國網新疆電力公司大數據智庫平臺安全技術解析

崗巧針

摘要：大數據技術應用是綜合考慮業務需求和技術水平的結果，通過應用大數據技術，優化數據處理性能，實現跨專業、跨部門的內外部數據關聯分析和數據價值深度挖掘，可以從電網生產、經營管理和優質服務三方面滿足公司管理水平、服務水平提升和業務創新需求。文章對國網新疆電力公司大數據智庫平臺安全技術進行了解析。

關鍵詞：大數據技術；智庫平臺安全技術；優化數據；深度挖掘；關聯分析 文獻標識碼：A

中圖分類號：TP393 文章編號：1009-2374（2016）26-0032-02 DOI：10.13535/j.cnki.11-4406/n.2016.26.016

國網新疆電力大數據智庫平臺承擔數據存儲中心、計算中心、分析中心、服務中心四大職能，為分析決策類和實時采集類應用統一提供數據接入、存儲、計算、分析服務。后期以此為基礎，逐步構建公司分布式云平臺，結合業務和數據特性，支撐事務處理類應用。大數據平臺總體上包括數據整合、數據存儲、數據計算、數據分析、平臺服務五個層次和數據安全、數據管理、管理配置三個保障功能，提供數據存儲、計算、分析、展現能力，支撐應用建設。大數據平臺的應用對電網和能源發展、全球能源互聯網建設、地方經濟社會發展提供可持續的數據支撐具有重要意義，是一項非常重要的工作。加強數據安全工作則成為了重中之重的任務。

大數據智庫對穩定性、響應時間要求較高，主要部署單元采用技術成熟的C/S模式，為一級部署兩級應用。系統所有數據（空間數據、屬性數據和模型數據）都集中存放在服務器上，用戶在客戶端進行操作時對服務器提交數據請求。服務器和數據庫統一部署，各客戶端通過信息內網訪問服務器，并通過防火墻等保障平臺安全和數據安全。部署結構如圖2所示。

根據部署結構和現有網絡安全設置，國網新疆電力公司大數據智庫平臺安全技術方案主要由以下方面組成：

1 物理安全

在物理安全方面主要從以下六個方面保障平臺安全：

1.1 身份鑒別

凡需進入操作系統和數據庫系統的每個用戶，應先進行標識，系統賬戶必須使用口令進行驗證登錄，且口令策略必須符合要求，對于身份驗證不成功的用戶，設置鎖定賬戶次數與鎖定時間。

1.2 訪問控制

由指定的工作人員擔任操作系統管理員和數據庫系統管理員，合理分配用戶權限，及時刪除冗余賬戶。

1.3 安全審計

開啟操作系統和數據庫系統的審計功能。

1.4 剩余信息保護

當用戶操作結束離開時，對用戶曾經使用過的內存或硬盤緩存中的用戶數據進行清除，確保信息不被

泄漏。

1.5 惡意代碼防范

安裝主機防病毒軟件，定時查殺，統一更新。

1.6 資源控制

通過設置終端登錄超時鎖定策略，防止系統管理員離開系統忘記注銷管理員用戶，出現使惡意用戶利用或非授權用戶誤用的情況。

2 保證網絡安全

網絡設備的安全是網絡安全的重要基礎，利用用戶授權來控制用戶訪問服務器、交換機、路由器和防火墻等網絡設備。不同網段之間防火墻設備進行邏輯隔離，控制不同網段間的跨域方位。防止外部網絡的用戶對內部系統數據進行讀取控制和刪除。網絡安全是國網新疆電力公司大數據庫智庫平臺安全應用的重要技術手段。

針對不同網絡用戶進行相互訪問的控制。防止外部網絡用戶（簡稱外網用戶）通過外部網絡非法入侵內部網絡，對內部網絡資源進行訪問，從而保護內網的數據和網絡設備安全。對于兩個或多個網絡之間傳輸的數據包設置安全策略實時檢查和監控，來決定網絡之間是否被允許進行通信，并實時監視網絡運行狀態，從而保證大數據庫智庫平臺的網絡安全。

3 保證大數據智庫平臺應用系統的應用系統的安全

平臺的安全保障除了利用物理硬件進行防護保障外，從平臺軟件方面也應該采取相關安全措施，保證平臺及數據安全。

3.1 身份管理

利用統一目錄來存儲用戶的信息和認證日志，并在前端對認證數據進行維護。統一權限目錄中的用戶信息、組織機構信息發生變化時，需進行同步；在程序中和配置文件里，用戶的密碼和口令不能用明文方式出現。

3.2 登錄后對用戶信息進行二次認證

在訪問方式上，平臺與門戶目錄集成后采取登錄二次認證的方式，進一步避免用戶的誤操作，并保證僅省公司內部授權用戶方可訪問本平臺，提高平臺的安全系數。二次認證即在門戶目錄進行身份驗證之后，啟動本地客戶端時，再次進行用戶名、密碼輸入和驗證。二次認證的方式下，平臺密碼與門戶密碼是獨立的，但用戶信息仍然與門戶同步。

3.3 對不同的用戶分配不同的權限進行管理

賦予不同用戶相應的角色、機構和權限，根據用戶相應的權限對不同的系統和功能進行操作，保護關鍵的大數據信息被越權訪問和避免智庫平臺的數據遭到破壞。根據大數據智庫平臺的業務特性，按照設置權限互斥的原則，對用戶和權限進行合理的對應，從而避免由于權限問題可能產生的安全問題。

3.4 日志記錄

平臺的登錄及每個功能的操作均需有日志記錄，系統管理員可以通過日志工具查看并追溯每個用戶的操作，對于影像輸出、文件導出等重要輸出功能，用戶還需進行二次身份驗證方可完成操作。

3.5 操作安全

對用戶在大數據智庫平臺上錄入或導入的數據進行檢驗和分析，主要包括字段長度、輸入范圍、數據字段類型等屬性，對于不符合限定條件的數據進行錯誤提醒信息，并限制錄入到平臺。

3.6 應用系統訪問

平臺具有控制建立用戶會話的功能。通過IP或用戶標識等信息限制用戶的登錄等操作。

3.7 客戶端許可認證

為了加強對平臺用戶管理，保證授權用戶部署安裝和使用平臺，在客戶端進行許可認證，并且對許可文件進行權限劃分，保證授權用戶可以獲取相關許可文件，通過許可文件驗證平臺登錄合法性。

4 加強對大數據智庫平臺數據進行安全管理

主要包括數據的機密性的保密措施、對數據的完整性進行保護以及對數據的可用性的保障。對數據進行分類，分析大數據智庫平臺數據的機密性、完整性和可用性方面的安全需求，采取必要的安全保障措施。對大數據平臺的數據安全的防護主要有以下五個方面：

4.1 利用加密方式數據的機密性保護

數據加密包括大數據庫智庫平臺中的地圖數據進行加密后存儲，主要包括在網絡對數據進行加密傳輸、對本地服務器端的緩存數據的加密存儲。根據機密性要求的不同，對數據采用不同的密碼技術。

4.2 對數據的完整性進行保護

該系統與外部系統交換數據時，對數據進行完整性保護。

4.3 對數據進行可用性保護

定期備份數據，根據數據的重要性進行分類備份，對于重點數據提高備份頻率，并制定數據備份恢復應急方案。

4.4 數據資源訪問權限

數據資源訪問權限是指數據部分的瀏覽權限，與各個用戶組的功能模塊操作權限一致，系統管理員可對各用戶組的數據訪問權限進行配置。

4.5 數據資源管理權限

數據資源管理權限是指對數據庫表可進行修改、刪除和數據導入等操作，一般只有數據庫管理員用戶具有此權限，系統管理員也可對該權限進行配置。

5 內外網隔離

信息內外網采用國家電網公司專用邏輯強隔離設備進行安全防護，邏輯強隔離設備能夠從通訊協議底層對內外網間的信息流進行隔離控制。邏輯強隔離設備可以允許限定的內外網應用交互信息流，阻止來自互聯網或信息外網對信息內網應用的攻擊行為，同時阻止未經允許的內外網終端對對方區域的訪問，在面臨威脅較多的信息外網與相對較為可控的信息內網間部署邏輯強隔離設備，可以保證信息內外網間的信息交互高度可控，從而提高信息內網業務應用的安全防護水平。

參考文獻

[1] 國家電網公司技術標準體系表[S].

[2] 國家電網公司安全隱患排查治理范例[S].

[3] 安全生產檢查導則[S].

（責任編輯：黃銀芳）