大数据平台对数据进行加密存储,实现无明文存储,避免明文带来的数据泄露等安全风险。

实现数据的透明加解密,在集群中数据写入时自动对数据进行加密、数据读取时自动对数据进行解密,数据离开集群环境后是密文,没有秘钥的情况下不能解密。一方面在集群环境中对应用程序实现透明加解密方便上层应用的开发,减少上层应用处理加解密带来的额外负担和安全风险;另一方面对数据起到保护作用,数据一旦离开集群环境就不能访问到秘钥因此无法解密出明文。

对于高密级的数据,可以设置多次加密和解密授权。通过不同的秘钥和加密算法对数据进行多次加密,可以进一步提高数据安全性,增加破解成本。只有通过解密授权的用户和程序才能访问数据对应的秘钥进行解密,而且解密授权和访问控制授权是两套不通的授权体系,因此即使通过攻击访问授权体系拿到数据的访问权限,在没有同时攻破解密授权体系的情况下,也只能看到加密后的密文数据,无法解密得到明文数据。

目前支持AES-256加密算法,且对AES-256加解密利用Intel指令集优化进行深度性能加速,单核加解密速度分别从50MB/s提升到1.2GB/s和1.5GB/s。加密算法可以通过配置和插件化机制进行替换,可以定制支持符合国家标准的加密算法如SM2、SM3。

大数据信息系统中的数据加密、数据完整性和可用性保护
CA

1 数据完整性保护

根据大数据平台可用性要求,应保证数据能够在生命周期期间能正常的被生成、使用和销毁,应保证对误操作有一定的容错性,并且应保证数据有足够的备份措施。

为了保证数据的可靠性,防止数据丢失、损坏,采取以下策略:

  1. 集群中数据默认三副本存储,对于重要数据设置更多副本存储提高可靠性,系统会自动检测发现副本不足并调度分布式副本拷贝进行恢复。
  2. 敏感数据和系统数据,采用防删除机制,避免误删除和人为破坏。
  3. 数据删除时将首先被移入到回收站,并临时保存24小时(根据需求可以设置更长时间),以避免数据误删除导致的数据不可恢复。
  4. 定期对重要数据做同城和异地灾备。
  5. 集群节点需要经过统一认证体系进行认证,防止恶意节点试图接入集群进行针对大数据平台的特定攻击和破坏,如数据分布到恶意节点后节点下线造成数据不完整。

2 数据可用性保护

任何系统的资源和服务能力都是有限的,如果大数据平台出现资源恶意占用甚至服务攻击,会导致大数据平台的访问质量下降甚至失败,引发大数据平台和应用不稳定等问题,即时数据没有丢失、没有失窃也会造成严重影响。

大数据平台进行一些列保护措施,保障大数据平台的资源和服务的可用性:

  1. 大数据平台各个组件的主节点、从节点均采用高可用架构,某个节点出现软硬件故障时其他节点自动接替工作,从平台架构上避免单点失效造成服务不可用。
  2. 对每个用户和组的资源进行管理和限制,包括存储资源、计算资源、网络资源等,防止用户因为疏忽或者恶意占用平台资源造成平台不稳定。
  3. 对热点数据采用分级存储、多份存储的策略,使用高性能存储介质如SSD甚至内存存储或缓存热点数据防止其成为瓶颈,利用分布式系统的特性将热点数据的副本从默认3副本自动升高到更多副本,通过更多服务器同时提供高并发高吞吐服务。
  4. 对大数据平台提供的服务如存储读写、计算任务执行、数据检索等,进行服务可用性健康检查和性能监控,及时发现服务中断、可用性降低、性能降低等异常情况并发出告警通知进行处理。

相关文章

  • 《信息安全与管理》专业社会调研报告、岗位调研

    《信息安全与管理》专业社会调研报告、岗位调研

    随着前几年《网络安全法》的正式发布,网络安全越来越受到政府、企事业单位的关注和重视,对应的信心安全人才也逐渐走俏,人才市场上有大量岗位空缺。于是,一大波网络安全厂商便向各个高效推出了校企合作的模式,对口培训、招收人才。各个厂商之间的方案或许都有不同,本文主要参考了启明星辰的方案,当然替换成其他品牌如奇安信、深信服、绿盟等都是可以的。 信息安全专业现状 信息已成为企业的重要资源之一,随着计算机技术应用的普及,各个组织机构的运行越来越依赖计算机,各种业务的运行架构于现代化的网络环境中。企业信息系统作…

  • 信息系统工程实施管理

    信息系统工程实施管理

    第一章 目的 第一条 为了规范重庆XX中学信息系统建设管理和工程实施管理,在工程实施各个环节按照信息安全等级保护要求进行管理,特制定本管理规范。 第二章 范围 第二条 本规范适用于重庆XX中学信息系统建设管理和工程实施管理。 第三章 职责 第三条 网络安全办公室负责系统建设管理和工程实施管理。 第四章 管理细则 第四条 工程实施阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。 第五条 本阶段应完成以下具体信息安全工作: 第六条 安全建设整改工程实施的组…

  • 2023年网络安全十大发展趋势:隐私计算、数据安全、安全治理等

    2023年网络安全十大发展趋势:隐私计算、数据安全、安全治理等

    近日,中国计算机学会(CCF)计算机安全专委会中来自国家网络安全主管部门、高校、科研院所、大型央企、民营企业的委员投票评选出2023年网络安全十大发展趋势。 一、数据安全治理成为数字经济的基石 我国《数据安全法》提出“建立健全数据安全治理体系”,各地区各部门均在探索和建立数据分类分级、重要数据识别与重点保护制度。2022年12月,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》提出建立数据产权结构性分置制度,这将保障数据生产、流通、使用过程中各参与方享有的合法权利,进一步激发数…

  • 视频防泄密安全防护解决方案

    视频防泄密安全防护解决方案

    视频防泄密,即类似于视频网闸的功能,以下方案文档基于金盾,若有需要请联系相关厂商。本例提供综合化安全防护方案,前端防护层面,对网络内接入的各类设备进行识别、过滤、阻断,确保接入视频监控网络设备的合法性和安全性,对运行中的设备进行实时监控,利用独有的感知发现技术,及时发现网络中伪冒、入侵、异常的设备。数据防护层面是基于视频数据的整个生命周期,从对视频数据存储的访问安全控制、使用管控到事后的溯源追责,为用户提供整套的视频数据安全防护解决方案。 1、前端接入层防护 1.1准入控制 新一代准入控制技术以…

  • Web应用防护系统是什么?该怎么预防Web攻击

    Web应用防护系统是什么?该怎么预防Web攻击

    大数据平台采用先进的多维防护体系,对HTTP数据流进行深度分析。通过对WEB应用安全的深入研究,固化了一套针对WEB攻击防护的专用特征规则库,规则涵盖诸如SQL注入、XSS(跨站脚本攻击)等OWASP TOP10中的WEB应用安全风险,及远程文件包含漏洞利用、目录遍历、OS命令注入等当今黑客常用的针对WEB基础架构的攻击手段。 对于HTTP数据包内容具有完全的访问控制权限,检查所有经过网络的HTTP 流量,回应请求并建立安全规则。一旦某个会话被控制,就会对内外双向流量进行多重检查,以阻止内嵌的攻…

  • 网络安全服务项目的服务及质量需求(安全服务方案模板)

    网络安全服务项目的服务及质量需求(安全服务方案模板)

    为深入贯彻习近平总书记关于网络安全的重要指示精神,严格落实党中央、国务院和市委、市政府关于网络安全的决策部署,重庆市国资委下发了关于市属国有企业网络安全的通知。通知中指出,国有企业应当深刻认识到网络安全工作的重要意义、健全网络安全制度体系、健全风险评估与安全审计制度、建立重要岗位人员审查制度等要求。 1 网络安全服务项目服务管理 (1)服务交付计划制定:在整个服务期的开始时,根据采购人需求提供年度服务交付计划,并根据需要进行更新。 (2)季度服务报告:通过技术专家和客户相关人员的准备,与采购人管…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信