王文莉 鄭蕾

【摘 要】本文依據(jù)大數(shù)據(jù)中心架構(gòu)模式，提出面向?qū)ο蟮亩鄬哟伟踩雷o(hù)模式設(shè)計(jì)思路，以大數(shù)據(jù)管理或使用者為對(duì)象，按照對(duì)象在大數(shù)據(jù)訪問(wèn)和使用過(guò)程中可能面臨的服務(wù)器物理安全、服務(wù)器主機(jī)系統(tǒng)安全、服務(wù)器數(shù)據(jù)安全、數(shù)據(jù)網(wǎng)絡(luò)傳輸安全以及數(shù)據(jù)操作維護(hù)安全問(wèn)題，設(shè)計(jì)多層次安全防護(hù)模式。

【關(guān)鍵詞】對(duì)象 大數(shù)據(jù)中心 多層次安全防護(hù)模式

【中圖分類號(hào)】G ?【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】0450-9889（2021）07-0167-03

隨著互聯(lián)網(wǎng)應(yīng)用的不斷深化，數(shù)據(jù)的巨大價(jià)值充分體現(xiàn)出來(lái)，各行各業(yè)紛紛開(kāi)始深入挖掘數(shù)據(jù)經(jīng)濟(jì)，建立各種大數(shù)據(jù)中心，將行業(yè)相關(guān)數(shù)據(jù)集中起來(lái)管理，以實(shí)現(xiàn)數(shù)據(jù)的及時(shí)性、準(zhǔn)確性和共享性。早期，數(shù)據(jù)的集中管理采用客戶機(jī)/服務(wù)器的方式（C/S方式），這種方式應(yīng)用于局域網(wǎng)內(nèi)居多，導(dǎo)致數(shù)據(jù)的共享性不強(qiáng)，應(yīng)用面比較小，數(shù)據(jù)經(jīng)濟(jì)價(jià)值也沒(méi)有充分體現(xiàn)。隨著互聯(lián)網(wǎng)的不斷發(fā)展，軟件開(kāi)發(fā)模式從C/S方式轉(zhuǎn)換成基于web形式的面向?qū)ο蟮拈_(kāi)發(fā)方式，大數(shù)據(jù)的集中管理和利用也仿效這種模式，轉(zhuǎn)換成通過(guò)互聯(lián)網(wǎng)連接中央服務(wù)器的方式。這種方式管理簡(jiǎn)便、高效準(zhǔn)確，共享利用率大幅提高，安全性也相較以往得到了提升。但此種方式是基于網(wǎng)絡(luò)連接架構(gòu)的，涉及多層次的硬件連接、網(wǎng)絡(luò)管理軟件和操作系統(tǒng)等，其網(wǎng)絡(luò)安全問(wèn)題較為復(fù)雜，進(jìn)而導(dǎo)致中央服務(wù)器的數(shù)據(jù)中心的安全體系存在較多隱患。因此，大數(shù)據(jù)中心的安全既要考慮網(wǎng)絡(luò)連接和傳輸?shù)陌踩忠紤]中央服務(wù)器本身的防護(hù)安全和數(shù)據(jù)訪問(wèn)安全。本文擬依據(jù)大數(shù)據(jù)中心架構(gòu)模式，以大數(shù)據(jù)管理或使用者為對(duì)象，設(shè)計(jì)一套多層次的安全防護(hù)模式。

一、面向?qū)ο蟮亩鄬哟伟踩雷o(hù)模式設(shè)計(jì)思路

在大數(shù)據(jù)中心的數(shù)據(jù)訪問(wèn)中，用戶在獲得一定權(quán)限后，通過(guò)網(wǎng)絡(luò)連接設(shè)備和應(yīng)用管理軟件實(shí)施客戶端與服務(wù)器端的鏈接。安全連接后，用戶就可以訪問(wèn)存儲(chǔ)池中的數(shù)據(jù)了。按照這種模式，可以采取網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)哪Ｊ綄?duì)數(shù)據(jù)訪問(wèn)的整個(gè)過(guò)程進(jìn)行分層，然后分層進(jìn)行防御。對(duì)數(shù)據(jù)的訪問(wèn)，可以分面向客戶端和服務(wù)器兩個(gè)對(duì)象來(lái)分析整個(gè)過(guò)程，進(jìn)行安全層次劃分，然后采用多種方法分層防御，避免出現(xiàn)安全真空環(huán)節(jié)。如圖1所示，將服務(wù)器端的管理人員和客戶端的使用人員分別列為管理用戶和終端用戶，統(tǒng)一規(guī)劃為用戶層。將用戶請(qǐng)求連接接入的過(guò)程，統(tǒng)一劃為網(wǎng)絡(luò)安全連接層。用戶通過(guò)網(wǎng)絡(luò)連接安全進(jìn)入服務(wù)器后進(jìn)行數(shù)據(jù)分析和訪問(wèn)操作，由此可以把數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析統(tǒng)一劃為數(shù)據(jù)安全層。在每一個(gè)層次都執(zhí)行各自的安全防護(hù)，實(shí)施自上而下的縱深防御，在一層防御不夠時(shí)，其他層防御也會(huì)阻止破壞的發(fā)生，保證網(wǎng)絡(luò)傳輸數(shù)據(jù)過(guò)程中沒(méi)有單個(gè)環(huán)節(jié)安全故障發(fā)生而影響整體安全。

二、面向?qū)ο蟮亩鄬哟伟踩雷o(hù)模式設(shè)計(jì)方案

大數(shù)據(jù)中心的安全防護(hù)設(shè)計(jì)從分層和縱深防御的思想出發(fā)，重點(diǎn)防護(hù)對(duì)象是數(shù)據(jù)服務(wù)器。面向?qū)ο蠓?wù)器端時(shí)，客戶端先通過(guò)互聯(lián)網(wǎng)向服務(wù)器發(fā)起數(shù)據(jù)訪問(wèn)請(qǐng)求，服務(wù)器在接收到申請(qǐng)并審核通過(guò)后，再通過(guò)互聯(lián)網(wǎng)將準(zhǔn)確、安全的數(shù)據(jù)傳輸給客戶端，此過(guò)程涉及服務(wù)器物理安全、服務(wù)器主機(jī)系統(tǒng)安全、服務(wù)器上數(shù)據(jù)安全、數(shù)據(jù)網(wǎng)絡(luò)傳輸安全以及數(shù)據(jù)操作維護(hù)安全。為確保數(shù)據(jù)的準(zhǔn)確安全，可以對(duì)以上環(huán)節(jié)進(jìn)行逐步防護(hù)，形成多層次安全防護(hù)模式，如圖2所示。

（一）服務(wù)器物理安全

大數(shù)據(jù)中心服務(wù)器的物理安全主要是指數(shù)據(jù)中心主機(jī)的物理層面的安全管理，其中包括內(nèi)部人員安全管理、機(jī)房物理安全管理。由于中心機(jī)房?jī)?nèi)服務(wù)器處于不安全狀態(tài)導(dǎo)致的數(shù)據(jù)安全事件層出不窮，機(jī)房安全管理不到位、外部人員入侵等導(dǎo)致的數(shù)據(jù)泄密是大數(shù)據(jù)中心最為擔(dān)憂的情況，尤其是存儲(chǔ)著大量用戶敏感信息的數(shù)據(jù)中心，對(duì)黑客無(wú)疑具有非常大的吸引力，一旦數(shù)據(jù)泄密，對(duì)整個(gè)大數(shù)據(jù)中心而言是毀滅性打擊。對(duì)此，大數(shù)據(jù)中心應(yīng)對(duì)應(yīng)用主機(jī)現(xiàn)場(chǎng)環(huán)境進(jìn)行嚴(yán)格管理，對(duì)機(jī)房?jī)?nèi)進(jìn)出設(shè)置嚴(yán)格規(guī)定，如實(shí)行提前實(shí)名預(yù)約、出入場(chǎng)人員身份驗(yàn)證、數(shù)據(jù)中心內(nèi)部管理人員實(shí)時(shí)陪同，并安裝符合國(guó)標(biāo)的電子門(mén)禁及監(jiān)控設(shè)備進(jìn)行人員進(jìn)出控制及實(shí)時(shí)監(jiān)控。同時(shí)，建立安全管理制度，嚴(yán)格審核數(shù)據(jù)中心內(nèi)部管理人員，定期舉行安全管理培訓(xùn)，規(guī)定內(nèi)部人員進(jìn)出數(shù)據(jù)中心核心區(qū)域時(shí)應(yīng)取得相應(yīng)授權(quán)，同時(shí)實(shí)行兩人同進(jìn)同出制，防止內(nèi)部數(shù)據(jù)竊取事件發(fā)生。

（二）服務(wù)器系統(tǒng)安全

縱觀整個(gè)大數(shù)據(jù)中心，服務(wù)器是承載核心應(yīng)用及數(shù)據(jù)的設(shè)備，因而服務(wù)器的安全是最關(guān)鍵的環(huán)節(jié)。服務(wù)器往往使用了不同類型的操作系統(tǒng)、數(shù)據(jù)庫(kù)和互聯(lián)網(wǎng)連接等通用軟件，很容易遭受病毒入侵、漏洞攻擊、木馬、拒絕服務(wù)等安全威脅。由于需要對(duì)外提供業(yè)務(wù)訪問(wèn)，服務(wù)器接入互聯(lián)網(wǎng)后風(fēng)險(xiǎn)大幅提高，在傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域常有攻擊服務(wù)器的現(xiàn)象，例如，通過(guò)DDoS泛洪攻擊發(fā)送大量垃圾數(shù)據(jù)包使服務(wù)器陷入拒絕服務(wù)狀態(tài)，使正常用戶無(wú)法通過(guò)服務(wù)器開(kāi)放的應(yīng)用端口進(jìn)行訪問(wèn)，一方面占用了大量的服務(wù)器網(wǎng)絡(luò)帶寬，使正常的訪問(wèn)無(wú)法接入;另一方面使服務(wù)器所處網(wǎng)絡(luò)中提供網(wǎng)絡(luò)服務(wù)的設(shè)備如核心交換機(jī)、路由器的傳輸通道受到阻塞，網(wǎng)絡(luò)流量處理能力下降，造成不良影響。同時(shí)，黑客還有可能通過(guò)互聯(lián)網(wǎng)入口進(jìn)行滲透，在服務(wù)器操作系統(tǒng)中利用未發(fā)現(xiàn)的遠(yuǎn)程攻擊漏洞進(jìn)行木馬植入、病毒植入等，使應(yīng)用系統(tǒng)受到極大的威脅，數(shù)據(jù)泄密風(fēng)險(xiǎn)大幅增加。

為了抵御服務(wù)器系統(tǒng)可能遭受的各種類型攻擊和用戶請(qǐng)求數(shù)據(jù)遭竊聽(tīng)和篡改等安全威脅，可以從以下方面進(jìn)行考慮：一是通過(guò)加強(qiáng)服務(wù)器漏洞掃描能力，在內(nèi)網(wǎng)部署相應(yīng)的漏洞掃描設(shè)備，定期對(duì)服務(wù)器進(jìn)行漏洞掃描，利用最新發(fā)布的漏洞補(bǔ)丁進(jìn)行封堵，減少攻擊者入侵的通道;二是在服務(wù)器系統(tǒng)中建立對(duì)應(yīng)的文件安全機(jī)制，對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行二次加密，加密算法應(yīng)采用符合國(guó)密要求的算法，如RAS、SM2等，這樣即使文件被內(nèi)部竊取，竊取者也無(wú)法通過(guò)反向解密的方式破解，可以最大限度地防止內(nèi)部數(shù)據(jù)泄密事件;三是服務(wù)器系統(tǒng)應(yīng)設(shè)置對(duì)應(yīng)的監(jiān)視系統(tǒng)，通過(guò)部署相應(yīng)的系統(tǒng)級(jí)的監(jiān)視軟件或日志審計(jì)系統(tǒng)，實(shí)現(xiàn)內(nèi)部運(yùn)行數(shù)據(jù)實(shí)時(shí)記錄，第一時(shí)間阻止非法操作，而對(duì)數(shù)據(jù)庫(kù)類應(yīng)用，應(yīng)結(jié)合相應(yīng)的數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，主動(dòng)屏蔽高危操作命令，防止數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)遭到惡意復(fù)制及惡意刪除。

（三）服務(wù)器數(shù)據(jù)安全

服務(wù)器的數(shù)據(jù)安全是保障數(shù)據(jù)中心安全的重點(diǎn)。為了保障用戶需要的數(shù)據(jù)安全，服務(wù)器數(shù)據(jù)中心應(yīng)從數(shù)據(jù)隔離、訪問(wèn)控制等多個(gè)方面采取措施。

1.數(shù)據(jù)域訪問(wèn)控制

對(duì)服務(wù)器數(shù)據(jù)的訪問(wèn)控制，可以考慮針對(duì)不同級(jí)別及不同應(yīng)用的數(shù)據(jù)劃分對(duì)應(yīng)的數(shù)據(jù)域，每個(gè)數(shù)據(jù)域需要設(shè)置不同的訪問(wèn)用戶組及訪問(wèn)策略，未獲取數(shù)據(jù)域授權(quán)的用戶，禁止訪問(wèn)對(duì)應(yīng)數(shù)據(jù)域內(nèi)的數(shù)據(jù)，多個(gè)數(shù)據(jù)域之間相互隔離不能互訪。同時(shí)，在數(shù)據(jù)訪問(wèn)過(guò)程中，服務(wù)器端和存儲(chǔ)端的訪問(wèn)都需要有對(duì)應(yīng)的雙向數(shù)據(jù)訪問(wèn)認(rèn)證，如CHAP認(rèn)證等，只有通過(guò)訪問(wèn)認(rèn)證的服務(wù)器設(shè)備才可以接入對(duì)應(yīng)存儲(chǔ)設(shè)備獲取數(shù)據(jù)。認(rèn)證時(shí)需要打上對(duì)應(yīng)的用戶標(biāo)識(shí)，用戶標(biāo)識(shí)在訪問(wèn)結(jié)束后自動(dòng)清除，下次訪問(wèn)時(shí)需要重新申請(qǐng)防衛(wèi)標(biāo)識(shí)、重新進(jìn)行訪問(wèn)認(rèn)證，這樣可以有效地防止未經(jīng)授權(quán)的服務(wù)器非法接入存儲(chǔ)設(shè)備。

2.數(shù)據(jù)多重備份

大數(shù)據(jù)中心的數(shù)據(jù)存儲(chǔ)采用多重備份機(jī)制，每一份數(shù)據(jù)都可以有一個(gè)或者多個(gè)備份，當(dāng)數(shù)據(jù)因存儲(chǔ)載體（如硬盤(pán)）出現(xiàn)故障時(shí)，不會(huì)引起數(shù)據(jù)的丟失，也不會(huì)影響系統(tǒng)的正常使用。系統(tǒng)同時(shí)對(duì)存儲(chǔ)數(shù)據(jù)按位或字節(jié)的方式進(jìn)行數(shù)據(jù)校驗(yàn)，并把校驗(yàn)的信息均勻地分散到陣列的各個(gè)磁盤(pán)上。陣列的磁盤(pán)上既有數(shù)據(jù)，也有數(shù)據(jù)校驗(yàn)信息，數(shù)據(jù)塊和對(duì)應(yīng)的校驗(yàn)信息會(huì)存儲(chǔ)于不同的磁盤(pán)上，當(dāng)一個(gè)數(shù)據(jù)盤(pán)損壞時(shí)，系統(tǒng)可以根據(jù)同一帶區(qū)的其他數(shù)據(jù)塊和對(duì)應(yīng)的校驗(yàn)信息重構(gòu)損壞的數(shù)據(jù)。

3.存儲(chǔ)載體加密

數(shù)據(jù)中心的數(shù)據(jù)存儲(chǔ)載體大多為硬盤(pán)，少部分冷備數(shù)據(jù)會(huì)采用光盤(pán)或磁帶。在數(shù)據(jù)中心被物理入侵竊取硬盤(pán)導(dǎo)致數(shù)據(jù)被讀取的情況下，作為數(shù)據(jù)關(guān)鍵載體的硬盤(pán)成了數(shù)據(jù)安全的風(fēng)險(xiǎn)點(diǎn)，因此，在存儲(chǔ)內(nèi)部需要對(duì)存儲(chǔ)核心關(guān)鍵數(shù)據(jù)的硬盤(pán)進(jìn)行磁盤(pán)加密算法，如利用SED等進(jìn)行加密，通過(guò)在存儲(chǔ)側(cè)生成DEK加密密鑰與AK加密密鑰，AK加密磁盤(pán)訪問(wèn)、DEK加密磁盤(pán)上的數(shù)據(jù)，當(dāng)硬盤(pán)上線時(shí)需要由專用存儲(chǔ)分配AK密鑰才能訪問(wèn)磁盤(pán)，即使硬盤(pán)被竊取，竊取者沒(méi)有對(duì)應(yīng)的AK密鑰也無(wú)法訪問(wèn)磁盤(pán)，因而可以有效防止數(shù)據(jù)泄露。

（四）數(shù)據(jù)網(wǎng)絡(luò)傳輸安全

由于大數(shù)據(jù)中心通過(guò)網(wǎng)絡(luò)提供對(duì)外服務(wù)，傳統(tǒng)的DDoS攻擊、零日攻擊、數(shù)據(jù)竊聽(tīng)等來(lái)自互聯(lián)網(wǎng)的攻擊手段已然成為當(dāng)前大數(shù)據(jù)中心數(shù)據(jù)安全的最大威脅，更好地抵御來(lái)自互聯(lián)網(wǎng)的威脅，是大數(shù)據(jù)中心安全運(yùn)營(yíng)的前提。

面向互聯(lián)網(wǎng)提供服務(wù)的業(yè)務(wù)，應(yīng)對(duì)不同應(yīng)用系統(tǒng)、不同數(shù)據(jù)域進(jìn)行相應(yīng)的安全域的劃分。劃分安全域第一步就是對(duì)網(wǎng)絡(luò)進(jìn)行隔離，不同應(yīng)用系統(tǒng)及不同數(shù)據(jù)域應(yīng)處于不同的網(wǎng)段，防止單一應(yīng)用被入侵時(shí)橫向傳播，以及防止網(wǎng)絡(luò)風(fēng)暴的擴(kuò)散導(dǎo)致業(yè)務(wù)中斷。第二步是在大數(shù)據(jù)承載平臺(tái)中在各個(gè)應(yīng)用各個(gè)部門(mén)間劃分VPC（虛擬私有網(wǎng)絡(luò)）以及虛擬防火墻，每個(gè)VPC之間的業(yè)務(wù)應(yīng)用虛機(jī)互不干擾，單個(gè)VPC內(nèi)發(fā)生病毒傳播不對(duì)外擴(kuò)散。第三步是在互聯(lián)網(wǎng)出口區(qū)域設(shè)置信任域與非信任域，處于內(nèi)網(wǎng)可信網(wǎng)絡(luò)的核心應(yīng)用應(yīng)劃分入信任域，信任域內(nèi)的主機(jī)持續(xù)受到防火墻及入侵防御設(shè)備的監(jiān)管，第三方非核心應(yīng)用應(yīng)劃入非信任域，非信任域中需要設(shè)置對(duì)應(yīng)的網(wǎng)絡(luò)授信，授信后方可訪問(wèn)內(nèi)網(wǎng)應(yīng)用，授信期間持續(xù)被防火墻及安全態(tài)勢(shì)感知中心監(jiān)管。

VPN管理方式（見(jiàn)圖3）主要特點(diǎn)是分網(wǎng)絡(luò)區(qū)域管理，在大數(shù)據(jù)中心與用戶之間，通過(guò)設(shè)置虛擬私有云端，在大數(shù)據(jù)中心內(nèi)部給每個(gè)部門(mén)劃分獨(dú)立的VLAN，對(duì)應(yīng)獨(dú)立的虛擬防火墻，保證不同區(qū)域部署在大數(shù)據(jù)中心的數(shù)據(jù)和應(yīng)用與該區(qū)域的內(nèi)網(wǎng)通過(guò)VPN或?qū)＞W(wǎng)無(wú)縫安全對(duì)接，并保證不同的用戶能安全訪問(wèn)數(shù)據(jù)中心的數(shù)據(jù)和應(yīng)用，在確保數(shù)據(jù)中心安全性的同時(shí)，各劃分區(qū)域之間相互獨(dú)立訪問(wèn)數(shù)據(jù)。在實(shí)際數(shù)據(jù)管理中，很多大數(shù)據(jù)中心內(nèi)部通信用不同的VLAN劃分不同的業(yè)務(wù)平面、存儲(chǔ)平面和管理平面等多個(gè)網(wǎng)絡(luò)平面，平面與平面之間的隔離主要采用的是防火墻模式。

（五）數(shù)據(jù)操作維護(hù)安全

大數(shù)據(jù)在帶來(lái)成本降低、效率提高等一系列好處的同時(shí)，由于計(jì)算、存儲(chǔ)的集中，對(duì)管理維護(hù)提出了更高的安全要求，以保障基礎(chǔ)設(shè)施的安全運(yùn)行。大數(shù)據(jù)承載平臺(tái)應(yīng)從管理流程的角度對(duì)數(shù)據(jù)安全進(jìn)行多重保護(hù)。

首先，大數(shù)據(jù)平臺(tái)系統(tǒng)管理員可以實(shí)行“分域分權(quán)”管理。分域指的是劃分?jǐn)?shù)據(jù)資源管理權(quán)，通過(guò)分域管理其下的賬戶可以把管理權(quán)下放，域內(nèi)的用戶可以看到對(duì)應(yīng)分域中的數(shù)據(jù)及資源，在平臺(tái)界面的體現(xiàn)就是看到域內(nèi)可管理的虛機(jī)。分權(quán)即在域中劃分不同級(jí)別管理員的操作權(quán)限，劃分不同的管理角色，不同角色間對(duì)分域間的管理權(quán)不同，可管理內(nèi)容也有所區(qū)別。通過(guò)設(shè)置分權(quán)分域，可以實(shí)現(xiàn)不同部門(mén)間資源不重合、不同部門(mén)之間管理權(quán)相互隔離，避免發(fā)生越權(quán)管理，有效防止單業(yè)務(wù)被非法入侵后利用高權(quán)限強(qiáng)行跨部門(mén)進(jìn)行數(shù)據(jù)操作，從而保證數(shù)據(jù)安全性。

其次，大數(shù)據(jù)承載平臺(tái)需要支持日志系統(tǒng)對(duì)自身平臺(tái)運(yùn)行做記錄，即支持集中的日志收集和存儲(chǔ)。日志系統(tǒng)是一個(gè)非常重要的功能組成部分，它可以記錄下系統(tǒng)所產(chǎn)生的所有行為，反映很多安全攻擊行為，比如登錄錯(cuò)誤、異常訪問(wèn)等。通過(guò)采集操作日志和運(yùn)行日志，可以實(shí)現(xiàn)平臺(tái)的安全運(yùn)營(yíng)要求。操作日志主要用于記錄平臺(tái)管理人員管理維護(hù)操作歷史，包括記錄登錄者執(zhí)行的操作、登錄的IP地址、輸入的關(guān)鍵參數(shù)、登錄操作的時(shí)間、執(zhí)行操作的結(jié)果等內(nèi)容，日志存放在管理節(jié)點(diǎn)的數(shù)據(jù)庫(kù)中。后期審計(jì)人員可以通過(guò)導(dǎo)出相應(yīng)的操作日志審計(jì)管理者的一些過(guò)往操作，同時(shí)在發(fā)生因誤操作導(dǎo)致的業(yè)務(wù)癱瘓及數(shù)據(jù)丟失等事件時(shí)，審計(jì)人員還可以通過(guò)操作日志來(lái)追溯操作者及惡意操作證據(jù)。操作日志僅有審計(jì)人員有管理權(quán)，管理員無(wú)法手動(dòng)刪除操作日志，因而操作日志可作為證據(jù)防止抵賴行為。運(yùn)行日志主要用于記錄系統(tǒng)各節(jié)點(diǎn)的運(yùn)行情況，通過(guò)控制日志讀取參數(shù)可以了解不同節(jié)點(diǎn)的運(yùn)行狀態(tài)，通過(guò)運(yùn)行不同線程可以獲取不同的運(yùn)行信息，還可以在這個(gè)過(guò)程中添加條目篩選快速地導(dǎo)出異常運(yùn)行信息。將運(yùn)行日志和操作日志結(jié)合起來(lái)可以反映很多安全攻擊行為，如異常登錄導(dǎo)致的網(wǎng)絡(luò)流量震蕩、異常訪問(wèn)導(dǎo)致的IO懸掛等。

目前大數(shù)據(jù)分析在各行各業(yè)體現(xiàn)出了非常大的經(jīng)濟(jì)價(jià)值，而大數(shù)據(jù)需要在互聯(lián)網(wǎng)中進(jìn)行傳輸，存在很大的安全隱患，給行業(yè)帶來(lái)了許多不安全因素。本文采用面向?qū)ο蟮姆椒?，按照?duì)象在大數(shù)據(jù)訪問(wèn)和使用過(guò)程中可能遇到的各種安全隱患設(shè)計(jì)了一套多層次的數(shù)據(jù)安全防護(hù)架構(gòu)，以期做到更全面的防護(hù)。

【參考文獻(xiàn)】

[1]王田，李洋，賈維嘉，等.傳感云安全研究進(jìn)展[J].通信學(xué)報(bào)，2018（3）.

[2]黃波，霍丹妮，諶雅詩(shī)，等.大數(shù)據(jù)技術(shù)在企業(yè)中應(yīng)用的約束機(jī)制研究[J].企業(yè)科技與發(fā)展，2020（7）.

[3]金玉凱，岳滕飛.大數(shù)據(jù)下計(jì)算機(jī)發(fā)展趨勢(shì)研究[J].數(shù)字化用戶，2019（48）.

[4]何瑋.一種基于大數(shù)據(jù)分析的政企OTN節(jié)點(diǎn)預(yù)測(cè)模型[J].數(shù)字化用戶，2019（45）.

[5]孫洪艷.大數(shù)據(jù)視角下的人工智能技術(shù)應(yīng)用[J].內(nèi)蒙古煤炭經(jīng)濟(jì)，2020（6）.

[6]張航，何建艷.區(qū)塊鏈技術(shù)驅(qū)動(dòng)下的物聯(lián)網(wǎng)安全研究[J].數(shù)字化用戶，2019（47）.

[7]李昊.關(guān)于稅收應(yīng)用中的數(shù)據(jù)庫(kù)安全機(jī)制淺析[J].數(shù)字化用戶，2019（48）.

[8]王鑫.安全生產(chǎn)中煤礦地質(zhì)勘測(cè)技術(shù)的應(yīng)用探討[J].內(nèi)蒙古煤炭經(jīng)濟(jì)，2020（5）.

[9]陳霖，梁坤.4G時(shí)代基于網(wǎng)絡(luò)流量大數(shù)據(jù)分析的安全預(yù)警研究[J].湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2016（4）.

[10]岑華升.淺談網(wǎng)絡(luò)流量大數(shù)據(jù)分析的探索和實(shí)踐[J].廣東公安科技，2016（2）.

[11]姜開(kāi)達(dá)，章思宇，孫強(qiáng).基于Hadoop的校園網(wǎng)站日志系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2015（z1）.

[12]李秀龍.基于網(wǎng)絡(luò)流量監(jiān)測(cè)與預(yù)測(cè)的用戶流量行為分析方法研究[D].北京：北京工業(yè)大學(xué)，2013.

注：2019年度廣西職業(yè)教育教學(xué)改革研究項(xiàng)目“以崗位能力為導(dǎo)向的大數(shù)據(jù)專業(yè)2+1模式課程體系的研究與實(shí)踐”（GXGZJG2019B038）

【作者簡(jiǎn)介】王文莉（1981— ），女，漢族，廣西南寧人，碩士研究生，廣西國(guó)際商務(wù)職業(yè)技術(shù)學(xué)院講師，研究方向?yàn)榇髷?shù)據(jù)和軟件技術(shù);鄭 蕾（1980— ），男，漢族，湖北荊州人，碩士研究生，廣西國(guó)際商務(wù)職業(yè)技術(shù)學(xué)院講師，研究方向?yàn)樵朴?jì)算與大數(shù)據(jù)。

（責(zé)編 蘇 洋）