本发明专利技术提供了基于动态访问控制策略的大数据安全运维管控方法及系统,其中所述方法包括:接收来自用户的针对大数据平台的访问请求;响应于接收到的访问请求,匹配已有的固定访问控制策略,并给出固定策略处置结果;响应于所述固定策略处置结果为放行,对所述访问请求进行动态访问控制策略处置,并给出动态策略处置结果;以及根据所述动态策略处置结果,放行或阻止所述访问请求。行或阻止所述访问请求。行或阻止所述访问请求。
【技术实现步骤摘要】
基于动态访问控制策略的大数据安全运维管控方法及系统
[0001]本专利技术涉及网络技术与安全领域,更具体地,涉及一种基于动态访问控制策略的大数据安全运维管控方法及系统。
技术介绍
[0002]目前的大数据平台的运维操作控制主要是通过“接口机
‑
代理服务
‑
平台组件”方式进行的,因大数据接口机是公用的平台,通常同一类角色人员都拥有同样的权限账号,这就会造成多人共享账号无法追责的问题。此外,当数据从大数据平台下载/导出时,会落到接口机上,数据将无法被知晓其后续的流转,很有可能被直接下载到用户终端上,极大地造成了数据泄漏风险。当前的技术在进行大数据组件运维时,无法跟踪定位具体的操作人,在实时运维操作时无法进行管控,数据落到接口机后无法进行后续跟踪及管控。
[0003]随着业务系统对大数据平台的依赖,大数据平台运维及内部用户的安全和数据安全的管控力度已经无法满足要求,因此希望提供一种新的大数据安全运维管控方法及系统来克服现有技术中的以下问题:
[0004]1)无法精准定位操作人员的操作:仅通过接口机的账号授权管理,存在多个责任人使用同一大数据平台账号访问大数据集群的情况,导致追责时无法追踪到单个责任人;
[0005]2)无法实时进行操作管控:接口机连接大数据平台组件是通过代理的方式进行的,操作命令无法在代理服务调用之前进行实时管控;以及
[0006]3)存在数据泄露风险:数据到接口机后,这些数据将无法被知晓其后续的流转,很有可能被直接下载到用户终端上,极大地造成了数据泄漏风险。
技术实现思路
[0007]提供本
技术实现思路
以便以简化形式介绍将在以下具体实施方式中进一步的描述一些概念。本
技术实现思路
并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
[0008]针对以上问题,本专利技术旨在通过多模块的虚拟终端以及访问控制策略的动态调整,实现对大数据运维人员账号的身份识别以及数据流转到接口机后的精确追踪以及相应数据的实时闭环管控。
[0009]根据本专利技术的一个方面,提供了一种用于大数据平台的安全运维管控的方法,所述方法包括:
[0010]接收来自用户的针对大数据平台的访问请求;
[0011]响应于接收到的访问请求,匹配已有的固定访问控制策略,并给出固定策略处置结果;
[0012]响应于所述固定策略处置结果为放行,对所述访问请求进行动态访问控制策略处置,并给出动态策略处置结果;以及
[0013]根据所述动态策略处置结果,放行或阻止所述访问请求。
[0014]根据本专利技术的进一步实施例,对所述访问请求进行动态访问控制策略处置进一步包括:
[0015]将所述访问请求的行为与和所述用户相关联的行为基线相比较;以及
[0016]如果与所述行为基线的偏离超过预定阈值,则给出阻止所述访问请求的动态策略处置结果。
[0017]根据本专利技术的进一步实施例,所述行为基线是通过记录并学习用户在一定时间范围内的历史行为记录而得到的。
[0018]根据本专利技术的进一步实施例,所述方法还包括:
[0019]接收来自用户的数据文件下载请求;
[0020]从所述大数据平台下载所请求的数据文件;
[0021]对下载的数据文件添加追踪信息;以及
[0022]将添加了追踪信息的数据文件返回给用户。
[0023]根据本专利技术的进一步实施例,对下载的数据文件添加追踪信息进一步包括:
[0024]将当前登录者的身份及当前行为信息构造成水印字符串;
[0025]对所述水印字符串进行加密,生成水印码;以及
[0026]将所述水印码添加到下载的数据文件中的特定位置。
[0027]根据本专利技术的进一步实施例,所述方法还包括:
[0028]接收来自用户的待追踪责任人的文件;
[0029]对文件格式进行解析,并提取其中包含的追踪信息;以及
[0030]返回提取到的追踪信息中包含的数据文件责任人信息。
[0031]根据本专利技术的另一方面,提供了一种用于大数据平台的安全运维管控的系统,所述系统包括:
[0032]大数据平台代理模块,所述大数据平台代理模块被配置成实现大数据平台客户端的代理;以及
[0033]安全数据中心,所述安全数据中心被配置成:响应于检测到下载的数据文件是需要保护的文件,将所述数据文件保存到安全数据中心。
[0034]根据本专利技术的进一步实施例所述大数据平台代理模块被配置成实现Web Terminal来提供所述大数据平台客户端的Shell虚拟终端,供用户通过web浏览器访问和使用所述大数据平台客户端。
[0035]根据本专利技术的进一步实施例所述大数据平台基于Docker架构,并且所述大数据平台客户端是DockerClient。
[0036]根据本专利技术的进一步实施例所述大数据平台代理模块被配置成执行本专利技术所提供的方法。
[0037]与现有技术中的方案相比,本专利技术所提供的基于动态访问控制策略的大数据安全运维管控方法及系统至少具有以下优点:
[0038]1、大数据运维操作管控更加精确:改进后的方法,通过强制用户只使用自己的账号访问大数据平台组件,解决了多人共享账号无法追责的问题;通过操作命令的解析、敏感操作的匹配以及金库模式的接入,实现了操作命令的实时管控;
[0039]2、大数据运维操作管控更加全面:通过安全数据中心的建设,使大数据管控平台
拥有了专属数据文件存放及流转的中心,满足了数据文件后续流转的管控要求;以及
[0040]3、大数据运维操作管控平台的资源利用更加高效:改进后的方法,利用了容器没有管理程序的额外开销的特点,与底层共享操作系统,性能更加优良,系统负载更低,在同等条件下可以运行更多的应用实例,可以更充分地利用系统资源。
[0041]通过阅读下面的详细描述并参考相关联的附图,这些及其他特点和优点将变得显而易见。应该理解,前面的概括说明和下面的详细描述只是说明性的,不会对所要求保护的各方面形成限制。
附图说明
[0042]为了能详细地理解本专利技术的上述特征所用的方式,可以参照各实施例来对以上简要概述的内容进行更具体的描述,其中一些方面在附图中示出。然而应该注意,附图仅示出了本专利技术的某些典型方面,故不应被认为限定其范围,因为该描述可以允许有其它等同有效的方面。
[0043]图1示出了根据本专利技术的一个实施例的大数据平台运维管控系统的示例架构图。
[0044]图2是根据本专利技术的一个实施例的基于动态访问控制策略的安全运维管控方法的示例流程图。
[0045]图3是根据本专利技术的一个实施例的用于数据下载跟踪的方法的示例流程图。
[0046]图4是根据本专利技术的一个实施例的用于追踪数据文件责任人的方法的示例流程图。
具体实施方式
[0047]下面结合附图详细描述本专利技术,本专利技术的特点本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于大数据平台的安全运维管控的方法,其特征在于,所述方法包括:接收来自用户的针对大数据平台的访问请求;响应于接收到的访问请求,匹配已有的固定访问控制策略,并给出固定策略处置结果;响应于所述固定策略处置结果为放行,对所述访问请求进行动态访问控制策略处置,并给出动态策略处置结果;以及根据所述动态策略处置结果,放行或阻止所述访问请求。2.如权利要求1所述的方法,其特征在于,对所述访问请求进行动态访问控制策略处置进一步包括:将所述访问请求的行为与和所述用户相关联的行为基线相比较;以及如果与所述行为基线的偏离超过预定阈值,则给出阻止所述访问请求的动态策略处置结果。3.如权利要求2所述的方法,其特征在于,所述行为基线是通过记录并学习用户在一定时间范围内的历史行为记录而得到的。4.如权利要求1所述的方法,其特征在于,所述方法还包括:接收来自用户的数据文件下载请求;从所述大数据平台下载所请求的数据文件;对下载的数据文件添加追踪信息;以及将添加了追踪信息的数据文件返回给用户。5.如权利要求4所述的方法,其特征在于,对下载的数据文件添加追踪信息进一步包括:将当前登录者的身份及当前行为信息构造成水印字符串;对所述水印字...
【专利技术属性】
技术研发人员:张继东,袁海,吴天昊,
申请(专利权)人:天翼智慧家庭科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。