基于大數(shù)據(jù)平臺的網(wǎng)絡信息安全框架設計

胡伏湘 肖玉朝 張為

（長沙商貿(mào)旅游職業(yè)技術學院，湖南長沙410116）

基于大數(shù)據(jù)平臺的網(wǎng)絡信息安全框架設計

胡伏湘 肖玉朝 張為

（長沙商貿(mào)旅游職業(yè)技術學院，湖南長沙410116）

從大數(shù)據(jù)對社會的影響入手，歸納總結(jié)了大數(shù)據(jù)的三層匯聚方法和安全機理，分析了大數(shù)據(jù)安全隱患的原因，探討了隱私信息泄露的途徑。從六個方面設計了大數(shù)據(jù)平臺的網(wǎng)絡信息安全框架，并對敏感信息的級別進行了分類，最后提出了保障信息安全的五條對策。

大數(shù)據(jù)；網(wǎng)絡信息；安全隱患；框架設計；隱私保護

大數(shù)據(jù)（big data）是伴隨云計算、移動計算、物聯(lián)網(wǎng)的興起而出現(xiàn)的一個新概念，通常用來形容由大量的非結(jié)構化數(shù)據(jù)和半結(jié)構化數(shù)據(jù)組成的數(shù)據(jù)集合，如果用傳統(tǒng)的關系型數(shù)據(jù)庫來存儲和加工，需要消耗巨大的時間和費用，而且技術并不完善。云時代的來臨，使大數(shù)據(jù)受到了越來越多的關注，通過大數(shù)據(jù)處理，可以對個人或者群體進行行為分析、精確營銷和趨勢預測，具有極大的商業(yè)價值。但是數(shù)據(jù)的上傳者，經(jīng)常在有意或無意之中將敏感信息透露，成為跟蹤及攻擊目標，安全隱患令人擔憂。

1.大數(shù)據(jù)對社會的影響

1.1 大數(shù)據(jù)安全問題透視

大數(shù)據(jù)是信息化普及到一定程度的必然產(chǎn)物，具有Volume（大量）、Velocity（高速）、Variety（多樣）、Value（價值）4V的特點，云計算、物聯(lián)網(wǎng)、智能終端的出現(xiàn)，使互聯(lián)網(wǎng)信息量以每年50%的速度增長，通信、學校、醫(yī)衛(wèi)、金融保險、房地產(chǎn)、商品零售業(yè)所產(chǎn)生的數(shù)據(jù)急劇上升，其表示單位上升到ZB級（1ZB=240GB），各渠道通過網(wǎng)絡匯聚而成的海量數(shù)據(jù)是社會、經(jīng)濟和組織變革的強大推動力。洛杉磯警局利用大數(shù)據(jù)預防犯罪，google利用搜索關鍵詞預測禽流感散布，麻省理工學院利用手機定位和交通數(shù)據(jù)建立城市規(guī)劃，梅西百貨根據(jù)SAS系統(tǒng)對7300萬種貨品實時調(diào)價，百度推出了大數(shù)量營銷、大數(shù)據(jù)預測、大數(shù)據(jù)統(tǒng)計等引擎產(chǎn)品，為企業(yè)和居民的工作和生活提供科學依據(jù)。然而，在享受大數(shù)據(jù)帶來的巨大便利和商業(yè)價值的同時，安全成為一種社會問題。首先，大數(shù)據(jù)對數(shù)據(jù)的可用性和完整性帶來了挑戰(zhàn)，防止數(shù)據(jù)丟失、篡改、竊取和破壞的技術難度在提高，傳統(tǒng)安全軟件顯得力不從心；其次，蜂擁而至的企業(yè)數(shù)據(jù)、客戶資料、個人隱私和各種用戶記錄的涌入和集中存儲，增加了向外泄露的風險，倘若被濫用，將會對社會造成嚴重威脅。斯諾登披露的“棱鏡門”事件、為美國政府和500強企業(yè)提供安全服務的HBGary?Federal公司6萬封郵件在網(wǎng)上公布、EMC旗下資安公司SecurID技術資料遭竊、全球2億用戶信息泄露，給美國當局敲響了警鐘。索尼1億客戶的詳細資料和1200萬個信用卡號碼被公開，CSDN的600萬郵箱密碼被破解，凸顯大數(shù)據(jù)時代的不太平。在中國，類似事件同樣不容小視，東軟集團CT技術資料、富士康iPad 2設計圖紙、三星電子技術開發(fā)戰(zhàn)略、天涯社區(qū)、聯(lián)通用戶、招行和工行客戶信息等商業(yè)機密泄露，給企業(yè)和個人帶來了無限煩惱和經(jīng)濟損失。

1.2 大數(shù)據(jù)安全解決方案述評

大數(shù)據(jù)時代的安全挑戰(zhàn)主要有六個方面：數(shù)據(jù)來源的審查、隱私保護、可信度檢測、細粒度訪問控制、數(shù)據(jù)存貯與事務日志、內(nèi)部泄密。針對這些問題，郭三強（2013）從數(shù)據(jù)庫角度研究了大數(shù)據(jù)安全措施[1]，王蒙蒙（2013）設計了基于消冗技術的大數(shù)據(jù)加密算法[2]，馮登國（2014）提出了大數(shù)據(jù)安全與隱私保護策略[3]，羅恩韜（2014）設計了動態(tài)安全SAT雙向防御模型[4]，王玉龍（2014）設計了Hadoop架構的大數(shù)據(jù)安全算法[5]，張紅順（2015）設計了大數(shù)據(jù)平臺的云安全體系[6]。這些成果立足于技術層面，通過軟件方法保護數(shù)據(jù)免遭泄露，但還不足以從根本上消除安全隱患，因為大數(shù)據(jù)涉及到發(fā)出者、使用者、統(tǒng)計分析者、管理者和惡意竊取者，其安全防范體系不僅需要技術支撐，更需要政府強有力的管理制度和用戶的安全意識，因此多視角分析和設計網(wǎng)絡信息安全框架尤為重要。

2.大數(shù)據(jù)匯聚來源及安全機理

隨著物聯(lián)網(wǎng)、云計算、移動互聯(lián)、三網(wǎng)融合等新興IT技術的出現(xiàn)，社會進入Web2.0網(wǎng)絡時代，每個網(wǎng)民不僅是信息的接收者，同時也是數(shù)據(jù)的制造者，匯聚而成的大數(shù)據(jù)在給人們工作和生活帶來便利的同時，也成為隱私泄露的重災區(qū)、病毒泛濫和黑客攻擊的溫床，其破壞力比互聯(lián)網(wǎng)1.0版本要大得多。

2.1 大數(shù)據(jù)匯聚來源

2013年中國產(chǎn)生的數(shù)據(jù)總量是0.8ZB，即8億TB（1TB=1024GB），預計到2020年達到20ZB，提供數(shù)據(jù)的主體包括三層：內(nèi)層是企業(yè)信息化系統(tǒng)中關系數(shù)據(jù)庫及數(shù)據(jù)倉庫中的數(shù)據(jù)；中層由大量用戶上網(wǎng)產(chǎn)生，如微信微博QQ等社交軟件、電子商務平臺在線交易數(shù)據(jù)、各類評論及投訴信息；外層是由大型服務器采集的數(shù)據(jù)，如應用服務器日志、傳感器、智能電網(wǎng)、監(jiān)控、RFID、二維碼等獲得的信息。

大數(shù)據(jù)的主要來源是各種應用服務器和數(shù)據(jù)中心數(shù)量，主要分布在以下行業(yè)：（1）以BAT（百度、阿里巴巴、騰訊）為典型代表的互聯(lián)網(wǎng)公司；（2）電信、金融、房地產(chǎn)、保險、電力、石化行業(yè)；（3）政府、公共安全、醫(yī)療衛(wèi)生、交通領域；（4）教育、氣象、地理、電子政務；（5）商業(yè)銷售、制造業(yè)、農(nóng)業(yè)、物流和流通及其它領域。

各類結(jié)構化數(shù)據(jù)和非結(jié)構化原本是相互獨立存儲在應用服務器中，云計算平臺及移動計算（智能終端）平臺的出現(xiàn)，使這些數(shù)據(jù)通過Internet和移動通信網(wǎng)匯聚在一起，相互貫通，構成了大數(shù)據(jù)的基礎。其結(jié)構如圖1所示：

圖1 大數(shù)據(jù)層次結(jié)構圖

2.2 大數(shù)據(jù)安全隱患機理

大數(shù)據(jù)的處理過程包括產(chǎn)生、傳遞、保存、分析、推送和應用等過程，涉及到數(shù)據(jù)的生產(chǎn)者、軟件開發(fā)者、流通環(huán)節(jié)、加工者、使用者，上傳網(wǎng)絡的信息分為結(jié)構化數(shù)據(jù)和非結(jié)構數(shù)據(jù)兩類，結(jié)構化是存儲在關系數(shù)據(jù)庫結(jié)構系統(tǒng)中的數(shù)據(jù)，具有明顯的邏輯結(jié)構，用傳統(tǒng)的二維表表示。而進入大數(shù)據(jù)時代，開放的數(shù)據(jù)平臺暴露在專業(yè)人士和各類非專業(yè)人員的眼前，任何人無須嚴格審核即可向服務器發(fā)送信息，非結(jié)構化占有更大的比例，包括所有格式的辦公文檔、評論、文本、圖片、標準通用標記語言下的子集XML、HTML、各類報表、圖像、音頻、視頻、位置信息等多種媒體，其字段的長度可變，字段重復是合法的，還可設置子字段和多值字段。大數(shù)據(jù)的非結(jié)構化使數(shù)據(jù)表示的難度加大，無法實現(xiàn)唯一性和精確化，傳統(tǒng)的關系數(shù)據(jù)庫管理系統(tǒng)只能管理結(jié)構化的那一部分，而面對非結(jié)構化的數(shù)據(jù)無能為力，非結(jié)構化數(shù)據(jù)管理軟件雖然已經(jīng)出現(xiàn)，但還沒有達到完善的程度，數(shù)據(jù)保護存在漏洞，這給了黑客入侵、信息泄露、木馬滲透提供了可乘之機，按照系統(tǒng)日志追根溯源變得困難重重。

2.3 大數(shù)據(jù)安全隱患[7,8]

（1）隱私數(shù)據(jù)泄露：信息化程度提高，人們對網(wǎng)絡的依賴更加嚴重。在網(wǎng)上購物、醫(yī)療、存取款、社交時，填寫的表單包含大量的隱私信息，銀行卡賬號、密碼、病歷、家庭住址、身份證和手機號碼等，有的是加密保存，有的是明文保存，這些數(shù)據(jù)對于商家分析客戶行為，鎖定目標群體和市場預測提供了極大的便利，但在大數(shù)據(jù)時代，客戶數(shù)量成為衡量商家潛在價值的主要指標，在巨大的利益驅(qū)動下，買賣客戶資料的現(xiàn)象時有發(fā)生。同時，技術的原因和防范管理的不規(guī)范，系統(tǒng)存在黑客攻入的可能，導致敏感信息流出。

（2）技術資料泄露：企業(yè)技術文檔、研發(fā)數(shù)據(jù)、軟件源程序都存儲在CRM、ERP、OA系統(tǒng)中，它們都是企業(yè)的核心機密，如果把關不嚴，被競爭對手或者黑客通過VPN截獲，勢必帶來經(jīng)濟損失，造成惡性競爭，影響企業(yè)的生產(chǎn)和經(jīng)營。

（3）政府行業(yè)數(shù)據(jù)外流：戶籍檔案、社保、公積金、儲蓄、人事等信息，是國家安全的保障[9]。如果被非法入侵者得到，不僅給居民形成威脅，同時也會給社會帶來不安定因素。和平年代，政府數(shù)據(jù)和信息機構經(jīng)常會成為恐怖組織和極端分子的攻擊目標。

（4）內(nèi)部數(shù)據(jù)的泄露：任何網(wǎng)站、計算機信息系統(tǒng)和數(shù)據(jù)庫都有管理員角色，不僅能夠進行系統(tǒng)管理，還可以直接進入后臺修改數(shù)據(jù)，受利益的驅(qū)使或者個人目的，他們利用管理員權限將內(nèi)部數(shù)據(jù)拷貝或非法篡改，且極具隱蔽性，不易暴露。

3.大數(shù)據(jù)平臺的網(wǎng)絡信息安全體系設計

3.1 大數(shù)據(jù)安全框架設計

從數(shù)據(jù)的制造、存儲、管理、使用的流程來分析，保證大數(shù)據(jù)的安全需要六個層次，相應的安全框架也包括六個層次，即物理安全、網(wǎng)絡安全、平臺安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安全[6]，最后匯集到大數(shù)據(jù)安全控制中心，如圖2所示。

圖2 大數(shù)據(jù)平臺安全框架

網(wǎng)絡安全指采用多層防御手段以抵御網(wǎng)絡邊界所面臨的外部攻擊，只允許被正式授權的服務和協(xié)議傳輸，自動丟棄未授權的數(shù)據(jù)包，由DDoS（分布式拒絕服務）攻擊防御、外網(wǎng)訪問控制和內(nèi)網(wǎng)流出檢查等技術構成。平臺安全通過加固操作系統(tǒng)、數(shù)據(jù)鏈路層隔離、部署入侵檢測（IDS）模塊和防火墻，及時發(fā)現(xiàn)排除安全威脅。系統(tǒng)安全城通過建立主機鏡像、異常賬號和代碼清除、防暴力破解、端口掃描等途徑實現(xiàn)。應用安全的主要技術手段是建立WEB應用防火墻和漏洞查補，防止惡意篡改、木馬入侵、蠕蟲滲透，及時消除系統(tǒng)漏洞和后門。數(shù)據(jù)安全從數(shù)據(jù)的輸入、訪問、傳輸、存儲、銷毀環(huán)節(jié)進行審核，建立數(shù)據(jù)庫備份容災與恢復機制，實現(xiàn)數(shù)據(jù)流的安全管理。

3.2 根據(jù)數(shù)據(jù)的敏感程度分組管理

大數(shù)據(jù)平臺下，信息安全三分靠技術、七分靠管理[10]，大數(shù)據(jù)給信息網(wǎng)絡帶來了兩大挑戰(zhàn)：第一是把握好便捷和安全的平衡，第二是有效區(qū)分隱私信息和資源分享的邊界。建立完善的信息安全管理制度和措施，提高安全防范意識，是提高管控能力的必經(jīng)之道。

根據(jù)數(shù)據(jù)的敏感程度進行分級并實施分級管理，可以分為四級，一級的級別最高，即個人隱私，與財產(chǎn)與生命安全密切相關，比如銀行儲蓄、病歷、家庭住址、賬號密碼，這些數(shù)據(jù)只有經(jīng)系統(tǒng)管理員授權并通過數(shù)字認證才能訪問；其次是機密數(shù)據(jù)，包括企業(yè)技術資料、各類信息系統(tǒng)數(shù)據(jù)庫保存的數(shù)據(jù)、政府行業(yè)基礎數(shù)據(jù)、社交軟件的聊天記錄等，需要管理員授權且進行身份確認才能訪問；第三級是限制數(shù)據(jù)，用戶登錄即可存取的本行業(yè)、本單位、本部門、本群的內(nèi)部信息，通過簡單授權與外部隔離；行業(yè)最低級的是共享資源，由免費軟件、論壇跟帖、新聞、公開發(fā)表的論文、文庫、百科等信息，匿名用戶即可訪問。對于不同級別的數(shù)據(jù)，存儲時所采用的加密方法不一樣，訪問時的審核機制也不相同，多層次立體化技術手段是防止重要數(shù)據(jù)外泄的基礎。

4.大數(shù)據(jù)安全管理策略

4.1 加強制度建設，明確法律底線

發(fā)達國家都非常重視大數(shù)據(jù)的安全，奧巴馬政府將“大數(shù)據(jù)戰(zhàn)略”上升為最高國策，把大數(shù)據(jù)看成“未來的新石油”，對數(shù)據(jù)的占有和控制被視為海陸空之后的第四種國家核心能力，日、英也出臺了相應對策，我國雖然有《計算機信息系統(tǒng)保密管理暫行規(guī)定》和《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》等專門法律，但針對大數(shù)據(jù)背景下的隱私保護還沒有明確的規(guī)定，難以對利用大數(shù)據(jù)進行違法犯罪的群體形成震懾。因此，在國家《信息安全法》正式實施之前，我省應該出臺一些地方性法規(guī)和制度，對相關行為和危害程度進行界定，明確將“維護國家利益和消費者權益”作為法律底線，打消以身試法者的僥幸心理，遏制犯罪苗頭，保證人們在安全的環(huán)境中享受大數(shù)據(jù)時代的成果。

4.2 加大技術研發(fā)的力度，構造大數(shù)據(jù)安全防護網(wǎng)絡

大數(shù)據(jù)的表示與傳統(tǒng)數(shù)據(jù)在組織方式上存在很大的差異，以非結(jié)構化和半結(jié)構化數(shù)據(jù)為主，傳統(tǒng)的包過濾、審查、入侵檢測、漏洞掃描技術達不到全面隔離的要求，而對大數(shù)據(jù)的分析應用正在全面鋪開，廣闊的市場給安全防范技術的研發(fā)創(chuàng)造了新的機遇[11]，因此應鼓勵軟件企業(yè)自主開發(fā)具有知識產(chǎn)權的產(chǎn)品，政府給予經(jīng)費資助或者政策傾斜，重點扶植一批認證中心、數(shù)字簽名、物理識別、可信存取、IPv6、大數(shù)據(jù)防火墻等軟件生產(chǎn)企業(yè)，推動安全產(chǎn)品的普及，營造安全的網(wǎng)絡環(huán)境。

4.3 建立行業(yè)自律條約，規(guī)范大數(shù)據(jù)應用行為

互聯(lián)網(wǎng)行業(yè)、電商平臺、金融保險、教育等領域掌握有大量的用戶信息，是黑客關注的焦點，也是網(wǎng)民普遍擔心的熱點。通過建立諸如《互聯(lián)網(wǎng)搜索引擎服務自律公約》這樣的行業(yè)自律條文[12]，對數(shù)據(jù)管理人員從法律、紀律和經(jīng)濟角度給出明確的規(guī)定，避免敏感數(shù)據(jù)從系統(tǒng)內(nèi)部流出，嚴格禁止用戶資料的買賣行為，控制數(shù)據(jù)的保存和流通環(huán)節(jié)，是安全防范的關鍵。

4.4 利用網(wǎng)絡和APP軟件，做好宣傳，提高用戶的安全防范意識

智能終端的出現(xiàn)，極大地拓展了網(wǎng)民群體，眾多非IT專業(yè)人員成為數(shù)據(jù)的制造者，他們?nèi)狈I(yè)知識的了解，對安全隱患認識不足，熱衷于“隨手拍，隨意發(fā)，隨時秀，任性炫”，財產(chǎn)、住址、小孩等照片都放進群里分享，一旦被不法分子關注，隱私很容易透露。充分利用網(wǎng)站和應用平臺，加強宣傳與培訓，普及安全常識，提高保護意識，是社會的責任所在。

4.5 建立信息安全投訴與服務中心

技術的進步和生活節(jié)奏的加快，人類工作和生活方式正在逐步改寫，人們對網(wǎng)絡的依賴性越來越強，引發(fā)的網(wǎng)絡安全事情逐年遞增，目前都是通過工商部門12315或者公安部門110投訴或舉報。與普通的商品質(zhì)量問題和刑事案件不同的是，信息安全事件大多是電子取證，涉及到軟件開者、網(wǎng)站管理者、通信運營者和用戶等多個實體，且證據(jù)的真?zhèn)尾灰鬃R別，因而維權的難度極大，需要有專業(yè)機構協(xié)調(diào)各方資源，運用技術偵察和行政手段才能解決，其技術力量和權限是消協(xié)所不具備的。

5.結(jié)語

網(wǎng)絡信息安全問題一直是業(yè)界關注的焦點，由于IP地址本身的缺陷及技術研究的滯后，一直沒有從根本上解決這一難題。隨著大數(shù)據(jù)時代的到來，巨大的網(wǎng)民群體使這種現(xiàn)象更加突出，對社會的危害巨大。本文立足于技術和管理雙重視角，探討了安全問題產(chǎn)生的原因，規(guī)劃了大數(shù)據(jù)背景下網(wǎng)絡信息安全的概念性框架，并提出了五條管理措施。作為一種在舶來品基礎上搭建起來的應用系統(tǒng)，設備可靠性、技術先進性、使用者的可信性都是必須考慮的因素，本文并未對這些內(nèi)容做詳細的研究，這也是論文的不足之處。

[1]郭三強,郭燕錦.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究[J].科技廣場. 2013,(2):28-31.

[2]王蒙蒙.基于數(shù)據(jù)消冗技術的大數(shù)據(jù)加密算法研究[D].鄭州:華北水利水電大學,2013.

[3]馮登國,張敏,李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學報, 2014,1(37):247-255.

[4]羅恩韜,胡志剛,楊杰.大數(shù)據(jù)動態(tài)安全SAT雙向防御模型的研究[J].計算機應用研究,2014,5(31):1470-1474.

[5]王玉龍,曾夢岐.面向Hadoop架構的大數(shù)據(jù)安全研究[J].信息安全與通信保密.2014,(7):83-85.

[6]張紅順,王三山.基于大數(shù)據(jù)平臺的云安全體系的建設[J].中國有線電視,2015,(4):516-518.

[7]戚小光,許玉敏,陳紅敏等.大數(shù)據(jù)環(huán)境下的信息安全問題[J].中國信息化,2015,(3):94-96.

[8]郭三強,郭燕錦.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究[J].信息安全與技術,2015,(2):28-31.

[9]陳婷婷,高渠,肖雄.大數(shù)據(jù)的安全隱患及應對策略研究[J].網(wǎng)絡安全技術與應用.2015，(4):157-158.

[10]胡光永.基于云計算的數(shù)據(jù)安全存儲策略研究[J].計算機測量與控制,2011,19(10):2539-2541．

[11]周路菡.棱鏡下的大數(shù)據(jù)安全恐慌[J].新經(jīng)濟導刊,2013,(9): 81–85.

[12]朱星燁,何涇沙.大數(shù)據(jù)安全現(xiàn)狀及其保護對策[J].信息安全與通信保密,2014,(10):33–35.

TP393

A

1671-5136(2015)03-0130-04

2015-09-16

本文系2015年湖南省省情與決策咨詢研究課題《大數(shù)據(jù)背景下湖南省網(wǎng)絡信息安全保障機制研究》（編號：2015BZZ200）的階段性成果。

胡伏湘(1967-)，男，湖南益陽人，中國計算機學會會員、博士、教授、研究員。研究方向：信息系統(tǒng)、網(wǎng)絡技術。