大数据安全规划总体方案.pptx

大数据安全规划 总体方案;;;数据全生命周期风险分析;第三方人员安全风险分析;Hadoop及相应组件安全风险分析;数据中心风险点;大数据平台——安全防护需求;大数据平台——安全防护内容（一）;大数据平台——安全防护内容（二）;大数据平台——安全防护内容（三）;大数据平台——安全防护内容（四）;;大数据安全防护体系包括数据安全管理支撑、数据生命周期安全管理、数据应用安全防护、大数据安全管控、大数据基础设施安全五大工作领域。;大数据安全防护体系建设构成;;;合伙伙伴引入;;安全数据分类标识;数据访问控制;数据溯源指根据追踪路径重新数据的历史状态和演变过程，实现数据历史档案的追溯。 建立数据机制对数据产生、使用、传播全过程进行追踪，使数据中心具备从外部环境获取的泄露数据样本中追溯其责任人的能力。;数据加密;数据备份;数据多租户隔离-;;大数据平台（含数据库）脱敏;数据入口安全控制： 使用数据加密脱敏的手段保证数据安全 从入口直接控制数据安全的隐患 对数据以及属性字段敏感分级 通过创建视图和加密的 UDF 函数来实现字段及的脱敏加密;加强对数据安全接口控制提升，增加多种检验规则，极大降低数据出网时数据泄露的风险;应用访问安全;应用安全防护;安全防护思路： 针对大数据平台独特的访问方式建设 大数据安全管控系统，将大数据系统与大数据分析人员、大数据维护人员隔离开来，形成访问缓冲区，既便于对大数据系统的使用者进行统一帐号、权限管理，又实现了访问大数据系统的事中控制和动态访问数据脱敏，极大程度上提高了大数据系统运维操作的安全性； 数据开放安全基于接口数据网关的方式，实现应用接入的身份识别、访问控制、业务操作审计以及敏感数据的脱敏。;大数据平台安全防护功能框架;用户安全管控; 基于 kerberos 实现大数据系统帐号与服务器帐号的解耦，通过4A平台对用户帐号管理过程为： 在4A中为其创建自然人帐号和程序帐号并接口同步给大数据安全管控平台。 将新创建的帐号同步给其要访问的 Hadoop 的 Kerberos ，使得其可以访问 Hadoop 平台，并保证帐号密码的复杂度满足要求。; 用户访问大数据系统的权限分为访问权限（实体级授权）和数据操作权限（细粒度授权）两种；通过访问代理技术实现用户访问大数据系统的权限鉴权，只有授权过的用户和操作才可以访问大数据提供，否则拒绝访问。权限的自动化通过 4A 平台和 BDS 共同完成。;;数据访问控制;数据访问审计;平台安全防护方案（安全监控和作业自动化）;网络安全防护方案（虚拟安全、APT防护）;网络安全防护方案（安全域）;平台安全防护方案（配置安全基线）;安全防护体系的阶段建设规划;THANK YOU