一、项目背景及客户痛点
数据安全建设中需加强中大数据平台安全防护能力,增强数据防护水平,提高数据安全审计要求,但数据安全在日志审计和数据隐私方面仍然存在一些突出的问题,主要表现在以下几方面:
(1)目前大数据分析平台中应用系统的审计功能分散,不统一,存在审计数据孤岛;
(2)大数据平台的应用系统重要性程度高,存在大量敏感数据,传统审计系统是中心化系统,存在数据被篡改的风险及无法确权的问题;
(3)传统审计系统追查取证效率低,存在各方抵赖,出现问题后追溯难。
(4)数据敏感传输风险,在业务协同过程存在数据泄露风险,隐私保护能力较弱
(5)数据在共享使用过程中缺乏有效管控手段
二、建设目标
以大数据安全和隐私保护需求为主线,结合区块链技术构建数据安全的区块链日志审计和隐私保护系统,实现大数据中心的数据安全防护,防止敏感数据泄露,并实现数据全生命周期操作记录的区块链登记,实现审计数据的不可篡改、不可否认及可追溯,结合区块链的隐私保护技术,有效降低大数据中心的数据泄露风险,提高大数据中心的数据安全防护能力。
三、建设内容
采用区块链技术构建大数据安全管控系统,实现大数据中心应用系统及数据共享访问的操作记录保存到区块链中,对数据传输过程进行数据加密,有效防止敏感数据泄露,并对重要数据的共享实现可追溯、对数据的操作记录的不可否认。建设主要内容包括:
(1)利用区块链技术构建大数据中心应用系统的审计联盟链,实现统一的数据安全的区块链审计系统,实现对大数据中心应用系统的安全审计。
(2)该联盟链网络中接入4A系统,采用与大数据中心的用户登录访问体系一样的数据证书进行操作访问记录登记到区块链中;
(3)大数据中心应用系统的操作记录上链,包括资源的使用情况记录、用户登录及操作行为记录、系统配置修改记录等登记到区块链中;
(4)大数据中心在数据共享访问过程中对访问记录进行数据签名后登记到区块链中
(5)使用区块链平台自带的CA管理系统颁布数字证书,用于大数据中心应用系统、数据共享平台安全访问区块链平台,确保审计记录上链的合法性;
(6)数据安全的审计监管,作为审计节点接入审计联盟链,实现对大数据中心的各系统的统一安全审计,在安全事件中进行审计追溯。
(7)智能合约中结合同态加密服务组件,设计数据安全使用模型,实现重要敏感数据可用不可见。
四、总体架构
·审计智能合约利用时间戳、智能合约服务及账本实现数据安全的安全审计相关数据在区块链中的自动处理和运转。
·审计区块链受理登记,实现大数据平台中应用系统功能的审计记录统一登记到区块链的登记功能,并实现大数据平台中对外数据共享访问的审计记录登记到区块链的登记功能,包括消息队列模块、数据安全模块、智能合约登记模块、区块链信息查询模块及登记配置模块。
·区块链可视化管理实现区块链技术平台相关信息的展示,比如运行状态、智能合约、区块信息、账本信息等直观可视,从而实现区块链技术平台的监控。
·大数据安全管控应用作为区块链的节点接入区块链,访问区块链中的安全审计记录、数据安全模块实现各信息化系统的统一安全审计应用以及隐私保护功能,包括隐私保护模块、数据加密模块、操作行为审计、重要安全事件审计及审计分析、审计记录数字签名、审计综合展示、审计报告下载、审计策略、邮件告警、自身审计功能、审计记录追溯等。
五、达到效果
该系统在深圳市某区的大数据中心(二期)项目中落地运行两年,有效地解决审计功能分散、敏感数据泄露风险、传统审计系统追查取证效率低等问题,在大数据平台的数据安全审计方面融合区块链技术,充分发挥区块链技术特长,利用分布式存储提高审计数据安全性和抗毁性,通过共识机制的审计记录存储到区块链中,实现数据不可篡改,利用可追溯提高安全审计的能力,同时采用密码学技术保证了数据安全性和不可否认。结合区块链技术这些特点,搭建大数据安全的联盟链,建设统一数据安全的区块链管控系统,实现对大数据平台中各数据安全保障。
目前大数据平台的安全管控(区块链)系统的支撑记录日志的用户规模在5000+,日均审计操作日志200000条,对大数据平台的各类工作人员的的70种操作行为进行监管,同时针对数据共享、敏感数据访问、数据高级分析功能访问记录等接入进行审计日志上链存证,基于区块链技术构建了的统一的安全审计系统,符合国家《信息系统安全等级保护管理办法》的信息安全要求,满足《GB/T39786-2021信息安全技术信息系统密码应用基本要求》,为智慧城市建设的安全防护保驾护航。
