一、項目背景及客戶痛點
數據安全建設中需加強中大數據平臺安全防護能力,增強數據防護水平,提高數據安全審計要求,但數據安全在日志審計和數據隱私方面仍然存在一些突出的問題,主要表現在以下幾方面:
(1)目前大數據分析平臺中應用系統的審計功能分散,不統一,存在審計數據孤島;
(2)大數據平臺的應用系統重要性程度高,存在大量敏感數據,傳統審計系統是中心化系統,存在數據被篡改的風險及無法確權的問題;
(3)傳統審計系統追查取證效率低,存在各方抵賴,出現問題后追溯難。
(4)數據敏感傳輸風險,在業務協同過程存在數據泄露風險,隱私保護能力較弱
(5)數據在共享使用過程中缺乏有效管控手段
二、建設目標
以大數據安全和隱私保護需求為主線,結合區塊鏈技術構建數據安全的區塊鏈日志審計和隱私保護系統,實現大數據中心的數據安全防護,防止敏感數據泄露,并實現數據全生命周期操作記錄的區塊鏈登記,實現審計數據的不可篡改、不可否認及可追溯,結合區塊鏈的隱私保護技術,有效降低大數據中心的數據泄露風險,提高大數據中心的數據安全防護能力。
三、建設內容
采用區塊鏈技術構建大數據安全管控系統,實現大數據中心應用系統及數據共享訪問的操作記錄保存到區塊鏈中,對數據傳輸過程進行數據加密,有效防止敏感數據泄露,并對重要數據的共享實現可追溯、對數據的操作記錄的不可否認。建設主要內容包括:
(1)利用區塊鏈技術構建大數據中心應用系統的審計聯盟鏈,實現統一的數據安全的區塊鏈審計系統,實現對大數據中心應用系統的安全審計。
(2)該聯盟鏈網絡中接入4A系統,采用與大數據中心的用戶登錄訪問體系一樣的數據證書進行操作訪問記錄登記到區塊鏈中;
(3)大數據中心應用系統的操作記錄上鏈,包括資源的使用情況記錄、用戶登錄及操作行為記錄、系統配置修改記錄等登記到區塊鏈中;
(4)大數據中心在數據共享訪問過程中對訪問記錄進行數據簽名后登記到區塊鏈中
(5)使用區塊鏈平臺自帶的CA管理系統頒布數字證書,用于大數據中心應用系統、數據共享平臺安全訪問區塊鏈平臺,確保審計記錄上鏈的合法性;
(6)數據安全的審計監管,作為審計節點接入審計聯盟鏈,實現對大數據中心的各系統的統一安全審計,在安全事件中進行審計追溯。
(7)智能合約中結合同態加密服務組件,設計數據安全使用模型,實現重要敏感數據可用不可見。
四、總體架構
·審計智能合約利用時間戳、智能合約服務及賬本實現數據安全的安全審計相關數據在區塊鏈中的自動處理和運轉。
·審計區塊鏈受理登記,實現大數據平臺中應用系統功能的審計記錄統一登記到區塊鏈的登記功能,并實現大數據平臺中對外數據共享訪問的審計記錄登記到區塊鏈的登記功能,包括消息隊列模塊、數據安全模塊、智能合約登記模塊、區塊鏈信息查詢模塊及登記配置模塊。
·區塊鏈可視化管理實現區塊鏈技術平臺相關信息的展示,比如運行狀態、智能合約、區塊信息、賬本信息等直觀可視,從而實現區塊鏈技術平臺的監控。
·大數據安全管控應用作為區塊鏈的節點接入區塊鏈,訪問區塊鏈中的安全審計記錄、數據安全模塊實現各信息化系統的統一安全審計應用以及隱私保護功能,包括隱私保護模塊、數據加密模塊、操作行為審計、重要安全事件審計及審計分析、審計記錄數字簽名、審計綜合展示、審計報告下載、審計策略、郵件告警、自身審計功能、審計記錄追溯等。
五、達到效果
該系統在深圳市某區的大數據中心(二期)項目中落地運行兩年,有效地解決審計功能分散、敏感數據泄露風險、傳統審計系統追查取證效率低等問題,在大數據平臺的數據安全審計方面融合區塊鏈技術,充分發揮區塊鏈技術特長,利用分布式存儲提高審計數據安全性和抗毀性,通過共識機制的審計記錄存儲到區塊鏈中,實現數據不可篡改,利用可追溯提高安全審計的能力,同時采用密碼學技術保證了數據安全性和不可否認。結合區塊鏈技術這些特點,搭建大數據安全的聯盟鏈,建設統一數據安全的區塊鏈管控系統,實現對大數據平臺中各數據安全保障。
目前大數據平臺的安全管控(區塊鏈)系統的支撐記錄日志的用戶規模在5000+,日均審計操作日志200000條,對大數據平臺的各類工作人員的的70種操作行為進行監管,同時針對數據共享、敏感數據訪問、數據高級分析功能訪問記錄等接入進行審計日志上鏈存證,基于區塊鏈技術構建了的統一的安全審計系統,符合國家《信息系統安全等級保護管理辦法》的信息安全要求,滿足《GB/T39786-2021信息安全技術信息系統密碼應用基本要求》,為智慧城市建設的安全防護保駕護航。
