大数据安全防护体系及访问控制技术研究

大数据安全服务系统中，提高了大数据时代数据资源的安全保护。关键词 大数据 数据安全 防护体系架构 访问控制Doi:10.3969/j.issn.1673-7571.2019.02.017［中图分类兮I R197.32;TP391

［文献标识码］AResearch on Big Data Security Protection Architecture and Access Control Technology / REN Hao//China Digital Medicine.—2019 14(2): 52 to 53Abstract With the rapid development of information technology, such as cloud computing, Internet of things, mobile Internet

and so on, big data application is an important driving force tor the existing industry. In order to find rhe balance between efficient application of big data and data secur让y protection, this paper studies the fiinctional architecture of big data security protection

system, from safety standards, safety management, safety protection and cloud based support four modules in detail, combined with

the data access control mechanism, realizing account management, certification management, authorization management and data identification etc., and then unifies them in the service system for big data security, enhance the security protection of data resources

in the era of big data.Keywords big data, data security, protection .irchitecture, access controlFund project Research and Development of Medical Big Data Sharing Service Platfonn(No. 2O17MBD—029) Corresponding author Computer Room of Chinese PLA General Hospital, Beijing 100853, P.R.C.大数据时代随着医疗服务、健康管理和卫生监管等领域数据爆炸性增长\"'，大量信息跨越组织边界传播，信息安全问

题相伴而生，、个人信息等都面临着前所未有的安全挑战Q4。根据我国\"十三五\"规划纲领强调的\"加强数据

资源安全保护\"规定，随着技术逐步完善，有效管理大数据，保障大数据安全等问题越来越得到重视。由于大数据通常采 用云端存储巴 数据管理比较分散，对用户进行数据处理的场所无法控制，容易导致非法用户入侵，窃取或篡改重要数据

信息回。而且大数据用户群复杂，场景分散，其访问控制需求十分突出。因此，如何保证大数据安全是信息安全领域需要 解决的新课题，研究大数据安全防护体系和访问控制技术刻不容缓。1大数据安全防护体系功能架构大数据平台的安全防护体系是一个系统化工程，包括安全标准、安全管理、防护平台等多项内容。体系架构的初步设 计主要包括：指标体系，管理中心，数据安全防护和管理系统，可以分为四大部分：大数据安全标准层；大数据安全管理 中心；大数据安全防护层；云环境基础支撑层，如图1所示。大数据安全标准层：包括大数据安全评估和指标体系、国家和标准体系，从法规、、标准等角度勾画出大数 据安全的整体轮廓，综合分析大数据标准化需求，为后续大数据安全标准化工作提供指导。乂基金项目：医疗大数据共享服务平台的研发(编号：2(I17MBP-I>29 )*①总氐院计算机室，1M853,北京市海淀区复兴路28号52如果每一个用户可以直接访问大数

大数据安全套理中心国家政第/标樓体蔡大数据安全评估/指标体S报分析据平台，而Hadoop集群为每一个服务开

审计彌管理大数据安全防护层风俭态势fit理放了一个端口，攻击者可以利用这些开放 的端□,或者Hadoop系统的漏洞，发起

各种攻击，通过大数据安全服务系统平

应用安全层清酒全层存侑安全團台，作为大数据平台安全的第一道保护屏

云环境噩支挥层存储资ifi池网络资源池 障，从应用层面，通过单点登录，实现对

大数据平台的统一认证与授权管理。大数据安全服务系统平台可以实

ffli大数据安全附护体索功能架构现如下功能。大数据安全管理中心包括数据资 产管理、威胁情报分析、数据服务管

据的密级、业务、备份等需求，采取加 密、细粒度访问控制、防泄漏或完整性 验证等安全保障手段，防止数据泄露，

账号管理：明确定义组织角色， 集中管理大数据的应用账号，不仅能 够实现被管理资源账号的创建、删除

理、安全策略管理、安全组件管理、

风险态势管理和审计监控管理。数据 资产管理是实现对数据资产的安全属

同时可以结合安全审计功能，对平台涉 密数据访问行为进行记录，并保证审计 数据的完整性。及同步等管理，还可以通过平台进行 账号密码策略、密码强度等设定。性评估，确定数据的安全属性，方便 认证管理：提供对大数据平台访 问的统一安全认证服务，为用户提供

数据实施分级别管理；威胁情报分析 云环境基础支撐层：云计算的核

是反映威胁情况并给出报警信息；数 据服务管理是严格控制数据的使用权

心目标是资源按需动态快速供给，若达 不同强度的认证方式，既可以保证原 有的静态□令方式，又可以提供多种 高强度的认证方式，而且还能够集成

到这一目标，除了上层的虚拟化等技术

限，最大限度地管控数据使用；安全 外，还需要有底层的资源池支撑。构建 资源池是通过虚拟化的方式将服务器、

策略管理是实现对数据安全要求的多 现有其他如生物特征等新型的认证方

种策略基线的维护和管理，生成动态 数据保护策略；安全组件管理是对安

存储、网络等资源聚集起来，形成一个 式，实现资源的认证集中控制，保障 大数据平台的访问安全性，以及实现

巨大的资源池。该资源池可以包括计算 资源池、存储资源池、网络资源池和安

全策略管理模块发出的安全策略包进 行解读，根据安全机制生成具体配置

对大数据平台访问的单点登录。全资源池等，它是云计算基础架构建设 的第一步，也是至关重要的一步。授权管理：对组织中的不同角色 进行授权，可以实现对应用系统资源

信息，并下发给相应的安全组件；风 险态势管理：通过分析敏感数据的

的访问授权，也可以实现对特定角色

位置、扩散范围、成本等因素确定 风险，并且标记出保护程度不够的数 据；审计监控管理：对敏感数据的数

2访问控制技术利用 4A ( A c c o unt、

基于时间、IP或者指令集进行授权。数据识别：对存储在大数据平台 的数据首先要进行分类分级，对特定

Authentication、Authorization、

据流图进行监控，如果发现数据在数 据流图之外，立即报警提示。大数据安全防护层包括接入安全

Audit )等技术，解决在大数据外围

环境实现帐号管理、认证管理、授权

角色所能访问的数据根据分类分级进

行，以及根据标签对特定级别的 数据访问进行特定的访问，以及

管理、数据识别、安全审计和代理引 擎，并将其整合成集中、统一的大数

层、清洗安全层、存储安全层、服务安 全层和应用安全层。接入安全层负责对

对特定输出的数据内容进行识别与控

据安全服务系统平台，对大数据平台 进行访问保护，具体实现如图2所示。制。数据在采集过程中，当数据经过 清洗后，对所采集的数据进行分类分恶意代码进行检测和验证，保证导入数 据的安全性；清洗安全层先对数据进行

清洗，保证数据的一致性，然后对数据 进行筛选，经过筛选的数据将会自动打

n

o 6

级，并嵌入安全标签，其元数据和标 签信息存入数据资产管理库，数据存 入数据库，当特定级别的数据被访问ffi2大敦据平合長全访问控制示意图上专项标签分类；存储安全层将根据数

(下转第87页)53中，服务器端主动推送消息给手机客 户端。在通知消息发送时，系统将消 息主体并附带心电图访问网址发送到 客户端手机，心脏科医生直接在手机

心电图访问请求。为便于浏览心电 心电图，加速了心脏科医生对心电图 片的访问流程。JPG格式图片可以直

图，服务器返回给手机客户端JPG格

式的图像。在云心电检查服务器数据 库中，存储了JPG格式的心电图像数 据。访问请求到达时，服务器端从数

接在智能手机端网页浏览，兼容性很 好。对于大型医院构建急救心电检查 系统，具有很好的参考意义。今上点击网页链接即可从云心电检查系 统下载心电图，对病人进行检查诊 断。系统也可以通过手机短信，将检

据库中读取JPG格式图片返回给手机

客户端，待心脏科医生完成病情诊断 后，数据库中JPG格式图像将被删除，

/上献[1|周乐焕，王磊•急性心肌梗死急诊介入治疗 心律失常的护理干预研究UI.世界最新医学 信息文摘,2018,18⑷:235,239.[2] Zhang XS,Leu FY.Yang CW,et

查通知消息附带网址链接发送到心脏

科医生手机。以节省存储空间。服务器中JPG格式图 像数据库，充当了图像缓存的作用，

3.4系统集成平台系统集成平台，以

消息响应的方式供各个子系统之间进

加速了客户端的心电图像访问过程。行通信。例如，当急诊病人需要心脏 科医生做进一步诊断时，心电检查系 统会经由集成平台接口，将消息发送 至消息通知服务器，消息通知服务器

al.Healthcare — based o n Cloud

Electrocardiogram System:A Medical Center

当前突发性心脏疾病的急救流 程中，由于网络信息传输延迟、医护

Experience in Middle Taiwan|J|.Journal of Medical Systems,201 &42⑶:39.收到消息后，立即发送通知到心脏科 医生手机端。集成平台的特殊效用，

人员工作地点不固定等原因，从病人 [3] 刘丽.申丽君，陆锐.云计算及其在医疗

入院到接受治疗之间，存在较长的诊 断时延，严重影响了急救治疗效果。

信息服务中的应用U1•中国数字医学,2011. 6(9):53-57.有效地将各个子系统连接成了一个有 机的整体。论文中提出了一个基于移动网络的云

|4|杨勇，苏韶生.大型医院无线网络设计难点 与对策[J|.中国数字医■学,2014,9(6):90-92.【收稿日期：2018-04-02 ]【修回日期：2018-07-18 ]3.5云心电检查系统心脏科医生收到

通知后，访问网页链接查看心电图，

心电检查系统，在该系统中通过借助 于移动网络，克服了医护人员工作地

对病人进行疾病诊断。云心电访问服 务器主要用来处理手机客户端发出的

点不固定的缺陷。同时通过构建私有

云系统，在云服务器中缓存JPG格式

(责任编辑：张倩)(上接第53页)时，可根据数据标识识别策略进行访

大数据平台的所有操作都通过代理

/参考文献|1]颜延，秦兴彬，樊建平，等•医疗健康大

引擎进行转发。问控制，实现大数据环境下基于安全 数据研究综述[J] •科研信息化技术与应

标签的数据资源的访问控制机制。3总结

大数据应用在为人们带来便利的 同时，也带来了信息安全的问题和挑 战。如何平衡大数据的高效应用和数

用,2014,5(6):3-16.安全审计：实现对大数据安全平 台运行与运维进行安全审计，以及从

[2] 江雪,韩伟力，朱磊•大数据安全对策:自适应 访问控制[J].微型电脑应用,2016,32(7):12-14.代理层实现对大数据平台的访问行为 进行行为审计，不仅可以对用户的行 为进行监控，还可以通过集中的审计 数据进行数据挖掘，以便于事后安全

[3] 邹阳•大数据时代下计算机网络信息安全问 题研究01.电脑知识与技术^016,18(12):19-21.据的安全保护显得尤为重要，本文给 出了大数据安全防护体系架构，指出

[4] 朱宏立•浅谈计算机网络安全及其应对措 施[J].电脑知识与技术,2016,12(27):51-53.⑸ 陈敏，刘宁，肖树发，等•医疗健康大数据

该体系是一项系统化工程，并采用大 数据安全服务系统平台实现对大数据 平台的访问控制。随着大数据应用场

责任的认定。代理引擎：大数据安全服务系 统平台作为大数据访问的统一入 □,对大数据平台所有资源的访问

应用关键问题及对策研究山.中国数字医 学,2016,11(8):1-5.景不断复杂，安全防护体系和访问控 制机制还需要进一步扩展、精细化和 标准化。乡【收稿日期：2018-06-29 ]

都通过代理引擎进行映射，用户对 (责任编辑：张倩)87