大數(shù)據(jù)時代計算機網(wǎng)絡(luò)安全及防范措施分析

程昕蕾

秦淮區(qū)市場監(jiān)督管理局 江蘇 南京 210006

1 大數(shù)據(jù)的概念

當(dāng)前，隨著經(jīng)濟與科技的迅猛發(fā)展，大數(shù)據(jù)的浪潮洶涌而來。大數(shù)據(jù)時代是繼云計算、物聯(lián)網(wǎng)以后，IT產(chǎn)業(yè)又一次較大的技術(shù)變革。信息技術(shù)發(fā)展到現(xiàn)代，大體上以計算為核心，以網(wǎng)絡(luò)為基礎(chǔ)，以應(yīng)用為導(dǎo)向，以安全為保障。一方面，信息技術(shù)發(fā)展是大數(shù)據(jù)時代最重要的特征，反過來，大數(shù)據(jù)對于信息服務(wù)行業(yè)的影響也極其深遠(yuǎn)。那么，大數(shù)據(jù)的發(fā)展趨勢到底是怎樣的呢?

1.1 大數(shù)據(jù)的趨勢

（1）對傳統(tǒng)科學(xué)理論有所突破。大數(shù)據(jù)不論對社會的哪個行業(yè)來說都是一次技術(shù)革命的創(chuàng)新，為科技的突破做出了貢獻(xiàn)。

（2）數(shù)據(jù)形成資源化。隨著大數(shù)據(jù)內(nèi)容成為戰(zhàn)略資源，它也逐漸成為人們關(guān)注和搶奪的焦點，社會和企業(yè)對其給予了更多的關(guān)注的認(rèn)知。企業(yè)為了獲得市場的主導(dǎo)，必將要對大數(shù)據(jù)資源進(jìn)行戰(zhàn)略計劃的制定。

（3）深度結(jié)合云計算。從2013年開始，云計算技術(shù)和大數(shù)據(jù)處理技術(shù)就已有效結(jié)合。云計算的存在為大數(shù)據(jù)的處理提供了強有力的支撐。大數(shù)據(jù)的運作與云處理在不斷發(fā)展的過程中關(guān)系愈發(fā)密切，不可分割[1]。

2 計算機網(wǎng)絡(luò)安全的現(xiàn)狀

目前，我國的網(wǎng)絡(luò)信息安全形勢十分嚴(yán)峻。在信息產(chǎn)業(yè)和經(jīng)濟金融領(lǐng)域尤為突出。主要的問題有：如從國外進(jìn)口的電腦硬件、軟件中均存在著不同程度的惡意功能，市場壟斷或價格歧視等等。同時，人們的安全意識淡薄導(dǎo)致不設(shè)防的網(wǎng)絡(luò)被黑客和病毒不斷攻擊，造成數(shù)據(jù)泄露和丟失。最后，我國的網(wǎng)絡(luò)信息安全技術(shù)落后，在面對不斷出現(xiàn)的新威脅時，網(wǎng)絡(luò)的應(yīng)對能力明顯偏弱。

2.1 網(wǎng)絡(luò)安全技術(shù)發(fā)展特點

（1）不斷增多的網(wǎng)絡(luò)保護層面。隨著一條物理線路可以同時承載多個信道，目前的網(wǎng)絡(luò)安全技術(shù)也開始淘汰在通信線路兩端設(shè)置解密機來維護網(wǎng)絡(luò)安全的傳統(tǒng)手段，向鏈接層保護方向發(fā)展，更側(cè)重于網(wǎng)絡(luò)安全保護和對話層安全保護。

（2）不斷擴大的涵蓋范圍與內(nèi)容。網(wǎng)絡(luò)安全技術(shù)的涵蓋范圍從最早的加密、認(rèn)證技術(shù)到發(fā)展為網(wǎng)絡(luò)訪問控制、監(jiān)聽監(jiān)控、入侵檢測、漏洞掃描、查殺病毒、內(nèi)容過濾、應(yīng)急通信等方面。

（3）不斷擴大的組成系統(tǒng)。網(wǎng)絡(luò)安全的組成系統(tǒng)已從過去簡單的數(shù)據(jù)傳輸安全發(fā)展為以認(rèn)證和授權(quán)為主要內(nèi)容的階段，并通過安全協(xié)議來實現(xiàn)。目前的網(wǎng)絡(luò)安全問題主要是由于IP網(wǎng)絡(luò)開放引起的。針對這一問題，網(wǎng)絡(luò)安全技術(shù)的組成系統(tǒng)不斷擴大并朝著防御的方向發(fā)展。

（4）防御從被動變主動。隨著網(wǎng)絡(luò)承載的信息資產(chǎn)的價值越來越大，被動防御已經(jīng)逐漸被淘汰。目前的網(wǎng)絡(luò)安全技術(shù)主要是主動防御，即首先對正常的網(wǎng)絡(luò)行為建立模型，通過采用一定的網(wǎng)絡(luò)安全技術(shù)將所有網(wǎng)絡(luò)數(shù)據(jù)和正常模式進(jìn)行匹配，防止受到可能的未知攻擊[2]。

3 計算機存在的安全隱患

3.1 網(wǎng)絡(luò)攻擊

（1）由于計算機系統(tǒng)龐大而復(fù)雜，系統(tǒng)開發(fā)者很難做到萬無一失。因此，大多數(shù)計算機系統(tǒng)存在著較為嚴(yán)重的安全隱患，極易受到安全侵襲。其中網(wǎng)絡(luò)攻擊方式主要有以下幾種：

（2）拒絕服務(wù)式攻擊。這種網(wǎng)絡(luò)攻擊又稱為DOS（Danielof Service），主要通過破壞計算機系統(tǒng)使計算機和網(wǎng)絡(luò)停止提供拂去。危害最嚴(yán)重的是分布式拒絕服務(wù)攻擊，它威力巨大，能將多臺計算機聯(lián)合為一個攻擊目標(biāo)，針對其發(fā)動拒絕服務(wù)式攻擊。

（3）利用型攻擊。這種攻擊方法主要利用口令猜測，木馬程序或者緩存區(qū)溢出等方式發(fā)控制電腦系統(tǒng)。

（4）信息收集型攻擊。這種攻擊方法分系統(tǒng)掃描、系統(tǒng)結(jié)構(gòu)探測以及利用信息服務(wù)三種。第一種主要采用一些遠(yuǎn)程軟件對要攻擊系統(tǒng)進(jìn)行檢測并查處系統(tǒng)漏洞從而攻擊。第二種則是對攻擊對象的特點進(jìn)行判斷確定適合的攻擊手段。利用信息服務(wù)主要是控制攻擊對象操作系統(tǒng)中信息服務(wù)功能保存的主信息，對主機進(jìn)行攻擊。

（5）虛假信息攻擊。虛假信息攻擊最常見的主要有DNS攻擊和電子郵件攻擊。

（6）腳本與Activex跨站攻擊。這實質(zhì)上是網(wǎng)頁攻擊，主要是利用網(wǎng)頁操作系統(tǒng)的漏洞，將JavaApplet、Javascript以及Activex等具有自動執(zhí)行的程序代碼強行植入到網(wǎng)頁中，并修改用戶操作系統(tǒng)中的注冊表，來達(dá)到攻擊計算機網(wǎng)絡(luò)的目的。

3.2 計算機病毒攻擊

（1）木馬病毒。又名特洛伊木馬。該病毒的主要特點就是誘騙性極強，主要誘導(dǎo)用戶下載病毒程序，一旦進(jìn)入主機就會尋找系統(tǒng)漏洞并迅速隱藏，進(jìn)而竊取用戶關(guān)鍵信息。

（2）蠕蟲病毒。計算機蠕蟲病毒程序主要以掃描系統(tǒng)漏洞為途徑，一旦發(fā)現(xiàn)存在漏洞，就會自動編譯攻擊程序。病毒同時被不斷復(fù)制和轉(zhuǎn)移，從而控制電腦主程序，進(jìn)而實施攻擊。

（3）腳本病毒。腳本病毒的專業(yè)術(shù)語也稱為VBS病毒。該病毒主要對互聯(lián)網(wǎng)用戶實施攻擊。用戶在瀏覽網(wǎng)頁時，可能會無意識激活依附在網(wǎng)頁中的病毒腳本，而這類腳本一旦被激活就會脫離IE的控制，從而使主機感染病毒。

（4）間諜病毒。

該病毒是近年出現(xiàn)的一種攻擊性不太明確的病毒變種，主要影響計算機的正常網(wǎng)絡(luò)訪問，如主頁劫持等[3]。

4 計算機安全防范技術(shù)

4.1 GAP隔離技術(shù)

GAP隔離技術(shù)是一種網(wǎng)絡(luò)安全防護隔離技術(shù)。它具有安全性能高的特點，即使網(wǎng)絡(luò)或計算機主機受到攻擊，也可以很快將網(wǎng)絡(luò)切斷，將風(fēng)險降到最低，使計算機網(wǎng)絡(luò)不會受到持續(xù)性的攻擊。GAP隔離技術(shù)是與防火墻技術(shù)不同之處在于，它不像防火墻禁止數(shù)據(jù)交換，而是采用網(wǎng)閘允許最低限度的數(shù)據(jù)交換。這種技術(shù)的核心是GPA，它的原理是當(dāng)大量數(shù)據(jù)到達(dá)計算機主機時，GPA將所有數(shù)據(jù)進(jìn)行檢測和控制，并對這些數(shù)據(jù)進(jìn)行驗證。只有符合要求通過驗證的數(shù)據(jù)才能進(jìn)入計算機系統(tǒng)中，沒有通過驗證的數(shù)據(jù)則存儲在隔離硬盤中等待用戶判斷。

4.2 防火墻技術(shù)

防火墻技術(shù)分過濾防火墻和應(yīng)用級防火墻兩類。

①包過濾防火墻。數(shù)據(jù)傳輸?shù)穆肪€先由路由器再到主機，包過濾防火墻就是對經(jīng)過路由器傳輸至主機的數(shù)據(jù)包進(jìn)行過濾分析，如果數(shù)據(jù)安全則將其傳遞至主機，如果發(fā)現(xiàn)存在安全隱患則進(jìn)行攔截，并自動告知用戶。②應(yīng)用級防火墻。該類防火墻是安裝在服務(wù)器源頭的安全防范技術(shù)，主要是對外部進(jìn)入代理服務(wù)器的數(shù)據(jù)包進(jìn)行掃描，一旦發(fā)現(xiàn)存在惡意攻擊行為，那么內(nèi)網(wǎng)服務(wù)器與代理服務(wù)器之間的信號傳輸被中斷，從而起到保護用戶的作用。

4.3 訪問控制技術(shù)

該技術(shù)主要是對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置，從杜絕非法用戶的惡意訪問。該技術(shù)主要包括自主訪問控制和強制訪問控制類。前者主要是要求用戶按照制定好的訪問序列瀏覽網(wǎng)絡(luò)資源，盡管用戶的操作行為被限定，但可以根據(jù)需要及時調(diào)整訪問控制策略；后者主要獨立于系統(tǒng)外運行，用戶既不能改變隨便改變被保護的對象的級別，也不能實施越級保護。顯然，該類技術(shù)存在的最大局限在于，對擁有訪問權(quán)限的用戶行為沒有約束力。

4.4 加密技術(shù)

該技術(shù)分為對稱性加密技術(shù)和非對稱加密技術(shù)，其防范原理截然不同。前者又被稱為私鑰加密，其原理就是從已經(jīng)破解的密匙中編譯設(shè)密密碼，如目前廣泛應(yīng)用的DES加密標(biāo)準(zhǔn)；后者又被稱為公鑰加密，其原理就是將加密密鑰與解密密鑰相分離，如RAS算法、PKI技術(shù)以及DES與RAS混合技術(shù)等。這兩類加密技術(shù)都可以較好地實現(xiàn)用戶網(wǎng)絡(luò)安全的防護。

4.5 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)技術(shù)又稱為VPN技術(shù)。這種技術(shù)的特點是將加密數(shù)據(jù)通道從公共網(wǎng)絡(luò)中分離出來，使數(shù)據(jù)信息能夠得到有效的保護，主要分為路由器包過濾技術(shù)和隧道技術(shù)。路由器包過濾技術(shù)將網(wǎng)絡(luò)上流入流出的IP包采用路由器進(jìn)行監(jiān)視和防御，將可疑的數(shù)據(jù)隔離出來拒絕發(fā)送[4]。

5 結(jié)束語

通過研究計算機網(wǎng)絡(luò)安全的技術(shù)發(fā)展特點，以及發(fā)現(xiàn)潛在的安全隱患，我們把計算機網(wǎng)絡(luò)安全隱患及其防范當(dāng)作一個系統(tǒng)工程來做。網(wǎng)絡(luò)安全防范只有針對性地綜合采用各種行政、法律以及技術(shù)手段，設(shè)計網(wǎng)絡(luò)安全防范措施，才能從根本上阻止外界網(wǎng)絡(luò)入侵，真正做到整個網(wǎng)絡(luò)系統(tǒng)的安全與穩(wěn)定。