2. 程式人生 > >拿什麼保護你---TDW資料安全

拿什麼保護你---TDW資料安全

阿新 發佈:2019-01-21

網際網路時代,大資料扮演著極為重要的角色;騰訊作為中國最大社交平臺,具備最具權威、代表性的網際網路大資料。資料平臺部TDW作為公司級的海量資料儲存和計算平臺,集中了公司90%以上產品(近400款)的核心資料,覆蓋全部BG,積累約4000個開發者,如何保障如此之多的使用者安全合理地使用這麼豐富珍貴的資料?本文將從資料生命週期(傳輸—>儲存—>使用)角度揭密數平的資料安全體系如何為騰訊大資料保駕護航。

1 傳輸安全

所有資料通過tdbank自動採集接入,只要告訴TDBank資料在哪裡,資料是什麼,資料要怎麼用,TDBank就會自動完成一整套的資料採集分揀和處理流程,無需人工干預, 縮短流程,降低風險。

針對敏感資料,在通道中設定加密,金鑰由資料owner掌握,同時TDW支援執行加密資料的sql,資料在TDW中可用但不可見,猶如資料咖啡館,既讓資料流動碰撞發揮價值,又保護了資料安全。

2 系統安全

2.1 洋蔥入侵檢測

TDW所有機器在機器初始化後預設安裝洋蔥客戶端,上報所有使用者行為資料至洋蔥服務端,並對行為分析、分類,針對對檢測入侵行為鏈和對敏感操作進行有效監控、分析、告警。

2.2 鐵將軍管理

通過接入鐵將軍系統,建立帳號管理、許可權管理及運維審計體系:

  • 集中管理賬戶:實名制使用者通過PIN+TOLKEN動態口令進行登入

  • 帳號許可權管理:Sudo許可權管理

  • 實名審計:實名審計操作行為及可回溯

3 儲存安全

資料量大(volume)且型別繁多(Variety)是大資料的兩大特徵,這為資料應用帶來了福音。同時,對於大資料儲存來說,這是一項大的考驗,如此大而全的資料我們如何保證資料的完整儲存,不丟失,不刪除?

3.1 多副本儲存,防止資料丟失

  • 熱資料:3個副本存放在不同機架,任意2臺機器故障不會丟資料

  • 冷資料:採用Raid壓縮(10資料塊+4校驗塊,可容忍任意4塊丟失)

  • 自動修復:系統後臺自動掃描,及時修復丟失或損壞的副本,業務無感知

3.2 多層保護,防止資料刪除

3.2.1 防 DB刪除

對於database層的目錄,在原始碼中進行保護,設定目錄刪除黑名單,要刪除database或者目錄,需要更改原始碼,並且重啟服務

  • 防止drop database操作:在TDW中drop database會失敗

  • 防止在檔案系統中刪除目錄:在檔案系統中,直接刪除目錄會失敗

3.2.2 防table刪除

  • 設定回收站,延遲刪除

    • 資料並不會被立刻刪除,而是移入回收站

    • 資料會在回收站儲存大於48小時,大資料需手工確認之後被真正刪除

  • 節點延遲刪除

    • 先將元資料刪除,資料block塊延遲一天刪除

    • 通過元資料冷備,可以恢復資料

4 使用安全

TDW中資料的產品線眾多,使用者也來源於各個不同的產品,自然而然,資料共享的需求日益增多,那麼如何做到資料共享的同時保障資料安全可控呢?下面將從資料使用這個動作的三個要素(who, what,where)來說明如何保障資料的使用安全。

4.1 who --誰可以使用

平臺秉承開放的心態,擁抱公司內部所有使用者。但鑑於安全考慮,平臺各子系統均對使用者身份進行雙重驗證,通過認證的使用者方可使用平臺。此外,經過各系統嚴謹的鑑權校驗後,方能真正觸達目標資料。

同時,賬戶實行個人實名精細化管理,保證系統內所有操作記錄均可追蹤到個人。

4.2 what—可以使用什麼資料

不同的使用者對資料需求不同,使用者按需申請使用許可權。其中,不同級別資料許可權流程不同,不同類別資料的許可權型別不同。

  • 資料分級管理:資料根據不同的敏感度分級管理,不同級別的資料許可權需走不同的申請通道,部分敏感資料許可權需由部門最高領導人進行審批。

  • 資料分類管理:對於入庫層資料,只開放只讀許可權,防止源資料被汙染,保持資料來源的完整性。

4.3 where在哪裡使用

非tdw系統的ip不能直接訪問。

  • IP白名單控制:只有指定安全IP方可訪問資料庫,白名單ip都是我們自己的。

  • 平臺內流轉:資料控制在TDW平臺內流轉,不流出;

  • 匯出申請:如有特殊匯出需求,需申請,由上級確認;

4.4 how — 審計使用者如何使用

平臺提供使用者全流程操作記錄審計功能,使用者擁有哪些許可權,使用哪些表,什麼時間,在哪個系統進行了什麼操作均有跡可循。

  • 許可權開放審計:許可權系統提供許可權開放審計功能,供資料owner審計名下資料許可權開放情況,許可權管理透明化;針對高敏感表,許可權開放實時監控。

  • 使用情況審計: 構建統一操作流水查詢系統,各系統的操作流水永久儲存;其中針對敏感資料,每日定期統計使用情況,供管理員每日審計。

  • 內部人員審計: 在機器上所有操作都會上報到到審計系統; 對敏感操作實時審計,郵件上級及本人確認。

相關推薦

什麼保護---TDW資料安全

網際網路時代,大資料扮演著極為重要的角色;騰訊作為中國最大社交平臺,具備最具權威、代表性的網際網路大資料。資料平臺部TDW作為公司級的海量資料儲存和計算平臺,集中了公司90%以上產品(近400款)的核心資料,覆蓋全部BG,積累約4000個開發者,如何保障如此之多的使用者安全合理地使用這麼豐富珍貴的資料?本

使用Hashids來保護資料庫主鍵

為什麼要保護資料庫主鍵? 資料庫主鍵一般是有序自增主鍵,極易被爬蟲抓取資料,作為應用開發者,這是不應該的,你辛辛苦苦收集的資料轉眼之間被其他人給抓取了,是不是很大的損失? Hashids的介紹 generate short unique ids from integers 理解為數字編碼庫即可,

如何保護的TNAS資料安全?

網際網路中的惡意***時有發生,TOS為您的TNAS提供了多種安全保護手段以避免您的TNAS遭受風險。您需要正確配置這些設定來提高您的裝置的安全等級。 1.正確設定登入密碼與埠;安全等級高的密碼應該在8位以上,幷包含大寫字母、小寫字母、數字以及特殊符號的組合。請勿使用簡易的密碼,否則您的裝置會受到安全的威脅

雲時代,什麼保護,我的“運維安全

本文整理自 GOPS2017.北京站演講《雲時代網路邊界管理實踐及安全體系建設》,高效運維社群致力於陪伴您共同成長。 翟耐棟 奇虎360網路安全工程師 聚焦於基礎網路層面安全研究,熟悉網路裝置和協議是我們做安全的特長,研究方向包括網路協議、網路基礎設施的漏洞挖掘和安全加固,DDOS攻擊防禦,前瞻

WPF:WebBrowser提示 為幫助保護安全,您的Web瀏覽器已經限制此檔案顯示可能訪問您的計算機的活動內容

原文: WPF:WebBrowser提示 為幫助保護你的安全,您的Web瀏覽器已經限制此檔案顯示可能訪問您的計算機的活動內容 RT,近日使用百度地圖API,需要在本地做一個html檔案承載,載入本地檔案時出現該異常,百度了一下,搜到一個適用於IIS的方案 1.將檔案放入IIS,使用網路路徑

深圳圖書館採用沃通SSL證書,保護讀者資料安全

​近日,深圳圖書館正式啟用沃通SSL證書,實現HTTPS加密和網站身份認證,保護讀者資料安全,並使用通配型證書同時保護官網域名及其二級子域名。目前深圳圖書館官網、深圳圖書館之城等網站,以及深圳圖書館微信訂閱號和服務號的介面連線,都採用沃通SSL證書實現HTTPS加密。 >> 申

Windows 10提示不能訪問此共享資料夾,因為組織的安全策略阻止未經身份驗證的來賓訪問

本文為你提供Windows 10提示你不能訪問此共享資料夾,因為你組織的安全策略阻止未經身份驗證的來賓訪問的解決方法,如果使用Windows 10提示你不能訪問此共享資料夾,因為你組織的安全策略阻止未經身份驗證的來賓訪問。這些策略可幫助保護你的電腦免受網路上不安全裝置或惡意裝置的威脅。那麼看完本文你就可以試試

奉上一份雲上資料安全保護指南

阿里雲資深安全專家黃瑞瑞 本方案的目標是為使用者提供從底層雲平臺數據安全到上層的雲上環境保護,並標明各層次模組,讓使用者可以像建房子一樣,一層層的搭建可信的在雲上資料的安全保護。在各橫向層次模組之外,雲上資料安全也需要縱向的認證、授權、訪問控制和日誌審計功能,從而為客戶提供可控和合規的雲上

保護大檔案傳輸過程中資料安全的方法?

很多企業在跨國傳輸,遠距離傳輸上擔憂資料的安全性,尤其是大檔案傳輸的安全。那麼,到底如何保證資料的安全可靠性呢? 此問題可分解為兩個方面:資料遷移過程中的安全防護、目的端得到的資料的完整可靠。 1、資料遷移過程中的安全 說到資料安全自然會想到加密,資料遷移過程的加密包括原資料加密

無紙化辦公中如何保護資料安全

電子文件洩密的途徑數不勝數,比如U盤拷貝、線上傳輸、郵箱傳送等。那麼有沒有什麼好的方式能解決這一內部洩密難題呢?其實在無紙化辦公環境中,透明加密軟體能有效保護你的資料安全。 控制檔案列印許可權    加密軟體不僅僅是資料加密,還能精確控制員工的操作許可權。通過海宇防洩密系

虛擬化技術在環境中如何有效的保護資料安全

虛擬化環境的資料主要分為2類 一類是虛擬化技術的關鍵資料,如密碼、許可權、角色等資料, 另外一類是虛擬機器的磁碟資料,虛擬化平臺的關鍵資料如果沒有加密儲存的話存在被盜用和篡改的風險,所以對這些資料要進行加密儲存; 另外一類是虛擬機器的磁碟資料、快照資料、模板資料

資料安全嗎?

最近,動畫片《工作細胞》火了,分分鐘席捲了B站。這是一個關於你自身的故事,體內的故事。人體約有37兆2千億個細胞,在這個神奇的世界中,細胞們每天也精神飽滿、無休無眠地工作著。 運送氧氣的紅細胞,與細菌戰鬥的白細胞......歸根結底,我們與細胞是共同生存的命運共同體。至少在可預防的範圍內,請健康

做了這麼久的 DBA,真的認識 MySQL 資料安全體系?

作者介紹: 強昌金  去哪兒網 高階DBA 2015年加入去哪兒,擔任MySQL DBA,主要負責去哪兒資料庫管理平臺的開發、MySQL和Redis的運維。在資料庫方面,具有豐富的資料庫運維、效能優化經驗。 給大家分享下有關MySQL在資料安全的話題,怎麼通過一些配置來保證資料安全以及保證資料的

遠端訪問Mysql?教資料傳輸再加把安全鎖!

線上業務為了保證資料安全,一般只允許本地或者內網訪問MySQL。但一些特殊情況下,需要通過外網訪問MySQL。此時為了保證許可權最小化開放,首先要做兩方面措施: 一方面需要配置防火牆白名單 iptables -A INPUT -s 1.2.3.4 -p tcp -m tcp –dport 3306

的大資料安全麼?“Hadoop叢集遭遇勒索軟體攻擊 ”

近期,各大安全組織檢測到勒索軟體正在攻擊Hadoop叢集,再次表明黑客正在嘗試從“大資料”中獲利,你的資料資產有沒有被黑客get了? ◇◆◇◆◇ 勒索軟體攻擊Hadoop事件綜述 最近,部分黑客組織針對幾款特定產品展開了勒索攻擊。截止到上週,已有至少34000多

【思考-資料安全】【去中心化】市值3萬億的facebook再出醜聞,資料,到底應該歸誰?

最近一則《Facebook隱私洩露事件繼續發酵,黑客明碼標價出售聊天資訊》的新聞被爆出,一個使用者的資訊被標價10美分。讓人不禁感慨,3萬億市值的facebook,使用者資料竟然如此便宜。 在這個“數字時代”,我們在科技面前漸漸變成了“透明人”,隱私有時候顯得有些彌足珍貴。曾經有人反駁,你免費

win10 不能訪問此共享資料夾,因為組織的安全策略...

此問題需要修改Win10 網路策略 按window+R鍵輸入gpedit.msc 來啟動本地組策略編輯器。 依次找到“計算機配置-管理模板-網路-Lanman工作站”這個節點,在右側內容區可以看到“啟用不安全的來賓登入”這一條策略設定。狀態是“未配置”。

win10連線共享印表機。同時解決電腦出現“不能訪問此共享資料夾,因為組織的安全策略阻止未經身份驗證的來賓訪

參考地址:https://jingyan.baidu.com/article/f54ae2fcd41fb41e92b849f9.html參考博文:https://blog.csdn.net/weinichendian/article/details/78950649在同一個區

保護的隱私:10項必須知道的iPhone iOS 8安全設定

也許你並不知道,蘋果iOS 8裡包含了多項追蹤你的地理位置和個人資訊的功能,其中不少是預設開啟的,很多APP和廣告都在通過這些功能獲取你的個人資訊。如果你忽視了他們的存在,也許有一天,這些不起眼的設定就可能引發你的個人隱私洩露。 1. 限制APP在後臺追蹤你的位置 一些AP

騰訊資料安全專家談聯邦學習開源專案FATE:通往隱私保護理想未來的橋樑

資料孤島、資料隱私以及資料安全,是目前人工智慧和雲端計算在大規模產業化應用過程中繞不開的“三座大山”。   “聯邦學