【大数据安全】大数据安全的挑战与对策&amp；基础设施安全_数据安全面临的挑战图解

2401_84573531

于 2024-05-15 02:37:17 发布

阅读量594

点赞数 13

分类专栏：程序员文章标签：大数据面试学习

本文链接：https://blog.csdn.net/2401_84573531/article/details/138880422

版权

程序员专栏收录该内容

58 篇文章 0 订阅

订阅专栏

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

4、安全分析

利用大数据分析做安全态势感知，实现威胁的检测、响应和防御，包括智能监测、威胁预测、智能响应和可视化分析等技术方向。

5、数据运营安全

通过运营管理策略，实现安全合规、风险管控和安全合作等。

（四）华为大数据安全解决方案

1、基础设施安全

基础设施安全包括所有大数据部件的整体安全防护、认证、租户等安全特性，是大数据安全架的基础。提供大数据Hadoop体系部件的身份认证、数据加解密和访问控制，大数据平台的安全日志审计、多服务实例与实例级资源隔离。

2、数据管理安全

数据管理安全贯穿大数据安全架构中数据流的生命周期，负责数据在采集、存储和分发使用全过程的安全保障。

3、大数据分析

利用大数据分析实现对威肋检测和响应，集成基于流采样的分布式拒绝服务（Distributed Denial Of Service，DDOS）检测、基于多源复杂事件关联的安全态势感知和安全事件调査、基于软件定义网名（Software Defined Network，SDN）的安全联动响应等技术，并实现灵活的分析配置、智能数据分新以及高级可视化。

4、数据隐私保护

以特性功能和场景规格实现隐私保护，并实现灵活的隐私策略管理和可度量的隐私风险评估。

二、基础设施安全

（一）认证技术

认证是阻止非法实施信息攻击的一种技术，其作用为：

（1）消息完整性认证，验证信息在传输或存储过程中是否被篡改；
（2）身份认证，验证消息的收发者是否持有正确的身份认证符，如口令、密钥；
（3）消息序号和操作时间（时间性）等认证，防止消息重放或会话劫持等攻击。

认证体制分为三个层次：

安全管理协议、认证体制和密码体制。

认证体制必须考虑下列因素：

（1）接收者能够验证消息的真实性、完整性以及合法性。
（2）消息的发送者不能抵赖发出的消息，消息的接收者不能否认接收的消息。
（3）只有合法的发送者可以发送消息，其他人不能伪造消息发送。

认证体制基本模型如下。

认证体制相关技术包括数字签名，消息认证和身份认证。

1、数字签名技术

一个完整的数字签名解决方案包括消息空间、签名及验证算法、安全参数、密钥生成算法等部分。数字签名可分为真数字签名和公证数字签名两大类。

（1）真数字签名：签名者直接把签名消息传送给接收者，接收者无须求助于第三方就能验证签名。

（2）公证数字签名：签名者把签名消息通过可信第三方（公证者）发送给接收者，接收者通过可信第三方（公证者）作为媒介来验证签名的合法性。

2、消息认证技术

消息认证通过对消息（及附加信息）进行加密或签名认证，其作用包括消息完整性认证（内容认证）、消息的身份认证（发送者和接收者的合法性），以及消息的发送时间和发送序列号认证等。

（1）消息完整性认证（内容认证）
消息发送者在消息中增加认证码，经加密后发送给接收者进行认证验算，接收者用约定的算法对解密后的消息进行验算，若通过，则接收；若未通过，则拒绝接收。

（2）消息的身份认证
在消息认证中，消息发送者和接收者的确认有两种方法：第一种是双方事先约定消息数据加密的密钥，接收者只需验证该密钥是否能把消息还原成明文就能认证发送者；第二种是双方事先商定发送消息的特征字，在发送消息时将特征字一起加密发送，接收者只需检验消息中解密的特征字是否与约定特征字相同就可认证发送者。

（3）消息的发送时间和发送序列号认证
消息的发送时间和发送序列号的认证用于防止消息的重放攻击，常用的认证信息包括:消息链接认证符、消息认证随机数和消息时间戳等。

3、身份认证

身份认证是确认系统用户身份的过程，明确用户拥有对资源的访问和使用权限。身份认证是通过将一个证据与实体身份绑定来实现的，实体可能是用户、计算单元、程序或进程。以身份认证为基础，访问控制、安全审计、入侵检测等安全机制才能实施。
用户身份主要通过以下三种方式来确认。

（1）根据用户所知道的信息来确认用户的身份，如约定信息。
（2）根据用户所拥有的东西来确认用户的身份，如用户的身份信息。
（3）根据用户的特征来确认用户的身份，例如，生理特征（如DNA、人脸等）。

仅通过一个条件来验证一个人的身份，称为单因子认证。由于仅使用一种条件判断用户的身份，很容易被伪造，存在很大的安全隐患，作为改进，我们可以通过组合多种不同的条件，来证明一个人的身份，如双因子认证。
目前有很多身份认证方法:用户名/密码方式、IC卡认证、USB Key、生物特征识别、动态密码
和数字签名等。

（二）访问控制

认证、访间控制和审计共同保障计算机系统的安全。
认证是用户进入系统的第一关，访问控制是在用户以合法合法身份进入系统后，通过监控器控制用户对数据信息的访问动作。

1、访问控制原理

认证服务建立用户的身份标识，访问控制必须结合审计来解决系统安全问题。审计监控和记录系统监控所有用户的请求和活动，并做事后分析。
访问控制按照安全策略实施，管理针对所有资源的访问请求。根据系统安全策略，访问控制对每个资源请求做出判断（许可或限制访问），防止用户非法访问和使用系统资源。
访问控制系统包括以下要素。

（1）主体：访问操作的主动方（用户、主机或应用程序），主体可以访问客体。
（2）客体：被调用的程序或访问的资源等（数据、处理器和存储单元）。

（3）安全访问政策：用于确定一个主体是否对客体拥有访问能力的一套规则。

在访问控制系统中，主体发起对客体的操作由系统的授权来决定，主体可以创建子主体，并由父主体控制子主体。主体与客体的关系是相对的，一个主体被另一主体访问时，就成为访问目标（客体）。

2、访问控制技术

访问控制技术是指为了实现访问控制所采取的管理措施。访问控制受操作系统指挥，按照访问控制规则决定主体是否可以访问客体，在系统工作的所有过程都有体现。

访问访问控制模型：

（1）基于访问控制表的访问控制。
（2）基于能力关系表的访问控制。
（3）基于权限关系表的访问控制。

（三）公钥基础设施

PKI是一个依据公钥密码原理来提供公共安全服务支持的基础平台，用户可利用PKI平台提供的安全服务进行安全通信认证。PKI按照密钥管理规则，为所有交互应用提供加密和数字签名等服务所需的密钥和证书管理。
公钥基础设施主要包括认证机构、证书库、密钥备份和PKI应用接口系统等，下面是PKI的几个特色。

1、认证机构

公钥技术面临的一个基本问题是，发送方如何获得接收方的真实公钥。PKI使用公钥证书来处理基本问题，公钥证书是接收方的身份标识与其持有公钥的结合，在生成公钥证书之前，由一个可信认证机构（CA）来证实用户的身份，然后CA对由该用户身份标识及对应公钥组成的证书进行数字签名，以证明公钥的有效性。

2、身份强识别

本地安全登录启动系统，其操作过程是用户输入用户名和密码，计算机通过检查这两个输入来验证用户身份，确认登录的合法性。在远程登录时，口令在普通网络上传送，很容易被截取或监听，因此这种简单方法不安全。
PKI采用公钥技术、高级通信协议和数字签名等方式进行远程登录，不需要建立共享密钥，不在网上传递密码等敏感信息。与简单的身份识别机制相比， PKI的身份识别机制被称为身份强识别。

3、透明性和一致性

PKI对终端用户的操作是透明的，所有安全操作在后台自动进行，无须用户干预，也不会由于用户的错误操作对安全造成危害。除初始登录操作外，PKI对用户是完全透明的。
PKI的优势是在应用环境中使用单一可信的安全技术，如公钥技术，它能保证很多程序和设备高效协同工作，安全地进行数据通信和事务处理等操作。

（四）华为大数据平台

华为大数据平台FusionInsight 包括FusionInsight HD和FusionInsight Stream两个组件：

（1）FusionInsight HD包含了开源社区的主要软件及其生态圈中的主流组件，并进行了优化；

（2）FusionInsight Stream是FusionInsight大数据分析平台中的实时数据处理引擎，是以事件驱动模式处理实时数据的大数据技术，解决高速事件流的实时计算问题，提供实时分析、实时决策能力。

FusionInsight增强了网络隔离，数据保密性等功能，进一步提高安全性。

1、身份鉴别和认证

FusionInsight支持用户使用浏览器、组件客户端的方式登录集群。浏览器登录方式，FusionInsight提供了基于CAS的单点登录，用户在任意Web界页面登录后，访问其他各组件Web页面，无需再次输入用户口令进行认证。