大數(shù)據(jù)已不再是一個單純的熱門詞匯了，隨著技術的發(fā)展大數(shù)據(jù)已在企業(yè)、政府、金融、醫(yī)療、電信等領域得到了廣泛的部署和應用，并通過持續(xù)不斷的發(fā)展，大數(shù)據(jù)也已在各領域產(chǎn)生了明顯的應用價值。

　　企業(yè)已開始熱衷于利用大數(shù)據(jù)技術收集和存儲海量數(shù)據(jù)，并對其進行分析。企業(yè)所收集的數(shù)據(jù)量也呈指數(shù)級增長，包括交易數(shù)據(jù)、位置數(shù)據(jù)、用戶交互數(shù)據(jù)、物流數(shù)據(jù)、供應鏈數(shù)據(jù)、企業(yè)經(jīng)營數(shù)據(jù)、硬件監(jiān)控數(shù)據(jù)、應用日志數(shù)據(jù)等。由于這些海量數(shù)據(jù)中包含大量企業(yè)或個人的敏感信息，數(shù)據(jù)安全和隱私保護的問題逐漸突顯出來。而這些問題由于大數(shù)據(jù)的三大主要特性而被進一步放大：數(shù)據(jù)量大(Volume)、數(shù)據(jù)增長快(Velocity)和數(shù)據(jù)多樣化(Variety)。

　　現(xiàn)在，當我們說“大數(shù)據(jù)”的時候，已不再是單指海量的數(shù)據(jù)了，而是基礎設施(云服務器)、應用、數(shù)據(jù)源、分析模型、數(shù)據(jù)存儲和平臺的組合，而正是這些使得大數(shù)據(jù)安全面臨著不同尋常的挑戰(zhàn)。

　　與傳統(tǒng)數(shù)據(jù)安全相比，大數(shù)據(jù)安全有什么不同

　　傳統(tǒng)數(shù)據(jù)安全技術的概念是基于保護單節(jié)點實例的安全，例如一臺數(shù)據(jù)庫或服務器，而不是像Hadoop這樣的分布式計算環(huán)境。傳統(tǒng)安全技術在這種大型的分布式環(huán)境中不再有效。另外，在大規(guī)模的Hadoop集群中，各服務器和組件的安全配置出現(xiàn)不一致的機率將大大增加，這將導致更多的安全漏洞產(chǎn)生。（美國服務器）

　　大數(shù)據(jù)平臺存儲著各種各樣的數(shù)據(jù)，每一種數(shù)據(jù)源都可能需要有其相應的訪問限制和安全策略。而當需要整合不同數(shù)據(jù)源時，就變得更加難以平衡對數(shù)據(jù)的安全策略的應用。同時，快速增長的海量數(shù)據(jù)使得大數(shù)據(jù)平臺中的敏感信息和個人隱私信息無處不在，準確發(fā)現(xiàn)和定位敏感信息并制定針對性的訪問控制策略變得愈加困難，而對敏感信息的訪問的實時監(jiān)控也是保障大數(shù)據(jù)安全的重要任務之一。

　　最后，大數(shù)據(jù)技術很少單獨使用Hadoop，而是會結合生態(tài)系統(tǒng)中的其它技術組件如HBase，Spark，Impala，Hive，Pig等對數(shù)據(jù)進行抽取、存儲、處理、計算等。這些技術使得大數(shù)據(jù)可被訪問和利用，但基本都缺乏企業(yè)級的安全特性。以上從平臺、數(shù)據(jù)、技術視角對大數(shù)據(jù)安全與傳統(tǒng)數(shù)據(jù)安全進行了簡單的分析，傳統(tǒng)安全工具沒有為數(shù)據(jù)多樣化、數(shù)據(jù)處理及Hadoop的分布式特性而改進，不再足以能保證大數(shù)據(jù)的安全。

　　如何建立完善的大數(shù)據(jù)安全體系

　　面對復雜的大數(shù)據(jù)安全環(huán)境，需要從四個層面綜合考慮以建立全方位的大數(shù)據(jù)安全體系：邊界安全、訪問控制和授權、數(shù)據(jù)保護、審計和監(jiān)控。

　　邊界安全：主要包含網(wǎng)絡安全和身份認證。防護對系統(tǒng)及其數(shù)據(jù)和服務的訪問，身份認證確保用戶的真實性及有效性。Hadoop及其生態(tài)系統(tǒng)中的其它組件都支持使用Kerberos進行用戶身份驗證。

　　訪問控制和授權：通過對用戶的授權實現(xiàn)對數(shù)據(jù)、資源和服務的訪問管理及權限控制。Hadoop和HBase都支持ACL，同時也實現(xiàn)了RBAC(基于角色的訪問控制)模型，更細粒度的ABAC(Attibute Based Access Control)在HBase較新的版本中也可通過訪問控制標簽和可見性標簽的形式實現(xiàn)。

　　數(shù)據(jù)保護：通過數(shù)據(jù)加密和脫敏兩種主要方式從數(shù)據(jù)層面保護敏感信息不被泄露。數(shù)據(jù)加密包括在傳輸過程中的加密和存儲加密。傳輸過程中的加密依賴于網(wǎng)絡安全協(xié)議而存儲加密可通過相關加密算法和密鑰對數(shù)據(jù)進行加密存儲。數(shù)據(jù)脫敏是比加密較為折中的辦法，對于大數(shù)據(jù)時代，該方法將更被更為廣泛的采用。因為收集的海量數(shù)據(jù)需要相對開放的共享給內(nèi)部不同團隊或外部機構使用，才能發(fā)揮大數(shù)據(jù)的價值。對于敏感信息部分可通過脫敏的方式進行處理以保障信息安全。

　　審計和監(jiān)控：實時地監(jiān)控和審計可管理數(shù)據(jù)安全合規(guī)性和安全回溯、安全取證等。

　　如何設計大數(shù)據(jù)安全框架

　　基于以上四層的安全體系，結合大數(shù)據(jù)平臺的特性，企業(yè)在實踐大數(shù)據(jù)平臺安全化時，需要有更詳細的架構設計，四層安全體系對應在實際環(huán)境中，應是以數(shù)據(jù)為中心，建立完善的管理制度，先治理好大數(shù)據(jù)，再從訪問控制和數(shù)據(jù)保護層面加強對數(shù)據(jù)使用的安全防護，最后從網(wǎng)絡和基礎層加固平臺的安全部署。因此，大數(shù)據(jù)安全框架需包含以下5個核心模塊： 數(shù)據(jù)管理、身份和訪問管理、數(shù)據(jù)保護、網(wǎng)絡安全、基礎安全。

本文鏈接：http://m.51huadong.com/cloundnews/11000826.html