没有合适的资源?快使用搜索试试~ 我知道了~
首页广西大数据应用技术方案:Hadoop+MPP+RDB+流计算架构解析
广西大数据应用技术方案:Hadoop+MPP+RDB+流计算架构解析
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 170 浏览量
更新于2024-06-20
收藏 64.76MB DOCX 举报
"广西大数据应用专题开发技术方案详细探讨了大数据在智慧城市中的应用,涉及大数据设计架构、典型案例分析、系统架构体系、硬件环境、模块开发、分布式数据库、高可用性保障和多样化数据采集等方面。" 本技术方案详尽阐述了广西大数据应用的开发策略,旨在推动智慧城市的建设。在典型案例分析部分,提到了广东移动大数据关联分析服务项目,该项目展示了如何利用大数据技术处理实时和非实时数据,结合HADOOP、MPP、RDB和流计算等技术,构建开放共享的架构,满足不同类型的业务需求。 系统架构体系中,项目模块主要处理信令XDR数据、MR数据、PM数据和告警数据,通过数据合成、统计和分析,为上层应用提供数据支持。硬件层面,采用x86架构,由中国移动通信集团设计院统一管理,大唐移动负责搭建Hadoop大数据环境。 在大数据分布式模块设计中,系统基于Hadoop、Hive和Spark构建,支持线性扩展的分布式数据仓库。HDFS和Hive用于数据存储和管理,Spark则用于高效的数据分析。高可用性方面,"分布式核心域"采用主从结构,利用Zookeeper确保HDFS、YARN和HBase的高可用性,防止单点故障影响服务。 在程序开发上,系统运用Apache Felix作为OSGi容器,允许动态地安装、卸载和管理应用程序模块,支持多版本并发运行。在数据采集环节,系统支持Flume和Kafka组件完成离线和实时数据的采集,确保数据的全面性和实时性。 总体而言,该技术方案提供了一个全面的大数据应用开发框架,涵盖了从硬件选型、系统设计、数据处理到服务高可用性的各个方面,为智慧城市的建设和大数据应用提供了坚实的参考基础。
资源详情
资源推荐
(7)对于需要登录系统访问的用户,通过产品提供的安全策略强制实现用户口令安全
规则,如限制口令长度、限定口令修改时间间隔等,保证其身份的合法性。
(8)系统提供日志记录和审计功能,系统应能够完整记录并保留终端用户、内部人员
和第三方支持人员的重要操作行为,能够审计发现相关安全事件,如暴力猜测终端用户口令
等。
1.1.1.1.1.24 用户访问授权及身份认证
1.1.1.1.1.24.1 用户集中化管理
通过业务支撑网的 4A 管理平台(Account(账号管理)、Authentication(认证管理)、
Authorization(授权管理)、Audit(日志审计)),建立用户集中化管理体系,对用户(也
包括内部用户和第三方)的访问权限进行集中统一控制。4A 管理平台主要实现以下功能:
(1)账号管理:应能对网络设备、操作系统和应用中的账号进行集中统一的创建、修
改和删除。
(2)身份认证:支持传统用户名/口令、动态口令、PKI 证书、生物认证等多种认证方
式,保证用户认证信息在传输过程中的机密性和完整性。
(3)单点登录:支持用户对网络与信息资源的“一次登录,多系统访问”。
(4)授权管理:对业务支撑网中所有的网络设备、主机系统及应用系统的访问权限进
行集中管理。授权管理实体(即资源)的范围包括系统资源(主机、网络设备、数据库等)
和应用资源两大类。
(5)安全审计:建立统一的审计和日志分析系统,收集系统中的安全审计信息,通过
关联分析、数据挖掘等技术,及时洞察入侵和非法操作行为,以便及时做出响应。
(6)系统支持与管理:支持各类已有应用系统,并为新的应用系统提供方便的接入方
式。另外,4A 管理平台支持 SMP 对它的集中监控与管理。平台接入 4A 系统统一管控。
1.1.1.1.1.24.2 用户数据安全
1.1.1.1.1.24.2.1 用户数据保护
个人数据定义:指直接通过该数据或者结合该数据与其他的信息,可以识别出自然人的
信息。包括:最终用户姓名、账号、主叫和被叫号码、通信记录、话单、通信时间、定位数
据等。
对于个人数据,如果使用不当,往往会涉及个人的隐私。各国的法律在个人数据保护方
面也有相关的安全要求,产品在使用用户个人数据的过程中,具备相应的保护措施。
1.1.1.1.1.24.2.2 用户数据内容
- 产品对用户个人数据保护的处理原则:
- 采集内容最小化,与业务分析无关数据不采集;
- 用户号码类信息采集并使用硬件加密处理和存储;
1.1.1.1.1.24.2.3 用户数据保存时间
为了保证用户数据安全,在根据业务需要对用户数据保存一段缺省时间后,过期数据会
及时做删除处理。客户可以根据自己的业务需求设置合适的保存时间,以降低系统压力和数
据泄露的风险。
为支持查询历史记录,系统将采集到的用户数据进行存储,如超过配置的保存时间,则
将超过保存时间的数据删除。
数据库的数据保存时间默认为 3 个月。
1.1.1.1.1.24.2.4 用户管理和日志管理
传输的安全威胁主要来自于系统和外部交互带来的安全风险。数据传输过程通常面临窃
听、篡改等安全风险,传输数据包括操作维护数据、安全数据、敏感信息;若这些数据被窃
听或篡改,将会影响系统安全性。
系统的外部访问均使用了加密防护(SSL\HTTPS\FTPS),系统采用 B/S 架构,用户通过浏
览器以 https 方式登陆系统,确保数据传输安全。在登录系统时,提供浏览器口令认证、验
证码方式和账户锁定等进行接入控制,防止非法用户的访问,可有效防范恶意登录和暴力破
解。登录信息在网络中传输协议采用了 Https,确保用户登录信息不会在传输过程中泄密。
1.1.1.1.1.24.2.5 基于角色的用户管理
为了防止未授权的访问、防止非法用户的登录对系统造成破坏,系统提供用户权限管理
机制,为不同的用户分配不同的角色,不同的角色拥有不同的权限。用户登录时,系统根据
用户输入的信息进行身份验证,确保登录系统的用户合法。
权限管理设计原则:角色权限最小化。
1.1.1.1.1.24.2.6 角色管理
默认角色管理
包括增加、删除和修改角色以及查询用户的角色信息。
系统将权限进行分组和归类,针对运营商的几类典型用户形成系统的默认角色,系统中
默认存在 5 个安全级别的角色,如下表所示。任何用户都不能删除和修改系统默认角色。管
理员可以根据需求增加新角色。
为了防止拥有某权限的用户否认对系统执行过的操作,系统设计了审计员角色,审计人
员可通过 Web 导出和查看操作日志,定期审计操作维护人员进行的操作,及时发现不当或
恶意的操作。操作日志也可作为抗抵赖的证据。
系统管理员拥有系统所有的管理权限,可在开局、升级等其它重大或重要操作时使用,
日常的运维过程中不建议使用。
角色
描述
系统管理员
具有系统所有的管理权限。系统管理员角色可以有多个用户。
系统默认用户“admin”属于此角色。它同其他拥有系统管理员角
色的用户不同的是:
不能被删除、不能被修改。
可以删除其他拥有系统管理员角色的用户。
可以初始化其他拥有系统管理员角色的用户密码。
帐户管理员
负责对系统用户帐号以及角色进行管理。
设备管理员
负责对现网设备的管理和维护。
业务管理员
负责某业务领域的功能和数据的管理。
审计员
负责对操作日志进行审计。
自定义角色
当默认的角色不能满足运营商权限控制需求时,可以通过自定义角色的方式实现。系统
权限分配的最小粒度为菜单,通过为自定义角色绑定所需的菜单后,该自定义角色的成员即
可具备所赋予菜单集合的执行权限。
1.1.1.1.1.24.2.7 用户管理
包括增加、删除和修改用户以及查询用户信息。
系统提供一个默认用户“admin”,是特殊的系统管理员(超级管理员)。该用户拥有系统
中所有的功能权限。
系统中默认存在 5 个安全级别的角色,将用户分配到对应的角色中即可具备对应的操作
维护权限。
1.1.1.1.1.25 权限管理
1.1.1.1.1.25.1 设备权限管理
安全管理,指对系统中的软、硬件设备进行合理的安全配置,减少攻击者可能利用的安
全漏洞。本工程安全管理应满足以下技术要求:
(1)路由器、交换机等网络设备的安全管理满足:对设备正确配置,启动设备本身自
带的安全功能;关闭设备上不必要的端口和服务;执行严格的身份认证与权限管理策略,加
强口令安全管理;设定尝试登录的次数进行初步的登录控制;远程连接时需使用 SSH、SSL
或 TLS 等安全加密协议;确保设备配置文件的安全;及时安装系统补丁,并确保补丁安装后
的系统配置符合安全要求。
(2)禁止用户直接访问存储网络;通过存储网络的分区功能隔离不同操作系统或不同
用途的应用系统。
(3)操作系统的安全配置符合《中国移动主机系统安全策略》的要求。
(4)数据库系统的安全配置包括以下方面的要求:删除或锁定不需要的缺省安装用户,
更改存在安全隐患的缺省配置;本着“最小权限”原则,严格限制对数据库的访问权限;增
强口令安全性;及时安装系统补丁,并确保补丁安装后的系统配置符合安全要求。
(5)应用软件的安全配置做到:不在服务器上安装不必要的软件,按需更改中间件、
应用系统的缺省配置,对业务服务器进行安全最优配置;加强端口与服务管理,关闭不用的
端口和服务;对系统使用的服务与端口要做好防护工作,在防火墙或网络设备上要加强访问
控制;系统正常运转期间,不在重要服务器上保留程序源代码;严格限制管理员数量及权限,
增强口令安全性;及时加载安全补丁,并确保补丁安装后的系统配置符合安全要求。
(6)终端管理至少做到:终端用户权限分类分级控制,根据用户的工作职责确定操作
权限,并做到权限最小化,严格控制系统管理员权限的分配;各终端系统的账户及口令应按
照密码管理的相关规定设置,并定期修改口令;生产终端应设置 BIOS 口令,防止非法修改;
所有监控终端必须设置屏保和锁屏;应有防病毒措施,安装软件时,确认软件没有携带病毒;
及时加载安全补丁。
1.1.1.1.1.25.2 用户权限管理
系统支持对不同的用户分配不同的权限。
系统将权限组织为权限信息树,管理员可以通过权限信息树选择相应的权限授予某个角
色。即可以自定义角色及相应权限的用户。
为了防止未授权用户通过暴力破解等方式非法登录系统,对系统造成破坏,系统提供验
证码、账户锁定等安全策略,保证登录到系统的用户的合法性,保障了系统的安全。
界面上可管理的用户信息包含以下:
用户名、所属角色、登录时间、登录状态、描述、账户状态、有效时间。
安全策略是管理人员制定安全控制规则的手段。支持帐户相关安全策略、密码相关安全
策略以及登录会话相关的安全策略的管理,包含内容如下:
帐户策略
密码策略
权限管理
用户有效期
非活动帐户策略
最大登录尝试次数
用户锁定及解锁
密码复杂度
初始密码首次登录强制修改
密码有效期
历史密码管理
用户防攻击
密码存储策略
锁屏
用户操作日志
角色管理
按操作的授权和鉴权模
式
用户及密码策略
WEB 应用客户端,支持界面自动锁定策略(默认 10 分钟)。通过设置不活动周期启动
终端界面自动锁定策略,当 WEB 在指定周期内登录用户无任何操作,应用界面将被锁定,
用户再次应用的 WEB 时,需要再次输入帐号口令进行认证。
1.1.1.1.1.26 系统安全管理
1.1.1.1.1.26.1 网络防火墙
防 火 墙 本 身 支 持 根 据 不 同 风 险 级 别 划 分 安 全 区 域 , 不 同 安 全 区 域 通 过 ACL
(AccessControl List)策略、包过滤、安全网关和防攻击等安全策略设置,可良好实现不同
安全区域之间的有效隔离和边界安全。
无论大唐移动部署的防火墙或运营商自己提供的防火墙,在防火墙策略制定时都要确保
合法的数据流可穿越防火墙,对于高风险的数据流,针对制定的 ACL 策略予以隔离。
在制定防火墙 ACL 策略,只需要开放网络中各合法业务的端口和服务,需要结合系统
端口矩阵制作 ACL 策略
1.1.1.1.1.26.2 入侵检测系统
大唐移动在用户访问的 web 服务器入口上安装了强大的开源入侵检测系统软件 Snort。
它具有实时检测网络流量,监控各种网络行为,对违反安全策略的流量及时报警和防护,实
现从事前警告、事中防护到事后取证的特点。主要功能包括:
入侵检测:对缓冲区溢出、SQL 注入、暴力猜测、D.O.S 攻击、扫描探测、蠕虫病毒、
木马后门等各类黑客攻击和恶意流量进行实时检测及报警,并通过与防火墙联动、TCP
Killer、发送邮件、安全中心显示、运行用户自定义命令等方式进行动态防御。
Web 安全:基于互联网 Web 站点的挂马检测结果,结合 URL 信誉评价技术,在用户访
问被植入木马等恶意代码的网站时,给予实时警告,并录入安全日志。
1.1.1.1.1.26.3 网络病毒
系统上线后预先安装卡巴斯基杀毒软件可以全方位的提供病毒预防和查杀病毒功能。一
方面通过自定义的方式设置在开机时,系统自动启动杀毒软件进行全方位的杀毒清洗;另外
方面可以设置定期闲忙时杀毒任务计划,确保系统空闲的时候进行深度、全方位的杀毒扫描、
隔离和清理工作。
1.1.1.1.1.26.4 安全管理体系
业务支撑网安全管理平台 SMP,负责对业务支撑网的安全设施进行集中管理和监控,对
安全事件进行集中响应。功能包括安全运营管理门户、安全策略管控中心、安全资产管理、
安全作业管理、安全事件管理、安全符合性管理、采集控制等。
管理对象涵盖:
(1)系统层面:包括但不限于业务支撑网主要应用系统如:BOSS 系统、CRM 系统、经
营分析系统、运营管理系统、VGOP/ESOP 系统、P-BOSS 系统以及面向中国移动内部用户使用
的互联网应用系统,及承载相关应用系统的各类主机、数据库、中间件。
(2)网络层面:包括承载业务支撑网的各类网络设备,如路由器、交换机、负载均衡
设备等。
(3)安全系统层面:包括业务支撑网内的各类安全防护系统,如防火墙、入侵检测/防
护系统、网站安全防护系统、防病毒系统、终端安全管理系统等。
(4)数据信息层面:包括业务支撑网内已颁布执行的各类信息安全策略;需要遵从的
各类信息安全法规、标准;未来需要纳入数据安全管控范围内的业务系统关键数据和敏感数
据等。
1.1.1.8 系统特性
1.1.1.1.1.27 系统可靠性
系统模块引入数据处理架构及流式处理技术,实现大批量信令数据的处理同时,需保证
系统分析能力的及时性和可靠性。
相关技术如下:
1、云 ETL:统一 HADOOP 集群实现非实时采集话单数据的高效并行抽取、转换和装载;
2、实时流处理:实现实时采集信令数据的快速处理,进行用户话单模型及业务感知模
型的定界计算;
3、内存数据库:用于实时分析模型及应用的计算和数据存储。
4、MPP 数据库:用于非实时分析模型及应用的计算和数据存储;
5、丰富可视化展现组件:提供多种形式的位置数据展现模式;
6、标准 API 服务接口:对外提供标准 API 服务调用接口,实现能力的对外开放。
系统平台可靠性和稳定性还体现在:
- 平台具有良好的可升级性、可操作性、可维护性。
- 平台具有足够的处理能力,能够满足两年内对用户容量及性能的要求,并能够提供
备份硬件及软件,以确保数据的完整性及正常运行,各支撑服务在并发用户数在最
高峰值时,响应时间不超过 10 秒(除去网络延迟因素)。
- 平台可以保存用户三年之内的记录,重要数据在线保存两年以上。
- 平台具有与外界隔离防止非法侵入的功能,包括物理网络对外隔离、操作系统对外
剩余435页未读,继续阅读
公众号:智慧方案文库
- 粉丝: 2270
- 资源: 1万+
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- 利用迪杰斯特拉算法的全国交通咨询系统设计与实现
- 全国交通咨询系统C++实现源码解析
- DFT与FFT应用:信号频谱分析实验
- MATLAB图论算法实现:最小费用最大流
- MATLAB常用命令完全指南
- 共创智慧灯杆数据运营公司——抢占5G市场
- 中山农情统计分析系统项目实施与管理策略
- XX省中小学智慧校园建设实施方案
- 中山农情统计分析系统项目实施方案
- MATLAB函数详解:从Text到Size的实用指南
- 考虑速度与加速度限制的工业机器人轨迹规划与实时补偿算法
- Matlab进行统计回归分析:从单因素到双因素方差分析
- 智慧灯杆数据运营公司策划书:抢占5G市场,打造智慧城市新载体
- Photoshop基础与色彩知识:信息时代的PS认证考试全攻略
- Photoshop技能测试:核心概念与操作
- Photoshop试题与答案详解
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功