2.数据安全包括对数据的加解密,又可细分为存储加密和传输加密;还包括对数据的脱敏;

　　即是对用户身份进行核对， 确认用户即是其声明的身份， 这里包括用户和服务的认证

　　即是权限控制，对特定资源， 特定访问用户进行买球股份有限公司授权或拒绝访问。用户授权是建立再用户认证的基础上，没有可靠的用户认证谈不上用户授权。

　　4.访问行为可见多指记录用户对系统的访问行为(审计和日志)：如查看哪个文件;运行了哪些查询;访问行为监控一方面为了进行实时报警,迅速处置危险的访问行为;另一方面为了事后调查取证，从长期的数据访问行为中分析定位特定的目的。

　　这个主要是针对错误发现，一般做法是建立并逐步完善的监控系统，对可能发生或已发生的情况进行预警或者告警。还包括异常攻击事件监测，目前发现的针对攻击的办法有:

　　在这五个层次中，第三层(访问安全)同业务的关系最为直接：应用程序的多租户,分权限访问控制都直接依赖这一层的技术实现,那么我们的重点也将放在这一层上。众所周知的是, hadoop本身提供的认证(主要是kerberos)不易维护，授权(主要是ACL)又很粗粒度，为此我们通过对两个重量级公司(Cloudera和Hortonworks)开源的关于安全的服务进行对比(参见博文)后决定使用Hortonworks开源的Ranger。 Ranger为企业级hadoop生态服务提供了许多安全套件，通过集中化权限管理为用户/组提供文件、文件夹、数据库、表及列的认证、授权控制，还可以提供审计(通过solr进行查询)，新推出的RangerKMS还支持对hdfs数据加密等

　　通过Ranger提供的用户/组同步功能实现认证，Ranger可以整合Unix或者LDAP进行用户认证管理

　　开发用户账号，每个用户一个帐号，按团队分组，不同的账号或组操作不同的文件或表，如果需要操作别人的数据，需要运维进行授权

　　主要存储原始采集的日志，存储规则如下: /source/{业务名称}/{日期},其中：

　　工作空间，存储规则如下:/workspace/{团队名称}/{业务名称产品名称}

　　权限管理有2种方案，ACL方案（粗粒度）和 ranger方案（细粒度），基于我们的数据需求，先考虑使用ranger提供的细粒度权限控制

　　每个团队的leader向管理员提出申请，经过评审通过后方可授予相应的权限