大数据平台对数据进行加密存储,实现无明文存储,避免明文带来的数据泄露等安全风险。

实现数据的透明加解密,在集群中数据写入时自动对数据进行加密、数据读取时自动对数据进行解密,数据离开集群环境后是密文,没有秘钥的情况下不能解密。一方面在集群环境中对应用程序实现透明加解密方便上层应用的开发,减少上层应用处理加解密带来的额外负担和安全风险;另一方面对数据起到保护作用,数据一旦离开集群环境就不能访问到秘钥因此无法解密出明文。

对于高密级的数据,可以设置多次加密和解密授权。通过不同的秘钥和加密算法对数据进行多次加密,可以进一步提高数据安全性,增加破解成本。只有通过解密授权的用户和程序才能访问数据对应的秘钥进行解密,而且解密授权和访问控制授权是两套不通的授权体系,因此即使通过攻击访问授权体系拿到数据的访问权限,在没有同时攻破解密授权体系的情况下,也只能看到加密后的密文数据,无法解密得到明文数据。

目前支持 AES-256 加密算法,且对 AES-256 加解密利用 Intel 指令集优化进行深度性能加速,单核加解密速度分别从 50MB/s 提升到 1.2GB/s 和1.5GB/s。加密算法可以通过配置和插件化机制进行替换,可以定制支持符合国家标准的加密算法如 SM2、SM3。

大数据信息系统中的数据加密、数据完整性和可用性保护
CA

1. 数据完整性保护

根据大数据平台可用性要求,应保证数据能够在生命周期期间能正常的被生成、使用和销毁,应保证对误操作有一定的容错性,并且应保证数据有足够的备份措施。

为了保证数据的可靠性,防止数据丢失、损坏,采取以下策略:

  1. 集群中数据默认三副本存储,对于重要数据设置更多副本存储提高可靠性,系统会自动检测发现副本不足并调度分布式副本拷贝进行恢复。
  2. 敏感数据和系统数据,采用防删除机制,避免误删除和人为破坏。
  3. 数据删除时将首先被移入到回收站,并临时保存 24 小时(根据需求可以设置更长时间),以避免数据误删除导致的数据不可恢复。
  4. 定期对重要数据做同城和异地灾备。
  5. 集群节点需要经过统一认证体系进行认证,防止恶意节点试图接入集群进行针对大数据平台的特定攻击和破坏,如数据分布到恶意节点后节点下线造成数据不完整。

2. 数据可用性保护

任何系统的资源和服务能力都是有限的,如果大数据平台出现资源恶意占用甚至服务攻击,会导致大数据平台的访问质量下降甚至失败,引发大数据平台和应用不稳定等问题,即时数据没有丢失、没有失窃也会造成严重影响。

大数据平台进行一些列保护措施,保障大数据平台的资源和服务的可用性:

  1. 大数据平台各个组件的主节点、从节点均采用高可用架构,某个节点出现软硬件故障时其他节点自动接替工作,从平台架构上避免单点失效造成服务不可用。
  2. 对每个用户和组的资源进行管理和限制,包括存储资源、计算资源、网络资源等,防止用户因为疏忽或者恶意占用平台资源造成平台不稳定。
  3. 对热点数据采用分级存储、多份存储的策略,使用高性能存储介质如 SSD 甚至内存存储或缓存热点数据防止其成为瓶颈,利用分布式系统的特性将热点数据的副本从默认 3副本自动升高到更多副本,通过更多服务器同时提供高并发高吞吐服务。
  4. 对大数据平台提供的服务如存储读写、计算任务执行、数据检索等,进行服务可用性健康检查和性能监控,及时发现服务中断、可用性降低、性能降低等异常情况并发出告警通知进行处理。

相关文章

  • VPN加密系统是什么?有哪些功能

    VPN加密系统是什么?有哪些功能

    VPN的身份认证通过LADP协议可以与认证服务器建立认证关系,也可以与PKI/CA服务器建立联系在终端导入证书,VPN 加密技术采用DES、3DES、AES、IDEA、RC4等加密技术,通过上述的加密技术,保证视频、信令、数据在公共网络中传输安全。 VPN加密系统功能如下: 支持丰富的C/S、B/S应用; 支持多种认证方式,如用户名+口令、RADIUS、AD、LDAP、USB Key; 证书、证书+口令、双因子认证等; 支持多种终端设备接入(包括window平台、linux平台、andriod平…

  • 数据中心的主机安全建设,系统加固策略

    数据中心的主机安全建设,系统加固策略

    数据中心的主机包括物理服务器和虚拟化云主机,所有主机都面临入侵和攻击的风险。主机安全主要包括两个方面: 对于数据中心的服务器和云主机,无论系统或应用本身安全与否,都可能存在漏洞,安全管理员应负责定期(例如 1 月/次)对包括物理服务器和云主机等进行安全加固。系统加固策略包括: 1、使用 GRUB 的 password 参数对 GRUB 设置密码,防止通过编辑 GRUB 启动参数轻松的进入单用户模式从而修改 root 密码,从而造成安全隐患; 2、对 ssh 服务进行加固,关闭 root 账号远程…

  • GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南.pdf

    GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南.pdf

    随着数字化时代的加速发展,网络安全问题日益严峻,信息系统的安全防护已成为国家、企业及个人共同关注的重点。为了规范和指导我国各类信息系统开展网络安全等级保护工作,《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)应运而生。该标准由中国电子技术标准化研究院牵头制定,于 2019 年正式发布并实施,是落实《网络安全法》中关于网络安全等级保护制度的重要技术支撑文件。该指南为不同等级的信息系统提供了从定级、备案、建设整改到等级测评的全过程实施路径,具有高度的实用性和指导性。 本标…

  • XXX 信息系统网络安全服务内容和技术要求

    XXX 信息系统网络安全服务内容和技术要求

    面对当前信息系统安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁社会稳定、经济发展甚至国家安全。因此,XXX 信息系统有必要进一步完善和加强信息安全保障体系。信息安全建设重在安全保障体系的建设,它是一个循序渐进、不断完善的过程,较好的方式是信息安全建设与系统建设同步规划、同步设计。同时,结合等级保护标准,逐步完善和加强安全保障体系建设,与信息安全行业的领先者强强联合,引入专业的安全服务、先进的安全管理理念,有效控制和降低信息系统…

  • Web 应用防护系统是什么?该怎么预防 Web 攻击

    Web 应用防护系统是什么?该怎么预防 Web 攻击

    大数据平台采用先进的多维防护体系,对 HTTP 数据流进行深度分析。通过对 WEB 应用安全的深入研究,固化了一套针对 WEB 攻击防护的专用特征规则库,规则涵盖诸如 SQL 注入、XSS(跨站脚本攻击)等 OWASP TOP10 中的 WEB 应用安全风险,及远程文件包含漏洞利用、目录遍历、OS 命令注入等当今黑客常用的针对 WEB 基础架构的攻击手段。 对于 HTTP 数据包内容具有完全的访问控制权限,检查所有经过网络的 HTTP 流量,回应请求并建立安全规则。一旦某个会话被控制,就会对内外…

  • 数据安全事件应急预案模板

    数据安全事件应急预案模板

    在学习、工作或生活中,保不准会发⽣突发事件,为了避免造成更严重的后果,常常需要预先准备应急预案。我们应该怎么编制应急预案呢?以下是众平帮⼤家整理的数据安全事件应急预案,欢迎⼤家借鉴与参考,希望对⼤家有所帮助。 第⼀章 总则 为建⽴健全公司数据安全事件应急响应机制,提⾼应对数据安全事件的应急处置能⼒,预防和减少数据安全事件造成的损失和危害,全⾯提升公司的数据安全事件应急管理水平,保障公司数据资产安全和用户合法权益,特制定本预案。 第⼆章 应急响应组织机构 一、公司成立数据安全事件应急响应领导小组,…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服