大数据安全套件评估方案v1.0.docxVIP

大数据安全套件评估方案

概述

云安宝大数据安全套件评估方案聚焦于产品本身的功能、风险的安全评估。主要从大数据日志审计、行为溯源、访问控制、配置巡检、安全漏扫、统一管控等进行全面体系化的评估。重点评估数据泄露、安全审计层面存在的问题，例如，系统管理员对所有各级部门的HDFS数据拥有读取权限，可将重要数据拷贝副本，造成数据泄露。

评估依据

2.1法律法规依据

2015年8月，国务院印发了《促进大数据发展行动纲要》，指出要大力发展大数据产业，推动数据的利用，同时要注意大数据使用的安全防范。

《信息安全风险评估指南》（国信办综[2006]9号）

2016年5月全国信息安全标准化技术委员会成立大数据安全特别工作组，以研究制定大数据安全能力要求和管理指南、大数据交易安全等国家标准为主要工作任务。

2016年11月，全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》（以下简称“网络安全法”）。网络安全法定义网络数据为通过网络收集、存储、传输、处理和产生的各种电子数据，并鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

2016年12月，国家互联网信息办公室发布《国家网络空间安全战略》，提出要实施国家大数据战略，建立大数据安全管理制度，支持大数据、云计算等新一代信息技术创新和应用，为保障国家网络安全夯实产业基础。

工信部印发《国家大数据产业发展规划（2016-2020年）》，全面部署“十三五”时期大数据产业发展工作，加快建设数据强国，为实现制造强国和网络强国提供强大的产业支撑。

中国电子信息产业发展研究院发布《中国大数据产业发展水平评估报告(2017年)》

2.2标准规范依据

MSTL_JGF_04-0360101—2013信息安全技术大数据平台安全管理产品检验规范

GB/T35274-2017信息安全技术大数据服务安全能力要求

GB20984-2007-T信息安全技术信息安全风险评估规范

GBT18336.2-2008信息技术安全技术信息技术安全性评估准则第２部分：安全功能要求

GBT18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分安全保证要求

GBT25070-2010信息安全技术信息系统等级保护安全设计技术要求

《大数据安全能力成熟度评估模型》

《大数据安全实施指南》

评估范围

本次评估工作重点是对大数据安全套件功能风险进行评估，大数据安全涉及的平台、组件较多，结构复杂，在评估工作中强调多平台系统、大数据组件进行功能安全性评估，具体包括：行为审计与管控、组件与安全加固、数据脱敏与加密。

评估内容

4.1描述

行为审计与管控评估针对通过大数据安全套件，记录所有操作行为，方便管理员进行审计，同时针对不同的大数据组件制定不同资源策略，对用户行为进行管控。

评估内容

登录错误审计

异常访问审计

恶意操作审计

HDFS分布式文件审计

Hive结构化存储系统审计

HBase非关系型数据库审计

用户行为溯源

4.2达成目标

通过用户行为审计与管控评估，清楚了解典型用户违规行为并制定相关应对策略。

评估方式

大数据安全实践案例

阿里云大数据安全实践

阿里云数加大数据平台提供从数据采集、加工、数据分析、机器学习到最后数据应用的全链路技术和服务。为确保数据交换和共享的安全,避免数据滥用,阿里云数加平台提供了一系列安全措施,包括:1）密钥管理和鉴权。2）访问控制和隔离。3）数据安全和个人信息保护。4）安全审计和血缘追踪。5）审批和预警。6）生命周期管理。

通过实施阿里云大数据安全管控体系,提供“可用不可见”的大数据交换共享平台安全环境,以保障大数据在“存储、流通、使用”过程中的安全。

百度大数据安全实践

百度非常重视大数据应用过程中的安全保障，在安全方面形成了统一的大数据安全框架，通过在数据全生命周期各环节实施安全技术和管理机制，为大数据平台和用户数据提供安全保障。

百度大数据平台具备基础的系统安全、安全管理，以及以数据安全分级机制为核心的数据安全架构。数据安全架构包括安全审计、安全控制和安全加密三部分，并采用安全分级机制，分为基础级和可选级。安全基础级别包括安全审计和安全控制两个功能，它是所有在大数据平台的业务数据都会得到的安全基础保障，为大数据平台上的数据提供生命周期过程中的可审计性和细粒度完整控制功能。可选级别包括数据的加解密功能，支持各种强度的加解密算法。

百度提出4A安全体系来构建大数据平台的关键安全能力，主要包括：1）account(账号)、2)authentication（鉴别）、3)authorization（授权）、4)audit（审计）。

华为大数据安全实践

华为FusionInsight大