一,、引言：

　　最近一直很忙,，在做一個(gè)全國(guó)性項(xiàng)目的IT架構(gòu)，所以一直沒(méi)有更新,，好在算是告一段落,，繼續(xù)努力吧。項(xiàng)目溝通中過(guò)程客戶反復(fù)在強(qiáng)調(diào),，大數(shù)據(jù)的安全性,，言下之意，用了大數(shù)據(jù),，就不安全了,，就有漏洞了,。所以花了些時(shí)間，針對(duì)大數(shù)據(jù)的安全設(shè)計(jì)做了一個(gè)總結(jié),，算是階段性的成果吧,，分享給大家。

二,、安全架構(gòu)

　　大數(shù)據(jù)安全架構(gòu)主要從六個(gè)方面考慮,，包括物理安全、系統(tǒng)安全,、網(wǎng)絡(luò)安全,、應(yīng)用安全、數(shù)據(jù)安全和管理安全六個(gè)維度,。物理安全強(qiáng)調(diào)物理硬件的國(guó)產(chǎn)化,，避免類(lèi)似美國(guó)轟炸伊拉克悲劇的重演，這也算是一個(gè)國(guó)家戰(zhàn)略的產(chǎn)物,，雖未正式立法,，但是類(lèi)似IBM小機(jī)之類(lèi)的東西是要盡可能屏蔽掉的；系統(tǒng)安全強(qiáng)調(diào)操作系統(tǒng)的開(kāi)源化,，畢竟Windows8也已經(jīng)被正式踢出政府采購(gòu)名單了,；網(wǎng)絡(luò)安全包括設(shè)備安全和部署安全兩個(gè)層面上的內(nèi)容，美國(guó)人不用華為,，同樣中國(guó)人不會(huì)用思科,；應(yīng)用安全則重點(diǎn)考慮統(tǒng)一認(rèn)證和分級(jí)授權(quán)，看該看的,，訪問(wèn)該訪問(wèn)的則是一個(gè)基本原則,；數(shù)據(jù)安全從數(shù)據(jù)存儲(chǔ)、訪問(wèn)和傳輸三個(gè)方面保障,，這也是一個(gè)重點(diǎn),；管理安全強(qiáng)調(diào)的是規(guī)章和規(guī)范。

三,、服務(wù)器安全機(jī)制

　　Hadoop本身的安全機(jī)制弱爆了,，因此必須考慮集成Kerberos認(rèn)證機(jī)制，服務(wù)器安全的設(shè)計(jì)主要考慮三個(gè)方面,，如下圖所示：

四,、數(shù)據(jù)安全策略

數(shù)據(jù)安全策略從技術(shù)和規(guī)則兩個(gè)方面加以控制，大數(shù)據(jù)底層技術(shù)所不支持的安全機(jī)制,，則需要集成其他技術(shù)框架進(jìn)行解決,。重點(diǎn)考慮以上幾個(gè)因素。