技術領域

本發明涉及大數據安全領域，尤其涉及一種訪問大數據系統的方法及系統。

背景技術

大數據和云計算在全球掀起研究熱潮，在大力推廣大數據和云計算的過程中，大數據安全成為首要攻克的關鍵。目前針對大數據系統的安全防護基本采用傳統的方式：訪問大數據系統使用SSH工具通過4A的堡壘機進行，數據安全依賴命令和金庫的訪問控制。然而，大數據系統存在多個訪問途徑。比如：除了SSH外，還可以通過大數據系統所提供的API訪問。此時傳統堡壘機方式對于API訪問數據時無法起到防護作用。由此可見，現有技術在大數據安全防護方面存在技術漏洞，如何提高大數據的安全性值得深入探討。

此外，針對大數據的日志記錄存在信息不完整的情況，有些系統為了精簡存儲空間或者對業務的過分偏重，日志中往往缺少用戶訪問記錄。事實上，該信息也屬于大數據安全的重點保護內容，用戶行為記錄中包含了大量潛在信息，也能暴露一些系統存在的安全隱患，如何對用戶行為記錄進行有效利用也是大數據應用與研究中不可回避的問題。

對于大數據系統的安全防護，現有技術存在以下薄弱環節：現有的堡壘系統無法對用戶通過API訪問大數據系統進行訪問控制；操作日志分布存儲在大數據平臺的各個服務器且缺乏足夠的行為記錄信息，使得大數據系統不能對其進行綜合利用處理。

發明內容

為了克服上述問題，本發明提供一種訪問大數據系統的方法及系統，來克服大數據系統中存在安全隱患的問題。

為了解決上述技術問題，本發明采用如下技術方案：

一方面，本發明提供了一種訪問大數據系統的方法，包括：

檢測是否通過應用程序編程接口API接收到應用方發來的對大數據系統的操作訪問請求；

當接收到所述操作訪問請求時，獲取所述應用方提供的身份認證信息；

根據所述身份認證信息，按照預設置的身份認證規則，對所述應用方進行身份認證檢測；

當所述應用方符合身份認證條件時，判斷所述操作訪問請求是否為具有權限的已授權請求；

當所述操作訪問請求為具有權限的已授權請求時，將所述操作訪問請求轉發至所述大數據系統。

可選地，所述方法還包括：

當所述應用方不符合身份認證條件時，或，當所述操作訪問請求為不具有權限的未授權請求時，通過所述API向所述應用方發出提醒消息。

可選地，所述將所述操作訪問請求轉發至所述大數據系統之前，所述方法還包括：

分析所述操作訪問請求中的請求內容是否包含敏感數據；

當所述操作訪問請求中的請求內容包含敏感數據時，按照預設置的敏感數據訪問策略，判斷是否能夠對所述操作訪問請求進行放行；

當判斷能夠放行時，將所述操作訪問請求轉發至所述大數據系統；

當判斷不能夠放行時，對所述操作訪問請求進行阻斷。

可選地，所述當接收到所述操作訪問請求時，所述方法還包括：

對所述應用方發來的對大數據系統的操作訪問進行日志記錄；

所述日志中記錄的內容包括：所述應用方信息、所述操作訪問請求的執行信息、被訪問的所述大數據系統信息、所述操作訪問請求所請求的目標資源信息、所述API信息和所述操作訪問請求的原始信息中的至少一項。

可選地，所述檢測是否通過API接收到應用方發來的對大數據系統的操作訪問請求之前，所述方法還包括：

通過所述API獲取所述應用方的注冊請求；

根據所述注冊請求，向所述應用方分配與所述注冊請求相對應的身份認證 標識及數據操作訪問權限。

可選地，所述將所述操作訪問請求轉發至所述大數據系統之前，所述方法還包括：

判斷所述操作訪問請求使用的線程數量是否達到所述大數據系統中可提供的最大可使用線程數量；

當所述操作訪問請求使用的線程數量未達到所述最大可使用線程數量時，將所述操作訪問請求轉發至所述大數據系統；

當所述操作訪問請求使用的線程數量達到所述最大可使用線程數量時，將所述操作訪問請求放入請求消息轉發的等待隊列。

可選地，當所述操作訪問請求為數據寫入操作請求時，所述將所述操作訪問請求轉發至所述大數據系統之前，所述方法還包括：

判斷所述大數據系統為所述操作訪問請求分配的存儲配額是否已存滿；

當所述大數據系統為所述操作訪問請求分配的存儲配額未存滿時，將所述操作訪問請求轉發至所述大數據系統；