金融科技&大數(shù)據(jù)產(chǎn)品推薦：BIGDAF——專業(yè)的Hadoop大數(shù)據(jù)安全防火墻

金融科技大數(shù)據(jù) BIGDAF Hadoop 安全防火墻

觀數(shù)科技 | 2017-10-18 07:57

【數(shù)據(jù)猿導(dǎo)讀】 BIGDAF是國內(nèi)第一個(gè)網(wǎng)關(guān)級(jí)Hadoop大數(shù)據(jù)安全防火墻，也是目前唯一通過公安部認(rèn)證的Hadoop安全防護(hù)產(chǎn)品，具備“軟件-硬件-云”多樣化產(chǎn)品形態(tài)

金融科技&大數(shù)據(jù)產(chǎn)品推薦：BIGDAF——專業(yè)的Hadoop大數(shù)據(jù)安全防火墻

本產(chǎn)品為數(shù)據(jù)猿推出的“金融科技價(jià)值—數(shù)據(jù)驅(qū)動(dòng)金融商業(yè)裂變”大型主題策劃活動(dòng)（查看詳情）第一部分的文章/案例/產(chǎn)品征集部分；感謝 觀數(shù)科技 的產(chǎn)品投遞

1、產(chǎn)品名稱

BIGDAF

2、所屬分類

金融科技·大數(shù)據(jù)安全

3、產(chǎn)品介紹

BIGDAF（Big Data Application Firewall）是國內(nèi)第一個(gè)網(wǎng)關(guān)級(jí)Hadoop大數(shù)據(jù)安全防火墻，也是目前唯一通過公安部認(rèn)證的Hadoop安全防護(hù)產(chǎn)品，具備“軟件-硬件-云”多樣化產(chǎn)品形態(tài)。

BIGDAF由網(wǎng)管代理Gateway、管理后臺(tái)Admin、插件三部分組成。網(wǎng)管代理Gateway等于在物理隔離區(qū)和公共區(qū)有一個(gè)橋梁，分析師必須通過身份驗(yàn)證后才能提交相關(guān)數(shù)據(jù)或分析任務(wù)；管理后臺(tái)Admin主要配置相應(yīng)的用戶和權(quán)限，采取圖形界面，不需要進(jìn)行代碼級(jí)操作；插件主要是對(duì)用戶資源設(shè)置不同的權(quán)限。

三個(gè)部分合在一起，形成一個(gè)完整的大數(shù)據(jù)應(yīng)用安全管控與防護(hù)平臺(tái)。其核心能力包括用戶管理、角色管理、權(quán)限管理、操作行為管控、任務(wù)管控、基線檢測與漏洞掃描等。兼容各主流大數(shù)據(jù)平臺(tái)版本，為銀行、金融機(jī)構(gòu)提供底層的安全防護(hù)能力。

4、應(yīng)用場景／人群

包括大數(shù)據(jù)安全管理人員、大數(shù)據(jù)平臺(tái)架構(gòu)負(fù)責(zé)人等。

BIGDAF的安全防護(hù)能力橫向覆蓋銀行、金融機(jī)構(gòu)大數(shù)據(jù)平臺(tái)的各個(gè)組件，以及平臺(tái)可能對(duì)接的各類系統(tǒng)，縱向覆蓋大數(shù)據(jù)的整個(gè)生命周期。從內(nèi)到外構(gòu)成一個(gè)分層的安全管控體系，做到事前可管、事中可控、事后可查。具體應(yīng)用場景包括：

大數(shù)據(jù)平臺(tái)的邊界安全：銀行、金融機(jī)構(gòu)的數(shù)據(jù)敏感度、機(jī)密性很高，而大數(shù)據(jù)系統(tǒng)漏洞導(dǎo)致的入侵、拖庫、接口攻擊，以及內(nèi)部合作或第三方通過接口調(diào)用數(shù)據(jù)，都有可能導(dǎo)致數(shù)據(jù)泄露。BIGDAF等于在物理隔離區(qū)和公共區(qū)設(shè)置一個(gè)邊界，所有人都必須通過身份驗(yàn)證后才能提交相關(guān)數(shù)據(jù)或分析任務(wù)，這就從源頭上避免數(shù)據(jù)泄露所導(dǎo)致的安全問責(zé)。

大數(shù)據(jù)平臺(tái)的權(quán)限管理：金融銀行機(jī)構(gòu)由于權(quán)限控制缺乏體系，普遍存在越權(quán)訪問、操作問題；服務(wù)器漏洞組件、常規(guī)型漏洞（如SQL諸如、存儲(chǔ)XSS）升級(jí)修補(bǔ)都不及時(shí)，容易被攻擊者侵入篡改數(shù)據(jù)；BIGDAF設(shè)置了嚴(yán)格的訪問權(quán)限，從內(nèi)到外，保護(hù)大數(shù)據(jù)資產(chǎn)的安全。

大數(shù)據(jù)平臺(tái)的安全體系：很多銀行、金融機(jī)構(gòu)的安全體系化建設(shè)停留在紙面，為應(yīng)對(duì)監(jiān)管或安全檢查，僅定期做安全測試。很多新發(fā)布的業(yè)務(wù)需求，未及時(shí)經(jīng)過安全把關(guān)。BIGDAF形成一整套的安全解決方案，通過簡易操作即可實(shí)現(xiàn)基線檢測、漏洞掃描，提高大數(shù)據(jù)平臺(tái)的安全防護(hù)能力。。

5、產(chǎn)品功能

BIGDAF的主要功能包括賬戶及認(rèn)證管理、授權(quán)和訪問控制、任務(wù)沙箱及多租戶、數(shù)據(jù)安全、漏洞掃描、基線檢查、監(jiān)控、審計(jì)等。

賬戶及認(rèn)證管理。BIGDAF繼承并接管Hadoop原生賬戶，完全重構(gòu)了一套權(quán)限機(jī)制，技術(shù)上采用身份認(rèn)證、多因素身份鑒別、網(wǎng)絡(luò)控制、登錄控制登措施，所有人必須通過身份認(rèn)證后才能提交相關(guān)數(shù)據(jù)或分析任務(wù)。

授權(quán)和訪問控制。針對(duì)大數(shù)據(jù)平臺(tái)上的幾乎所有組件進(jìn)行單獨(dú)授權(quán)管理（HDFS、Hbase、Strom、Knox、solr、Kafka）。實(shí)現(xiàn)了多種安全模型，包括符合國家等級(jí)保護(hù)制度的自主訪問控制模型（DAC）、強(qiáng)制訪問控制模型（MAC）、基于角色訪問控制（RBAC）以及基于任務(wù)的訪問控制（TBAC）。

任務(wù)沙箱及多租戶。可通過沙箱預(yù)執(zhí)行，判斷訪問資源是否越權(quán)；通過后臺(tái)管理可以查看歷史任務(wù)，給每個(gè)用戶對(duì)應(yīng)的使用資源，實(shí)現(xiàn)多租戶的功能。

數(shù)據(jù)安全。包括數(shù)據(jù)脫敏和數(shù)據(jù)加密。BIGDAF可以根據(jù)需求對(duì)敏感區(qū)域進(jìn)行，替換、重排、加密、截?cái)唷⒀诖a；數(shù)據(jù)加密，BIGDAF的Gateway是https的通信加密方式，同時(shí)也支持kerberos、KMS的加密。

漏洞掃描。基于對(duì)大數(shù)據(jù)的漏洞研究，提煉出漏洞特征，形成大數(shù)據(jù)漏洞掃描功能，可以對(duì)大數(shù)據(jù)平臺(tái)組件進(jìn)行安全檢測，針對(duì)大數(shù)據(jù)環(huán)境各個(gè)組件進(jìn)行事前安全掃描，及時(shí)了解大數(shù)據(jù)環(huán)境的安全狀態(tài)及安全隱患。

基線檢測。針對(duì)大數(shù)據(jù)環(huán)境的各個(gè)組件進(jìn)行安全配置合規(guī)性檢查，覆蓋大數(shù)據(jù)平臺(tái)的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)處理層、數(shù)據(jù)采集層、數(shù)據(jù)存儲(chǔ)層等各層級(jí)系統(tǒng)結(jié)構(gòu)。

監(jiān)控。對(duì)大數(shù)據(jù)環(huán)境中組件節(jié)點(diǎn)狀態(tài)、資源的使用情況進(jìn)行監(jiān)控展示，包括節(jié)點(diǎn)正常運(yùn)行時(shí)間、節(jié)點(diǎn)存活狀態(tài)和內(nèi)存、CPU、硬盤的使用情況；可設(shè)置預(yù)警值，當(dāng)資源緊張時(shí)報(bào)警。

審計(jì)。將主客體的訪問形成詳細(xì)日志，包含用戶名、IP、操作、資源、訪問類型、時(shí)間、授權(quán)結(jié)果?？梢愿鶕?jù)用戶、時(shí)間、認(rèn)證結(jié)果進(jìn)行篩選分析，做到事中監(jiān)控、事后審計(jì)，追溯安全事件。

6、產(chǎn)品優(yōu)勢

易于部署。大數(shù)據(jù)平臺(tái)有大量的組件和集群節(jié)點(diǎn)，各個(gè)組件的功能作用不同。BIGDAF支持跨平臺(tái)運(yùn)行，通過簡單修改配置文件即可運(yùn)行。

更全面的訪問控制安全模型。BIGDAF針對(duì)金融、銀行業(yè)大數(shù)據(jù)平臺(tái)的復(fù)雜特顯，實(shí)現(xiàn)了多種安全模型，包括自主訪問控制模型（DAC）、強(qiáng)制訪問控制模型（MAC）、基于角色訪問控制（RBAC）、基于任務(wù)的訪問控制（TBAC）。

定制化、自動(dòng)化的漏洞掃描與基線檢測。目前在大數(shù)據(jù)平臺(tái)組件的基礎(chǔ)安全方面，安全漏洞檢測和基線檢查更多的還是依靠手工，沒有一個(gè)定制化的自動(dòng)化解決方案?；谟^數(shù)團(tuán)隊(duì)十余年的檢測經(jīng)驗(yàn)，以及CVE漏洞特征，BIGDAF能夠?qū)崿F(xiàn)大數(shù)據(jù)組件的自動(dòng)化漏洞掃描和自動(dòng)檢測功能。

文件訪問控制粒度更細(xì)致。BIGDAF對(duì)于Hadoop平臺(tái)組件HDFS、Hbase、Hive等能夠做到細(xì)粒度的訪問控制。Hbase方面，可以達(dá)到基于列簇及列的訪問控制。Hive可以針對(duì)數(shù)據(jù)庫、表、字段進(jìn)行細(xì)粒度的訪問控制。

不存在性能瓶頸。BIGDAF并不轉(zhuǎn)發(fā)流量，ACL與審計(jì)只針對(duì)主客體訪問行為，幾乎沒有性能消耗。而并連模式支持多機(jī)高可用方案，不會(huì)存在性能瓶頸。

良好的兼容性。BIGDAF采用非侵入式技術(shù)，獨(dú)立于Hadoop系統(tǒng)之外的防護(hù)體系，因此對(duì)通用版、發(fā)行版都具有良好的兼容性。

安全性。BIGDAF為獨(dú)立體系，無法從Hadoop上配置BIGDAF的安全策略，可形式化語言驗(yàn)證的多種安全模型，配置、日志可備份保存，格式加密，后臺(tái)防破解，全程SSL加密。

7、服務(wù)客戶／使用人數(shù)

目前服務(wù)客戶百余家，其中包括銀行、金融、保險(xiǎn)、運(yùn)營商等政企單位。

8、市場價(jià)值

作為國內(nèi)第一個(gè)大數(shù)據(jù)安全解決方案提供商，觀數(shù)的理念就是“防風(fēng)險(xiǎn)、護(hù)業(yè)務(wù)、保價(jià)值”。大數(shù)據(jù)資產(chǎn)是金融、銀行機(jī)構(gòu)創(chuàng)新發(fā)展和轉(zhuǎn)型突破的戰(zhàn)略性資源。確保其安全性，不僅是業(yè)務(wù)層面的要求，也事關(guān)個(gè)人、機(jī)構(gòu)主體和國家利益。

但就目前而言，國內(nèi)還沒有成熟的大數(shù)據(jù)安全解決方案。BIGDAF的部署可以為銀行、金融機(jī)構(gòu)減少安全隱患，避免重要數(shù)據(jù)的流失，及時(shí)發(fā)現(xiàn)攻擊，避免潛在的安全事件出來以后的安全問責(zé)。

BIGDAF的價(jià)值就在于，實(shí)現(xiàn)賬戶的集中管理，對(duì)大數(shù)據(jù)平臺(tái)所有操作者身份的合法性檢查；靈活的權(quán)限管控體系，對(duì)用戶使用大數(shù)據(jù)平臺(tái)資源的具體情況進(jìn)行合理分配；統(tǒng)一的日志信息管控，實(shí)現(xiàn)對(duì)安全事件的預(yù)警、響應(yīng)、追因、追責(zé)；針對(duì)大數(shù)據(jù)環(huán)境的各個(gè)組件進(jìn)行基線檢測和漏洞掃描，實(shí)現(xiàn)事前預(yù)警、事中監(jiān)控、事后可查。

BIGDAF致力于為銀行、金融機(jī)構(gòu)的大數(shù)據(jù)平臺(tái)提供底層的防護(hù)能力，希望通過案例推動(dòng)國內(nèi)大數(shù)據(jù)安全的標(biāo)準(zhǔn)建立。

9、產(chǎn)品地址

http://www.databps.com/index.html

10、所屬企業(yè)

北京觀數(shù)科技有限公司

11、企業(yè)介紹

北京觀數(shù)科技有限公司，總部在北京，貴陽設(shè)有分公司，是國內(nèi)第一個(gè)Hadoop大數(shù)據(jù)安全解決方案的提供商。2017年，觀數(shù)科技被認(rèn)定為“國家級(jí)高新技術(shù)企業(yè)”。自主研發(fā)的產(chǎn)品BIGDAF是國內(nèi)首個(gè)獲得公安部認(rèn)證的Hadoop安全防護(hù)產(chǎn)品，具備完整的“軟件—硬件—云”多樣化產(chǎn)品形態(tài)。目前產(chǎn)品已經(jīng)逐步覆蓋大數(shù)據(jù)中的多個(gè)應(yīng)用組件，在大數(shù)據(jù)生命周期中的各個(gè)環(huán)節(jié)，為客戶提供安全防護(hù)能力。

觀數(shù)科技已與多個(gè)行業(yè)集成商、大數(shù)據(jù)基礎(chǔ)軟件發(fā)行商深度合作，從產(chǎn)品、方案、服務(wù)等多個(gè)維度進(jìn)行融合，形成了多項(xiàng)創(chuàng)新成果，既提高了合作方在大數(shù)據(jù)上的安全防護(hù)能力，也為其帶來了新的競爭力和贏利點(diǎn)。除此之外，觀數(shù)科技還在“數(shù)谷”貴陽與高校和科研院所開展深度合作，承擔(dān)大數(shù)據(jù)安全相關(guān)科研項(xiàng)目，并參與起草貴州省地方大數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)制定。

觀數(shù)科技雖然是一家新創(chuàng)企業(yè)，但核心團(tuán)隊(duì)均擁有超過10年以上的信息安全從業(yè)經(jīng)驗(yàn)，是目前國內(nèi)唯一擁有完全自主可控、并能提供本土化安全防護(hù)產(chǎn)品的高新技術(shù)企業(yè)。未來我們將為更多的政企客戶提供“缺失的”的大數(shù)據(jù)底層保護(hù)能力，提高其防護(hù)的力度和精度。

作為整體活動(dòng)的第二部分，2017年10月25日，數(shù)據(jù)猿還將在北京舉辦千人規(guī)模的“2017金融科技價(jià)值——數(shù)據(jù)驅(qū)動(dòng)金融商業(yè)裂變”峰會(huì)【本次論壇詳情丨第一屆回顧丨第二屆回顧】并將在現(xiàn)場舉行文章、案例、產(chǎn)品的頒獎(jiǎng)典禮。

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會(huì)注明來源與作者；轉(zhuǎn)載我們?cè)瓌?chuàng)內(nèi)容時(shí)，也請(qǐng)務(wù)必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會(huì)受到數(shù)據(jù)猿追責(zé)。