《YD T 40582023电信网和互联网安全防护基线配置要求和检测要求大数据组件.docx》由会员分享,可在线阅读,更多相关《YD T 40582023电信网和互联网安全防护基线配置要求和检测要求大数据组件.docx(63页珍藏版)》请在第一文库网上搜索。
1、!CS35.030CCS107YD中华人民共和国通信行业标准YD/T40582023电信网和互联网安全防护基线配置要求和检测要求大数据组件Base1ineRequirementsofSecurityConfigurationforTe1ecomNehvorkandInternet-BigDataComponents2023-04-08发布2023-07-01实施中华人民共和国工业和信息化部发布目次的言II1范围12规苑性引用文件”13术iS和定义14缩略责25大数据平台组件安全基线规葩技术配置要求25.1 基本架构25.2 基本要求35.3 安全控制点55.4 大数据采集组件安全配置要求I15
2、.5 大数据处理组件安全配置要求155.6 大数据存储组件安全配置要求405.7 基础设施和网络系统安全延国基线要求59参考文献“60-XjU-J刖本文件按照GBfr1.1-2023标准化工作导则第I部分:标准化文件的结构和起草规则的规定起草.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的贵任。本文件由中国通信标准化协会提出并归口.本文件起草单位:中国信息通信研究院、上海观安信息技术股份行限公司、深信服科技股份有限公司、中国移动通信集团有限公司、中国电信集团有限公司、中国联合网络通信集团有限公司。本文件主要起草人:赵相林、刘明辉、朴鸿国、戴荣鑫、谢江、曾志峰、江为强、
3、王湘清、孙艺、徐枳森、普京、陈港、魏亮.电信网和互联网安全防护基线配置要求和检测要求大数据组件1范围本文件规定了电信网和互联网中所使用大数据服务在安全配置方面的珞本要求及检测要求,特别是大数据采集组件(如Kafka、FhImC等)、大数据处理组件(如SPark、HiVC等)、大数据存储组件(如Hbasc,HdfS等)及其展础设施、网络系统在安全配置方面的基本要求及检测要求.本文件适用于使用大数据采集组件、大数据处理组件、大数据存储组件的大数据平台.2规范性引用文件下列文件中的内容劭过文中的规范性9用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引
4、用文件,其出新版本(包括所有的修改单)适用于本文件.YDr2698-2OI4电信网和互联网安全防护基线配置要求及校测要求网络设备YDfT2699-2014电信网和互联网安全防护基线配置要求及枪测要求安全设备YD/T2700-2014电信网和互联网安全防护基线配置要求及检测要求数据库YD2701-2014电信网和互联网安全防护基线置要求及检测要求操作系统YD/T2702-2014电信网和互联网安全防护基线配置要求及检测要求中间件YDfT2703-2014电信网和互联网安全防护基线配置要求及检测要求WEB应用系统YDfF3157-2016公行云服务安全防护要求3术语和定义GB/T5271.8-20
5、01界定的以及下列术喑和定义适用于本文件.3.1大数据服务bigdatasen,icc粮养数据生命周期、支掠机构大数据管理和数据价值发现的多种数据活动的一种数据服务.3.2组件component对数据和方法的筒单封装。4缩略语下列缩略语适用于本文件。AC1访问控制列表AccessContro11istC1I命令行界面Command-1ineInterfaceGUI图形用户界面Graphica1UserInterface5大数据平台组件安全基战规范技术配置要求由于版本不同,配置操作有所不同,本文件以如下为例(对未在本文件中列举的大数据组件,应参照本章节基本架构、基本要求和安全控制点相关要求),给
6、出配置操作要求:Kafka适用于0.9.0及以上版木;F1ume适用于1.6.0及以上版本:Yam适用于271及以上版本;Maprcducc适用于1.0/2.0及以上版本:Spark适用于271及以上版本:Hivc适用于1.1.0及以上版本:,Storm适用于0.9.2及以上版本:ZKccpcr适用于350及以上版本;Impa1a适用于2.0及以上版本:Hbasc适用于1.0.0及以上版本:Hdfis适用于2.71及以上版本:Rcdis适用于3.0.5及以上版本.5.1基本架构5.1.1基本安全架构大数据平台特行组件及其技术安全要求,详见表1表1基本安全要求基本安殂件安全认证、访问控制、授权、
7、市计、H小化、版本更新、数据安全等全要求安全U标可信任、可用性、可追溯、保密性、健壮性5.1.2安全控制点架构根据组件及共安全要求设定8个安全控制点:集群管理、身份认证、访问控制、数据保护、日志市计、多租户安全、版本及补丁管理、默认路径.5.1.3组件安全架构从采集、存储、处理功能组件维度指导构隹大数据平台安全展线规他,详见表2表2组件分类采集组件KafkaF1umc处理组件Yam&MapreduceSparkI1ivcStormZookeeperImpa1a存储组件MPPHbascHdnSRcdis5.2基本要求5.2.1 组件安全要求5.2.1.1 采集组件采集组件满足如下要求:1)组件应
8、开启身份认证箱略,保证不被匿名访问:2)访问控制策略应进行严格配翼,防止未授权访问造成严般影响:3)应对其运行状态及用户行为等进行日志记录和审计,以对安全事件进行分析与追踪,同时确保日志文件授权用户的权限At小化:4)应对其客户端及服务端的也要归置文件进行加密,避免泄露明文密码信息:5)应及时进行补丁更新,确保集群软件的已知漏洞得到及时修复.5.2.1.2处理组件处理组件满足如下要求:I)组件应开启身份认证策略,保证不被匿名访问;2)账号权限应严格控制.防止未授权访问造成严率影响:3)组件运行权限需最小化,避免程序安全风险导致的更大影响:4)应仅开启业务需要的服务和端口,谶少暴露面:5)应设巴
9、服务连接数限制:6)应配用组件任务访问控制策略,仅允许指定的用户或组卜处理、管理或修改大数据处理任务:7)应对其运行状态及用户行为等进行日志记录和审计,以对安全事件进行分析与追踪:8)应对日志文件、日志目录进行班小化授权,避免不必要的信息泄露:9)应以租户为单位进行资源计划和分配,对租户资源使用进行监控,确保租户之间的资源隔离策略生效;10)应配置数据处理过程中的数据传输加密策略;11)应及时进行补丁更新,确保集群软件的已知淞洞得到及时修友.5.2.1.3存储组件存储组件满足如下要求:I)组件应开启身份认证策略,保证不被匿名访问:2)应配置组件AC1功能、设置用户认证策略,防范身份仿冒风险;3
10、)应设置服务连接数限制;4)应设置组件访问权限和程序运行权限的被小化,避免程序安全风险导致的更大影响:5)应对其运行状态及用户行为等进行日志记录和审计,以对安全事件进行分析与追踪:6)应对日志文件、日志目录进行最小化授权,避免不必要的信息泄露:7)遵从股务最小化原则,关闭不必要的服务及相关端口,减少安全危险举JS面:8)应保证存储组件上不同租户之间的资源隔离;9)应时WCbHDFS的安全性进行加固,开启身份认证授权并进行权限检行:I0)应根据业务需要,配置高危命令禁止功能:II)应对存储组件的数据存储、传输实施加密配5S,防范信息泄露:I2)应用服务应定期检我版本状态并及时进行补丁修复.5.2
11、.2技术安全要求5.2.2.1 可信任使用技术手段及安全间置,实现用户身份鉴权的可轼性及唯一性,访问权限设凭的细粒度及最小化,限制非法用户的登录及越权访问行为,保证大数据平台能被合法用户合规的进行使用.涉及安全控制点:身份认证、访问控制.52.2.2 可用性为保证大数据平台各类应用服务的持续可用,在组件节点出现故障时保持服务的连续性,在系统出现安全风险时能够及时修灾.故应在大数据平台搭建时,对负载均衡及容灾措施进行相关配置,同时对应用版本进行及时的更新及补丁修复。涉及安全控制点;集群管理.52.2.3 3可追溯对分布在大数据平台各类设备、应用组件上的用户登录行为、数据访问行为、配置操作行为、设
12、备状态等日志信息进行采集、分析及处理,实现对各类事件的审计及关联分析,从而发现险藏的安全事件并进行追踪溯源.涉及安全控制点:日志审计.52.2.4 4保密性大数据平台应针对数据在采集、存储、计算、共享等各流程环节,采用相关的安全配置及技术要求,确保数据在各类流转过程中不被恶意伪取和泄露,保证数据安全.52.2.5 健壮性大数据平台应采取必要的技术手段及安全管理办法,确保平台能弱对己知的安全风险进行及时修复,对突发的安全问题进行实时处理,满足大数据平台能翎安全稳定运行的要求。涉及安全控制点:版本与补丁管理.5.3安全控制点5.3.1 集群管理大数据平台由各类组件集合而成,相同组件之间及不同组件之
13、间都需要进行集群管理,包括运行管理、状态监控、故障诊断,线性扩展等,J1体要求详见表3.表3集群管理检查要求检查项分类检查项组件管理.能够增加、删除受控大数据组件,实现软件的口动化邮於、却我傕够实现组件的扩容和缩M住弊实现对组件的不同角色进行调整运行管理能够对大8据组件整体进行月动、停止、近白等掾作能鲂科大数据组件某个节点或,角色迸行启动.停止、吸后等操作傕够根据大数据的组件特征.提供对应的管理操作,如HA切换.数据均衡等状态监控他岬而集擀的硬件提供全面的监控,包括CPU.内存、存储空间.网络连接状态等值息能第对大数据组件的运行状6提供全面的赛控能够对大数据组件相关性能提供全面的监控通过开源工
14、具或白班,建立不断完善的监控初步警系统监控所行节点的健康状态和宕机事件,发生故障时及时发送告警给责任人及需份责任人监控所有关健州件的健发状态,Ibiyarnrm.HDFSNN等,发生故障时及时发送竹警给贵任人及招份费任人监控正点作业的运行状态,发生任务超时或异常退出,失去响应等故障时,及时发送告警给黄任人及笛份诚任人监控所有节点的资源使用情况,可以防时代询检查项分类检查项系统告警能第对集科各类硬件监控俏息迸行告警能鲂对大数据组件的运行状态送行告傕婚时大数据组件监控指标提供珞T国假的告警统计报表他第对集群各类硬件监控信息迸行报表统计他弊对大数据组件各类性能监控信息迸行报表统计VftKW能够财大数据组件提供叁数代询和修设功使能弊提供参数视信息集群内同步功能能鲂提供参数备份和恢复功能快速玲断钟理系统应提供快速的冷断工具,初助用户快速准确、及时有效地找到故障的根本犀因良好Ir展管理系统来用趋;微内核的软件体系结构,丈现模块.插件的生命周期动态管理,可n有R好的可扩展、可维护性,支持模块级升级功能.支持动态在我升级功能5.3.2 身份认证身份认证是用来检脸生体的身份,所有发起到大数据集群的服务访问都需要经过身份认证,以确保大数据集群不会被非法用户访问。身份认证过程中,除了要验证访问主体的账户,访问主体还需要提供进一步的凭证,这些凭证可以是用户所知的、用户所拥有的或
免费区 
