摘  要: 近年来，国内政务云平台和大数据中心建设取得较大进展。随着政务资源开发共享的大力推进，基于云平台和大数据平台的政府数据汇聚、共享、开放逐步展开。政务大数据的汇聚及开放共享的强劲需求，也带来大量的安全问题，政务大数据安全标准规范缺失、法律法规支持不够、安全技术手段和措施薄弱，使政府大数据安全如履薄冰，很大程度上阻碍了政务大数据的应用。本文遵循从政务大数据基本架构，对政务大数据平台的安全防护进行了研究。
      关键词 政务大数据；安全分析；Hadoop；总体框架
      引言
      随着大数据上升到国家战略，预示着数据驱动的时代已经来临。但是，数据高度汇聚及大数据分析、应用的不可控性等安全隐患的增加带来了前所未有的挑战。从各级政府领导来看，大数据安全已经影响到经济社会发展的方方面面，由于安全问题的一票否决制，加之专家提出的大数据安全问题的狂轰滥炸，不少领导谈安全即色变，宁紧勿松、宁关不用，存在过度关注、不辩证看问题等现象，很大程度影响了大数据的应用。政务大数据的安全度怎么把握，能否沿用涉密系统的等级保护体系、非涉密系统的安全等级保护体系，形成大数据平台的安全体系，还在研究探索。现有安全公司所提的安全保障方案和技术路线还没有得到权威的认证、评估和认可，政务大数据平台安全防护措施薄弱已是既成事实。由于政务大数据相对处在封闭的环境中运行，对外开放和共享不够，又不存在类似电信运营商大数据的变现要求，安全需求不迫切。除了传统的安全防护手段外，政务大数据平台大都缺乏安全防护配置或仍处在论证和技术选型阶段。随着政务资源的汇聚和共享，政务大数据的应用将呈现快速发展，构筑一个可测、可评、可控、安全、可靠的政务大数据平台需求迫切。
       一、现状与需求分析
       1.1.政务大数据中心的安全现状
       一是安全形势依然严重。随着政务云建设的脚步加快，政务大数据中心已成为政务数据的汇聚中心。由于拥有大量政务数据的机构其管理和技术水平的不足，安全技术手段、安全运维专业人员的不足，云平台、大数据平台漏洞的客观存在，安全态势十分严重。外部攻击者利用平台的漏洞入侵获取数据；掌握数据的机构或平台使用内部人员无意泄露数据；掌握数据的有关人员与外部攻击者勾结盗取数据，此类现象多次发生。
       二是政务大数据平台安全措施薄弱。目前政务大数据中心主要建立在Hadoop生态环境上，Hadoop最初的设计是假定集群处于可信的环境中，由可信用户使用的相互协作的可信计算机组成。早期的Hadoop中并没有安全模型，它不对用户或服务进行验证，也没有数据隐私，任何人都能提交代码并得到执行，对于网络攻击、信息破坏、内容泄密基本没有防护能力。大数据中心暴露在较为开放的网络中，没有明显的安全边界，没有严格的用户访问控制，存在数据被篡改和泄漏的风险；大数据在应用中，由于管理者不能及时洞察用户的操作行为，缺乏安全感知和安全防御能力；缺乏安全审计能力，对大数据中心对外提供的服务和数据的使用情况，对敏感数据外泄情况，缺乏数据监管，导致大数据中心运行过程的不可信、不可管和不可控。
       三是数据挖掘带来的信息泄漏风险加剧。由于政务大数据系统中存有大量的企业和个人信息，随着数据资源的高度汇聚和平台开放，企业和个人信息泄漏产生的后果将比原有政务信息系统严重得多，大数据场景应用和多源数据分析，数据挖掘的关联分析等将挖掘出更多的敏感信息，加剧了企业和个人信息泄漏的风险。
       四是政务大数据缺乏安全标准规范。尽管安全厂商提出了总体解决方案和安全标准规范建议，全国信息安全标准化技术委员会大数据安全标准特别工作组也提出《大数据安全标准化白皮书》，阿里等厂商提出大数据安全能力成熟度模型DSMM，旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力，发现数据安全能力短板，查漏补缺，最终提升大数据产业整体安全管理水平。但是总的看来，权威性和可操作性不够，用户最需要的是类似等保三级的可操作、具有权威性的规范要求，作到可测、可评、可控，指导政务大数据平台的安全建设。
      1.2.安全需求分析
       大数据安全涉及内容广泛，安全需求覆盖数据采集、数据传输、数据整合、数据提炼、数据挖掘、数据输出等各个环节。大数据的安全需求从应用的角度分析，主要包括三个方面：
      一是大数据平台的安全需求。传统数据平台安全着重于保护单节点实例的安全，如一台数据库或服务器。大数据平台是面向海量数据，集数据接入、数据处理、数据存储、查询检索、分析挖掘、应用接口等为一体的大数据基础支撑工具软件，传统安全技术在这种大型的分布式环境中不再有效。
       二是数据资产的安全需求。按照生命周期分析数据资产，数据信息在生产、存储、使用、传输、共享、销毁等环节都有安全问题。大数据的应用环境使得数据生命周期由单链条向多链条演变，由简单环境向复杂环境演变，大数据的共享、交易、数据变现和各种复杂的应用场景，数据安全问题更加突出，基于复杂环境，建立全方位边界安全、访问控制授权、数据保护、审计和监控的安全体系需求迫切。
       三是数据隐私保护的需求。政务管理系统、政府业务系统的发展，需要对企业、个人信息进行收集利用和分析。随着政务云平台、大数据中心的建设，这些带有企业、个人隐蔽信息的数据会集中存储和应用，同时，个人信息的收集、存储、利用等环节中的不当操作和网络攻击，极易引发数据窃取、隐私泄露等网络信息安全问题，不仅侵害个人隐私，也可能威胁个人人身和财产安全、社会稳定甚至国家安全，必须有完善的脱敏手段进行去标签化、匿名化和敏感数据的加密存储、处理。
       二、政务大数据平台总体安全架构
       政务大数据平台的总体安全架构，与传统信息系统安全设计相似，要从管理和技术两个维度来考虑，在技术层面，也要从传统的技术防护手段和大数据安全的特定需求两个维度考虑。
       2.1.总体安全框架
      下图为政务大数据平台的总体安全架构。

      总体框架分为5个层次。传统信息安全防护借助政务云平台和政务外网的安全防护体系，从机房物理环境、网络层防护、存储安全、云安全、虚拟化安全等各个方面予以保障；大数据平台的安全防护主要针对Hadoop生态环境进行加固处理；数据安全根据数据的生命周期进行数据安全保障，数据分级、分类、数据风险评估、数据脱敏处理是大数据应用数据安全处理的主要措施；大数据平台安全审计根据大数据应用的事前、事中、事后的安全需求进行安全监控预警和事后的安全评估；大数据平台安全接入网关Gateway是大数据平台与数据服务需求者之间的数据服务中介和安全管控模块，数据服务需求者通过Gateway，提交服务申请，连接大数据平台，获取数据服务。
       2.2数据脱敏与数据处理
       2.2.1数据分级分类处理
       根据政府数据分级分类的有关要求，通过智能分类技术，使用先进分类分级引擎工具，准确了解敏感数据在政务大数据中心的分布，对数据进行分级分类，掌控敏感数据的位置，知晓数据分布和风险，进而保护数据资产。分类主要是根据大数据中心现有资源情况，进行分类，如基础类、业务类、主题类等等；分级主要对数据敏感程度进行分级，如极敏感级、敏感级、较敏感级、低敏感级等。
       2.2.2数据风险评估
       对政务大数据平台的数据，根据分级情况进行风险评估，确保只有残留风险在可接受的范围内，数据方可上线大数据平台和系统，以及收集、存储、使用和分发。由于大数据风险评估的参考依据和评估方法存在不足，一般从大数据恶意使用给国家安全、社会公益和个人信息保护带来的损害程度，数据不准确给使用部门和机构带来的利益损失程度，以及数据汇聚带来遭受外来攻击的风险，数据共享带来的安全风险等等进行综合评估。
      2.2.3数据动态脱敏
      通过数据分级分类，建立敏感数据词典，建立敏感数据字段、敏感标签和数据脱敏判定规则，通过内置规则引擎识别敏感数据，解析Hive、Hbase sql语句，对敏感字段数据进行区域划分，基于规则建立脱敏策略，对指定字段的敏感区域进行脱敏，防止敏感数据外流。一般内置识别引擎提供的脱敏算法主要包括替换、随机、模糊、隐匿、泛化、数据格式化、用户自定义算法等。
       2.2.4数据加密存储
       建立敏感数据的加密存储机制。大数据应用时只需对指定的敏感数据进行加密，加解密过程自动完成，业务完全不必感知。加密方式包括基于HDFS对文件敏感内容的加密存储，基于Hive实现列级加密，基于HBase实现列族级加密。由于Hadoop开源生态的加密功能比较薄弱，需要借助商业化的密钥管理产品。一般采用以国产密码算法为主的敏感数据加密服务，密钥与数据分离，实现对敏感数据的加密存储。
      三、大数据平台的安全加固与安全管理
       3.1 大数据平台加固
       3.1.1 Hadoop生态的安全问题
       Hadoop作为开源项目首先并没有考虑安全问题，最初的Hadoop中并没有安全模型，没有安全管控方案, 没有用户/服务的身份认证机制, 也没有考虑数据隐私。Hadoop考虑的是功能优先,其运行环境假定处于可信的环境中，使用数据为公共Web数据，集群由可信计算机组成，用户由可信用户使用，在分布式的设备集群上执行代码，任何人都能提交代码并得到执行。随着业务的发展, Hadoop增加了基于HDFS的文件访问权限管理和ACL审计、授权机制, 如Kerberos身份鉴别机制，但身份验证机制较弱,很容易被身份伪装的方式绕过, 甚至只需要简单编程就可以模拟成其他任何用户。Hadoop生态的安全缺陷，为恶意攻击者留下了利用安全漏洞窃取他人数据的隐患,也为正常使用的善意用户带来了错误使用或不当操作对他人数据的侵害。
       3.1.2 Hadoop的安全加固
       Hadoop大数据平台安全主要从身份验证、访问授权、数据加密和操作审计四个方面加强，平台本身加固主要解决用户身份可信且具备细颗粒度访问权限控制、操作相互独立和数据安全隔离;解决针对开源平台的安全漏洞的修补。下图为Hadoop平台加固示意图。

      通过Plugin方式在Hadoop组件和HDFS中加入代理（Agent），在外部建立统一网关系统作为大数据平台代理和外部访问大数据Hadoop集群的唯一入口。代理并管理所有组件的API、UI接口，所有业务人员对Hadoop的调用只允许通过网关系统，并提供用户名和密码的身份校验，做到业务应用与数据的安全隔离，根据不同访问权限使不同用户安全使用大数据资源。
       对大数据平台进行基线检测，根据业务需求和安全性、合规性检查为基准，进行大数据基础组件的配置信息、进程信息等探测，进而发现不合理的配置，及存在安全隐患的组件和进程，进行Hadoop生态环境的优化。
建立大数据平台脆弱性检测系统，提取漏洞特征形成有针对性的漏洞检测工具，对大数据基础组件开源代码进行漏洞扫描，对整体大集群环境漏洞扫描、告警，并根据漏洞修补程序的更新，进行及时修补。
       3.2 安全管理
       政务大数据安全管理平台主要包括用户管理、权限管理和接入网关。
       3.2.1 统一用户及认证管理
       用户管理：在Hadoop之外，建立独立的ACL控制机制，单独管理用户，并接管Hadoop原有账户，形成独立的用户管理体系，重构访问权限控制机制。
       身份认证：为Hadoop中所有组件，提供SSO，采用国产密码算法、兼容Kerberos，进行身份认证。
       网络控制：支持基于IP、端口的白名单控制。
       登录控制：支持用户+时间+IP 的登录控制，支持登录验证逻辑、登录后页面转向控制，支持登录账号密码复杂度控制和登录失败处理策略。
       3.2.2 统一授权和访问控制
       分权管理：建立用户等级、安全管理、安全审计的分权机制，建立不同的访问控制策略，拥有操作权限的用户只能依据安全控制策略访问数据。几种身份相互制约，避免权限集中带来的安全风险。
       授权管理：建立独立的访问控制列表（ACL），对HDFS、HBase、MPP、Hive、YARN、Knox、Storm、Solr、Kafka等组件进行细粒度权限控制，如：
       HDFS：支持对HDFS上的文件或文件夹进行读写权限的控制，只有授权用户才能访问；
       Hive：支持对Hive的数据库、表、列及具体的SQL语句进行权限控制；
       HBase：支持对HBase的表、列族、列进行权限控制；
       YARN：支持作业提交、队列管理等功能的权限控制；
       Storm：支持激活Topology、去激活Topology、Kill Topology等功能的权限控制；
       访问控制：实现基于角色访问控制模型（RBAC）控制策略，包括事前访问控制和事中访问控制，事前对访问区域和访问时间进行控制，事中对数据的操作权限进行控制。
       3.2.3 统一网关系统
       建立统一接入网关代理，作为外部访问大数据Hadoop集群的唯一入口。网关代理并管理所有组件的API、UI接口，所有对Hadoop的调用通过网关系统，进行用户名和密码的身份校验。统一网关与Hadoop组件通过Plugin插件，进行细粒度的访问控制，如根据权限进行相应的指令拦截，根据安全策略，实现RBAC（基于角色的访问控制）。
      3.3 安全审计
       坚持安全审计、安全管理和平台操作三权独立。安全审计平台主要关注哪些用户、哪些应用访问了大数据平台；采用什么方式访问大数据平台；访问方式是否合规。统一安全审计平台应当记录所有接入的第三方系统以及Hadoop集群的操作日志。大数据安全审计系统，至少应该包括信息采集、信息分析、信息存储、信息展示四个基本功能。下图为安全审计平台的框架示意图。

日志数据采集：系统通过代理方式、推送方式、监听方式采集被审计对象的日志信息，如用户名、IP、操作、资源、访问类型、时间、授权结果等，并进行数据标准化和规范化处理，并统一存储。
       日志分析功能：是指对于采集上来的日志信息进行分析和审计，这是安全审计平台的核心。行为轨迹分析，详细展示用户操作和应用接口对大数据平台操作的行为轨迹，如创建文件、文件描述、重命名、下载、授权、移至、删除、上传、分析、建模、标签管理等。安全追溯分析，主要对安全事件或某类数据及应用进行追朔分析，如以安全事件中某个出现问题的敏感数据为出发点作为时间维度，回溯数据访问、下载、移动、应用、删除的过程和行为，进行追朔分析。分析技术可以基于数据库的信息查询比较、实时关联分析引擎技术、基于规则的审计、基于统计的审计、基于时序的审计、基于大数据技术和人工智能的审计算法等等。
       信息展示和通告功能：包括安全审计的告警、审计结果的展示、安全审计统计分析报告、安全联动相应等。
      3.4 资源监控
       配合大数据平台安全管理和安全审计，对大数据集群环境中各组件节点状态，以及资源的使用情况进行集中监控展示。如节点IP连通性、CPU使用率、正常运行时间、节点存活状态，节点性能、流量、任务等，对用户和应用访问数据资源的情况进行排序、查询、分析；如对流出流量的监控，实时检测数据包的源MAC、组包特征、推送URL是否与安全策略规则是否相符，大量数据下载IP的合法性、合规性进行监控。当监测上述信息存在不合规时，应与安全管理平台联动进行实时阻断和告警。
       四、结语
      本文对政务大数据平台安全防护基本框架进行粗浅的研究。大数据平台安全是一个系统工程，技术方案不十分成熟，实施经验仍有待积累，但大数据的安全防护机制的建立已是十分迫切。

参考文献
[1] 曹珍富.董晓蕾.周俊.沈佳辰.宁建廷.巩俊卿. 大数据安全与隐私保护研究进展，《计算机研究与发展》 2016年10期
[2] 陈兴蜀.杨露.罗永刚. 大数据安全保护技术，《工程科学与技术》 2017年5期
[3] 中国信息通信研究院,《大数据安全白皮书（2018年）》

      （本文发布已得到作者同意，如需转载请联系本站，谢谢！）