大數(shù)據(jù)下網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)和策略探究

辛云龍

（中央網(wǎng)信辦網(wǎng)絡(luò)安全應(yīng)急指揮中心，北京 100044）

0 引言

基于大數(shù)據(jù)時(shí)代背景，在網(wǎng)絡(luò)信息安全領(lǐng)域中大數(shù)據(jù)技術(shù)的應(yīng)用推動(dòng)了其他新型信息技術(shù)手段的創(chuàng)新與發(fā)展，并且大數(shù)據(jù)技術(shù)還為網(wǎng)民信息資源的獲取帶來了極大的便利。與此同時(shí)，網(wǎng)絡(luò)信息安全技術(shù)的創(chuàng)新與優(yōu)化離不開政府、研究人員以及網(wǎng)絡(luò)用戶的共同努力，必須積極營造干凈和諧的網(wǎng)絡(luò)氛圍，為廣大用戶群體提供良好網(wǎng)絡(luò)運(yùn)行環(huán)境。

1 大數(shù)據(jù)下的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)主要包括邏輯性風(fēng)險(xiǎn)和物理性風(fēng)險(xiǎn)兩種，其中邏輯性風(fēng)險(xiǎn)指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)功能不完整而導(dǎo)致外部人員可隨意更改和盜取網(wǎng)絡(luò)信息，而物理性風(fēng)險(xiǎn)則指黑客攻擊或人為失誤操作造成的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。對(duì)于網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行安全的保障，主要涉及安全性、保密性以及完整性三方面，但網(wǎng)絡(luò)結(jié)構(gòu)并非始終都能保持絕對(duì)的安全，其在運(yùn)行過程中仍存在不同程度的漏洞問題，而黑客便是利用不同類型的網(wǎng)絡(luò)漏洞進(jìn)行了主動(dòng)惡意攻擊或竊取操作，致使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)信息被大量篡改、盜取甚至是惡意破解[1]。實(shí)際上計(jì)算機(jī)網(wǎng)絡(luò)原本就具有一定的開放性和共享性特點(diǎn)，因此其網(wǎng)絡(luò)系統(tǒng)的安全級(jí)別相對(duì)較低，普遍伴隨著各種漏洞問題，而網(wǎng)絡(luò)安全的脆弱性又極容易導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)被外部人員所攻擊，在破壞行為得逞后大量網(wǎng)絡(luò)信息將會(huì)直接被盜取或篡改，甚至造成嚴(yán)重的經(jīng)濟(jì)損失。目前以大數(shù)據(jù)應(yīng)用為基礎(chǔ)的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，主要集中在數(shù)據(jù)采集傳輸以及應(yīng)用三個(gè)層面。其中數(shù)據(jù)信息在采集過程中仍存在不合理、不規(guī)范、不完整、夾帶偽代碼等安全風(fēng)險(xiǎn)；數(shù)據(jù)信息在傳輸過程中則會(huì)伴隨著加密算法安全級(jí)別低、數(shù)據(jù)傳輸不完整等安全風(fēng)險(xiǎn)；數(shù)據(jù)信息在應(yīng)用過程中，則會(huì)面臨著數(shù)據(jù)操作權(quán)限越界、分析結(jié)果不具備權(quán)威性、數(shù)據(jù)結(jié)構(gòu)極易被攻擊等問題。與此同時(shí)，大數(shù)據(jù)在應(yīng)用過程中，通常還會(huì)在網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的正確性、完整性，容錯(cuò)性、并發(fā)性以及脫敏性等性能指標(biāo)中產(chǎn)生相應(yīng)的漏洞問題，因此在構(gòu)建數(shù)據(jù)信息安全架構(gòu)時(shí)，相關(guān)技術(shù)人員應(yīng)以規(guī)范化和標(biāo)準(zhǔn)化為基本原則，不斷優(yōu)化與完善數(shù)據(jù)安全體系[2]。目前大數(shù)據(jù)技術(shù)已經(jīng)在越來越多的行業(yè)當(dāng)中發(fā)揮作用，并取得了實(shí)際成效，但是與此同時(shí)大數(shù)據(jù)存儲(chǔ)設(shè)備、運(yùn)算設(shè)備、基礎(chǔ)軟件等也一直飽受非授權(quán)訪問、拒絕服務(wù)攻擊、信息泄露等一系列安全威脅。在這種情況下，必須要盡快通過主機(jī)加固、惡意代碼防護(hù)、進(jìn)行可信計(jì)算等方式保證主機(jī)安全，并利用建立防火墻、加強(qiáng)漏洞掃描、VPN系統(tǒng)、DDOS防護(hù)、IDS/IPS等一系列措施保障網(wǎng)絡(luò)安全。與此同時(shí)，還需要引入身份認(rèn)證、數(shù)據(jù)加密等模式，避免數(shù)據(jù)泄露風(fēng)險(xiǎn)，并基于Kerberos網(wǎng)絡(luò)安全認(rèn)證協(xié)議實(shí)現(xiàn)訪問權(quán)限控制，從根本上解決非授權(quán)用戶登錄的問題[3]。

計(jì)算機(jī)網(wǎng)絡(luò)原本就具有較強(qiáng)的信息共享能力，意味著大數(shù)據(jù)技術(shù)對(duì)網(wǎng)絡(luò)信息安全的保密性和完整性將會(huì)提出更高的要求。在大數(shù)據(jù)時(shí)代背景下，各行業(yè)領(lǐng)域?qū)τ?jì)算機(jī)網(wǎng)絡(luò)信息資源和大數(shù)據(jù)技術(shù)應(yīng)用的需求正與日俱增，在一定程度上推動(dòng)了大數(shù)據(jù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)相結(jié)合的新型產(chǎn)業(yè)發(fā)展，還為網(wǎng)絡(luò)信息安全體系的構(gòu)建奠定了良好基礎(chǔ)。但在大數(shù)據(jù)時(shí)代背景下，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)仍層出不窮，而黑客攻擊、ARP欺騙攻擊、DOS攻擊、DDOS攻擊又會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)帶來嚴(yán)重的破壞性威脅，必須結(jié)合具體問題具體分析有針對(duì)性地構(gòu)建網(wǎng)絡(luò)信息安全保護(hù)體系?；诖髷?shù)據(jù)時(shí)代背景，數(shù)據(jù)信息在網(wǎng)絡(luò)傳播過程中極容易出現(xiàn)缺乏完整性或被盜取的惡意行為，而以上問題無論是人為因素還是非人為因素導(dǎo)致的，都需要構(gòu)建相應(yīng)的網(wǎng)絡(luò)信息安全防護(hù)體系來保障數(shù)據(jù)信息傳輸安全。另一方面，目前大部分網(wǎng)絡(luò)用戶的安全風(fēng)險(xiǎn)意識(shí)較為淡薄，在訪問計(jì)算機(jī)網(wǎng)絡(luò)時(shí)極易被不法分子惡意盜取相關(guān)數(shù)據(jù)信息，從而造成難以挽回的經(jīng)濟(jì)損失[4]。因此網(wǎng)絡(luò)用戶必須有意識(shí)地防范網(wǎng)絡(luò)漏洞的攻擊行為，不斷強(qiáng)化自身安全操作能力，積極引用各種先進(jìn)的網(wǎng)絡(luò)信息安全保密手段。

2 大數(shù)據(jù)下的網(wǎng)絡(luò)信息安全防范措施

2.1 構(gòu)建完善的數(shù)據(jù)安全體系

大數(shù)據(jù)在日常應(yīng)用過程中，極易出現(xiàn)采集、存儲(chǔ)、分析以及信息處理方面的安全隱患，必須具體問題具體分析，有針對(duì)性地采取信息安全防控措施。從大數(shù)據(jù)技術(shù)的理論層面分析，還應(yīng)對(duì)數(shù)據(jù)安全控制的整個(gè)生命周期進(jìn)行全方位監(jiān)督與檢測(cè)，從根本上保障網(wǎng)絡(luò)數(shù)據(jù)信息的安全性、穩(wěn)定性以及可靠性等基本指標(biāo)。因此在大數(shù)據(jù)背景下積極構(gòu)建完善的數(shù)據(jù)安全體系具有積極意義，為網(wǎng)絡(luò)數(shù)據(jù)信息的安全提供了基本保障。對(duì)用戶個(gè)人信息進(jìn)行安全防護(hù)時(shí)，通常需要開通相應(yīng)的數(shù)據(jù)脫敏和隱私信息去標(biāo)識(shí)化等功能。對(duì)數(shù)據(jù)信息進(jìn)行安全訪問和控制時(shí)，還要有意識(shí)地開設(shè)多租戶訪問隔離模塊，將全局視圖和私有視圖進(jìn)行單獨(dú)劃分，定期更新與優(yōu)化訪問授權(quán)模型。在采集與獲取網(wǎng)絡(luò)數(shù)據(jù)信息時(shí)，還應(yīng)建立相應(yīng)的數(shù)據(jù)質(zhì)量管理體系，進(jìn)一步提高網(wǎng)絡(luò)數(shù)據(jù)信息的規(guī)范性和完整性，依托于先進(jìn)的大數(shù)據(jù)清洗技術(shù)，有針對(duì)性地刪除與淘汰質(zhì)量較差的網(wǎng)絡(luò)數(shù)據(jù)信息，同時(shí)不斷調(diào)整外部獲取信息和內(nèi)部數(shù)據(jù)信息的兼容性，充分利用不同數(shù)據(jù)結(jié)構(gòu)之間的物理隔離功能。另外，對(duì)于數(shù)據(jù)安全體系而言，最需引起重視的環(huán)節(jié)即為操作權(quán)限的內(nèi)部控制環(huán)節(jié)，必須嚴(yán)格遵循權(quán)限分配原則，動(dòng)態(tài)調(diào)整其安全級(jí)別，實(shí)現(xiàn)最高級(jí)別的數(shù)據(jù)信息安全保護(hù)體系，確保各行業(yè)領(lǐng)域的數(shù)據(jù)信息不會(huì)因內(nèi)部操作而受到大面積的攻擊與侵襲[5]。

2.2 改進(jìn)傳統(tǒng)數(shù)據(jù)加密算法

傳統(tǒng)數(shù)據(jù)加密算法主要包括對(duì)稱加密和非對(duì)稱加密兩種類型，大多數(shù)網(wǎng)絡(luò)信息安全算法都是基于這兩種加密算法衍生而來的新型算法，本質(zhì)上具有較高的數(shù)據(jù)傳輸安全性。在大數(shù)據(jù)背景下改進(jìn)傳統(tǒng)數(shù)據(jù)加密算法時(shí)，應(yīng)在待加密的數(shù)據(jù)或文件信息創(chuàng)建的初期階段，即建立完善的數(shù)據(jù)加密系統(tǒng)。在數(shù)據(jù)信息傳輸過程中，可通過數(shù)字簽名和非對(duì)稱加密算法有機(jī)結(jié)合的方式，提高傳輸渠道和整個(gè)傳輸過程的安全性，有效避免數(shù)據(jù)或文件信息在傳輸過程中因惡意攻擊而被篡改和盜取。為保障計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的完整性，通常需要將網(wǎng)絡(luò)信息獲取的安全完整性、網(wǎng)絡(luò)傳輸渠道的安全完整性、網(wǎng)絡(luò)信息處理算法的安全完整性相融合，并在此基礎(chǔ)上構(gòu)建完善的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系。與此同時(shí)，基于服務(wù)器和計(jì)算機(jī)主機(jī)的集中式數(shù)據(jù)存儲(chǔ)特點(diǎn)，必須以權(quán)限控制為基礎(chǔ)不斷創(chuàng)新與優(yōu)化數(shù)據(jù)加密算法，通過改進(jìn)加密算法的等級(jí)功能保障數(shù)據(jù)信息的安全性。另一方面，在改進(jìn)傳統(tǒng)數(shù)據(jù)加密算法時(shí)，相關(guān)研究人員和技術(shù)人員還應(yīng)針對(duì)數(shù)據(jù)加密中存在的各種問題進(jìn)行全面分析與處理，避免因人工操作失誤而弱化計(jì)算機(jī)網(wǎng)絡(luò)和服務(wù)器的安全防控能力。對(duì)于分布式網(wǎng)絡(luò)結(jié)構(gòu)和服務(wù)器部署方式，還需要以數(shù)據(jù)加密算法為基礎(chǔ)，實(shí)時(shí)更新數(shù)據(jù)庫的權(quán)限控制手段，實(shí)現(xiàn)數(shù)據(jù)來源和去向的雙向加密功能。

2.3 強(qiáng)化大數(shù)據(jù)治理下的入侵檢測(cè)系統(tǒng)應(yīng)用

以大數(shù)據(jù)治理為基礎(chǔ)的入侵檢測(cè)系統(tǒng)，主要是通過數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)控制以及數(shù)據(jù)加密算法等手段來檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)信息的安全性，既能及時(shí)攔截各種訪問入侵行為，又能將數(shù)據(jù)篡改行為造成的安全風(fēng)險(xiǎn)控制在合理范圍內(nèi)。入侵檢測(cè)系統(tǒng)在運(yùn)行過程中可充分利用大數(shù)據(jù)的入侵檢測(cè)技術(shù)，將計(jì)算機(jī)網(wǎng)絡(luò)中的可疑信息和操作進(jìn)行隔離，并及時(shí)發(fā)出相應(yīng)的預(yù)警信號(hào)，以此起到良好的網(wǎng)絡(luò)信息安全防護(hù)效果。系統(tǒng)的入侵檢測(cè)技術(shù)主要是圍繞著大數(shù)據(jù)分析技術(shù)開展各項(xiàng)數(shù)據(jù)信息檢測(cè)工作，通過統(tǒng)計(jì)分析法、深度學(xué)習(xí)、機(jī)器學(xué)習(xí)法、簽名分析法等多元化技術(shù)手段可有效監(jiān)測(cè)與隔離異常的網(wǎng)絡(luò)信息和非法入侵行為[6]?；诖藢?duì)網(wǎng)絡(luò)信息進(jìn)行安全保護(hù)時(shí)，還應(yīng)及時(shí)革新與優(yōu)化入侵檢測(cè)系統(tǒng)應(yīng)用，充分發(fā)揮入侵檢測(cè)技術(shù)的優(yōu)勢(shì)，并在此基礎(chǔ)上創(chuàng)新與研發(fā)其他新型技術(shù)手段，以智能化手段檢測(cè)網(wǎng)絡(luò)異常情況，有效控制黑客入侵和欺騙攻擊等異常行為，通過實(shí)施規(guī)范的安全防護(hù)操作，將異常行為攔截在本地網(wǎng)絡(luò)之外，同時(shí)打亂實(shí)行入侵操作的代碼，有效強(qiáng)化權(quán)限控制的安全級(jí)別。對(duì)入侵檢測(cè)系統(tǒng)應(yīng)用進(jìn)行更新時(shí)，還應(yīng)基于統(tǒng)計(jì)學(xué)和網(wǎng)絡(luò)安全算法相關(guān)理論，實(shí)時(shí)監(jiān)督與檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和服務(wù)器主機(jī)等設(shè)備相關(guān)的性能指標(biāo)運(yùn)行情況，有效規(guī)避人工操作失誤造成的網(wǎng)絡(luò)異常安全風(fēng)險(xiǎn)。

3 結(jié)語

網(wǎng)絡(luò)大數(shù)據(jù)的復(fù)雜性可直接影響數(shù)據(jù)處理的難度系數(shù)，并且網(wǎng)絡(luò)信息安全還與大數(shù)據(jù)技術(shù)密切相關(guān)，兩者相互促進(jìn)、相輔相成。網(wǎng)絡(luò)信息安全的防控級(jí)別可直接決定用戶在訪問互聯(lián)網(wǎng)時(shí)的安全性，因此，充分利用大數(shù)據(jù)治理技術(shù)，為大數(shù)據(jù)背景下網(wǎng)絡(luò)信息的安全防護(hù)奠定良好基礎(chǔ)，已成為順應(yīng)新時(shí)代發(fā)展趨勢(shì)的必然結(jié)果。