基于大數(shù)據(jù)環(huán)境背景下的信息系統(tǒng)安全保障技術(shù)分析

李元圓*，王延龍

（天津中車機(jī)輛裝備有限公司，天津，300232）

引言

大數(shù)據(jù)在不同領(lǐng)域和不同角度的定義各不相同，對(duì)于信息技術(shù)來(lái)說(shuō)，大數(shù)據(jù)指的是使用傳統(tǒng)處理數(shù)據(jù)的應(yīng)用，或是當(dāng)前數(shù)據(jù)庫(kù)管理工具難以進(jìn)行處理的復(fù)雜且數(shù)量巨大的數(shù)據(jù)集，這些多樣而海量的數(shù)據(jù)超出常規(guī)數(shù)據(jù)庫(kù)處理和分析的能力。大數(shù)據(jù)具有海量化、多樣化、復(fù)雜化、快速化以及價(jià)值密度低等諸多特點(diǎn)。

1 信息存儲(chǔ)安全技術(shù)

大數(shù)據(jù)不僅擁有海量化、多樣化、復(fù)雜化等特點(diǎn)，還有頻繁使用、多次訪問(wèn)、生命周期長(zhǎng)等特點(diǎn)，特別是引入數(shù)據(jù)合作商與云服務(wù)商后使得數(shù)據(jù)信息竊取與泄露的風(fēng)險(xiǎn)增加，如果不能保證數(shù)據(jù)信息存儲(chǔ)的安全，那么用戶與企業(yè)可能會(huì)有極大的損失。

1.1 恢復(fù)和備份

通常來(lái)說(shuō)，快照、數(shù)據(jù)鏡像、RAID、異地備份等是較為常見(jiàn)的數(shù)據(jù)信息恢復(fù)和備份機(jī)制。伴隨數(shù)據(jù)量到達(dá)了PB等級(jí)，HADOOP成為當(dāng)前使用最多的大數(shù)據(jù)架構(gòu)，HADOOP所具有的分布式系統(tǒng)HDFS能夠通過(guò)數(shù)據(jù)信息的恢復(fù)與備份機(jī)制來(lái)有效保護(hù)數(shù)據(jù)。HDFS把各個(gè)文件都分成數(shù)據(jù)塊來(lái)進(jìn)行存儲(chǔ)，最后一個(gè)數(shù)據(jù)塊以外的其他數(shù)據(jù)塊具有相同的大小。全部文件數(shù)據(jù)塊都進(jìn)行多次保存，提高了數(shù)據(jù)信息的容錯(cuò)率，使得用戶能夠?qū)ξ募母北鞠禂?shù)與數(shù)據(jù)塊大小進(jìn)行設(shè)置[1]。控制節(jié)點(diǎn)管理著所有的復(fù)制數(shù)據(jù)，數(shù)據(jù)節(jié)點(diǎn)定期向其發(fā)送證明自己正常工作的心跳信息與數(shù)據(jù)塊列表、硬盤、CPU等自身狀態(tài)。

1.2 數(shù)據(jù)信息加密

VPN能夠使數(shù)據(jù)信息傳輸過(guò)程的安全得以保證，不過(guò)數(shù)據(jù)通過(guò)明文形式在系統(tǒng)中存儲(chǔ)時(shí)，對(duì)于外來(lái)入侵者的攻擊、修改與破壞就相對(duì)脆弱，將重要數(shù)據(jù)信息的存儲(chǔ)進(jìn)行加密是十分必要的技術(shù)手段。一般來(lái)說(shuō)，數(shù)據(jù)加密算法包括非對(duì)稱加密與對(duì)稱加密。非對(duì)稱加密算法包含RSA、ELGAMAL等，這些算法的解密與加密使用不同的密匙，一個(gè)私匙和一個(gè)公匙。對(duì)稱加密算法包含RC6、RC5、RC4、AES、DES等，這些算法的解密與加密使用相同的密匙。在具體使用過(guò)程中，通常把非對(duì)稱加密算法與對(duì)稱加密算法相結(jié)合，數(shù)據(jù)加密使用非對(duì)稱密匙算法，密匙分配使用對(duì)稱密匙加密算法，這種方法對(duì)大數(shù)據(jù)環(huán)境下海量數(shù)據(jù)的加密十分適合。

2 信息采集安全技術(shù)

信息采集指的是對(duì)數(shù)據(jù)的匯集與采集環(huán)節(jié)，其中主要的安全問(wèn)題是匯集與采集過(guò)程中出現(xiàn)的傳輸安全問(wèn)題，具體指數(shù)據(jù)信息的防止重放攻擊、真實(shí)性、完整性與機(jī)密性。當(dāng)前主要利用VPN（即虛擬專用網(wǎng)）技術(shù)在管理節(jié)點(diǎn)與數(shù)據(jù)節(jié)點(diǎn)間設(shè)置 VPN來(lái)達(dá)到安全傳輸目的。VPN技術(shù)實(shí)現(xiàn)了配置管理技術(shù)、密碼技術(shù)、協(xié)議封裝技術(shù)以及隧道技術(shù)的有機(jī)結(jié)合，在目的端與源端間利用安全通道技術(shù)建立一個(gè)安全性高的數(shù)據(jù)通道，把待傳輸?shù)臄?shù)據(jù)信息進(jìn)行協(xié)議封裝與加密處理，嵌入另一個(gè)協(xié)議報(bào)文中，然后像傳輸一般數(shù)據(jù)報(bào)文的方式在網(wǎng)上傳輸[2]。通過(guò)這樣的處理，使得通道里的嵌入信息只有目的端與源端的用戶才能處理及解釋，對(duì)其他用戶來(lái)說(shuō)只是一種無(wú)實(shí)際意義的數(shù)據(jù)信息。

3 信息發(fā)布安全技術(shù)

信息發(fā)布指的是深入分析和挖掘大數(shù)據(jù)后，將挖掘出的結(jié)果信息輸出到數(shù)據(jù)應(yīng)用實(shí)體的過(guò)程。在信息發(fā)布前應(yīng)使用相關(guān)的安全審計(jì)技術(shù)來(lái)仔細(xì)審查將要輸出的數(shù)據(jù)，保證輸出數(shù)據(jù)具有不超限、無(wú)隱私、不泄密的特點(diǎn)。不過(guò)，任何安全審計(jì)技術(shù)都有一定的漏洞，因此，應(yīng)使用數(shù)字水印技術(shù)（即數(shù)據(jù)溯源機(jī)制）來(lái)確保信息發(fā)布后如果出現(xiàn)隱私泄露與機(jī)密泄露等信息安全問(wèn)題可以第一時(shí)間找到產(chǎn)生問(wèn)題的實(shí)體與環(huán)節(jié)。

3.1 信息溯源

信息溯源指的是定位并標(biāo)記大數(shù)據(jù)不同周期與環(huán)節(jié)的操作，當(dāng)出現(xiàn)信息安全問(wèn)題后，能夠快速定位到發(fā)生問(wèn)題的責(zé)任者與環(huán)節(jié)，以便解決對(duì)應(yīng)的信息安全問(wèn)題。數(shù)據(jù)溯源可采用數(shù)字水印技術(shù)，這種技術(shù)能夠把部分?jǐn)?shù)字水印等標(biāo)識(shí)信息嵌入到軟件、文檔、多媒體等數(shù)字載體，根據(jù)數(shù)據(jù)隱藏原理讓水印標(biāo)志對(duì)外不可見(jiàn)，不但不會(huì)對(duì)原數(shù)據(jù)信息造成損壞，還能夠?qū)?shù)據(jù)信息進(jìn)行標(biāo)記。在發(fā)布數(shù)據(jù)信息的出口處構(gòu)建數(shù)字水印加載體系，在發(fā)布數(shù)據(jù)信息時(shí)，對(duì)于主要的數(shù)據(jù)信息，會(huì)給每個(gè)訪問(wèn)者提供加載了唯一水印的數(shù)據(jù)。一旦出現(xiàn)隱私問(wèn)題與機(jī)密泄露等情況時(shí)，能夠根據(jù)提取的水印快速確定泄露數(shù)據(jù)信息的源頭，從而盡快對(duì)其進(jìn)行處理。

3.2 安全審計(jì)

安全審計(jì)指的是將系統(tǒng)相關(guān)的部分或全部活動(dòng)記錄下來(lái)的基礎(chǔ)上，對(duì)這些活動(dòng)進(jìn)行評(píng)估審查與分析處理，尋找潛在的安全隱患，計(jì)算、稽查和審核系統(tǒng)安全情況，查找導(dǎo)致安全事故的原因，從而進(jìn)行妥善處理。當(dāng)前經(jīng)常使用的審計(jì)技術(shù)包括代理審計(jì)技術(shù)、網(wǎng)關(guān)審計(jì)技術(shù)、網(wǎng)絡(luò)監(jiān)聽審計(jì)技術(shù)、日志審計(jì)技術(shù)等。

4 信息挖掘安全技術(shù)

信息挖掘指的是自動(dòng)將隱藏在海量數(shù)據(jù)中的有用信息抽取出來(lái)的過(guò)程，也是大數(shù)據(jù)的應(yīng)用核心。信息挖掘?qū)崿F(xiàn)了空間數(shù)據(jù)分析、信息檢索、神經(jīng)網(wǎng)絡(luò)、模式識(shí)別、高性能運(yùn)算、統(tǒng)計(jì)學(xué)、機(jī)器學(xué)習(xí)、人工智能以及數(shù)據(jù)庫(kù)等諸多領(lǐng)域的技術(shù)與理論。信息挖掘具有一定的專業(yè)性，這就決定了大部分持有大數(shù)據(jù)的相關(guān)機(jī)構(gòu)在信息挖掘方面是非專業(yè)的[3]。因此，挖掘大數(shù)據(jù)核心價(jià)值時(shí)會(huì)有第三方挖掘機(jī)構(gòu)加入，要想確保其在挖掘大數(shù)據(jù)時(shí)不竊取信息、不添加惡意程序，首先要做的就是認(rèn)真數(shù)據(jù)挖掘方的身份信息。經(jīng)常使用的認(rèn)證機(jī)制包括生物識(shí)別技術(shù)、動(dòng)態(tài)口令、公共密匙PKI及KERBEROS認(rèn)證機(jī)制等。其中，生物識(shí)別技術(shù)能通過(guò)虹膜、人臉、聲紋、指紋來(lái)對(duì)人類身份進(jìn)行認(rèn)證，且不需要記憶密碼；動(dòng)態(tài)口令能在登陸客戶端時(shí)保證每次提交的認(rèn)證信息都不相同，有效增強(qiáng)認(rèn)證身份的安全性；公共密匙PKI是一種根據(jù)非對(duì)稱密碼技術(shù)提供相關(guān)安全服務(wù)的網(wǎng)絡(luò)安全設(shè)施，能將用戶標(biāo)識(shí)信息與公匙進(jìn)行捆綁，確保在網(wǎng)上傳輸過(guò)程中的安全；KERBEROS指的是通過(guò)服務(wù)器第三方網(wǎng)絡(luò)協(xié)議對(duì)分布式網(wǎng)絡(luò)中接入用戶的身份信息進(jìn)行認(rèn)證的一種認(rèn)證機(jī)制。

5 結(jié)束語(yǔ)

總而言之，基于大數(shù)據(jù)環(huán)境背景下確保信息系統(tǒng)安全是十分重要的。因此，在大數(shù)據(jù)環(huán)境背景下，企業(yè)應(yīng)通過(guò)信息存儲(chǔ)安全技術(shù)、信息采集安全技術(shù)、信息發(fā)布安全技術(shù)、信息挖掘安全技術(shù)等信息系統(tǒng)安全保障技術(shù)來(lái)確保信息系統(tǒng)安全，嚴(yán)格管控?cái)?shù)據(jù)信息存儲(chǔ)、采集、發(fā)布、挖掘等環(huán)節(jié)，推動(dòng)信息系統(tǒng)的平穩(wěn)運(yùn)行。

[1] 王社,張琪,李芙蓉.《安全防范系統(tǒng)》課程信息化教學(xué)設(shè)計(jì)與實(shí)踐——以“視頻監(jiān)控系統(tǒng)前端設(shè)備的安裝與調(diào)試”為例[J].課程教育研究,2018,(18):85-86.

[2] 常新功.系統(tǒng)與技術(shù):金融業(yè)安全發(fā)展選擇——金融危機(jī)后的十年:金融機(jī)構(gòu)風(fēng)險(xiǎn)管理信息系統(tǒng)的建設(shè)歷程與啟示[J].當(dāng)代金融家,2018,(01):52-55.

[3] 何文海.基于山東高考報(bào)名信息系統(tǒng)泄露分析大數(shù)據(jù)視域下信息安全問(wèn)題及保障措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017,(11):93+95.

[4] 黃一洪.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全與解決策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018,(07):108+110.

[5] 閆衛(wèi)剛.基于微分博弈的礦業(yè)信息系統(tǒng)安全投資水平問(wèn)題研究[J].煤炭經(jīng)濟(jì)研究,2018,(06):58-62.