一站式数据安全解决方案

数据安全需求与日俱增

　　近年来，数据泄漏事故频发，且逐年大幅增长。全球数字安全领域领导者金雅拓（Gemalto N.V.）公布的数据泄露水平指数（BLI）显示，2017年上半年，全球公布了918件数据泄露事件，19亿条数据记录被泄露。相比2016年下半年，记录条数增加了164%。急剧增加的数据安全风险，引起了各国政府的高度重视。

　　2016年，欧盟出台 《通用数据保护条例（GDPR）》，条例将于2018年5月25日正式生效。该条例要求任何涉及欧洲公民个人数据的组织，有义务对个人隐私数据采取严格的保护措施，不合规的企业将面临最高达2000万欧元或4%年营业额的罚款。这一条例的实施将为企业在欧盟国家的业务开展设置一道较高的门槛。

　　在中国，2015年，《国务院促进大数据发展行动纲要》提出：“在依法加强安全保障和隐私保护的前提下，稳步推动公共数据资源开放”，将安全和隐私保护作为公共数据开放的基本前提； 与之配套的《国家网络空间安全战略》中也提出：“要实施国家大数据战略，建立大数据安全管理制度，支持大数据、云计算等新一代信息技术创新和应用，为保障国家网络安全夯实产业基础。” 

　　与传统数据库模式下的运营环境不同，大数据业务打破了相对封闭的边界，基于大数据的应用不断推出，导致大量的数据需要被共享，而无论从管理还是技术角度来看，对于大数据环境下数据安全的关注是严重落后于业务发展的。

　　随着分布式大数据系统的不断扩张和数据的急剧增长，安全滞后的问题正在导致数据泄露等安全问题逐年翻倍式的上升，出于政治考量以及自身业务安全的考虑，在运营商、金融、政府部门等掌握大量个人数据的企业、机构和组织中，数据安全已经成为迫在眉睫的需求。

大数据领域安全问题重重

　　目前，大数据系统的技术实现基本上是以Hadoop为基础提供存储和资源管理，其上根据业务需要部署HBase、Hive、Spark、Storm等各类数据处理软件，种类可达几十种，绝大多数都为开源软件。开源软件到商用应用还有很长的一段路要走，要经历技术的选择和融合、网络规划、软硬件配置、性能调优、部署等一系列过程，还要考虑后续的扩容和运维。对于非IT技术见长的公司，一般会选择和专业大数据厂商合作，如果从大数据安全的角度来考量，则更加需要进行谨慎的选择，一方面是因为安全的重要性，另一方面是因为相关技术还不成熟。

　　大数据安全主要存在以下几点问题：

　　●    访问安全（账号、认证、授权、审计）、数据加密等基础安全能力，在大数据领域虽有一定的积累，但是远没达到传统数据库的水平，而数据脱敏（隐私保护）技术在大数据领域则几乎为空白。

　　●    各开源社区对安全的重视程度不一，技术进展不同，存在短板。

　　●    Hadoop及衍生项目生态圈缺乏统一的安全体系和技术标准，技术路线分裂，难以进行统一部署和管理。

　　●    国内外各主流的大数据版本发行商，基本上都会采用开源的Kerberos和LDAP来提供访问安全能力，但是对于开源的整合度均不高，包括提供统一的账号管理、权限管理、策略管理等能力，在易用性及细粒度控制等方面都存在很大的不足，容易产生安全漏洞，在实际部署中往往耗费大量精力，且后期演进困难。

中兴通讯大数据安全解决方案

　　中兴通讯从2013年开始，在项目实践中敏锐地捕捉到客户对于大数据安全的担扰，并认识到行业在技术方面的滞后，经过几年的市场调研和技术追踪，于2016年构建了整体安全框架方案。该方案采用融合的架构，覆盖账号、认证、授权、审计、数据保护等基础安全及数据安全，提供统一的账号管理、脱敏算法和策略管理、加密算法和策略管理、权限管理、审计等功能（见图1）。

　　中兴通讯大数据安全架构依托于中兴大数据平台DAP（见图2）。DAP作为大数据存储和计算平台，主要在基础安全、数据安全层面上构建安全体系，形成自已的特色。

　　●    统一账号：支持LDAP，对整个大数据集群的访问账号进行统一管理，并可对接企业LDAP库，便于企业内部数据统一管理。

　　●    统一认证：所有服务组件的访问需要向统一认证中心进行认证。为了适应不同复杂度的场景，支持两种认证方案：重量级认证，采用kerberos认证，通过对用户账号的权限进行设置，赋予用户对不同服务的访问许可；轻量级认证，采用白名单认证，通过对访问者IP的权限进行设置，赋予不同主机对于不同服务的访问许可。

　　●    统一授权：通过对用户账号的细粒度权限设置，控制不同用户对于服务资源的访问权限，维度包括文件目录、数据库（表、列）、查询、运算作业等。

　　●    统一审计：对用户的访问行为进行记录，提供查询、回溯和统计等审计功能。

　　●    数据脱敏：对涉及隐私的信息，如姓名、生日、电话号码、身份证等，进行屏蔽或加密处理，以防止隐私泄漏。DAP采用动态脱敏技术实现隐私保护，不改变数据的实际存储，而是对数据查询过程进行变形处理，从而实现查询结果的脱敏。通过对用户账号的脱敏策略进行设置，对用户提供与自身身份相吻合的结果数据。

　　●    统一管理：中兴通讯大数据安全架构的“统一性”不仅表现在具体安全功能的实现，也表现在管理上的统一，用户账号管理、认证和授权权限管理、密钥管理、脱敏策略管理、审计管理等所有操作界面，都在DAP的管理系统中实现，相关的后台数据均采用统一的数据库。

　　中兴通讯在众多分裂的大数据开源技术中寻找到了正确的道路，将各路开源软件整合于一个统一的安全技术方案并付诸实践，解决了大数据投资者方对于安全问题的担扰。2017年12月8日，2017中国大数据技术大会（BDTC2017）上，中兴通讯大数据总工程师王德政在会上做了“大数据安全与隐私技术实践”的主题演讲，并在大会上发布了uDataSafe大数据安全技术方案。著名咨询公司IDC在《 IDC MarketScape：中国大数据管理平台厂商评估，2017 》中评价中兴通讯大数据平台：中兴通讯提供一站式数据安全技术方案。