分享

星环科技安全大数据平台解决方案

Jay 发表于 2023-7-18 11:04:40 [显示全部楼层] 回帖奖励 阅读模式 关闭右栏 0 722
数据要素的跨行业流通已成为当下政务建设乃至各行业数据建设的战略高地,让数据产生跨行业价值、数据为经济全面赋能已是共识。而对于承载数据要素流通的关键基础设施——大数据平台,如何保障内部数据访问和共享、外部数据要素流通过程中的安全与合规,则成为迫切问题。
数据流通应用对数据安全提出以下系统性需求:
(1)基础能力来看,需要对内整固数据安全生产,实现内部安全访问与共享。包括部门间/项目间的底层资源隔离;数据操作的角色和权限的集中管控与行为审计;敏感数据全生命周期的管控,包括发现、分级、跟踪、审计和脱敏等;数据市场中资产发布、申请审批授权等流通环节。
(2)当数据流通发生在对外创造价值时,除传统的将数据脱敏后再分享的手段外,则更需要重点打造可信计算的应用能力,以实现包括联邦查询、联邦学习下数据使用而数据不出,实现更高价值的数据应用。
基于星环数据组件间的安全协同,数据中台可提供端到端的数据安全防护、数据安全治理、隐私保护与隐私计算等产品能力,其中:
  • 对于数据应用层,数据商城Foresight,通过对发布和共享的授权管理、数据共享的过程管理等帮助数据安全流通。
  • 对于数据资源层,Defensor实现对进行敏感数据的安全治理和安全防护,包括对敏感数据的发现、分级分类、脱敏和溯源等。
  • 对于大数据平台层,Guardian、Inceptor、Audit、Midgard提供可信的软件环境,实现平台组件IAM管理、数据加密传输和存储、安全审计、安全API网关功能等。
  • 对于云基础设施层,TCOS提供各类安全计算环境,包括多租户、沙箱、可信计算等,可对资源进行安全监控、资源隔离、计算隔离、漏洞检测等。
  • 本方案基于/支持飞腾CPU、鲲鹏CPU和麒麟操作系统,针对大数据平台数据流通场景,提供安全防护和监控能力。
具体组件/模块见下表说明:
组件/模块
功能
Inceptor
作为关系型分析引擎,提供PB级海量数据的高性能分析服务,是全球首个通过分析决策系统国际基准测试TPC-DS及官方审计的产品。通过支持透明数据加密技术及其密钥管理,实现业务无感知的数据加密访问。
TCOS
基于容器隔离及Overlay网络隔离实现基础租户隔离和数据沙箱。
Defensor
数据安全防护工具,提供敏感数据的安全分类分级、安全策略配置与管理等能力,可以帮助企业完成数据的安全治理,同时提供数据脱敏功能和数据水印功能,分别从数据存储和数据溯源两方面打造有效的数据隐私保护手段。
Guardian
提供统一的平台级IAM中心,对用户与服务之间、服务与服务和租户与租户之间的接入与访问实施全面的认证与赋权管理,支持RBAC、ABAC模式及LDAP、Kerberos、HTTP SPNEGO、Access Token、CAS、Oauth2等认证技术。
Audit
通过各类操作和运行日志的采集,实时提取用户行为、数据操作指标;具备实时流计算能力的决策引擎,基于预置和用户业务自定义的审计规则,进行实时安全风险判定,从而发现用户任何异常访问、越权操作、敏感数据操作、过度授权等安全问题;支持即时告警,及后续审计事件处理。
Foresight
企业数据资产的展示和流通门户,实现数据授权、审批流通。为业务人员提供数据资产的检索、下载、共享的能力,结合数据血缘帮助数据使用者、开发者和管理者做整体协同,构建其数据运营能力。
Midgard
提供安全防护加固的API网关。可实现实现敏感数据泄露拦截、动态脱敏,支持HTTPS、HTTPS服务托管、用户身份验证及访问鉴权、全局/服务级别的IP黑白名单、传输数据的加密(AES、SM3、SM4),并可实现流量控制、服务灰度发布、蓝绿升级、缓存和服务分级等可用性保障。
Sophon P²C
通过可信租户利用隐私计算实现不同部门数据不出本地,进行联合分析、建模。支持横向联邦、纵向联邦、联邦迁移等多种场景,支持自研Sophon、Spark以及深度学习框架如Tensorflow、PyTorch等,适用于多种垂直应用场景。
方案技术特点
  • 敏感数据的全生命周期追踪及脱敏技术
数据业务会对数据进行流转、迁移和整合操作,敏感数据随着业务处理流程从上游散布至下游。通过数据的溯源技术实现对敏感数据的全生命周期跟踪,并结合审计技术实现全程审计。
通过数据表的血缘影响分析,整合分散在各个系统、应用、数据库等不同数据源中的元数据,将它们集中在一起,提供统一的元数据查询管理接口。通过元数据追踪,记录了每一次元数据转化的输入与输出,从表级和列级两个粒度上描述多表间的关系,为数据平台中的元数据勾勒出一幅完整的数据流动图谱。
基于对敏感数据的全生命跟踪,通过开发访问的统一扎口,实现覆盖完整的动态脱敏能力,同时支持多数据源的接入功能,包括 Inceptor、ArgoDB、HDFS、Hyperbase、Mysql、SQL Server、Oracle、DB2、Hive、Teradata、Pilot Enterprise 以及第三方报表工具。
  • 全流程数据访问的审计技术
针对用户在数据业务中的全流程访问行为、敏感数据全流程被访问事件,进行实时审计及告警,以保障数据访问安全。
通过预置丰富的审计规则,将日志中提取出的用户行为指标,利用决策引擎进行安全风险判定,发现用户异常访问、越权操作、敏感数据下载、过度授权等安全问题,支持以邮件等形式发出告警。同时用户可以在预置的规则外,设置各种自定义规则来实现个性化的审计需求。特别,针对敏感数据的访问保护,采用独立的敏感数据规则为用户精确定位敏感数据泄露问题。
实现全流程审计,需要打通数据全生命周期经过的各个组件的事件采集,需要实时流计算及策略引擎,并独立于业务平面之外实现安全审计管理。
  • 统一的平台级IAM
在组件众多的大数据平台里,如何控制哪些用户可以接入数据系统、每个用户可以访问哪些数据、以及如何给用户分配适当的资源成为了诸多企业的现实需求。为解决这些问题,一个统一的IAM是安全管理的基本必备能力。
一个完整的IAM安全解决方案,需要覆盖用户认证、服务资源授权以及配额管理。用户认证使用LDAP,KERBEROS等协议,保证只有经过身份甄别的用户才能访问系统,授权保证只有被赋予权限的用户才可以访问服务资源,配额管理控制用户使用的资源大小,三个部分一同保证了数据中台的访问安全。
同时,平台内的各个组件需要统一接入IAM,以实现统一身份识别与访问管理、进而与审计系统实现协同。
  • 零信任网络与可信计算技术
诸多数据开发场景均要求实施可信计算,包括:
数据探索:
在数据业务未完成梳理好,且数据不能流出时,需要通过数据探索、研究等方式完善业务流程制定。
数据敏感,但对内有输出价值需求:
有敏感数据,数据不能全部给出,又希望为内部其他部门提供数据价值,可通过数据脱敏等方式输出结果。
数据敏感,但对外有价值变现需求:
数据不能对外给出,又希望通过共享或交易方式将内部数据变现,可通过统计、挖掘等方式输出结果。
通过零信任网络技术,实现网络隔离、数据加密、权限管控、数据审计等软件定义的可信计算区。独立开发环境用户可在可信计算区内进行独立的数据探索、数据加工、数据分析和挖掘,并可通过数据脱敏实现数据结果集的共享、变现。
数据可用不可见是数据要素流通的一项基本要求,基于多方安全计算、同态加密、差分隐私等技术等的可信计算技术,可进一步实现合法合规数据流通,提供联邦学习、联合查询等数据变现手段。
标杆案例 - 恒丰银行大数据平台统一数据监控与审计
恒丰银行是典型的大数据安全用户,面对的痛点包括:
  • 等级保护制度、个人信息安全保护制度的严格要求下,平台亟需安全整固
  • 节点多,日访问大,安全防护能力需要全覆盖、高性能、可视化看板
  • 需要实时掌握内部用户的数据访问和授权情况
针对恒丰银行需求,星环科技基于行业最佳实践与合规性要求,结合多年信息安全领域的服务经验,为客户建立了全面覆盖大数据平台的审计中心,对各类事件实施快速、准确的定位和展现,解决客户所面临的信息化监管问题。通过一站式的系统化安全建设,包括鉴权访问、操作审计、敏感数据的生命周期管理等,帮助客户实现等级保护制度、个人信息安全保护制度要求下的安全管控。
项目范围
规模:
数仓(100+个节点)
流集群(10+个节点)
Argodb集群(20+个节点)
SQL类操作:单日70W+
授权类操作:单日500+
登录类操作:单日5W+
HDFS类操作:单日100W+
资金投入:2827.3万元
实施周期:105天
实施效果:实现了对恒丰银行大数据平台各节点的数据访问和操作的一站式集中监控、查看和管理、可视化审计;各节点信息源,进行标准化、归一化的处理,并进行过滤和归并;针对数据安全审计的非标准操作实现秒级预警和定位。
应用推广价值
除政务、银行领域,安全大数据平台是可服务于大数据安全合规场景的通用平台,任何涉及等保要求、个人信息安全保护等法规要求下的大数据应用均可使用此平台能力。
在更广泛的跨行业数据要素流通建设中,安全可信大数据平台更是通用且必须的数据安全基础保障实施。星环大数据平台产品已经在金融、交通、电力、能源、政府、物流、公共安全、电信运营商、零售、媒体、制造业、教育、医疗等细分领域落地。
经济效益方面:
十九届四中全会提出将数据作为全新生产要素,“十四五”期间数据将成为我国经济社会转型的核心引擎。而要构建数据要素大市场,必须以一个安全及可靠、充分流通的数据要素流通基础设施网络为基础。而传统大数据平台大多不具备数据安全的体系化要求,阻碍了数据要素流通战略实施。
星环安全可信大数据平台通过自有技术创新,帮助客户打造高性能的一站式数据安全流通平台,以达成各行业数据要素的有效利用、共享与变现,提升经济效力。同时,通过算力与数据的跨域分布,充分利用西部丰富的新能源电力,减少东部加剧的电力紧张,为东西部经济协同发展提供引擎。
社会效益方面:
在通信基础设施包括骨干网传输大规模建设的当下,全社会各行业每天大量产生的数据由于安全和流通平台的建设滞后,并没有发挥通信效能,使通信基础设施沉睡。
而一些企业拥有数据,但不需要计算,需要计算的企业没有数据;部分企业基于其数据垄断形成行业壁垒,阻碍社会公平竞争;西部丰富的新能源资源不能充分利用,而东部大量数据计算加剧东部电力紧张。
通过一站式的安全可信大数据平台建设,为各行业提供统一的数据流通接口和AI计算平台,打通数据领域各个孤岛,使基础设施发挥效能,使各行业、东西部地域实现和谐发展。
全栈国产化体系性
星环科技经过多年的自主研发打造了全栈的大数据基础软件,并打磨了一系列国产化平滑迁移方案,能够更好帮助企业用户更高效、更平滑、更安全的实现国外进口产品的国产化,实现大数据基础软件的全面自主研发,并在产品架构、功能、性能、安全、运维、易用性等方面得到大幅提升。
大数据基础平台TDH可以完美迁移CDH/HDP和CDP,提升功能、性能、稳定性、易用性、扩展性、可靠性、安全、国产生态支持等能力,提供多种模型支持能力,性能的提升可以达到5到100倍,原厂专业服务能力更强。
分布式交易型数据库KunDB可以在交易型OLTP的业务场景、高并发在线数据服务场景,替换Oracle/DB2,并且提升存储计算能力、高可用能力、跨分区事务能力。
分布式分析型数据库ArgoDB可以在批处理和OLAP、Ad hoc分析等场景,替换Oracle/DB2/TD/SAP HANA,提供海量数据分析能力,提升混合负载、实时数据分析等能力,软硬件综合性价比提升可高达100倍。
分布式图数据库StellarDB可以在图查询、图分析的场景替换Neo4j,提升图数据存储检索能力,支持万亿顶点以上的图存储与毫秒级检索性能,提供近30种分布式图算法和10层以上深度链路分析能力。
搜索引擎Scope可以在全文检索、日志分析等场景替换ElasticSearch,提升稳定性、性能、集群扩展性等能力。
智能分析工具Sophon可以在可视化建模分析场景替换SAS/SPSS,获得200+算子支撑,提升功能和性能。
星环科技的一体化替换方案拥有独一无二的优势:
在功能上,星环科技基础软件产品多模架构,支持关系表、文本、时空地理、图数据、文档、时序等在内的10种数据模型;离线数据批处理、高并发的在线数据服务、数据集市、数据仓库、数据湖、图存储分析、空间数据存储、实时数据处理、数据中台、数据治理等各类大数据业务场景一站解决。
在性能上,星环基础软件产品自研高性能分布式计算和存储引擎,整体性能是CDP 5~25倍。整体性价比是DB2的20倍,是TD的100倍。
在成本上,产品高度兼容CDH/HDP、TD、Oracle、DB2,兼容TD、Oracle、DB2的SQL和方言,提供成熟的迁移工具,有大量低成本成功迁移案例。
在安全上,星环基础软件产品提供容器隔离、灾备、访问控制、联邦学习、隐私保护、可信计算等技术保障网络层、加固层、治理层、流通层全方位数据安全。
在架构上,提供统一SQL引擎、统一计算引擎、统一分布式存储管理、统一资源调度,统一内联的架构高效搞定湖仓集一体、HTAP等复杂场景,而不是拼凑组件成散装架构。
在开发上,星环科技基础软件产品提供统一SQL引擎,无需每个场景一套接口;完整支持SQL2003标准,支持PLSQL存储过程,兼容Oracle、DB2、TD等方言。
在运维上,提供开箱即用的可视化运维监控、安全管控工具,容器技术带来极致的安装、升级、补丁体验。
在售后上,星环科技原厂有超过1100人的研发与支持团队,超过3万名星环科技认证的大数据工程师,专业性更强。
在国产化上,星环科技的软件产品自主研发,通过了代码自主研发率扫描测试,满足信创验收要求。
在国产生态上,星环基础软件产品已完成与主流信创生态厂商的适配互认工作,适配长城飞腾、华为泰山、浪潮等服务器,鲲鹏、飞腾CPU,麒麟、统信等操作系统,并有官方认证,支持基于ARM与X86服务器混合部署并有落地案例。
星环科技有在大数据平台、数据库产品、数据分析平台等领域有大量成功替换国外进口产品的案例。目前,星环科技的大数据基础软件系列产品已在十几个行业1400+用户应用落地。

版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系在线客服