大數據平臺數據訪問安全控制策略研究

鄧偉奇

[摘 要]大數據時代的到來使數據成為人們的重要資產之一。為了更好地使用大數據，數據的有償或者無償共享將會逐漸成為趨勢。其中，針對大數據平臺進行統一訪問入口，集中管理賬號權限以及集中提供大數據平臺操作界面就成為了保證大數據平臺訪問安全的手段。據此，本文在簡要分析現階段大數據平臺數據訪問中存在的安全問題的基礎上，對大數據平臺訪問控制方法進行了研究，希望能夠提高大數據平臺訪問安全性。

[關鍵詞]大數據平臺；數據；訪問；安全

doi：10.3969/j.issn.1673 - 0194.2017.22.092

[中圖分類號]TP309；TP333 [文獻標識碼]A [文章編號]1673-0194（2017）22-0-02

0 引 言

大數據是IT行業的一大顛覆性技術變革，以Hadoop為核心的大數據平臺在互聯網、金融、運營商中得到了廣泛使用，并且影響巨大。根據我國《大數據市場現狀調研與發展趨勢分析報告（2015-2020年）》顯示，在這5年中，全球大數據技術和市場服務增長率將達到31.7%。調查資料顯示，我國的大數據市場在2015-2017年保持著60%以上的增長速率，表明大數據時代已經到來。

1 大數據平臺業務行為安全

Hadoop來自開源社區，并由其發展壯大，但是十多年來，一直缺乏安全相關的組件以及考慮，多數用戶是依靠自己的力量維護該架構的安全。現階段大數據平臺存在的安全問題主要有以下3個方面。

1.1 訪問授權控制問題

在訪問控制系統中，哪些資源能夠被用戶訪問是由管理員控制的，但是資源本身過于龐大，針對每條資源設置訪問權限本來就是一種繁瑣的工作。尤其是面對那些規模巨大、來源復雜的數據時，管理員更難實施授權管理操作，所以為了保證用戶的系統使用感，有些大數據是面向全部用戶開放的。例如，在各大運營商中，用戶每月的消費情況是可以被運營商市場部的營銷人員訪問的，但是哪部分消費情況可以被哪類營銷人員查看就屬于“過度授權”的范疇，由于系統應用的復雜性，管理人員在面對具體問題時經常考慮不到位，大數據中用戶授權不足的現象也越來越多。

1.2 細粒度訪問控制實施問題

現階段，非結構化的數據正在占據大數據時代。據調查報告顯示，企業80%的數據都是非結構化數據，并且這些數據正在以每年60%的速度呈指數增長。非結構化的數據本身就蘊含著更為豐富的內容，例如在通訊系統中，不同用戶的消費記錄都是不同的，有的用戶通話消費較多，有的用戶流量消費較多，但這些細化的信息并不能在訪問權限中顯示并同時被選擇性限制。因此，為了在大數據應用中體現細粒度的訪問控制，需要進一步探究訪問控制策略中的非結構化和半結構化數據客體的描述方式。

1.3 訪問主體結構組成復雜

以手機話費信息系統為例，其涉及流量費用、通話費用、短信費用等眾多方面。在這種情況下，用戶的話費繳納通知單既能被收費人員查看，也能被市場營銷人員、財務人員以及運營售后服務人員查看，用戶的個人信息就被無限制地泄露。同時，該繳費單能夠在同一時段被不同人員訪問，也從另一方面體現了訪問控制并沒有起到應有的作用，如同虛設。

2 大數據平臺數據訪問安全控制策略

2.1 角色挖掘

這里的角色挖掘是建立在系統已經具備一定的訪問控制的前提下進行的。首先，開發人員從已有的用戶權限分配關系中找出潛在的關聯和角色，將角色和用戶、角色和關系相關聯。具體的關聯方法可以參照聚類方法，也就在權限的基礎上進行分層聚類，最終獲得樹狀的角色層次，這種方法不僅貼近實際，而且更便于后期的角色管理。其次，開發人員通過權限的使用次數來生成角色也是非常實用的一種方法。實際結果表明，這種考慮權限使用情況的角色挖掘方法更符合系統的實際需求。

2.2 風險訪問控制

大數據時代的到來在為訪問控制帶來問題的同時，數據分析技術也可以被用來分析訪問行為的風險，從而實現風險訪問控制。例如，基于費用交付信息系統的風險控制方案就將用戶信息劃分為敏感數據和非敏感數據兩種。數據分析人在數據提取系統中接收到需求單時，首先要分析出該數據是敏感性數據還是非敏感性數據，根據數據的不同性質分門別類上傳到對應區域。敏感性數據只允許查看和審核，并不允許下載；非敏感性數據可以查看、審核，審核結束之后可以由市場營銷人員下載到本地。這樣工作人員既能夠順利地展開工作，用戶的個人信息也能夠得到保護。

2.3 非結構化數據訪問控制

非結構化的數據及其細粒度訪問控制等難以實施的問題，使用XML樹型半結構化數據表更為簡單。除了XML樹型半結構化數據外，由于社交網絡的朋友關系，開發人員還可以設立基于關系的訪問控制模型。這種模型將訪問請求者和資源所有者之間的關系做了訪問控制判定。例如，某位用戶只想將照片與自己的朋友分享，而不讓朋友的朋友看到，就需要系統針對關系分別建立角色，再根據角色內容描述訪問控制需求。

3 提高大數據安全事件快速分析能力

如果發生大數據安全事件，工作人員首先要及時進行事件安全分析，提高大數據安全事件快速分析能力，這是縮短安全事件處置時間、降低損失的最佳辦法。具體步驟有以下幾方面。

首先，建立全面、及時的安全數據收集。管理者可以通過SNMP、SYSLOG、API接口、數據接口以及端口景象等數據源，對網絡中的數據設備、安全保障設備、系統本身和數據庫進行數據收集。

其次，要對收集上來的數據進行解析和處理。具體的處理方式可以通過安全數據字段的識別、時間字段的偵察監測、時間同步等功能實現，這些技術不僅能夠節省時間，還能夠提升數據解析的成功率。

再次，要建立數據關聯分析模型。現階段常用的數據關聯技術為Spark Streaming。該技術可以對系統采集的數據進行實時關聯分析，其優點在于系統內部設置有安全管理規則，可以保障關聯的安全性。該技術的主要關聯模式有統計關聯、漏洞關聯、策略關聯等。

再次，可以根據關聯網絡對用戶進行行為畫像分析。系統可以以用戶合法行為白名單和行為前提和基礎，建立用戶行為分析引擎。該引擎可以分析用戶的所有操作，一旦發現用戶有異常舉動，如在異常時間登錄訪問、異常區域登錄或登錄訪問數據量遠遠大于平時，又或者是將訪問的數據上傳至其他網址供其他人查看等，引擎就會及時追查并及時報告給用戶，提醒用戶注意自己的數據安全。

最后，要建立分等級的警告規則。這里的警告指的是在發現異常行為之后向用戶發出的警報，系統根據異常行為的不同將警告分為不同等級：低級警告（補丁未更新、惡意卸載等）、中級警告（密碼未及時更新、軟件病毒感染、惡意掃描等）、高級警告（違反軟件安全要求、違規登錄、數據泄露等）。

4 結 語

大數據時代的到來對訪問控制技術提出了新要求，本文研討了數據訪問中的3個問題以及相應的解決措施。總之，現階段關于大數據訪問控制的研究尚處在初級階段，相關理論還不充分。大數據對訪問控制領域既是一個機遇也是一個挑戰，相關研究還需要專家學者共同完成。

主要參考文獻

[1]崔新會，陳剛，何志強.大數據環境下云數據的訪問控制技術研究[J].現代電子技術，2016（15）.

[2]王志華，龐海波，李占波.一種適用于Hadoop云平臺的訪問控制方案[J].清華大學學報：自然科學版，2014（1）.

[3]程代娣.基于云存儲技術的數據安全策略研究[J].齊魯工業大學學報：自然科學版，2015（4）.

[4]卞咸杰.基于移動互聯網科技論文共享平臺數據的安全策略研究[J].現代情報，2015（6）.

[5]金松昌，楊樹強，樊華，劉斐.面向大型關鍵業務的Hadoop云計算平臺數據安全策略研究[J].信息網絡安全，2012（8）.endprint