一種分布式大數據的數據安全管控策略研究

王曉卉++孫玉林

摘要： 系統安全策略包含了為不同節點和各種服務設計的安全驗證，用戶安全策略賦與了用戶自定義安全規則的能力，應用于用戶自己的分布任務組件和數據存取上，有助于強化數據處理過程中用戶的數據安全。本文提出一種基于分布式大數據的數據安全管控策略，有效解決了大數據系統的數據面臨的被竊取和被篡改風險。

關鍵詞：數據安全 安全管控 集群

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2016）10-0212-01

1 引言

隨著大數據技術的不斷發展，分布式系統網絡通信安全問題引起了越來越高的關注。安全問題將直接影響大數據在關鍵部門及領域的應用和普及速度，一方面，某些部門和領域的敏感數據不斷聚集，形成的結構化和非結構化數據不斷增長，隨之產生了海量異構數據的融合、存儲和管理的問題，需要一種能在確保數據安全的前提下，進行數據分析與挖掘處理的方法；另一方面，隨著危害網絡安全技術的不斷更新，傳統的數據分析方法存在諸多缺陷，特別是對于開源的Hadoop等系統，安全系統相互獨立，無有效手段協同工作，面臨的安全威脅日益顯現，動搖了傳統的安全分析方法。

2 數據安全管控策略研究現狀

傳統解決分布式大數據系統數據安全問題，采用的解決方案是構建基于規則和特征的分析引擎。安全信息與事件分析系統為來自企業和組織中所有IT資源產生的安全信息進行統一的實時監控、歷史分析，對來自外部的入侵和內部的違規、誤操作行為進行監控、審計分析、調查取證、出具各種報表報告，實現IT資源合規性管理的目標，同時提升企業和組織的安全運營、威脅管理和應急響應能力。

綜上所述，當前分布式大數據安全管控方法，通過設置規則庫和特征庫，采用基于規則和特征的分析引擎。這種方法的缺點是規則庫和特征庫的滯后性導致的安全策略固態化。由于進入規則庫和特征庫的過濾規則只能是技術人員可預測、已知的攻擊類型和威脅類型，無法動態的添加安全策略規則，所以該策略無法防范未知攻擊和尚未被描述成規則的攻擊和威脅。另一方面，當前分布式大數據處理系統在網絡通訊防竊取與防篡改技術上存在缺陷。

3 一種分布式大數據的數據安全管控策略

一種分布式大數據的安全管控策略，通過構件化的方法解決分布式系統不同模塊對安全等級的需求不同的問題，動態調整系統安全級別。通過設置各層安全架構策略，解決分布式系統網絡通訊過程中竊取和篡改的安全威脅。應用SHA1簽名可以保證網絡間傳輸的內容正確性，系統安全策略包含了為不同節點和各種服務設計的安全驗證，用戶安全策略賦與了用戶自定義安全規則的能力，應用于用戶自己的分布任務組件和數據存取上，有助于強化數據處理過程中用戶的數據安全。具體步驟如下：

步驟1：將分布式大數據系統分為內部網絡和外部網絡兩個部分。內部網絡由集群的所有權人負責實施和管理，是安全網絡；外部網絡是用戶負責范圍，用戶通過互聯網或者VPN的方式遠程登錄進入分布式集群執行數據操作，是不安全網絡。

步驟2：設置內部網絡的拓撲結構，內部網絡地址采用的IP段為192.168.53.10—192.168.53.255。

步驟3：設置網關節點為192.168.53.1，采用SHA1算法簽名，數據通信采用RSA加密后，再進行對稱加密、系統安全策略、簽名和用戶安全策略。

步驟4：進入通訊安全管理層面。判斷是否是內部網絡通訊，如果是，則關閉安全通訊策略，執行步驟5；如果否，執行步驟6。

步驟5：外部網絡的網絡節點同時具有客戶機/服務器的雙重身份。在每一次網絡通信開始時，為了確保客戶機是可以信任的，服務器要求客戶機出示通信安全憑證。這個憑證將保證雙方在安全的狀態下通信。通信安全憑證在FIXP服務器上配置，里面保存了客戶機必須出示的信息。安全通信類型分為三種：地址驗證、賬號驗證、地址/賬號復合驗證。當服務器要求出示安全憑證時，客戶機必須遵守這個協定，向服務器出示自己的安全憑證，否則通信將被服務器中止。通過安全憑證檢測后，可以確定網絡兩端間傳輸的數據是正確和可信任的，這樣就為后續的數據處理提供了一個基本的安全保障。

步驟6：執行節點準入制度。一個節點若要向另一個節點發起命令請求，必須首先以客戶機的身份登錄它的服務器節點，客戶機發出的每一條命令，都要接受服務器的驗證和檢查。

步驟7：用戶登錄使用前端節點。登錄用戶可以自由組織數據內容和數據格式。組織方式采用系統提供的可類化接口，在發送前，把數據按照自己理解的數據格式，用各種方式編排在一起，在接收后，再重新拆解。

步驟8：當數據塊從緩存狀態轉向文件狀態過程中，系統計算這個數據塊的數據內容，生成一個256位的簽名，做為校驗碼保存到數據塊里。當數據節點重新啟動，或者數據塊被加載到內存，或者通過網絡傳輸到另一個數據節點，系統會重新根據數據內容再次生成一個校驗碼，與已經存在的校驗碼進行比較，確認數據的完整性，以保證后續數據處理的數據本身是正確的。

步驟9：數據塊從緩存狀態轉入到文件狀態過程中，除生成數據塊簽名，還要根據數據塊的存儲模型，針對每一行或者每一列集合，生成各自的CRC32校驗碼，并且保存在記錄的開始位置。數據安全管控流程完成，分布式大數據系統各環節依此方法進行數據存取與通信。

4 結語

本文提出了一種分布式大數據數據安全管控系統策略。通過采用構件化來分層解決分布式系統不同模塊對安全等級的需求不同的問題，動態調整系統安全級別。通過設置各層安全架構策略，解決分布式系統網絡通訊過程中竊取和篡改的安全威脅。應用SHA1簽名可以保證網絡間傳輸的內容正確性，系統安全策略包含了為不同節點和各種服務設計的安全驗證，用戶安全策略賦與了用戶自定義安全規則的能力，應用于用戶自己的分布任務組件和數據存取上，有助于強化數據處理過程中用戶的數據安全。有效解決了大數據系統的數據面臨的被竊取和被篡改風險。

參考文獻

[1]蔡衍文.面向通信設備的構件化網絡協議棧體系[D].浙江大學， 2004.

[2]陳駿.網絡構件動態優化模型的研究[D].浙江大學，2004.

收稿日期：2016-09-01

基金項目：山東省科技發展計劃2014GGX101045

作者簡介：王曉卉（1981—），女，山東壽光人，講師，碩士研究生，研究方向：數據挖掘、機器智能；孫玉林（1981—），男，山東煙臺人，講師，碩士研

究生，研究方向：數據挖掘，進化計算。