金融征信走不通，观数科技转向Hadoop数据安全

关于观数科技，36氪此前报道过其所做的事情通过爬虫技术抓取用户的社交数据，并给中小金融机构提供征信服务。但2016年4月以来，国家开始对互联网金融行业进行整治，行业开始了洗牌，加之原有业务——抓取用户个人隐私——所存在法律风险，以及技术门槛不高，观数科技开始进行转型，转向提供Hadoop数据安全解决方案。

“作为一个开源项目，Hadoop在设计之初便假定每一个使用者都没有私心，于是它在安全问题上几乎没有任何防范措施。”观数科技CEO李科告诉36氪，“它不对用户或服务进行验证，恶意的开发人员可以绕过访问控制从DataNode中读取、破坏任意数据块。同时为了让自己的任务得到优先运算，恶意用户也可以停止其他用户的任务。”

国际上的开发者、厂商也一直在努力改进Hadoop的安全性能。2009年，雅虎把Kerberos组件运用到了Hadoop之中，在RPC连接等多个组件上进行认证。但Kerberos在实际部署中又相对麻烦，它需要集群里的每一台机器都支持它，同时用户在调用某台机器的计算资源时，每个访问过程要进行两次验证，这也会影响整个计算的效率。最大的问题在于，Kerberos仅是相当于在数据库上加了一把门锁，但门锁并不能解决所有的安全问题，对于用户通过验证之后的不合规的数据访问行为，Kerberos并没有相应的解决办法。

当然，像Intel、IBM这些大厂商也提出了商用版的Hadoop，提供了相应的安全解决方案。但在国内去IOE的背景之下，这些产品并不能在中国进行大规模商业化。

在这样一个环境下，观数科技推出了一款Hadoop安全防火墙产品——Big DAF。观数科技认为，在计算框架之上软件所产生的数据可以称之为过程型数据，结果型数据则存储在文件系统中，所以Big DAF在数据安全方面以文件系统为核心，将数据和计算进行了隔离。

用户在经过Big DAF认证后，才可调用相应计算资源。Big DAF系统其中一大特色，是将其权限分为三类：安全、审计和操作。拥有安全权限的使用者，只能设置安全策略；审计权限的人员只能查看相应的日志，掌握关键数据的使用情况；操作权限的人员只能根据安全策略进行数据使用。三种身份相互制约，避免权限集中带来的安全风险。Big DAF支持RBAC/DAC/MAC（BLP、BIBA）等安全模型，通过安全模型可对拥有操作权限的小组成员进行组内权限划分，例如人脸识别小组内成员只能读取、修改与其业务相关的数据，而不能访问非本组权限外的数据。另外，Big DAF实现了对Hadoop应用的监控、审计。可监控数据的访问情况，掌握当前节点性能、流量和任务。

同时， Big DFA采用的是独立于Hadoop系统之外的防护体系，并且独立维护了一套ACL（访问控制列表），并不能从Hadoop上的配置去修改或变更Big DFA的安全策略。此外，因为Big DAF并未修改Hadoop源码，所以能够兼容目前市场上通用版、发行版的Hadoop系统。在Big DAF的产品形态上，观数科技已经推出了软件版、硬件版。

在商业模式上，主要以Big DFA的软、硬件产品进行销售，并且按客户节点数收取一定的服务费用。自今年8月上线以来，Big DAF已经进入了国家邮政局、湖南机场、湖南电信、朝阳金融局等政企客户的下一年采购名单，同时Big DAF也正在与阿里云旗下的E-MapReduce进行产品测试。

目前，观数科技团队共有12人，大部分都来自椒图科技。李科也曾是椒图的联合创始人，此前椒图科技开发的云锁控制台，也是阿里云的第三方安全软件。据悉，公司在2015年7月完成了500万元的天使轮融资，资方为新富资本。目前，观数科技已启动新一轮融资。

• 插播招聘广告一条：如果你想跟投资人一样，邂逅大量创业者，伴随行业成长，那么快来36氪成为我们的伙伴吧！首先你要了解什么是企业服务，认同创业公司的价值；其次要有强执行力、强逻辑性；若你有计算机和技术背景，能写点云计算，那真真是极好的～简历请砸xuning@36kr.com！只限全职or实习。