大数据平台数据访问安全控制策略研究

邓伟奇

[摘 要]大数据时代的到来使数据成为人们的重要资产之一。为了更好地使用大数据，数据的有偿或者无偿共享将会逐渐成为趋势。其中，针对大数据平台进行统一访问入口，集中管理账号权限以及集中提供大数据平台操作界面就成为了保证大数据平台访问安全的手段。据此，本文在简要分析现阶段大数据平台数据访问中存在的安全问题的基础上，对大数据平台访问控制方法进行了研究，希望能够提高大数据平台访问安全性。

[关键词]大数据平台；数据；访问；安全

doi：10.3969/j.issn.1673 - 0194.2017.22.092

[中图分类号]TP309；TP333 [文献标识码]A [文章编号]1673-0194（2017）22-0-02

0 引 言

大数据是IT行业的一大颠覆性技术变革，以Hadoop为核心的大数据平台在互联网、金融、运营商中得到了广泛使用，并且影响巨大。根据我国《大数据市场现状调研与发展趋势分析报告（2015-2020年）》显示，在这5年中，全球大数据技术和市场服务增长率将达到31.7%。调查资料显示，我国的大数据市场在2015-2017年保持着60%以上的增长速率，表明大数据时代已经到来。

1 大数据平台业务行为安全

Hadoop来自开源社区，并由其发展壮大，但是十多年来，一直缺乏安全相关的组件以及考虑，多数用户是依靠自己的力量维护该架构的安全。现阶段大数据平台存在的安全问题主要有以下3个方面。

1.1 访问授权控制问题

在访问控制系统中，哪些资源能够被用户访问是由管理员控制的，但是资源本身过于庞大，针对每条资源设置访问权限本来就是一种繁琐的工作。尤其是面对那些规模巨大、来源复杂的数据时，管理员更难实施授权管理操作，所以为了保证用户的系统使用感，有些大数据是面向全部用户开放的。例如，在各大运营商中，用户每月的消费情况是可以被运营商市场部的营销人员访问的，但是哪部分消费情况可以被哪类营销人员查看就属于“过度授权”的范畴，由于系统应用的复杂性，管理人员在面对具体问题时经常考虑不到位，大数据中用户授权不足的现象也越来越多。

1.2 细粒度访问控制实施问题

现阶段，非结构化的数据正在占据大数据时代。据调查报告显示，企业80%的数据都是非结构化数据，并且这些数据正在以每年60%的速度呈指数增长。非结构化的数据本身就蕴含着更为丰富的内容，例如在通讯系统中，不同用户的消费记录都是不同的，有的用户通话消费较多，有的用户流量消费较多，但这些细化的信息并不能在访问权限中显示并同时被选择性限制。因此，为了在大数据应用中体现细粒度的访问控制，需要进一步探究访问控制策略中的非结构化和半结构化数据客体的描述方式。

1.3 访问主体结构组成复杂

以手机话费信息系统为例，其涉及流量费用、通话费用、短信费用等众多方面。在这种情况下，用户的话费缴纳通知单既能被收费人员查看，也能被市场营销人员、财务人员以及运营售后服务人员查看，用户的个人信息就被无限制地泄露。同时，该缴费单能够在同一时段被不同人员访问，也从另一方面体现了访问控制并没有起到应有的作用，如同虚设。

2 大数据平台数据访问安全控制策略

2.1 角色挖掘

这里的角色挖掘是建立在系统已经具备一定的访问控制的前提下进行的。首先，开发人员从已有的用户权限分配关系中找出潜在的关联和角色，将角色和用户、角色和关系相关联。具体的关联方法可以参照聚类方法，也就在权限的基础上进行分层聚类，最终获得树状的角色层次，这种方法不仅贴近实际，而且更便于后期的角色管理。其次，开发人员通过权限的使用次数来生成角色也是非常实用的一种方法。实际结果表明，这种考虑权限使用情况的角色挖掘方法更符合系统的实际需求。

2.2 风险访问控制

大数据时代的到来在为访问控制带来问题的同时，数据分析技术也可以被用来分析访问行为的风险，从而实现风险访问控制。例如，基于费用交付信息系统的风险控制方案就将用户信息划分为敏感数据和非敏感数据两种。数据分析人在数据提取系统中接收到需求单时，首先要分析出该数据是敏感性数据还是非敏感性数据，根据数据的不同性质分门别类上传到对应区域。敏感性数据只允许查看和审核，并不允许下载；非敏感性数据可以查看、审核，审核结束之后可以由市场营销人员下载到本地。这样工作人员既能够顺利地展开工作，用户的个人信息也能够得到保护。

2.3 非结构化数据访问控制

非结构化的数据及其细粒度访问控制等难以实施的问题，使用XML树型半结构化数据表更为简单。除了XML树型半结构化数据外，由于社交网络的朋友关系，开发人员还可以设立基于关系的访问控制模型。这种模型将访问请求者和资源所有者之间的关系做了访问控制判定。例如，某位用户只想将照片与自己的朋友分享，而不让朋友的朋友看到，就需要系统针对关系分别建立角色，再根据角色内容描述访问控制需求。

3 提高大数据安全事件快速分析能力

如果发生大数据安全事件，工作人员首先要及时进行事件安全分析，提高大数据安全事件快速分析能力，这是缩短安全事件处置时间、降低损失的最佳办法。具体步骤有以下几方面。

首先，建立全面、及时的安全数据收集。管理者可以通过SNMP、SYSLOG、API接口、数据接口以及端口景象等数据源，对网络中的数据设备、安全保障设备、系统本身和数据库进行数据收集。

其次，要对收集上来的数据进行解析和处理。具体的处理方式可以通过安全数据字段的识别、时间字段的侦察监测、时间同步等功能实现，这些技术不仅能够节省时间，还能够提升数据解析的成功率。

再次，要建立数据关联分析模型。现阶段常用的數据关联技术为Spark Streaming。该技术可以对系统采集的数据进行实时关联分析，其优点在于系统内部设置有安全管理规则，可以保障关联的安全性。该技术的主要关联模式有统计关联、漏洞关联、策略关联等。

再次，可以根据关联网络对用户进行行为画像分析。系统可以以用户合法行为白名单和行为前提和基础，建立用户行为分析引擎。该引擎可以分析用户的所有操作，一旦发现用户有异常举动，如在异常时间登录访问、异常区域登录或登录访问数据量远远大于平时，又或者是将访问的数据上传至其他网址供其他人查看等，引擎就会及时追查并及时报告给用户，提醒用户注意自己的数据安全。

最后，要建立分等级的警告规则。这里的警告指的是在发现异常行为之后向用户发出的警报，系统根据异常行为的不同将警告分为不同等级：低级警告（补丁未更新、恶意卸载等）、中级警告（密码未及时更新、软件病毒感染、恶意扫描等）、高级警告（违反软件安全要求、违规登录、数据泄露等）。

4 结 语

大数据时代的到来对访问控制技术提出了新要求，本文研讨了数据访问中的3个问题以及相应的解决措施。总之，现阶段关于大数据访问控制的研究尚处在初级阶段，相关理论还不充分。大数据对访问控制领域既是一个机遇也是一个挑战，相关研究还需要专家学者共同完成。

主要参考文献

[1]崔新会，陈刚，何志强.大数据环境下云数据的访问控制技术研究[J].现代电子技术，2016（15）.

[2]王志华，庞海波，李占波.一种适用于Hadoop云平台的访问控制方案[J].清华大学学报：自然科学版，2014（1）.

[3]程代娣.基于云存储技术的数据安全策略研究[J].齐鲁工业大学学报：自然科学版，2015（4）.

[4]卞咸杰.基于移动互联网科技论文共享平台数据的安全策略研究[J].现代情报，2015（6）.

[5]金松昌，杨树强，樊华，刘斐.面向大型关键业务的Hadoop云计算平台数据安全策略研究[J].信息网络安全，2012（8）.endprint