和保證數(shù)據(jù)在其整個(gè)生命周期中的準(zhǔn)確性和一致性。在本文的語境中，數(shù)據(jù)完整性指的是如何防范數(shù)據(jù)被外界篡改。數(shù)據(jù)的哈希值可用于檢測(cè)數(shù)據(jù)是否被非法篡改。這個(gè)方法可以用于對(duì)靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)提供保護(hù)。

▊數(shù)據(jù)分類和數(shù)據(jù)活動(dòng)監(jiān)測(cè)

數(shù)據(jù)分類是幫助保護(hù)關(guān)鍵信息安全的有效方法。在保護(hù)敏感信息之前，必須確定和鑒別它的存在。自動(dòng)化發(fā)現(xiàn)和分類過程，是防止泄漏敏感信息數(shù)據(jù)保護(hù)策略的關(guān)鍵組件。Guardium提供了集成的數(shù)據(jù)分類能力和無縫的方法，來發(fā)現(xiàn)、鑒別和保護(hù)最關(guān)鍵數(shù)據(jù)，不管是在云上還是在數(shù)據(jù)中心。

Guardium也可以提供數(shù)據(jù)活動(dòng)監(jiān)測(cè)，以及通過認(rèn)知分析來發(fā)現(xiàn)針對(duì)敏感數(shù)據(jù)的異?；顒?dòng)，防止未授權(quán)的數(shù)據(jù)訪問，也提供可疑活動(dòng)的警報(bào)，自動(dòng)化合規(guī)性流程，并抵御內(nèi)部和外部攻擊。

▊數(shù)據(jù)隱私和法律法規(guī)

數(shù)據(jù)隱私?jīng)Q定了在相關(guān)政策和法律法規(guī)所規(guī)定的范圍內(nèi)，如何對(duì)信息(特別是與個(gè)人相關(guān)的信息)進(jìn)行采集、使用、分享和處置。

根據(jù)IBM的政策，每一個(gè)云服務(wù)都需要實(shí)現(xiàn)技術(shù)上和組織上的安全和隱私保護(hù)措施。這些措施都是根據(jù)云服務(wù)的架構(gòu)、使用目的及服務(wù)類型來實(shí)現(xiàn)的。無論服務(wù)的類型，IBM關(guān)于每一個(gè)云服務(wù)的具體管理責(zé)任，都會(huì)在相關(guān)的協(xié)議中列出。

▊IBM大數(shù)據(jù)智能安全

IBM大數(shù)據(jù)智能安全，合并了IBMQRadar智能安全平臺(tái)的實(shí)時(shí)的安全關(guān)聯(lián)和異常發(fā)現(xiàn)能力以及法庭取證的能力，和由BigInsights提供的包括定制的大規(guī)模結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的分析和發(fā)現(xiàn)能力。

十一、Microsoft大數(shù)據(jù)安全實(shí)踐

HDInsight是微軟運(yùn)行在Micsoroft Azure上的大數(shù)據(jù)服務(wù)。Azure HDInsight以云方式部署并設(shè)置Apache Hadoop集群，從而提供旨在對(duì)大數(shù)據(jù)進(jìn)行管理、分析和報(bào)告的軟件框架。

微軟的大數(shù)據(jù)服務(wù)Azure HDInsight支持多種數(shù)據(jù)技術(shù)，包括基本的Hadoop分布式文件系統(tǒng)HDFS，超大型表格的非關(guān)系型數(shù)據(jù)庫HBase，類似SQL的查詢Hive，分布式處理和資源管理MapReduce和YARN等等，如圖B-13所示：

HDInsight作為Azure云服務(wù)的一部分，Azure從多個(gè)方面提供了安全保護(hù)，其中包括：

▊使用AzureBlob存儲(chǔ)

AzureBlob存儲(chǔ)是一種與Hadoop兼容的選項(xiàng)，是一種穩(wěn)健、通用的存儲(chǔ)解決方案，它與HDInsight無縫集成。通過Hadoop分布式的文件系統(tǒng)HDFS界面，可以針對(duì)Blob存儲(chǔ)中的結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)直接運(yùn)行HDInsight中的整套組件。通過將數(shù)據(jù)存儲(chǔ)在Blob存儲(chǔ)中，可以安全刪除用于計(jì)算的HDInsight集群而不會(huì)丟失用戶數(shù)據(jù)。

▊密鑰保管庫

安全的密鑰管理對(duì)在云中保護(hù)數(shù)據(jù)必不可少。借助Azure密鑰保管庫，可以通過使用硬件安全模塊(HSM)中存儲(chǔ)的密鑰對(duì)密鑰和小密文密碼進(jìn)行加密。為了增加保障，可以在HSM中導(dǎo)入或生成密鑰。如果選擇這樣做，Microsoft將使用FIPS140-2第2級(jí)認(rèn)證的HSM處理用戶的密鑰。

密鑰保管庫設(shè)計(jì)用于確保Microsoft不會(huì)看到或提取用戶的密鑰。通過Azure日志記錄監(jiān)視并審核密鑰的使用情況——將日志傳送到Azure HDInsight或SIEM中以進(jìn)行額外的分析和威脅檢測(cè)。

▊多重身份驗(yàn)證

Azure多重身份驗(yàn)證是要求使用多種方式(而不僅僅是用戶名和密碼)對(duì)用戶的身份進(jìn)行驗(yàn)證的一種方法。它為用戶登錄和事務(wù)提供了附加的安全層。Azure多重身份驗(yàn)證可幫助保護(hù)對(duì)數(shù)據(jù)和應(yīng)用程序的訪問，同時(shí)可以滿足用戶對(duì)簡(jiǎn)單登錄過程的需求。它通過各種簡(jiǎn)單的驗(yàn)證選項(xiàng)(例如電話、短信、移動(dòng)應(yīng)用通知或驗(yàn)證碼)來提供強(qiáng)大的身份驗(yàn)證。

▊Azure Active Directory(Azure AD)

Azure AD是Microsoft提供的基于多租戶云的目錄和標(biāo)識(shí)管理服務(wù)。AzureAD包含整套標(biāo)識(shí)管理功能，例如多重身份驗(yàn)證、設(shè)備注冊(cè)、自助密碼管理、自助組管理、特權(quán)帳戶管理、基于角色的訪問控制、應(yīng)用程序使用情況監(jiān)視、多樣化審核以及安全監(jiān)視和警報(bào)。