技术领域
[0001] 本发明涉及大数据安全防护技术领域,具体而言,涉及一种堆栈式大数据安全防护架构。
相关背景技术
[0002] 随着各行各业大数据中心建设,在大数据中心聚集了各类海量数据,这些数据呈现出主体多样化、处理活动复杂化的特点,在大数据环境下,数据除了面临传统的安全威胁外,更要面临诸多新型安全威胁。数据在全生命周期过程中,面临着以下的安全风险和安全问题。
[0003] (1)海量数据流转复杂化使得数据泄露风险增大
[0004] 随着信息化建设持续推进和技术不断发展,使得数据呈现出爆发式增长,同时各类应用系统也呈现出多样化特点,使得数据的流转更加错综复杂,导致数据暴露出更大的受攻击面。同时,由于数据平台支撑的业务应用多种多样,对外提供的服务接口千差万别,这就为攻击者通过服务接口攻击大数据系统带来机会。因此,如何保证多种服务接口的安全也成为大数据平台面临的极大挑战。
[0005] (2)攻击手段多样化使得传统安全手段防护效果甚微
[0006] 大数据在全生命周期过程中呈现出数据动态化、密级多样化、权属复杂化、使用实时化、价值最大化的特点,这些特点导致了大数据环境下的攻击手段多样化,攻击程序不断更新迭代,使得大数据在全生命周期过程中被窃取、被滥用、被篡改的风险不断被增大。传统的安全手段及体系呈现出单点、静态防护的特点,在应对大数据环境下的安全威胁时会出现防护效果不佳,甚至失效的情况,也为数据安全威胁的追踪溯源带来了更大的挑战。
[0007] (3)大数据价值高导致数据更易遭受攻击窃取
[0008] 大数据经挖掘分析后产生极高价值数据产品,能够对经济、社会、国家等活动提供决策支撑,极易吸引内部非法人员的攻击窃取,针对这类攻击呈现出的长期潜伏、难以发现的特点,现有态势感知及应急处置等协同防御手段无法有效应对此类威胁,更无法有效发现未知威胁,使得高价值数据面临更大风险。
具体实施方式
[0051] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
[0052] 因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0053] 实施例
[0054] 如图1所示,本实施例提出一种堆栈式大数据安全防护架构,该堆栈式大数据安全防护架构可在各级大数据中心部署实现层级化动态数据安全防护能力,包括:
[0055] 数据安全堆栈前端;所述数据安全堆栈前端为数据安全堆栈安全防护能力具体执行点;
[0056] 数据安全堆栈后台;所述数据安全堆栈后台为数据安全堆栈的控制平台和管理平台,用于为数据安全堆栈前端进行安全赋能。
[0057] 具体如下:
[0058] 1、数据安全堆栈前端
[0059] 所述数据安全堆栈前端包括如下安全防护能力:身份认证;细粒度权限管控;数据内容检查;数据行为分析;数据脱敏;数据防泄漏;所述安全防护能力按照数据安全堆栈后台数据安全策略管理服务制定的策略进行动态加载,具体安全防护能力依据数据安全策略管理服务下发的策略执行。
[0060] 所述数据安全堆栈前端包括综合日志采集;所述综合日志采集用于对各安全防护能力执行过程的行为信息进行采集和记录,从而支撑数据安全堆栈后台的数据安全监管服务和数据安全治理服务。
[0061] 上述数据安全堆栈前端是一个标准框架,传统的安全防护能力,如防火墙、防病毒、入侵检测和加密等,在需要的情况下可以按照框架统一标准进行融合。因此,数据安全堆栈前端在安全防护能力上具备动态化加载、按需裁剪、可持续提升的特点。
[0062] 进一步地,所述所述数据安全堆栈前端采用硬件或软件实现。
[0063] 如图2所示,所述所述所述数据安全堆栈前端采用硬件实现时:
[0064] 硬件包括硬件基础平台、安全功能板卡管控和各类安全功能插卡;其中:
[0065] (1)硬件基础平台为整个设备的通用硬件基础平台,用于为各类硬件板卡提供通用服务;
[0066] (2)安全功能板卡管控用于为各类安全功能插卡提供硬件管理和功能调度管理;
[0067] (3)各类安全功能插卡用于以板卡的形式集成各类安全功能,通过安全策略实现动态安全防护。
[0068] 如图3所示,所述所述所述数据安全堆栈前端采用软件实现时:
[0069] 在通用的服务器和/或云平台的基础上,将各类安全防护能力容器化,通过安全功能管控模块对各类安全防护能力进行管控和调度,并依据安全策略实现动态安全防护。
[0070] 2、数据安全堆栈后台
[0071] 如图1所示,所述数据安全堆栈后台包括:数据安全监管服务和数据安全治理;
[0072] 数据安全监管服务用于提供包括数据安全服务管理、数据安全风险评估、数据安全态势分析、数据安全监测预警和数据威胁追踪溯源的监管服务,并从数据安全堆栈前端获取相关日志信息;
[0073] 数据安全治理服务用于提供包括数据安全策略管理、数据分类分级管理、异常资产发现、数据行为综合分析和数据安全综合审计的治理服务,并从数据安全堆栈前端获取相关日志信息。
[0074] 具体地:
[0075] 所述数据安全监管服务提供的监管服务具体如下:
[0076] (1)数据安全服务管理用于对数据安全堆栈前端的安全功能进行管理,包括服务注册、更新和注销;
[0077] (2)数据安全风险评估、数据安全态势分析、数据安全监测预警和数据威胁追踪溯源共同构成数据安全监管能力,该数据安全监管能力通过从数据安全堆栈前端获取相关日志信息后,通过大数据关联分析形成相应分析结果,指导数据安全治理进行数据安全策略调整和更新,与数据安全治理服务共同构建动态防御体系。
[0078] 其中,所述数据安全监管服务能够与现有网络安全监测预警系统集成,共同构成大数据中心综合监测预警系统并形成综合安全态势。
[0079] 所述数据安全治理服务提供的治理服务具体如下:
[0080] (1)数据分类分级管理用于根据业务系统需求,对数据分类分级的规则进行管理和维护;
[0081] (2)数据安全策略管理用于对数据安全堆栈前端安全防护能力的具体实施进行指导,各安全防护能力按照安全策略的要求实施动态防护;
[0082] (3)异常资产发现用于对大数据中心的数据资产进行核查和登记,通过数据行为综合分析对资产异常行为及时发现;
[0083] (4)数据行为综合分析用于从数据安全堆栈前端获取相关日志信息,从数据、人员、设备等多对象和时间、空间多维度进行综合关联分析;
[0084] (5)数据安全综合审计用于从数据安全堆栈前端获取相关日志信息,对部署在不同位置的多个数据安全堆栈前端的状态、安全防护功能进行审计分析,保障整个动态防御体系的正常运转。
[0085] 通过上述可以看出,本发明具有如下优势:
[0086] (1)本发明的堆栈式的大数据安全防护框架,以层次化的安全防护思想,通过安全策略配置,提供快速、高效、动态的通用数据安全能力。每个数据安全堆栈是一个安全服务点,多个安全点构成多条安全线,多条安全线构成一张数据安全网。数据安全堆栈部署在数据流动关键点位置,数据安全防护能力随数据流动而自然伸展,蔓延至数据全生命周期。
[0087] (2)本发明所采取的“点、线、网”的数据安全方法将有效提高大数据系统防御攻击的能力。此外,通过标准化和安全数据共享,数据安全堆栈可建立更广泛的数据安全可视化环境,更为快速地执行防御行动。通过分级部署,各层级数据安全人员可以及时掌握数据安全状态,增强对数据安全的态势感知能力,进一步提高数据安全应急的同步性,实现数据安全防护效率最大化,风险最小化。
[0088] (3)本发明通过集中式安全配置可快速形成数据安全防护网,减少访问接口、降低网络和数据安全漏洞、缩小暴漏给对手的受攻击面,同时,可利用可信技术增强自身安全性,可无缝融合拟态先进防御思想,增强动态防护能力。
[0089] 综上所述,本发明提供一种堆栈式大数据安全防护架构,能够为大数据全生命周期安全提供集约化、动态化、服务化、可持续提升的动态安全防护能力。
[0090] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
