王曉卉++孫玉林

摘要： 系統(tǒng)安全策略包含了為不同節(jié)點和各種服務設計的安全驗證，用戶安全策略賦與了用戶自定義安全規(guī)則的能力，應用于用戶自己的分布任務組件和數據存取上，有助于強化數據處理過程中用戶的數據安全。本文提出一種基于分布式大數據的數據安全管控策略，有效解決了大數據系統(tǒng)的數據面臨的被竊取和被篡改風險。

關鍵詞：數據安全 安全管控 集群

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2016）10-0212-01

1 引言

隨著大數據技術的不斷發(fā)展，分布式系統(tǒng)網絡通信安全問題引起了越來越高的關注。安全問題將直接影響大數據在關鍵部門及領域的應用和普及速度，一方面，某些部門和領域的敏感數據不斷聚集，形成的結構化和非結構化數據不斷增長，隨之產生了海量異構數據的融合、存儲和管理的問題，需要一種能在確保數據安全的前提下，進行數據分析與挖掘處理的方法；另一方面，隨著危害網絡安全技術的不斷更新，傳統(tǒng)的數據分析方法存在諸多缺陷，特別是對于開源的Hadoop等系統(tǒng)，安全系統(tǒng)相互獨立，無有效手段協同工作，面臨的安全威脅日益顯現，動搖了傳統(tǒng)的安全分析方法。

2 數據安全管控策略研究現狀

傳統(tǒng)解決分布式大數據系統(tǒng)數據安全問題，采用的解決方案是構建基于規(guī)則和特征的分析引擎。安全信息與事件分析系統(tǒng)為來自企業(yè)和組織中所有IT資源產生的安全信息進行統(tǒng)一的實時監(jiān)控、歷史分析，對來自外部的入侵和內部的違規(guī)、誤操作行為進行監(jiān)控、審計分析、調查取證、出具各種報表報告，實現IT資源合規(guī)性管理的目標，同時提升企業(yè)和組織的安全運營、威脅管理和應急響應能力。

綜上所述，當前分布式大數據安全管控方法，通過設置規(guī)則庫和特征庫，采用基于規(guī)則和特征的分析引擎。這種方法的缺點是規(guī)則庫和特征庫的滯后性導致的安全策略固態(tài)化。由于進入規(guī)則庫和特征庫的過濾規(guī)則只能是技術人員可預測、已知的攻擊類型和威脅類型，無法動態(tài)的添加安全策略規(guī)則，所以該策略無法防范未知攻擊和尚未被描述成規(guī)則的攻擊和威脅。另一方面，當前分布式大數據處理系統(tǒng)在網絡通訊防竊取與防篡改技術上存在缺陷。

3 一種分布式大數據的數據安全管控策略

一種分布式大數據的安全管控策略，通過構件化的方法解決分布式系統(tǒng)不同模塊對安全等級的需求不同的問題，動態(tài)調整系統(tǒng)安全級別。通過設置各層安全架構策略，解決分布式系統(tǒng)網絡通訊過程中竊取和篡改的安全威脅。應用SHA1簽名可以保證網絡間傳輸的內容正確性，系統(tǒng)安全策略包含了為不同節(jié)點和各種服務設計的安全驗證，用戶安全策略賦與了用戶自定義安全規(guī)則的能力，應用于用戶自己的分布任務組件和數據存取上，有助于強化數據處理過程中用戶的數據安全。具體步驟如下：

步驟1：將分布式大數據系統(tǒng)分為內部網絡和外部網絡兩個部分。內部網絡由集群的所有權人負責實施和管理，是安全網絡；外部網絡是用戶負責范圍，用戶通過互聯網或者VPN的方式遠程登錄進入分布式集群執(zhí)行數據操作，是不安全網絡。

步驟2：設置內部網絡的拓撲結構，內部網絡地址采用的IP段為192.168.53.10—192.168.53.255。

步驟3：設置網關節(jié)點為192.168.53.1，采用SHA1算法簽名，數據通信采用RSA加密后，再進行對稱加密、系統(tǒng)安全策略、簽名和用戶安全策略。

步驟4：進入通訊安全管理層面。判斷是否是內部網絡通訊，如果是，則關閉安全通訊策略，執(zhí)行步驟5；如果否，執(zhí)行步驟6。

步驟5：外部網絡的網絡節(jié)點同時具有客戶機/服務器的雙重身份。在每一次網絡通信開始時，為了確?？蛻魴C是可以信任的，服務器要求客戶機出示通信安全憑證。這個憑證將保證雙方在安全的狀態(tài)下通信。通信安全憑證在FIXP服務器上配置，里面保存了客戶機必須出示的信息。安全通信類型分為三種：地址驗證、賬號驗證、地址/賬號復合驗證。當服務器要求出示安全憑證時，客戶機必須遵守這個協定，向服務器出示自己的安全憑證，否則通信將被服務器中止。通過安全憑證檢測后，可以確定網絡兩端間傳輸的數據是正確和可信任的，這樣就為后續(xù)的數據處理提供了一個基本的安全保障。

步驟6：執(zhí)行節(jié)點準入制度。一個節(jié)點若要向另一個節(jié)點發(fā)起命令請求，必須首先以客戶機的身份登錄它的服務器節(jié)點，客戶機發(fā)出的每一條命令，都要接受服務器的驗證和檢查。

步驟7：用戶登錄使用前端節(jié)點。登錄用戶可以自由組織數據內容和數據格式。組織方式采用系統(tǒng)提供的可類化接口，在發(fā)送前，把數據按照自己理解的數據格式，用各種方式編排在一起，在接收后，再重新拆解。

步驟8：當數據塊從緩存狀態(tài)轉向文件狀態(tài)過程中，系統(tǒng)計算這個數據塊的數據內容，生成一個256位的簽名，做為校驗碼保存到數據塊里。當數據節(jié)點重新啟動，或者數據塊被加載到內存，或者通過網絡傳輸到另一個數據節(jié)點，系統(tǒng)會重新根據數據內容再次生成一個校驗碼，與已經存在的校驗碼進行比較，確認數據的完整性，以保證后續(xù)數據處理的數據本身是正確的。

步驟9：數據塊從緩存狀態(tài)轉入到文件狀態(tài)過程中，除生成數據塊簽名，還要根據數據塊的存儲模型，針對每一行或者每一列集合，生成各自的CRC32校驗碼，并且保存在記錄的開始位置。數據安全管控流程完成，分布式大數據系統(tǒng)各環(huán)節(jié)依此方法進行數據存取與通信。

4 結語

本文提出了一種分布式大數據數據安全管控系統(tǒng)策略。通過采用構件化來分層解決分布式系統(tǒng)不同模塊對安全等級的需求不同的問題，動態(tài)調整系統(tǒng)安全級別。通過設置各層安全架構策略，解決分布式系統(tǒng)網絡通訊過程中竊取和篡改的安全威脅。應用SHA1簽名可以保證網絡間傳輸的內容正確性，系統(tǒng)安全策略包含了為不同節(jié)點和各種服務設計的安全驗證，用戶安全策略賦與了用戶自定義安全規(guī)則的能力，應用于用戶自己的分布任務組件和數據存取上，有助于強化數據處理過程中用戶的數據安全。有效解決了大數據系統(tǒng)的數據面臨的被竊取和被篡改風險。

參考文獻

[1]蔡衍文.面向通信設備的構件化網絡協議棧體系[D].浙江大學， 2004.

[2]陳駿.網絡構件動態(tài)優(yōu)化模型的研究[D].浙江大學，2004.

收稿日期：2016-09-01

基金項目：山東省科技發(fā)展計劃2014GGX101045

作者簡介：王曉卉（1981—），女，山東壽光人，講師，碩士研究生，研究方向：數據挖掘、機器智能；孫玉林（1981—），男，山東煙臺人，講師，碩士研

究生，研究方向：數據挖掘，進化計算。