当前位置:文档之家 › 大数据中的访问控制技术..

大数据中的访问控制技术..

  • 格式:ppt
  • 大小:2.43 MB
  • 文档页数:36

下载文档原格式

  / 36

合集下载

数据安全管理技术手段

数据安全管理技术手段

数据安全管理技术手段在当今数字化时代,数据安全管理技术手段已经成为企业和个人必须重视的重要议题。

随着信息技术的快速发展,大数据、云计算、物联网等新兴技术的广泛应用,数据安全面临着越来越多的挑战和威胁。

因此,采用有效的数据安全管理技术手段,保护数据的机密性、完整性和可用性,已成为当务之急。

一、加密技术加密技术是保护数据安全的重要手段之一。

通过对数据进行加密,可以将其转化为一种难以被未经授权的用户理解的形式,从而有效防止数据被窃取或篡改。

现代加密技术包括对称加密和非对称加密两种主要类型。

对称加密使用相同的密钥进行加密和解密,而非对称加密则使用公钥和私钥进行加密和解密,提高了数据传输的安全性。

二、访问控制技术访问控制技术是管理和控制用户对数据访问权限的一种手段。

通过访问控制技术,可以根据用户的身份、角色和权限设置,对数据进行细粒度的访问控制,从而确保只有经过授权的用户才能够访问和操作数据。

常见的访问控制技术包括基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)等。

三、身份认证技术身份认证技术是验证用户身份真实性的一种手段。

通过身份认证技术,可以确保只有合法的用户才能够访问系统和数据资源。

常见的身份认证技术包括密码认证、生物特征认证、多因素认证等。

其中,多因素认证结合了多种不同的认证方式,提高了身份认证的安全性和可靠性。

四、数据备份与恢复技术数据备份与恢复技术是保障数据可用性和完整性的关键手段之一。

通过定期对数据进行备份,并将备份数据存储在安全可靠的地方,可以在数据丢失或损坏时快速恢复数据。

同时,数据备份与恢复技术还可以防止数据被勒索软件等恶意软件攻击所破坏。

五、网络安全技术网络安全技术是保护数据传输过程中的安全的重要手段之一。

通过网络安全技术,可以检测和阻止网络中的恶意攻击和非法访问行为,保护数据在网络中的传输安全。

常见的网络安全技术包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等。

大数据平台数据安全防护技术

大数据平台数据安全防护技术

大数据平台数据安全防护技术一、引言随着大数据时代的到来,大数据平台的应用越来越广泛。

然而,大数据平台的数据安全问题也日益凸显。

为了保护大数据平台中的数据免受恶意攻击和非法访问,需要采取一系列数据安全防护技术。

本文将详细介绍大数据平台数据安全防护技术的相关内容。

二、数据加密技术数据加密是保护数据安全的重要手段之一。

在大数据平台中,数据加密技术可以分为两个层次:数据传输加密和数据存储加密。

1. 数据传输加密数据在传输过程中容易受到窃听和篡改的威胁。

为了防止数据在传输过程中被窃取或者篡改,可以采用传输层安全协议(TLS/SSL)对数据进行加密。

TLS/SSL协议通过使用公钥加密和私钥解密的方式,确保数据在传输过程中的机密性和完整性。

2. 数据存储加密数据在存储过程中也容易受到非法访问的威胁。

为了保护数据的机密性,可以采用数据存储加密技术。

数据存储加密技术通过对数据进行加密,使得未经授权的人无法读取和理解数据内容。

常见的数据存储加密技术包括对称加密和非对称加密。

三、访问控制技术访问控制是指对用户或者系统对数据的访问进行控制和管理。

在大数据平台中,访问控制技术可以分为身份认证和授权两个方面。

1. 身份认证身份认证是指验证用户身份的过程。

在大数据平台中,常见的身份认证方式包括用户名密码认证、双因素认证、指纹识别等。

通过身份认证,可以确保惟独合法用户才干访问数据。

2. 授权授权是指根据用户身份和权限,对其进行数据访问的控制。

在大数据平台中,可以采用基于角色的访问控制(RBAC)模型来实现授权。

RBAC模型通过将用户分配到不同的角色,并赋予角色相应的权限,来控制用户对数据的访问权限。

四、数据备份与恢复技术数据备份与恢复是保护数据安全的重要手段之一。

在大数据平台中,数据备份与恢复技术可以分为两个层次:系统级备份与恢复和数据级备份与恢复。

1. 系统级备份与恢复系统级备份与恢复是指对整个大数据平台系统进行备份和恢复。

大数据时代下的数据安全与隐私保护加密技术与访问控制

大数据时代下的数据安全与隐私保护加密技术与访问控制

大数据时代下的数据安全与隐私保护加密技术与访问控制在大数据时代,数据安全和隐私保护成为了一个重要的问题。

由于大数据的快速发展,大量的个人和敏感数据被收集和使用,因此,加密技术和访问控制在数据安全和隐私保护中起着关键的作用。

一、数据加密技术在大数据时代,数据加密技术是保护数据安全和隐私的重要手段之一。

数据加密是通过对数据进行转换,使其无法被未经授权的用户读取或识别。

加密技术主要分为对称加密和非对称加密两种方式。

1. 对称加密对称加密是指使用同一密钥进行加密和解密的过程。

在对称加密算法中,发送方和接收方共享同一密钥,并且使用该密钥对数据进行加密和解密。

常见的对称加密算法有DES、AES等。

对称加密算法具有加密速度快的优势,但密钥管理是一个重要的问题。

2. 非对称加密非对称加密是指使用不同的密钥进行加密和解密的过程。

在非对称加密算法中,发送方和接收方分别拥有一对密钥,即公钥和私钥。

发送方使用接收方的公钥对数据进行加密,而接收方使用自己的私钥进行解密。

非对称加密算法通常用于数据的安全传输和数字签名等场景。

二、访问控制技术除了加密技术外,访问控制技术也是保护数据安全和隐私的重要手段。

访问控制是指通过授权机制来控制用户对数据的访问权限。

主要的访问控制模型包括自主访问控制、强制访问控制和基于角色的访问控制等。

1. 自主访问控制自主访问控制是指由数据所有者自主决定对数据的访问权限。

数据所有者可以根据需要将数据授权给其他用户或角色,并指定相应的操作权限。

自主访问控制可以灵活地适应各种复杂的访问控制需求。

2. 强制访问控制强制访问控制是指通过强制执行访问策略来控制对数据的访问权限。

在强制访问控制模型中,访问权限是根据用户的安全级别和数据的标记等属性来确定的,用户无法改变或绕过访问规则。

强制访问控制一般应用于对机密或敏感数据的保护。

3. 基于角色的访问控制基于角色的访问控制是指根据用户所扮演的角色来控制对数据的访问权限。

大数据安全与隐私保护的技术与方案

大数据安全与隐私保护的技术与方案

大数据安全与隐私保护的技术与方案近年来,大数据已经成为了我们生活中不可或缺的一部分。

然而,随着大数据的大规模收集、存储、分析和共享,数据安全和隐私保护也愈发成为关注焦点。

那么,如何确保大数据的安全与隐私保护呢?本文将从技术与方案两方面进行探讨。

一、技术方面1、加密技术加密技术是一种用于保障信息安全的技术,其主要作用是通过将信息进行加密转化,使其不能被未经授权的人获取。

在保护大数据隐私方面,加密技术是其中最为基础、有效的一种。

数据加密技术种类繁多,包括对称加密、非对称加密等等。

其中,对称加密是应用最为广泛的加密技术之一,其核心思想是将明文通过加密算法转成密文,同时根据同一密钥对密文进行解密。

2、数据脱敏技术数据脱敏技术是一种用于将真实数据替换为虚拟或者伪造数据的技术,以保障机密信息的安全性。

利用数据脱敏技术可以将原始数据与真实用户隐私信息脱离,但同时保留数据的有效性。

数据脱敏技术可以采用各种算法,包括通过随机化,替换真实数据的伪造数据,或者采用加密技术对数据进行加密等等。

当然,脱敏所采用的算法,其强弱程度也会影响到数据保障的安全程度。

3、访问控制技术访问控制技术是一种保护数据策略的技术。

其主要作用是限制对数据的访问,确保只有经过授权的用户才能够访问。

访问控制技术包括基于角色和基于属性的访问控制。

其中,基于角色的访问控制核心思想是将用户分配到不同的角色中,根据组织的访问策略和安全策略来控制用户的访问权限。

基于属性的访问控制也是一种常用的访问控制技术,它将用户的访问控制和信息资源的属性联系起来,以筛选数据和确定用户的访问权限。

二、方案方面1、数据隐私保护法律法规在大数据时代,数据管理和隐私保护的法律法规显得尤为重要。

政府部门和行业组织需要制定相关的法律法规来约束和监管大数据收集和使用,以保障个人隐私的安全和保护。

在我国大数据时代下,个人信息保护法和网络安全法都起到了重要作用。

除此之外,还需要建立更为完善、细致的规章制度和法律框架来保障人民隐私权益。

信息系统数据安全保护技术

信息系统数据安全保护技术

信息系统数据安全保护技术信息系统数据安全是当今互联网时代面临的重要问题之一。

随着信息技术的迅猛发展和互联网的普及应用,各种类型的数据在网络中的传输和存储变得越来越频繁和庞大,因此对信息系统数据安全的保护显得尤为重要。

本文将介绍几种常见的信息系统数据安全保护技术。

一、访问控制技术访问控制技术是信息系统数据安全保护的一项基础技术。

通过访问控制技术,可以对坏意用户的操作进行限制,确保只有经过授权的用户才能访问和修改数据。

常见的访问控制技术包括密码验证、身份认证、角色权限管理等。

其中,密码验证是最常见的一种访问控制技术,用户通过输入正确的用户名和密码才能成功访问系统。

二、数据加密技术数据加密技术是信息系统数据保护的一种重要手段。

通过对敏感的数据进行加密,可以在数据传输和存储过程中有效地防止非法的窃取和篡改。

常见的数据加密技术有对称加密和非对称加密。

对称加密使用同一个密钥进行加解密,速度较快,适合大数据量的加密;非对称加密则使用公钥和私钥进行加解密,安全性更高,适合小数据量的加密。

三、防火墙技术防火墙技术是信息系统安全保护中的重要一环。

防火墙可以监控和过滤进出网络的数据流量,通过一定的规则判断是否允许传输,从而保护系统免受恶意攻击。

防火墙可以设置不同的安全策略和访问权限,根据不同的需求选择适当的方式进行防护,如包过滤、状态检测、网络地址转换等。

四、入侵检测与防范技术入侵检测与防范技术可以及时发现和防范系统中的安全威胁。

通过对系统的各类行为进行监测和分析,可以识别出可能存在的入侵行为,并及时采取相应的防范措施。

常见的入侵检测与防范技术包括网络入侵检测系统(IDS)、入侵预防系统(IPS)等,这些技术可以实时监测网络流量,分析判断是否存在异常行为,并采取相应的封堵措施。

五、数据备份与恢复技术数据备份与恢复技术是信息系统数据安全保护中不可或缺的一部分。

通过定期备份重要的数据并妥善存储,即使在系统发生故障或者受到攻击时,也能够通过数据恢复技术将数据迅速恢复到之前的状态。

大数据安全与隐私保护技术的研究及应用

大数据安全与隐私保护技术的研究及应用

大数据安全与隐私保护技术的研究及应用一、引言随着互联网和物联网的普及,大数据的应用越来越广泛,贯穿了经济、医疗、教育、社交等领域。

然而,这些海量的数据也带来了巨大的安全和隐私风险。

数据泄露、数据滥用、数据篡改等问题成为亟待解决的难题。

因此,大数据安全与隐私保护技术的研究及应用显得尤为重要。

二、大数据安全技术1.数据加密技术数据加密技术是大数据安全技术的重要组成部分之一。

它主要通过对数据进行加密,使得数据在传输和存储过程中不被未经授权的访问和使用。

目前常用的加密算法有对称加密算法和非对称加密算法。

对称加密算法主要以AES、DES等算法为代表,非对称加密算法主要以RSA、DSA等算法为代表。

2.数字签名技术数字签名技术是大数据安全技术的另一个重要组成部分。

它主要通过数字签名,保证数据的真实性和完整性。

数字签名技术采用了非对称加密算法。

在签名过程中,发送方用私钥对数据的摘要进行加密生成数字签名,并将签名和加密前的数据一起发送给接收方。

接收方收到数据和签名后,使用发送方的公钥解密签名,得到数据的摘要,并生成自己的摘要进行比对,若比对成功,则证明数据的完整性和真实性得到了保证。

3.访问控制技术访问控制技术主要是对用户进行身份识别和授权管理。

通过访问控制技术,系统管理员可以对不同的用户进行不同级别的授权,使得用户只能访问自己被授权的数据。

常用的访问控制模型有MAC(强制访问控制)、DAC(自主访问控制)和RBAC(基于角色的访问控制)等。

三、大数据隐私保护技术1.数据脱敏技术数据脱敏技术主要通过对敏感信息进行处理,达到隐私保护的目的。

数据脱敏技术分为两种类型:匿名化和去标识化。

匿名化是指对个人身份信息进行替换、打乱或删除,而保留数据的统计特征,以实现数据的匿名化。

去标识化是指通过将个人身份信息与其它信息进行混淆,以达到难以被识别的目的。

2.差分隐私技术差分隐私技术是在保持数据使用的过程不受影响的前提下,对数据进行隐私保护的一种技术。

数据隐私保护的技术手段及其应用

数据隐私保护的技术手段及其应用数据隐私保护在当今数字化时代变得尤为重要。

随着互联网的普及和大数据的应用,个人隐私受到越来越多的威胁。

为了保护用户的隐私和数据安全,技术手段被广泛应用。

本文将介绍几种数据隐私保护的技术手段,并探讨它们在实际应用中的作用。

一、数据加密技术数据加密技术是最基本、最常见的数据隐私保护技术之一。

它通过对数据进行加密处理,将数据转化为一系列乱码,从而避免敏感信息的泄露。

常见的加密算法包括对称加密算法和非对称加密算法。

对称加密算法使用同一个密钥对数据进行加密和解密。

其中,代表性的算法是DES(Data Encryption Standard)和AES(Advanced Encryption Standard)。

这些算法具有高效、快速的优势,适用于对大量数据进行加密保护。

非对称加密算法采用公钥和私钥的组合进行加密。

公钥对外公开,私钥只有数据接收者拥有。

RSA(Rivest-Shamir-Adleman)是一种常见的非对称加密算法。

虽然非对称加密算法加密解密速度较慢,但它具有更高的安全性和可靠性。

数据加密技术在金融、电子商务、通信等领域得到广泛应用。

例如,用户在网上购物时,银行会使用加密技术来保护用户的支付信息。

此外,加密技术也被广泛用于数据库、存储设备、通信网络等环节,以提供更安全的数据传输和存储。

二、隐私保护算法隐私保护算法是一种能够保护数据隐私的技术手段。

它通过在数据处理的同时保护用户隐私,实现个人数据和隐私信息的保护。

隐私保护算法主要包括数据匿名化和数据脱敏技术。

数据匿名化是指通过对原始数据进行处理,使得无法直接识别个人身份。

常见的匿名化方法包括泛化、删除和扰乱等。

泛化是将原始数据替换为更一般的值,例如将年龄转化为年龄段;删除是指删除与个人身份直接相关的信息;扰乱是通过重新排列或修改数据来混淆个人信息。

数据脱敏是指在保留数据的可用性的同时,删除或替换敏感信息。

常见的脱敏方法包括数据加密、数据替换和数据屏蔽。

数据安全保护技术的使用方法与常见问题解答

数据安全保护技术的使用方法与常见问题解答数据安全是当今数字化时代中最为关键的问题之一。

随着大数据时代的到来,企业和个人所面对的数据安全威胁也不断增加。

数据被泄露、篡改或者丢失会对个人和企业带来巨大的损失。

为了解决数据安全问题,人们开始采用各种数据安全保护技术。

本文将介绍数据安全保护技术的使用方法,并回答一些常见问题,帮助读者更好地保护自己的数据安全。

一、数据安全保护技术的使用方法:1. 数据加密技术:数据加密是一种常见的数据安全保护技术,通过将数据转换为密文,确保只有经过授权的用户才能解密数据。

常见的数据加密方法包括对称加密和非对称加密。

对称加密使用相同的密钥进行加密和解密,而非对称加密使用公钥和私钥进行加密和解密。

为了保护数据的安全,务必选择强大的加密算法,并定期更换加密密钥。

2. 访问控制技术:访问控制技术用于限制对敏感数据的访问权限,确保只有授权人员才能查看和操作数据。

常见的访问控制技术包括身份认证、授权和审计。

身份认证通过验证用户的身份来授予访问权限,授权确定用户可以访问的数据和操作权限,审计记录和监控用户对数据的访问情况。

3. 数据备份和恢复技术:数据备份和恢复技术旨在预防数据丢失和灾难恢复。

定期进行数据备份是保护数据安全的重要措施之一。

备份数据应存储在安全的位置,并进行有效的加密和保护。

在数据丢失或受到损坏时,可以使用数据恢复技术从备份中恢复数据。

4. 漏洞管理技术:漏洞管理技术用于识别和修补系统和应用程序中的漏洞。

经常更新系统和应用程序是防止黑客攻击和未授权访问的关键步骤。

及时安装最新的补丁程序和更新可以消除已知的安全漏洞,并提高系统的整体安全性。

二、常见问题解答:1. 如何防止数据泄露?数据泄露是最常见的数据安全问题之一,为了防止数据泄露,可以采取以下措施:- 加强访问控制,仅授权用户能够访问敏感数据。

- 使用数据加密技术,确保即使数据泄露也无法被解读。

- 建立数据安全意识培训计划,提醒员工保护数据的重要性。

大数据平台数据安全防护技术

大数据平台数据安全防护技术一、背景介绍随着大数据技术的快速发展,大数据平台已经成为许多企业和组织进行数据分析和决策的重要工具。

然而,大数据平台的数据安全问题也越来越受到关注。

数据泄露、数据篡改、未授权访问等安全威胁对企业的运营和声誉造成为了严重的影响。

因此,构建一个安全可靠的大数据平台数据安全防护技术是至关重要的。

二、数据加密技术1. 数据加密原理数据加密是一种常用的数据安全防护技术。

通过对敏感数据进行加密处理,可以确保数据在传输和存储过程中不被未授权的人员访问和窃取。

常见的数据加密算法包括对称加密算法和非对称加密算法。

2. 对称加密算法对称加密算法使用相同的密钥进行数据的加密和解密。

在大数据平台中,可以使用对称加密算法对数据进行加密,然后在数据传输和存储过程中使用密钥进行解密,确保数据的安全性。

3. 非对称加密算法非对称加密算法使用一对密钥,包括公钥和私钥。

公钥用于加密数据,私钥用于解密数据。

在大数据平台中,可以使用非对称加密算法对敏感数据进行加密,确保数据在传输和存储过程中的安全性。

三、访问控制技术1. 身份认证身份认证是大数据平台数据安全防护的重要环节。

通过身份认证可以确定用户的身份,防止未授权的用户访问数据。

常见的身份认证方式包括用户名密码认证、证书认证、生物特征认证等。

2. 访问控制列表访问控制列表是一种常用的访问控制技术。

通过设置访问控制列表,可以限制用户对数据的访问权限。

惟独具有相应权限的用户才干访问和操作数据。

3. 角色基础访问控制角色基础访问控制是一种基于角色的访问控制技术。

通过将用户分配到不同的角色,可以根据角色对数据进行访问控制。

这种方式可以简化权限管理,提高系统的安全性。

四、数据备份与恢复技术1. 数据备份数据备份是大数据平台数据安全防护的重要措施之一。

通过定期对数据进行备份,可以保证数据在乎外损坏或者丢失时能够及时恢复。

常见的数据备份方式包括全量备份和增量备份。

2. 数据恢复数据恢复是在数据损坏或者丢失后将备份的数据恢复到原始状态的过程。

大数据安全与隐私保护关键技术研究

大数据安全与隐私保护关键技术研究随着大数据时代的到来,数据的重要性越来越被人们所认识,而数据安全和隐私保护的问题也日益成为人们关注的焦点。

在大数据应用过程中,数据需要跨平台、跨组织进行共享和分析,这就带来了很大的数据泄露和隐私侵犯的风险。

因此,如何保证大数据安全以及隐私保护,已成为大数据应用过程中不可忽视的问题。

大数据安全保护的关键技术主要包括以下几个方面:1. 数据加密技术加密技术是数据安全保护的重要手段,通过对数据进行加密,可以有效地防止数据泄露和被窃取。

当前广泛使用的加密技术包括对称加密和非对称加密两种方式,其中对称加密速度快,但安全性较差,非对称加密速度较慢,但安全性较好。

在实际应用中需要根据不同的场景选择合适的加密方式。

2. 访问控制技术访问控制技术是指通过控制用户的访问权限来实现对数据的安全保护。

常用的访问控制技术包括:身份认证、访问授权、访问审计等。

其中,身份认证是指通过验证用户的身份来确定其是否具有访问权限;访问授权是指对已经通过身份认证的用户进行权限控制,包括读取、写入和执行等权限;访问审计是对用户的操作进行记录和审计,便于后期追溯和控制。

数据脱敏技术是指将敏感数据进行转换或者模糊化处理,以达到隐藏或消除真实敏感信息的目的。

主要的数据脱敏技术包括:数据替换、数据混淆和数据屏蔽等方式。

通过数据脱敏技术,可以有效地防止数据泄露和隐私侵犯。

数据监控技术是指通过数据监控系统对数据的流向、使用和访问等进行监控和控制,以及预测和识别异常行为。

数据监控技术包括:行为监控、访问频率监控、数据流转监控等技术。

通过数据监控技术,可以实时监测和发现数据安全问题,便于及时进行处理和控制。

数据审计技术是指在数据安全保护过程中对数据操作进行记录和审计,以确定数据的安全性和完整性。

数据审计技术包括:审计日志记录、审计跟踪、审计分析等技术。

通过数据审计技术,可以实现及时发现和追踪数据问题,以便及时进行处理和控制。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

自主访问控制的优缺点
优点
主体对授权过程具有极大的灵活性
缺点 权限的授予过程存在链式结构,它能控制主体能否直接 获得对客体的访问权限但不能控制主体间接获得对客体的访问权限。其 安全性能相对较低 在权限管理方面,系统需要维护不同主体对不同客体的 不同访问权限之间的关系,权限管理复杂性较高
访问控制模型
大数据的定义
对于“大数据”(Big data)研究机构Gartner给出了这样的定 义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力 和流程优化能力的海量、高增长率和多样化的信息资产。
大数据的意义
大数据技术的战略意义不在于掌握庞大的数据信息,而在于对这 些含有意义的数据进行专业化处理。换言之,如果把大数据比作一种产 业,那么这种产业实现盈利的关键,在于提高对数据的“加工能力”, 通过“加工”实现数据的“增值”。
大数据的关键技术
大数据技术,就是从各种类型的数据中快速获得有价值信息的技 术。大数据领域已经涌现出了大量新的技术,它们成为大数据采集、存 储、处理和呈现的有力武器。
大数据处理关键技术一般包括:大数据采集、大数据预处理、大数 据存储及管理、大数据分析及挖掘、大数据展现和应用(大数据检索、 大数据可视化、大数据应用、大数据安全等)。
自主访问控制的标准
自主访问控制有两个至关重要的标准: (1)文件和数据的所有权:系统中的每个物体都有所有者。在大多数 DAC系统中,物体的所有者是产生这个物体的人(或事件,或另一个物 体)。那么次物体的自主访问控制权限由它的产生着决定;
(2)访问权限及获批:物体的所有者拥有访问权限,并且可以批准他人 试图访问的请求。
自主访问控制是保护系统资源不被非法访问的一种有效手段。但是这种控制 是自主的,即它是以保护用户的个人资源的安全为目标并以个人的意志为转移的。 自主访问控制是一种比较宽松的访问控制,一个主题的访问权限具有传递性。 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。 实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定 并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。 自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访 问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻 止非授权用户读取敏感信息。
大数据中的访问控制技术
什么是大数据?
历史: “大数据”这个术语最早期的引用可追溯到apache org的开源项 目Nutch。当时,大数据用来描述为更新网络搜索索引需要同时进行批量 处理或分析的大量数据集。随着谷歌MapReduce和Google File System (GFS)的发布,大数据不再仅用来描述大量的数据,还涵盖了处理数据 的速度。
强制访问控制(MAC) 概念:在自主访问控制的基础上,增加了对资源的属性(安 全属性)划分,规定不同属性下的访问权限。
特点:
(1)将主体和客体分级,根据主体和客体的级别标记来决 定访问模式。 (2)其访问控制关系分为:上读/下写,下读/上写。 (3)通过梯度安全标签实现单向信息流通模式。
安全属性四个级别的规定
信息流模型
从安全模型所控制的对象来看,一般有两种不同的 方法来建立安全模型:一种是信息流模型,另一种 是访问控制模型。
信息流模型主要着眼于对客体之间的信息传输过程 的控制,通过对信息流向的分析可以发现系统中存 在的隐蔽通道,并设法予以堵塞。信息流是信息根 据某种因果关系的流动,信息流总是从旧状态的变 量流向新状态的变量。信息流模型的出发点是彻底 切断系统中信息流的隐蔽通道,防止对信息的窃取。 隐蔽通道就是指系统中非正常使用的、不受强制访 问控制正规保护的通信方式。隐蔽通道的存在显然 危及系统敏感信息的保护。
访问控制技术
防止对任何资源进行未授权的访问,从而使计算机系统在合法的 范围内使用。意指,用户身份及其所归属的某项定义组来限制用户对某 些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC 网络准入控制系统的原理就是基于此技术之上。访问控制通常用于系统 管理员控制用户对服务器、目录(Discretionary Access Control,DAC)是这样的一种控制方 式,由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部 分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可 以按自己的意愿,有选择地与其他用户共享他的文件。
T>C>S>U T:绝密级(Top Secret) C:机密级(Confidential)
S:秘密级(Secret)
U:无级别级(Unclassified)
四种强制访问控制策略规定
下读:用户级别大于文件级别的读操作 上写:用户级别低于文件级别的写操作
下写:用户级别大于文件级别的写操作 上读:用户级别低于文件级别的读操作
信息流模型需要遵守的安全规则是:在系统状态转换时,信息流 只能从访问级别低的状态流向访问级别高的状态。信息流模型实现的关 键在于对系统的描述,即对模型进行彻底的信息流分析,找出所有的信 息流,并根据信息流安全规则判断其是否为异常流。若是就反复修改系 统的描述或模型,直到所有的信息流都不是异常流为止。信息流模型是 一种基于事件或踪迹的模型,其焦点是系统用户可见的行为。现有的信 息流模型无法直接指出那种内部信息流是被允许的,哪种是不被允许的, 因此在实际系统中的实现和验证中没有太多的帮助和指导。
大数据中的访问控制
访问控制模型 自主访问控制(DAC) 强制访问控制(MAC)
信息流模型
基于角色的访问控制模型(RBAC) PDR扩展模型
大数据中的访问控制
访问控制策略 基于身份的安全策略 基于规则的安全策略
访问控制与授权(权限控制)
访问控制与审计(操作日志)
访问控制模型
自主访问控制(DAC)
强制访问控制的优缺点
优点: 权限授予过程中,不仅需要检查主体是否对客体具有操 作权限,还需要检查主、客体的安全属性是否符合要求,使得授权过程 更加安全。
强制访问控制的优缺点
缺点:
权限管理系统必须按照系统规定为每个主体或客体分配 安全属性,并且需要仔细定义主、客体安全属性之间的对应关系,从而 防止合法用户不能对授权客体进行操作,以及非法主体能够对未授权的 客体进行操作的现象,其权限管理难度较大。 模型中可信主体不受特性约束访问权限太大,不符合最 小特权原则,难于应付访问权限具有很多微小差别的情况,应对可信主 体的操作权限和应用范围进一步细化。