大数据平台安全评估定量分析方法

摘要

本发明属于大数据平台安全监测评估技术领域，提供了大数据平台安全评估定量分析方法，包括：在计算机的数据库内设置组件表；从组件表中读取所有组件信息；对每个组件及组件对平台安全的影响因子进行循环处理；获得所有域标识及组件安全影响因子；对每组域标识和组件安全影响因子进行循环处理；获取安全域对应的所有指标服务项及域安全影响因子，计算出域中的每个指标安全度、域安全度、组件安全影响度和组件的安全度；根据每个组件的平台安全影响因子计算出组件的平台安全影响度；所有组件处理完毕；根据每个组件的平台安全影响度计算出平台的安全度。发明具有适用于大数据环境下对安全管理的需要，提高了程序的可扩展性和灵活性的优点。

说明书

技术领域

本发明属于大数据平台安全监测评估技术领域，特别涉及一种大数据平台安全评估定量分析方法。

背景技术

在大数据平台安全监测评估领域，监测的最终目标是为了提供安全的大数据业务服务，安全监测的范围通常涵盖了大数据平台的物理环境、基础网络、系统软硬件、平台组件、业务数据、业务应用、数据采集，数据存储、分布式计算、用户访问、内外部接口、安全审计等多个层面，并且安全指标通常是离散且孤立的，很难寻找一个有效的办法能够直观、真实地反映出分布于大数据平台各个层面的监测指标的正常与否对大数据平台安全的综合影响力，这种综合影响力最终决定了大数据平台的安全评估度量。

大数据平台安全评估度量取决于该平台所包含的各个组件的安全影响度，组件的安全度取决于该组件所包含的各个安全域的安全度，安全域的安全度又取决于安全域所包含的各个安全指标服务项的安全度。对同一安全域和安全指标服务项来说，对不同组件的影响度是不同的，例如数据安全中的存储安全服务项的越界，对提供存储服务的HDFS组件来说影响度很大，而对提供计算资源的服务YARN组件来说影响度很小。同样，对同一组件来说，对大数据平台的安全影响也是不同的，例如存储类HDFS组件，它对以分布式运算为主的大数据平台安全影响度就很小，而对提供数据存储的为主的大数据平台影响度就很大。

目前没有任何一种大数据平台的安全监测评估方法，存在极大的安全隐患。

因此，大数据平台安全监测评估技术领域急需一种适用于大数据环境下对安全管理的需要，提高程序可扩展性和灵活性的大数据平台安全评估定量分析方法。

发明内容

本发明提供了大数据平台安全评估定量分析方法，技术方案如下：

大数据平台安全评估定量分析方法，包括如下步骤：

步骤一、在计算机的数据库内设置业务表，包括平台组件表、安全域表、组件和域关系表、域分配安全指标采集服务项表；

步骤二、从所述步骤一的组件表中读取所有组件信息，主要包括组件ID信息，组件名称信息及组件对平台的安全影响因子信息；

步骤三、对每个组件及组件对平台安全的影响因子进行循环处理；

步骤四、根据组件ID从组件和域关系表中获得所有域标识及组件安全影响因子；

步骤五、对每组域标识和组件安全影响因子进行循环处理；

步骤六、根据安全域标识从指标数据采集服务项表中获得所有指标服务项及域安全影响因子，计算出域中的每个指标的安全度，单个指标安全度=1-域安全影响因子；

步骤七、计算单个域的安全度，单个域的安全度为该域对应所有指标安全度的最小值；

步骤八、根据每个域的组件安全影响因子计算出域的组件安全影响度，单个域的组件安全影响度=（1-单个域的安全度）×组件安全影响因子；

所有域和域的组件安全影响因子组处理完毕，则进入步骤九，否则重复执行步骤五；

步骤九、计算组件的安全度，组件安全度=1-所有域的组件安全影响度的最大值；

步骤十、根据每个组件的平台安全影响因子计算出组件的平台安全影响度，单个组件平台安全影响度=（1-单个组件的安全度）×平台安全影响因子；

所有组件处理完毕，则进入步骤十一，否则重复执行步骤三；

步骤十一、根据每个组件的平台安全影响度计算出平台的安全度，平台安全度=1-所有组件的平台安全影响度的最大值。

优选的，在大数据平台安全评估定量分析方法中，步骤一中的平台组件表用于定义组成大数据平台中的各个部分，如数据采集、数据存储HDFS、分布计算、实时计算和大数据应用；安全域表用于定义与安全相关的各个类别，如数据安全、传输安全、网络安全、系统安全、应用安全；组件和安全域关系表用于定义大数据组件和安全域之间的关系，即大数据组件的安全度量是由一个或多个安全域的安全度计算而来；域分配安全指标采集服务项表用于对安全域进行细分监测，如包括数据加密、敏感信息脱敏、数据备份与恢复的数据安全域。

本发明的有益效果：

由于本发明通过顺序读取平台组件信息，根据组件ID从组件和安全域关系表获得所有域标识和组件安全影响因子，根据域标识从安全指标服务项列表中获得所有指标服务项及域安全影响因子列表，计算出域的每个指标服务项的安全度，单个指标服务项安全度=1-域安全度影响因子，单个域安全度=MIN（指标服务项1安全度，指标服务项2安全度，….，指标服务项n安全度），再根据每个域的组件安全影响因子计算出域的组件安全影响度，单个域的组件安全影响度=（1-单个域的安全度）×组件安全影响因子，然后计算每个组件的安全度，每个组件安全度=1-max（域1组件安全影响度，域2组件安全影响度，…，域n组件安全影响度），再根据每个组件的平台安全影响因子计算出组件的平台影响度，单组件的平台安全影响度=（1-单个组件的安全度）×平台安全影响因子，最后计算大数据平台的安全度，平台安全度=1-max（组件1安全影响度，组件2安全影响度，…，组件n组件安全影响度），因此，本发明适用于大数据环境下对安全管理的需要，方便安全管理员通过配置的方法灵活实现大数据平台和平台组件，安全域和安全指标服务项之间的对应关系的配置，建立平台各层次之间安全度分析的关联模型，大大地提高了程序的可扩展性和灵活性。

附图说明

下面结合附图和具体实施方式来详细说明本发明：

图1是本发明一种大数据平台安全评估定量分析方法的流程图。

具体实施方式

为了使本发明技术实现的措施、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

图1是本发明一种大数据平台安全评估定量分析方法的流程图。

如图1所示，本发明提供了一种大数据平台安全评估定量分析方法，包括如下步骤：

步骤一、在计算机的数据库内设置业务表，包括平台组件表、安全域表、组件和域关系表、域分配安全指标采集服务项表；

平台组件表用于定义组成大数据平台中的各个部分，如数据采集、数据存储HDFS、分布计算、实时计算和大数据应用；安全域表用于定义与安全相关的各个类别，如数据安全、传输安全、网络安全、系统安全、应用安全；组件和安全域关系表用于定义大数据组件和安全域之间的关系，即大数据组件的安全度量是由一个或多个安全域的安全度计算而来；域分配安全指标采集服务项表用于对安全域进行细分监测，如包括数据加密、敏感信息脱敏、数据备份与恢复等的数据安全域项目；

步骤二、从所述业务表中读取所有组件信息，主要包括组件ID信息，组件名称信息及组件对平台的安全影响因子等；

步骤三、对每个组件和组件对平台安全的影响因子进行循环处理；

步骤四、根据组件ID从组件和域关系表中获得所有域标识和域安全影响因子；

步骤五、对每组域标识和组件安全影响因子进行循环处理；

步骤六、根据安全域标识从指标数据采集服务项表中获得所有指标服务项的安全影响因子，计算出域中的每个指标的安全度，单个指标安全度=1-域安全影响因子；

步骤七、计算单个域的安全度，单个域的安全度为该域对应所有指标安全度的最小值；

步骤八、根据每个域的组件安全影响因子计算出域的组件安全影响度，单个域的组件安全影响度=（1-单个域的安全度）×组件安全影响因子；

所有域和域的组件安全影响因子组处理完毕，则进入步骤九，否则重复执行步骤五；

步骤九、计算组件的安全度，组件安全度=1-所有域的组件安全影响度的最大值；

步骤十、根据每个组件的平台安全影响因子计算出组件的平台安全影响度，单个组件平台安全影响度=（1-单个组件的安全度）×平台安全影响因子；

所有组件处理完毕，则进入步骤十一，否则重复执行步骤三；

步骤十一、根据每个组件的平台安全影响度计算出平台的安全度，平台安全度=1-所有组件的平台安全影响度的最大值。

下面以电信大数据平台的安全监测作为实施例来具体介绍本发明方法的实施流程：

电信大数据平台的安全度取决于平台所包含的HDFS、YARN、HBASE这三个组件的安全影响度，而组件的安全度取决于安全域系统安全、网络安全、数据安全；系统安全的安全影响度取决于系统密码复杂度、密码更换策略、病毒检测、系统漏洞检测；网络安全取决于入侵检测、网络隔离、防火墙；数据安全取决于数据加密、数据脱敏、数据备份。

假设采集到的各个安全指标的状态如表一所示：

表 一

（1）HDFS：

系统安全中的密码复杂度、密码更换策略和病毒检测的状态为正常，因此这三项的安全度=1-0%=100%，系统漏洞监测的状态为异常，其安全度=1-50%=50%；对于系统安全域的安全度=min{100%，100%，100%，50%}=50%，系统安全域对组件的安全影响度=（1-50%）×50%=25%；

网络安全中的入侵检测和网络隔离的状态为正常，因此这两项的安全度=1-0%=100%，防火墙的状态为异常，其安全度=1-40%=60%；对于网络安全域的安全度=min{100%，100%，60%}=60%，网络安全域对组件的安全影响度=（1-60%）×50%=20%；

数据安全中数据加密的状态为异常，其安全度=1-80%=20%，数据脱敏和数据备份状态为正常，两者的安全度=1-0%=100，对于数据安全域的安全度=min{20%，100%，100%}=20%，网络安全域对组件的安全影响度=（1-20%）×80%=64%；

HDFS组件的安全度=1-max（25%，20%，64%）=1-64%=36%；

HDFS组件的平台安全影响度=（1-36%）×80%=51.2%。

（2）YARN：

系统安全中的密码复杂度、病毒检测和系统漏洞的状态为正常，因此这三项的安全度=1-0%=100%，密码更换策略的状态为异常，其安全度=1-30%=70%；对于系统安全域的安全度=min{100%，70%，100%，100%}=70%，系统安全域对组件的安全影响度=（1-70%）×50%=35%；

网络安全中的入侵检测和防火墙的状态为正常，故这两项的安全度=1-0%=100%，网络隔离的状态为异常，其安全度=1-50%=50%；对于网络安全域的安全度=min{100%，100%，50%}=50%，网络安全域对组件的安全影响度=（1-50%）×50%=25%；

数据安全中数据加密的状态为异常，其安全度=1-80%=20%，数据脱敏和数据备份状态为正常，两者的安全度=1-0%=100%，对于数据安全域的安全度=min{20%，100%，100%}=20%，网络安全域对组件的安全影响度=（1-20%）×50%=40%；

YARN组件的安全度=1-max（35%，25%，40%）=1-40%=60%；

YARN组件的平台安全影响度=（1-60%）*60%=24%。

（3）HBASE：

系统安全中的密码复杂度、密码更换策略和系统漏洞的状态为正常，因此这三项的安全度=1-0%=100%，病毒检测的状态为异常，其安全度=1-50%=50%；对于系统安全域的安全度=min{100%，100%，50%，100%}=50%，系统安全域对组件的安全影响度=（1-50%）×60%=30%。

网络安全中的入侵检测和网络隔离的状态为正常，因此这两项的安全度=1-0%=100%，防火墙的状态为异常，其安全度=1-50%=50%；对于网络安全域的安全度=min{100%，100%，50%}=50%，网络安全域对组件的安全影响度=（1-50%）×50%=25%；

数据安全中数据加密的状态为异常，其安全度=1-40%=60%，数据脱敏和数据备份状态为正常，两者的安全度=1-0%=100%，对于数据安全域的安全度=min{60%，100%，100%}=60%，网络安全域对组件的安全影响度=（1-60%）*50%=20%；

HBASE组件的安全度=1-max（30%，25%，20%）=1-30%=70%；

HBASE组件的平台安全影响度=（1-70%）×60%=18%；

因此，大数据平台的安全度=1-max（51.2%,24%,18%）=1-51.2%=48.8%。

由于本发明通过顺序读取平台组件信息，根据组件ID从组件和安全域关系表获得所有域标识和组件安全影响因子，根据域标识从安全指标服务项列表中获得所有指标服务项及域安全影响因子列表，计算出域的每个指标服务项的安全度，单个指标服务项安全度=1-域安全影响因子，单个域安全度=MIN（指标服务项1安全度，指标服务项2安全度，….，指标服务项n安全度），再根据每个域的组件安全影响因子计算出域的组件影响度，单个域的组件安全影响度=（1-单个域的安全度）×组件安全影响因子，然后计算每个组件的安全度，每个组件安全度=1-max（域1组件安全影响度，域2组件安全影响度，…，域n组件安全影响度），再根据每个组件的平台安全影响因子计算出组件的平台影响度，单组件的平台安全影响度=（1-单个组件的安全度）×平台安全影响因子，最后计算大数据平台的安全度，平台安全度=1-max（组件1安全影响度，组件2安全影响度，…，组件n组件安全影响度）。

本发明适用于大数据环境下对安全管理的需要，方便安全管理员通过配置的方法灵活实现大数据平台和平台组件，安全域和安全指标服务项之间的对应关系的配置，建立平台各层次之间安全度分析的关联模型，大大地提高了程序的可扩展性和灵活性。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等同物界定。