YD/T ××××—×××× I ICS 35.030 CCS L70 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T ××××—×××× 电信网和互联网安全防护基线配置要求和检 测要求 大数据组件 Baseline requirements of security configuration for telecom network and Internet — Big data components （报批稿） ××××-××-××发布 ××××-××-××实施 中华人民共和国工业和信息化部 发布YDYD/T ××××—×××× II目 次 前 言 .................................................................................. III 1 范围 .................................................................................... 1 2 规范性引用文件 .......................................................................... 1 3 术语和定义 .............................................................................. 1 4 缩略语 .................................................................................. 1 5 大数据平台组件安全基线规范技术配置要求 .................................................. 2 5.1 基本架构 ............................................................................ 2 5.2 基本要求 ............................................................................ 3 5.3 安全控制点 .......................................................................... 5 5.4 大数据采集组件安全配置要求 ......................................................... 11 5.5 大数据处理组件安全配置要求 ......................................................... 15 5.6 大数据存储组件安全配置要求 ......................................................... 48 5.7 基础设施和网络系统安全配置基线要求 ................................................. 70 参考文献 ................................................................................... 71 YD/T ××××—×××× III前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 　第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、上海观安信息技术股份有限公司、深信服科技股份有限 公司、中国移动通信集团有限公司、中国电信集团有限公司、中国联合网络通信集团有限公司。 本文件主要起草人：赵相楠、刘明辉、朴鸿国、戴荣鑫、谢江、曾志峰、江为强、王渭清、孙 艺、徐积森、曹京、陈湉、魏亮。YD/T ××××—×××× 1 电信网和互联网安全防护基线配置要求及检测要求 大数据组件 1　范围 本文件规定了电信网和互联网中所使用大数据服务在安全配置方面的基本要求及检测要求，特别 是大数据采集组件（ 如Kafka、Flume等）、大数据处理组件（ 如Spark、Hive等）、大数据存储组件 （如Hbase、Hdfs等）及其基础设施、网络系统在安全配置方面的基本要求 及检测要求 。 本文件适用于使用大数据采集组件、大数据处理组件、大数据存储组件的大数据平台。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 YD/T 2698-2014 《电信网和互联网安全防护基线配置要求及检测要求 网络设备》 YD/T 2699-2014 《电信网和互联网安全防护基线配置要求及检测要求 安全设备》 YD/T 2700-2014 《电信网和互联网安全防护基线配置要求及检测要求 数据库》 YD/T 2701-2014 《电信网和互联网安全防护基线配置要求及检测要求 操作系统》 YD/T 2702-2014 《电信网和互联网安全防护基线配置要求及检测要求 中间件》 YD/T 2703-2014 《电信网和互联网安全防护基线配置要求及检测要求 WEB应用系统》 YD/T 3157-2016 《公有云服务安全防护要求》 3　术语和定义 GB/T 5271.8-2001 界定的以及下列术语和定义适用于本文件。 3.1　 YD/T ××××—×××× 2 大数据服务 big data service 覆盖数据生命周期、支撑机构大数据管理和数据价值发现的多种数据活动的一种数据服务。 3.2　 组件 component 对数据和方法的简单封装。 4　缩略语 下列缩略语适用于本文件。 ACL：访问控制列表（ Access Control List） CLI：命令行界面（ Command-line Interface） GUI：图形用户界面（ Graphical User Interface） 5　大数据平台组件安全基线规范技术配置要求 由于版本不同，配置操作有所不同，本文件以如下为例（对未在本文件中列举的大数据组件，应 参照本章节基本架构、基本要求和安全控制点相关要求），给出配置操作要求：  Kafka 适用于 0.9.0 及以上版本；  Flume 适用于 1.6.0 及以上版本；  Yarn 适用于 2.7.1 及以上版本；  Mapreduce 适用于 1.0/2.0 及以上版本；  Spark 适用于 2.7.1及以上版本；  Hive 适用于 1.1.0及以上版本；  Storm 适用于 0.9.2及以上版本；  ZooKeeper 适用于 3.5.0及以上版本；  Impala 适用于 2.0及以上版本； YD/T ××××—×××× 3  Hbase 适用于 1.0.0及以上版本；  Hdfs 适用于 2.7.1及以上版本；  Redis 适用于 3.0.5及以上版本。 5.1　基本架构 5.1.1　基本安全架构 大数据平台特有组件及其技术安全要求，详见表 1。 表1 基本安全要求 组件安全 认证、访问控制、授权、审计、最小化、版本更新、数据安全等 基本安全 要求 安全目标 可信任、可用性、可追溯、保密性、健壮性 5.1.2　安全控制点架构 根据组件及其安全要求设定 8个安全控制点：集群管理、身份认证、访问控制、数据保护、日志审 计、多租户安全、版本及补丁管理、默认路径。 5.1.3　组件安全架构 从采集、存储、处理功能组件维度指导构建大数据平台安全基线规范，详见表 2。 表2 组件分类表 Kafka 采集组件 Flume Yarn&Mapreduce Spark Hive Storm Zookeeper 处理组件 Impala MPP Hbase Hdfs 存储组件 Redis 5.2　基本要求 YD/T ××××—×××× 4 5.2.1　组件安全要求 5.2.1.1　采集组件 采集组件满足如下要求： 1) 组件应开启身份认证策略，保证不被匿名访问； 2) 访问控制策略应进行严格配置，防止未授权访问造成严重影响； 3) 应对其运行状态及用户行为等进行日志记录和审计，以对安全事件进行分析与追踪，同时确 保日志文件授权用户的权限最小化； 4) 应对其客户端及服务端的重要配置文件进行加密，避免泄露明文密码信息； 5) 应及时进行补丁更新，确保集群软件的已知漏洞得到及时修复。 5.2.1.2　处理组件 处理组件满足如下要求： 1) 组件应开启