基于大數(shù)據(jù)背景的網(wǎng)絡(luò)安全技術(shù)探究

河北省保定外國語學校 劉柏田

網(wǎng)絡(luò)安全是計算機技術(shù)穩(wěn)定發(fā)展的必要保障，其重要性無可替代。近幾年數(shù)據(jù)正以指數(shù)級速度增長，海量數(shù)據(jù)中包括個人隱私和敏感數(shù)據(jù)等重要內(nèi)容。網(wǎng)絡(luò)安全是一個綜合性技術(shù)，本文結(jié)合當下熱點安全問題，分析、探討在大數(shù)據(jù)背景下網(wǎng)絡(luò)安全的新特點和新要求，對具體的技術(shù)應(yīng)用做出了闡述，包括防火墻、云計算等，最后展望了大數(shù)據(jù)網(wǎng)絡(luò)安全的發(fā)展情景。

1.引言

早在1982年，加拿大作家威廉·吉布森就在他的短篇科幻小說《燃燒的鉻》中創(chuàng)建了網(wǎng)絡(luò)空間（Cyberspace）一詞，意思是由計算機創(chuàng)造的虛擬信息空間。網(wǎng)絡(luò)空間強調(diào)計算機愛好者在游戲機前體驗到的感覺，表明網(wǎng)絡(luò)空間不僅是信息的簡單集合，也是信息對人類認知的影響。從那時起，隨著信息技術(shù)的迅速發(fā)展和互聯(lián)網(wǎng)的廣泛使用，網(wǎng)絡(luò)空間這一概念得到了不斷的豐富和發(fā)展。2008年，美國第54號總統(tǒng)令對網(wǎng)絡(luò)空間進行了定義：網(wǎng)絡(luò)空間是信息環(huán)境中不可或缺的一個領(lǐng)域，由獨立且相互依存的信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)組成, 包括互聯(lián)網(wǎng)，電信網(wǎng)，計算機系統(tǒng)，嵌入式處理器和控制器系統(tǒng)。網(wǎng)絡(luò)空間既是人們的生活環(huán)境，也是信息的生活環(huán)境。另一方面，網(wǎng)絡(luò)空間是所有信息系統(tǒng)的集合，是一個復(fù)雜的巨系統(tǒng)。人在其中與信息相互作用、相互影響。因此，網(wǎng)絡(luò)空間安全問題更加全面更加復(fù)雜。

對于“大數(shù)據(jù)”（Big data），研究機構(gòu)Gartner給出了這樣的定義：“大數(shù)據(jù)”是一種信息資產(chǎn)，需要新的處理模型才能擁有更大的決策，洞察和流程優(yōu)化能力，以適應(yīng)大規(guī)模，高增長率和多樣化的信息。在Victor Meyer-Schonberg和Kenneth Cooke撰寫的《大數(shù)據(jù)時代》一書中，大數(shù)據(jù)指的是不使用隨機分析（樣本調(diào)查）的捷徑，而是采用對所有數(shù)據(jù)進行分析處理。大數(shù)據(jù)的5V特點（IBM提出）：Volume（大量）、Velocity（高速）、Variety（多樣）、Value（低價值密度）、Veracity（真實性）。大數(shù)據(jù)技術(shù)的戰(zhàn)略意義不是掌握大量數(shù)據(jù)信息，而是對這些有意義的數(shù)據(jù)進行合適的處理。換句話說，如果大數(shù)據(jù)被比作一個行業(yè)，那么這個行業(yè)實現(xiàn)盈利的關(guān)鍵是提高數(shù)據(jù)的“處理能力”，并通過“加工”實現(xiàn)數(shù)據(jù)的“增值”。隨著技術(shù)不斷更新迭代，運算和儲存能力的提升同時也帶來了一些傳統(tǒng)技術(shù)無法防御并解決的安全問題，如零日攻擊（0 day），高級持續(xù)威脅（Advanced Persistent Threat），云計算平臺虛擬機之間的內(nèi)部攻擊等。隨著各種類型的危險不斷升級，應(yīng)對措施的及時跟進極為重要，而現(xiàn)階段常用的漏洞彌補手段具有響應(yīng)速度不夠快、修補不夠完美等缺點，事實上漏洞的修補速度遠低于黑客惡意利用速度。因此，目前將大數(shù)據(jù)技術(shù)與現(xiàn)代網(wǎng)絡(luò)空間安全技術(shù)相結(jié)合是目前應(yīng)對高級未知威脅的一種有實效的發(fā)展途徑。本文探討了網(wǎng)絡(luò)空間安全技術(shù)在大數(shù)據(jù)環(huán)境中的應(yīng)用。

2.大數(shù)據(jù)時代對網(wǎng)絡(luò)空間安全的影響

2.1 網(wǎng)絡(luò)安全的重要性

大數(shù)據(jù)背景下的時代，是互聯(lián)網(wǎng)到物理網(wǎng)的一個初步發(fā)展時代。醫(yī)療、軍事、教育等行業(yè)與網(wǎng)絡(luò)傳輸安全密切相關(guān)。在這種情況下，網(wǎng)絡(luò)空間安全的重要性尤為重要。大數(shù)據(jù)時代，信息具有極強的公開性、共享性的特點。然而現(xiàn)階段的網(wǎng)絡(luò)監(jiān)管和治理還未達到理想的效果，大量的信息輕易的遭到破壞或竊取，這對國家和個人都產(chǎn)生了極大的損失。因此，網(wǎng)絡(luò)空間安全的地位尤為重要。

2.2 大數(shù)據(jù)時代網(wǎng)絡(luò)空間安全的新特點

A.泛在性：

隨著現(xiàn)代多媒體網(wǎng)絡(luò)的發(fā)展，網(wǎng)民可以通過虛擬網(wǎng)絡(luò)平臺跨越空間距離，打破時間障礙，隨時隨地享受網(wǎng)絡(luò)服務(wù)，感受網(wǎng)絡(luò)帶來的便利。在廣泛的網(wǎng)絡(luò)信息覆蓋的條件下，信息可以在世界各地，各個領(lǐng)域，行業(yè)和部門中間廣泛傳播。隨著網(wǎng)絡(luò)傳播以指數(shù)級的速度增長，借以物理網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全技術(shù)隨處可見，與生活息息相關(guān)。網(wǎng)絡(luò)空間安全具有泛在性的特征。

B.隱蔽性：

隨著網(wǎng)絡(luò)發(fā)展的復(fù)雜化，網(wǎng)絡(luò)安全漸漸暴露出了其本身的無序和復(fù)雜，其主要體現(xiàn)在大數(shù)據(jù)時代下，信息數(shù)據(jù)龐大冗雜，其中的有價值數(shù)據(jù)密度低，含量大，在一定程度上需要使用網(wǎng)絡(luò)安全技術(shù)進行深度挖掘，才能提取出有價值的內(nèi)容

C.規(guī)模性：

身處工業(yè)3.0的信息化網(wǎng)絡(luò)大時代，人與人之間的交互或人與電腦之間的交互都會產(chǎn)生大量的信息，中國作為擁有14億人的大國，網(wǎng)民數(shù)量更是超過了半數(shù)，每天來自各個平臺的用戶通過終端涌入互聯(lián)網(wǎng)，對云端平臺的數(shù)據(jù)中心造成了嚴重的數(shù)據(jù)處理負擔。目前的網(wǎng)絡(luò)數(shù)據(jù)已經(jīng)遠遠超過了MB，GB級別的計算單位，以PB為基礎(chǔ)的海量數(shù)據(jù)成為了標準。近年來，中國的網(wǎng)絡(luò)信息安全事件頻繁發(fā)生，信息泄露，網(wǎng)絡(luò)欺詐，信息傳播不良等，給人們的個人利益造成了巨大損失。隨著網(wǎng)絡(luò)技術(shù)的普及化，網(wǎng)絡(luò)空間安全的地位變得越來越重要。

2.3 新的挑戰(zhàn)

一切事物都有其兩面性，大數(shù)據(jù)也是如此。既給廣大人民帶來了很大的便利和重要的發(fā)展契機外，也同樣給網(wǎng)絡(luò)安全風險增加了發(fā)展空間。一方面，在大數(shù)據(jù)發(fā)展過程中，不可避免地會出現(xiàn)一些不完整和不規(guī)則的虛假信息，普通網(wǎng)民不一定具有良好的分辨能力。因此我們應(yīng)該正確使用科學和技術(shù)工具來識別網(wǎng)絡(luò)世界中的信息并放棄那些虛假信息。另一方面，在這個階段，人們通常不具備區(qū)分大量數(shù)據(jù)的能力，若不能全面的分析，得到的結(jié)果是片面的。為此，應(yīng)采取措施提高網(wǎng)民自身的分析和識別大數(shù)據(jù)信息的能力，以便于自己能夠通過判斷。[4]

3.網(wǎng)絡(luò)安全技術(shù)實際應(yīng)用

3.1 防火墻技術(shù)

防火墻（Firewall），也稱防護墻，是由Check Point創(chuàng)立者 Gil Shwed于1993年發(fā)明并引入國際互聯(lián)網(wǎng)（US5606668（A）1993-12-15）。它是一種位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一種信息安全保護系統(tǒng)，在特定的規(guī)則下，允許或限制傳輸數(shù)據(jù)。

在網(wǎng)絡(luò)中，所謂的“防火墻”是指將內(nèi)部網(wǎng)絡(luò)與公共接入網(wǎng)絡(luò)（例如因特網(wǎng)）分離的方法，這實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通信時實施的一種訪問控制指標：它能允許你允許的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，將不允許的人和數(shù)據(jù)拒之門外，盡可能防止網(wǎng)絡(luò)上的黑客訪問您的網(wǎng)絡(luò)。換句話說，如果沒有通過防火墻，人就無法通過計算機訪問互聯(lián)網(wǎng)，互聯(lián)網(wǎng)上的人也無法與內(nèi)部人員進行通信。

防火墻主要的類型有：網(wǎng)絡(luò)層防火墻，應(yīng)用層防火墻和數(shù)據(jù)庫防火墻。不同類型的防火墻其運作的底層環(huán)境、操作規(guī)則、實現(xiàn)方法也不盡相同。

防火墻的應(yīng)用有很多種，其中大多數(shù)是個人防護墻。個人防火墻在應(yīng)用程序級別的PC上運行，以保護PC系統(tǒng)的網(wǎng)絡(luò)安全。它可以直接在用戶的計算機上運行，以狀態(tài)/動態(tài)檢測防火墻相同的方式保護計算機免受攻擊。通常，這些防火墻安裝在計算機網(wǎng)絡(luò)接口的較低級別中，以便它們可以監(jiān)視進出網(wǎng)卡的所有網(wǎng)絡(luò)通訊情況。

個人防火墻具有一定的“學習模式”。當每次遇到新的網(wǎng)絡(luò)通訊時，防火墻會詢問用戶如何處理這種類型的通信，然后個人防火墻會記住用戶發(fā)送的響應(yīng)方式并將其應(yīng)用于它將來遇到的相同網(wǎng)絡(luò)通訊。例如，如果用戶已經(jīng)安裝了個人Web服務(wù)器，則個人防火墻可以標記第一個進入的Web連接，并詢問用戶是否允許其通過。用戶可以允許所有Web連接，來自某些IP地址范圍的連接等，然后個人防火墻將該規(guī)則應(yīng)用于所有傳入的Web連接。形象來說，個人防護墻就是在 PC與 Internet之間加了一道“過濾”的篩子，每一個通信內(nèi)容都由操作系統(tǒng)與防火墻進行檢查篩選后才能通過，不再由網(wǎng)卡等直接與互聯(lián)網(wǎng)通信。

3.2 云計算技術(shù)

云計算是基于Internet的服務(wù)的附加，使用和交付模型，通常涉及通過Internet來提供動態(tài)可擴展且經(jīng)常虛擬化的資源。云是互聯(lián)網(wǎng)的隱喻。在過去，云通常用于表示電信網(wǎng)絡(luò)，后來用于表示互聯(lián)網(wǎng)和底層基礎(chǔ)設(shè)施的抽象。因此，云計算甚至可以讓您每秒體驗10萬億次的運算，具有強大的計算能力，可以模擬核爆炸，預(yù)測氣候變化和市場趨勢。用戶通過計算機，筆記本電腦，移動電話等設(shè)備訪問數(shù)據(jù)中心，并根據(jù)自己的需要進行計算。[6]

云計算象征著計算領(lǐng)域密集，大規(guī)模和專業(yè)化發(fā)展的趨勢，是網(wǎng)絡(luò)空間發(fā)生的深刻變革。云計算安全已成為云計算領(lǐng)域的一個重要問題。主要包括以下三個方面：數(shù)據(jù)安全性，網(wǎng)絡(luò)安全性和計算安全性。其核心是數(shù)據(jù)安全性。在云存儲中，數(shù)據(jù)需要保密并共享。因此存在其他用戶意外修改以及刪除數(shù)據(jù)等可能。對于這一問題，解決方法主要是結(jié)合數(shù)據(jù)解密，密鑰分發(fā)和數(shù)據(jù)訪問控制，為加密數(shù)據(jù)提供靈活的多種訪問控制方法。

為了在云存儲中安全存儲和應(yīng)用數(shù)據(jù)，數(shù)據(jù)安全或安全審計為云存儲提供了額外的安全保障和信用機制。核心方法包括兩個方面，即可證明數(shù)據(jù)持有（PDP）和數(shù)據(jù)可恢復(fù)證明（POR）。兩種方法之間的本質(zhì)區(qū)別在于是否支持恢復(fù)損壞的數(shù)據(jù)。

3.3 安全隔離技術(shù)

網(wǎng)絡(luò)隔離技術(shù)是指在兩臺或多臺計算機或網(wǎng)絡(luò)斷開的基礎(chǔ)上進行信息交換和資源共享。通過網(wǎng)絡(luò)隔離技術(shù)，可以在物理上隔離兩個網(wǎng)絡(luò)，并且可以在安全的網(wǎng)絡(luò)環(huán)境中交換數(shù)據(jù)。網(wǎng)絡(luò)隔離技術(shù)的主要目標是隔離有害的網(wǎng)絡(luò)安全威脅，以確保數(shù)據(jù)信息在可信網(wǎng)絡(luò)中安全地進行交互。目前，通用網(wǎng)絡(luò)隔離技術(shù)一般是運用訪問控制的思想，基于物理隔離，并定義了相關(guān)的約束和規(guī)則，以確保網(wǎng)絡(luò)的安全強度。

為了實現(xiàn)高度的自我安全性，隔離產(chǎn)品必須首先確保產(chǎn)品具有一定的安全程度，至少比防火墻具有更高的安全級別。在技 術(shù)實現(xiàn)方面，除防火墻外，還在操作系統(tǒng)上進行軟件層級數(shù)據(jù)交換過濾。最重要的是將內(nèi)部網(wǎng)絡(luò)接口與外部網(wǎng)絡(luò)接口從用戶使用的操作系統(tǒng)分開。換句話說，它必須由至少兩組主機系統(tǒng)組成，一組用于控制外部網(wǎng)絡(luò)接口，另一組用于控制內(nèi)部網(wǎng)絡(luò)接口。然后，通過不可路由的協(xié)議在兩組主機操作系統(tǒng)之間交換數(shù)據(jù)。即使外部網(wǎng)絡(luò)被惡意攻陷，也無法輕易進入內(nèi)部網(wǎng)絡(luò)，實現(xiàn)雙層保護。

實現(xiàn)的關(guān)鍵是要完全保證數(shù)據(jù)的隔離性，在內(nèi)網(wǎng)與外網(wǎng)的連接之間通過不可路由的方法連接，如果任何一個數(shù)據(jù)包直接傳遞給另一方的系統(tǒng)，則不能稱之為隔離，即不能實現(xiàn)隔離效果。由于通信硬件設(shè)備的工作環(huán)境位于網(wǎng)絡(luò)的最低層，因此不能感知諸如交換數(shù)據(jù)的機密性，完整性，可用性，可控性和抗抵賴等安全元素。因此，這需要通過諸如訪問控制，身份認證和加密簽名之類的安全認證機制來實現(xiàn)的，這些機制的大多是通過軟件層實現(xiàn)的。因此，隔離效率的關(guān)鍵是最大化不同網(wǎng)絡(luò)之間數(shù)據(jù)交換的速度，并且可以透明化支持應(yīng)用程序以適應(yīng)復(fù)雜和高帶寬要求的網(wǎng)絡(luò)間數(shù)據(jù)交換。

4.總結(jié)與展望

網(wǎng)絡(luò)安全對于未來的信息科學發(fā)展是必不可少的。傳統(tǒng)網(wǎng)絡(luò)安全的技術(shù)在面對新型威脅，比如逐漸成為主流網(wǎng)絡(luò)犯罪的數(shù)字勒索等顯得十分薄弱。因此，網(wǎng)絡(luò)安全要想發(fā)揮具有效應(yīng)的作用，應(yīng)明確當下其具有的新特性，結(jié)合需要面對的新威脅，與當下的熱門技術(shù)比如大數(shù)據(jù)和云計算等形成優(yōu)勢互補。近期，全國人大常委會建議通過加快個人信息保護法立法進程、加大打擊力度等方式，進一步提升用戶個人信息保護力度，促進完善網(wǎng)絡(luò)安全法配套法規(guī)規(guī)章，加快《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全等級保護條例》的立法進程。這也意味著國家已充分意識到網(wǎng)絡(luò)安全及個人信息安全保護的重要性，未來信息安全監(jiān)管力度將持續(xù)加大。未來“信息安全”“數(shù)據(jù)隱私”將成為焦點。作為網(wǎng)絡(luò)安全愛好者，我們首先要跟上時代，及時跟進思想意識，更新技術(shù)手段，不斷提高自身對于安全和隱私的保護方法。同時也要關(guān)注并支持網(wǎng)絡(luò)安全最新的動態(tài)變化，貢獻自己的一份力量，助力我國網(wǎng)絡(luò)安全發(fā)展。