大数据平台系统项目安全保障

大数据平台系统项目安全保障安全是系统正常运行的保证根据本项目的业务特点和需要，以及现有的网络安全状况，建立一个合理、实用、先进、可靠、综合、统一的安全保障体系，确保信息安全和业务系统的正常运行

一、规章制度建设机房管理制度

1.1为保证系统每天小时，全年天不间断运行，加强防火、防盗、防病毒等安全意识，应该制定严格的机房管理制度，以下列出常见的机房管理方面的十条规定路由器、交换机和服务器以及通信设备是网络的关键设备，须放置计算机机房内，不得自行配置或者更换，更不能挪作它用要求上机工作人员严格执行机房的有关规定，严格遵守操作规程，严禁违章作业要求上机工作人员，都必须严格遵守机房的安全、防火制度，严禁烟火不许在机房内吸烟严禁将照像机、摄像机和易燃、易爆物品带入机房机房工作人员要掌握防火技能，定期检查消防设施是否正常浮现异常情况应即将报警，切断电源，用灭火设备扑救要求外来人员必须经有关部门批准，才干进入放置服务器的机房，一般人员无故不得在机房长期逗遛要求机房值班人坚守工作岗位，不得擅离职守；下班时，值班人员要对所有计算机的电源进行细致的检查，该关的要切断电源，并检查门窗是否关好仅供个人用于学习、研究；不得用于商业用途or personaluse onlin studand research;not forcommercial use.Nur furden personlichenfur Studien,orschung,u ommerziellenecken erwendeterden.Pour Ietude etla rechercheuniquement ades finspersonnelles;pas ades finscommerciales.TO/ibKO/via KOTopbieMcno/ib3yK3TC5i A力只06yqeHH凡wcc-neflOBaHMM MHe AOTI/HHucno/ib3OBaTbc^B KOMMepqecKMX.^以下无正文双休日、节假日，要有专人检查网络运行情况，如发现问题及时解决，并做好记录处理，解决不了的及时报告机房内所有设备、仪器、仪表等物品和软件、资料要妥善保管，向外移带设备及物品，需有主管领导的批示或者经机房工作负责人批准制定数据管理制度对数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改网管人员应做好网络安全工作，服务器的各种帐号严格保密监控网络上的数据流，从中检测出攻击的行为并赋予响应和处理统一管理计算机及其相关设备，完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件，做好操作系统的补丁修正工作保持机房卫生，值班人员应及时组织清扫保护机房肃静，严禁在机房内游艺或者进行非业务活动计算机病毒防范制度

1.2网络管理人员应有较强的病毒防范意识，定期进行病毒检测特殊是邮件服务器，发现病毒即将处理并通知管理部门或者专职人员；采用国家许可的正版防病毒软件并及时更新软件版本；未经系统或者网络管理人员许可，普通操作人员不得在服务器上安装新软件，若确为需要安装，安装前应进行病毒例行检测；经远程通信传送的程序或者数据，必须经过检测确认无病毒后方可使用

二、系统安全保障机制系统安全保障机制涉及到计算机硬件的物理安全、网络安全和信息安全，信息的保密涉及到信息的访问控制、密级控制及加密处理等作为一个企业级计算环境，从技术上说，所有的安全性问题可以形象地归结为“四把锁”不得用于商业用途第一把锁是计算机硬件系统和环境的可靠性；◊令第二把锁是通信网络的安全屏障；＜第三把锁是数据库系统的保密性和安全性；第四把锁是软件的安全性，包括系统软件和应用软件的安全可靠性◊系统安全建设是信息系统建设的重要考虑因素，所以要遵照“预防为主，主动防范”的原则，从各个层面考虑，建立起完备可靠的安全防范与保密体系计算机硬件系统主要涉及到各类设备的稳定可靠性，网络级的安全主要是对各类用户访问的控制方法，不使非法用户入侵系统资源，信息安全包括存贮媒体的安全存放和应急恢复，以及信息的分级管理通过对信息内容进行分级管理，对不同级别的信息采取相应有效的加密措施,确保非法用户在截取了数据的情况下，也无法读取和识别出真正的信息通讯网络的安全屏障

2.1通讯网络的安全屏障普通指«用户鉴别收发双方均要确认已识别对方的真实身份；存取控制设置网络用户的存取权限；◊数据安全防止数据被非法签收、替换、删除；◊令信息保密防止数据被截取后造成信息泄漏；防否认收发双方都要承认收到或者发过的数据；◊审计采集登录用户的网上活动，以便事后追踪审计；◊令容错采用多路由选择、断点重发、节点双工等在计算机网络中，最主要的安全机制就是数据安全、信息保密和存取控制局域网的安全1作为内部网，其用户群是相对稳定和已知的，对每类用户根据其在系统中的操作级别，可以授予不同的访问权限网络用户的操作级别可以划分为系统管理员、数据库管理员、超级用户、普通用户等，普通用户中又根据其工作性质划分为不同的用户组对网络中的文件、设备等系统资源，可以按照不同的操作级别规定其相应的访问权限，例如规定某共享文件夹对系统管理员是彻底控制的，对超级用户具有只读权限，而对于普通用户没有任何权限，那末普通用户根本无法进入该共享文件夹对网络上的共享设备，例如打印机和绘图仪，也可作相似的规定，例如只有数据库管理员能够使用打印机或者绘图仪输出报表或者图纸，其他用户则没有此项权限考虑到以上的信息泄漏是由于内部因素引起的，在为用户提供的解决方案中集成为了网络数据传输加密措施，对所有经由网络传送的业务数据和空间数据，无论在局域网还是在广域网，都先进行三重加密后再发送（）防火墙技术2和的常用安全措施就是防火墙（）防火墙由滤波器和网关（）组成滤波器的作用是阻挠某些类型的通讯传输，而网关的作用是提供中继服务，以补偿滤波器的效应典型防火墙的配置是用两个网关，外部滤波器保护网关免受来自外部的攻击内部滤波器对一系列中间网关进行防卫，这些滤波器都是为了防止外界的攻击滤波可分为三类分组滤波、应用级滤波和路线滤波普通情况下，滤波器设置在本组织与外界之间，对于一些大的组织需要设置内部滤波器，将一些安全域和普通用户域隔离，也可对不同级别的安全域设置多个防火墙数据库系统的保密性和安全性

2.2在网络化的信息系统中，数据可以分布在不同机器上，也可以集中到文件服务器或者数据服务器中在本系统中，主要采用大型关系数据库管理系统（不得用于商业用途如）管理空间和属性数据关系数据库管理系统（）的特点是使得数据具有独立性，并且提供对完整性支持的并发控制、访问权限控制、数据的安全恢复等（）并发控制1数据的集中导致并行事务处理的浮现，相同的数据有可能被两个或者两个以上的事务同时存取为防止并发存取对数据完整性的危害，应采取措施保证无误无冲突地工作基于隔离控制原理，这些措施使得每一个用户在进行事务处理时，都觉得整个数据库为其独占具体地说当某个数据项被某项事务修改时，它只能被其他事务读取，而不能修改，以免发生冲突对于空间数据库，采用锁的机制可保护数据完整性锁的粒度取决于数据库的实现方法基于图幅的组织方式时，整个图幅可为一个锁单元，无缝组织时，单个要素作为锁单元采用文件系统组织数据时，整个文件只能有一项事务进行修改，其他事务可读取最理想的锁粒度应该是数据库中的单个要素，但这要求空间数据库有非常强的功能才行由于空间数据的修改需要较长的操作时间，因此提供基于版本的长事务处理机制当对同一个区域内的空间数据进行修改时，可产生不同的版本，在版本合并时，通过版本检测手段找出发生冲突的地方，由人工来进行仲裁，这就避免了空间数据不一致情况的产生当图形数据和属性数据分开存储时，并发存取还要保证两边的一致性，所以要同时锁住图形数据和属性数据（）数据存取控制和权限设置2存取控制存取控制实为授权机制，它规定某个范围内的数据，在何种条件下，准许何种操作数据库用户分为系统管理员、数据库管理员、数据图形维护人员、数据库属性维护人员、数据分发服务人员、系统开辟人员、特殊授权用户和普通用户等对每种数据都要定义用户权限表，惟独指定的用户才干进行相应的操作用户权限是由数据库管理员来设定的即每一个用户的职责与数据库管理制度相一致用户分级采用三级访问权限操作系统级、数据库级、数据级用户权限采用动态设置，经审批后由数据库管理员设定；由数据库管理员承担起用户权限设置的严格职责一个数据库用户可以拥有多于一个的访问权限使用数据库时按规定使用不同的账号对于数据库的操作可分为拥有、只读、只写、读写、删除等空间数据权限控制空间数据在存取控制上又有其专门特点数据控制可以是基于空间范围的，也可以是要素类的有些区域对某些用户是开放的，对其他用户关闭；而有些要素只对某些用户是开放的，因此其存取控制可用一个三元组的来表示，即（范围、要素、权限）空间要素（或者称地物类）是空间数据库管理的最小单位，系统对图形数据的安全可以通过权限的设置，对数据进行保护空间数据库的图形数据权限设置数据库中的图形权限设置按照数据库中的图层划分；◊数据库管理员和数据库维护员对所有的图层享有相应的控制权；◊＜数据库的使用人员普通对图形数据惟独简单操作，如显示、查询空间数据库的属性数据权限设置数据库中的属性权限设置按照数据库中的属性表进行划分；◊数据库管理员和数据库维护员对所有的属性表享有相应的控制权；◊数据库的使用人员普通对属性表惟独简单操作，如显示、查询◊由于范围表现出地理空间特性，可表达为权限控制图层地理信息应用平台可通过增加权限控制图层，实现对其他空间图层要素的权限控制的信息保密3对需要保护的数据首先进行加密，这个工作可以在数据管理软件的内部完成,即对客户端需要读取的数据在服务端先加密再发往客户端，也可在数据管理软件和通信软件之间加入一个加密软件来完成，即对数据管理软件与通信信道之间流通的信息进行加密客户端则对授权用户采用相应的解密措施，在客户端软件中实施解密或者在通信软件和客户端软件之间加入解密软件对网上传送的所有数据都提供三重加密再传送的机制，以保证数据传输的安全性口令保护4对授权用户分配各自的口令，在系统登录模块中加入了一个用户口令识别模块，该模块通过对用户口令的识别来确定用户对数据的访问权限，用户一旦进入系统，系统先进行口令识别，对不同权限的用户，确定对数据存取的权限口令法的优点在于软件比较简单，缺点是口令本身保密性不强为了克服口令本身的保密性问题，对口令本身经过加密后再传送数据库安全策略5在数据库管理方面，应制定完整的安全策略例如在操作系统级，要规定详细的文件访问权限，并要求管理人员对其一一检查，以确保正确的数据文件访问限制在数据库，对每一个表空间、用户角色等，都要规定适当的访问权限对数据库系统的主要安全隐患及其对策如下表所示系统层次安全风险安全对策建立完善的数据库管理规则和监测、审计机制后台数据库信息泄露采用加密算法把数据加密后存储计算机病毒建立计算机病毒监测、预防机制通过元数据确定数据库模式数据篡改、删除和替换对敏感数据采用三重加密后的二进制格式存储软件安全

2.3无论是系统软件还是应用软件，都要求可靠和强壮，从信息安全和保密角度考虑，软件安全主要有存取控制、信息流向控制、用户隔离及病毒预防等计算机系统最根本的安全措施为存取控制，即对程序执行期间使用资源合法性的检查存取控制能制止因技术事故和蓄谋作案构成对信息的威胁，以保护信息机密性、完整性和可用性在操作系统控制下的存取控制机构，可以授予和撤消用户对各种系统资源的占有权软件安全体系是对系统各层次的安全风险充分分析的基础上，结合成熟、先进的安全技术所构建的由于客户端应用软件、中间件存在信息资源、服务对象、数据操作方式等方面的差异，其面临的安全性问题也有所不同，于是采用不同的安全对策系统层次安全风险安全对策建立统一的用户授权机制，不同用户拥有不同的访问权限数据篡改、删除和替换对数据访问提供日志跟踪审计手段计算机病毒检测客户端响应缓慢或者拒绝服数据传输前，先进行压缩应用软件务在模式下采用防火墙技术阻断攻击通道权限控制•.....采用三重加密算法，对信息加密后传输对内部信息资源进行严格的密级划分建立统一的用户授权机制中间件信息泄露采用三重加密算法，对信息加密后传输建立计算机病毒监测、预防机制计算机病毒。