大數據背景下湖南省網絡信息安全框架設計*

胡伏湘

(1.長沙商貿旅游職業技術學院，湖南 長沙 410116；2.中南林業科技大學，湖南 長沙 410004)

一、大數據安全問題透視

大數據是信息化普及到一定程度的必然產物，具有Volume(大量)、Velocity(高速)、Variety(多樣)、Value(價值)4V 的特點，云計算、物聯網、智能終端的出現，使互聯網信息量以每年50%的速度增長，通信、學校、醫衛、金融保險、房地產、商品零售業所產生的數據急劇上升，其表示單位上升到ZB 級(1ZB=240GB)，各渠道通過網絡匯聚而成的海量數據是社會、經濟和組織變革的強大推動力。洛杉磯警局利用大數據預防犯罪，google 利用搜索關鍵詞預測禽流感散布，麻省理工學院利用手機定位和交通數據建立城市規劃，梅西百貨根據SAS系統對7300 萬種貨品實時調價，百度推出了大數量營銷、大數據預測、大數據統計等引擎產品，為企業和居民的工作和生活提供科學依據。然而，在享受大數據帶來的巨大便利和商業價值的同時，安全成為一種社會問題。首先，大數據對數據的可用性和完整性帶來了挑戰，防止數據丟失、篡改、竊取和破壞的技術難度在提高，傳統安全軟件顯得力不從心；其次，蜂擁而至的企業數據、客戶資料、個人隱私和各種用戶記錄的涌入和集中存儲，增加了向外泄露的風險，倘若被濫用，將會對社會造成嚴重威脅。斯諾登披露的“棱鏡門”事件、為美國政府和500 強企業提供安全服務的HBGaryFederal公司6 萬封郵件在網上公布、EMC 旗下資安公司SecurID 技術資料遭竊、全球2 億用戶信息泄露，給美國當局敲響了警鐘。索尼1 億客戶的詳細資料和1200 萬個信用卡號碼被公開，CSDN 的600 萬郵箱密碼被破解，凸顯大數據時代的不太平。在中國，類似事件同樣不容小視，東軟集團CT 技術資料、富士康iPad 2 設計圖紙、三星電子技術開發戰略、天涯社區、聯通用戶、招行和工行客戶信息等商業機密泄露，給企業和個人帶來了經濟損失和無限煩惱。

大數據時代的安全挑戰主要有六個方面：數據來源的審查、隱私保護、可信度檢測、細粒度訪問控制、數據存貯與事務日志、內部泄密。針對這些問題，郭三強(2013)從數據庫角度研究了大數據安全措施[1]，王蒙蒙(2013)設計了基于消冗技術的大數據加密算法[2]，馮登國(2014)提出了大數據安全與隱私保護策略[3]，羅恩韜(2014)設計了動態安全SAT 雙向防御模型[4]，王玉龍(2014)設計了Hadoop 架構的大數據安全算法[5]。這些成果都是在技術層面的探索，不足以從根本上消除安全隱患，因為大數據涉及到發出者、使用者、統計分析者、管理者和惡意竊取者，其安全防范體系不僅需要技術支撐，更需要政府強有力的管理制度和用戶的安全意識，因此多視角分析和設計網絡信息安全框架勢在必行。

二、大數據匯聚方式及安全威脅

隨著物聯網、云計算、移動互聯、三網融合等新興IT 技術的出現，社會進入Web2.0 網絡時代，每個網民不僅是信息的接收者，同時也是數據的制造者，匯聚而成的大數據在給人們工作和生活帶來便利的同時，也成為隱私泄露的重災區、病毒泛濫和黑客攻擊的溫床，其破壞力比互聯網1.0 版本要大得多。

(一)大數據匯聚方式分析

2013年中國產生的數據總量是0.8ZB，即8 億TB(1TB=1024GB)，預計到2020年達到20ZB，提供數據的主體包括三層：內層是企業信息化系統中關系數據庫及數據倉庫中的數據；中層由大量用戶上網產生，如微信微博QQ 等社交軟件、電子商務平臺在線交易數據、各類評論及投訴信息；外層是由大型服務器采集的數據，如應用服務器日志、傳感器、智能電網、監控、RFID、二維碼等獲得的信息。

大數據的主要來源是各種應用服務器和數據中心數量，主要分布在以下行業：(1)以BAT(百度、阿里巴巴、騰訊)為典型代表的互聯網公司；(2)電信、金融、房地產、保險、電力、石化行業；(3)政府、公共安全、醫療衛生、交通領域；(4)教育、氣象、地理、電子政務；(5)商業銷售、制造業、農業、物流和流通及其它領域。

各類結構化數據和非結構化數據原本是相互獨立存儲在應用服務器中，云計算平臺及移動計算(智能終端)平臺的出現，使這些數據通過Internet 和移動通信網匯聚在一起，相互貫通，構成了大數據的基礎。其結構如圖1所示：

圖1 大數據層次結構圖

(二)大數據安全隱患機理分析

大數據的處理過程包括產生、傳遞、保存、分析、推送和應用等過程，涉及到數據的生產者、軟件開發者、流通環節、加工者、使用者，上傳網絡的信息分為結構化數據和非結構數據兩類，結構化是存儲在關系數據庫結構系統中的數據，具有明顯的邏輯結構，用傳統的二維表表示。而進入大數據時代，開放的數據平臺暴露在專業人士和各類非專業人員的眼前，任何人無須嚴格審核即可向服務器發送信息，非結構化占有更大的比例，包括所有格式的辦公文檔、評論、文本、圖片、標準通用標記語言下的子集XML、HTML、各類報表、圖像、音頻、視頻、位置信息等多種媒體，其字段的長度可變，字段重復是合法的，還可設置子字段和多值字段。大數據的非結構化使數據表示的難度加大，無法實現唯一性和精確化，傳統的關系數據庫管理系統只能管理結構化的那一部分，而面對非結構化的數據無能為力，非結構化數據管理軟件雖然已經出現，但還沒有達到完善的程度，數據保護存在漏洞，這給了黑客入侵、信息泄露、木馬滲透提供了可乘之機，按照系統日志追根溯源變得困難重重。

(三)大數據安全隱患

1.隱私數據泄露：信息化程度的提高，人們對網絡的依賴更加嚴重。在網上購物、醫療、存取款、社交時，填寫的表單包含大量的隱私信息，銀行卡賬號、密碼、病歷、家庭住址、身份證和手機號碼等，有的是加密保存，有的是明文保存，這些數據對于商家分析客戶行為，鎖定目標群體和市場預測提供了極大的便利，但在大數據時代，客戶數量成為衡量商家潛在價值的主要指標，在巨大的利益驅動下，買賣客戶資料的現象時有發生。同時，技術的原因和防范管理的不規范，系統存在黑客攻入的可能，導致敏感信息流出。[6]

2.技術資料泄露：企業技術文檔、研發數據、軟件源程序都存儲在CRM、ERP、OA 系統中，它們都是企業的核心機密，如果把關不嚴，被競爭對手或者黑客通過VPN 截獲，勢必帶來經濟損失，造成惡性競爭，影響企業的生產和經營。[7]

3.政府行業數據外流：戶籍檔案、社保、公積金、儲蓄、人事等信息，是國家安全的保障[8]。如果被非法入侵者得到，不僅給居民形成威脅，同時也會給社會帶來不安定因素。和平年代，政府數據和信息機構經常會成為恐怖組織和極端分子的攻擊目標。

4.內部數據泄露：任何網站、計算機信息系統和數據庫都有管理員角色，不僅能夠進行系統管理，還可以直接進入后臺修改數據，受利益的驅使或者個人目的，他們利用管理員權限將內部數據拷貝或非法篡改，且極具隱蔽性，難以發現。

三、湖南省網絡信息安全框架設計

(一)湖南省近年來出現的安全事件

湖南省“十二五”期間，把電子信息產業作為重點建設領域，在基礎設施投入、網絡覆蓋、企業信息化、軟件研發和應用方面取得了快速發展，成為國民經濟的支柱產業，大數據在各個行業得到充分的利用，但引發的安全問題同樣不容小視。近幾年來，相繼出現了考研試卷泄題、湖南衛視敏感信息流出、3000 港人資料外傳、社保詐騙、醫院病歷泄露、婁底某市財政工資遭網民圍觀兩個月等嚴重事故，每周1812 萬次推銷、中獎、有毒郵包等騷擾詐騙信息，[9]個人照片變成黃色網站的廣告，甚至家庭住址、身份證號碼、小孩情況都被莫名其妙的人所掌握，潛在威脅讓人充滿恐懼。

(二)湖南省現有的信息網絡安全防范體系

湖南省目前的網絡信息安全管理工作主要由四條線構成。

1.政府管理線：主要包括三家廳局，一是國安廳，由技術安全保衛處負責，以保證國家安全為主要目的，職責是電子郵件檢查與通信偵控；二是公安廳，執行部門是網絡安全保衛與技術偵察總隊，負責輿情監控、網絡犯罪取證、各類案件的電子偵察等任務；三是經信委，下設信息安全處，全面制訂全省信息安全發展戰略，負責建設信息安全保障體系，監督相關部委及重點行業信息系統與信息網絡安全的保障工作，協助處理重大安全事件。

2.技術線：官方機構是湖南省電子產品檢測分析所下設的湖南省網絡與信息安全測評中心和經信委承建的重點行業網絡與信息安全公共服務平臺，主要從事網絡及信息系統風險評估、信息安全等級保護和信息安全測評、電子政務項目的信息安全檢測等任務，并提供重點領域網絡與信息的安全檢查、電子政務網站安全監控、網絡與信息安全咨詢等相關服務。

3.協會線：省信息網絡安全協會是由網絡安全領域的管理人員、科研人員與教師、企事業專業人士組成，計算機重點保護單位以及信息網絡使用單位可以自愿參加，是一種專業化的非營利組織。

4.行業線：信息化程度高的行業均成立安全管理部門，負責本系統內的信息網絡安全管理和應急協調處理，如銀行、教育等。

不難看出，各條線的工作職責和側重點并不相同，雖然業務上存在交集，但在入口檢查和出口控制上條塊分割，沒有形成歸口管理機制，大數據安全問題無法集中處理。

(三)大數據背景下湖南省網絡信息安全框架

根據數據的敏感程度進行分級并實施分級管理，可以分為四級，一級的級別最高，即個人隱私，與財產與生命安全密切相關，比如銀行儲蓄、病歷、家庭住址、賬號密碼，這些數據只有經系統管理員授權并通過數字認證才能訪問；其次是機密數據，包括企業技術資料、各類信息系統數據庫保存的數據、政府行業基礎數據、社交軟件的聊天記錄等，需要管理員授權且進行身份確認才能訪問；第三級是限制數據，用戶登錄即可存取的本行業、本單位、本部門、本群的內部信息，通過簡單授權與外部隔離；行業最低級的是共享資源，由免費軟件、論壇跟帖、新聞、公開發表的論文、文庫、百科等信息，匿名用戶即可訪問。對于不同級別的數據，存儲時所采用的加密方法不一樣，訪問時的審核機制也不相同，多層次立體化技術手段是防止重要數據外泄的基礎。

大數據平臺下，信息安全三分靠技術、七分靠管理[10]，從數據的參與對象來看，安全框架包括六個方面的技術：物理安全、網絡安全、平臺安全、系統安全、應用安全、數據安全。[11]物理安全主要是指硬件設備的可靠以及配套環境的安全。網絡安全指采用多層防御手段以抵御網絡邊界所面臨的外部攻擊，只允許被正式授權的服務和協議傳輸，自動丟棄未授權的數據包。平臺安全通過加固操作系統、數據鏈路層隔離、部署入侵檢測模塊和防火墻，及時發現排除安全威脅。系統安全通過建立主機鏡像、異常賬號和代碼清除、防暴力破解、端口掃描等途徑實現。應用安全的主要技術手段是建立WEB 應用防火墻和漏洞查補，防止惡意篡改、木馬入侵、蠕蟲攻入，及時消除系統漏洞和后門。數據安全從數據的輸入、訪問、傳輸、存儲、銷毀環節進行審核，建立數據庫備份容災與恢復機制，實現數據流的安全管理。

站在管理的角度，湖南省網絡信息安全框架需要從點線面三個層次進行設計。點是指建立省級信息網絡安全集中控制與應急處理中心，設在經信委或者公安部門較為合理，通過對重點部位或者敏感數據的旁路跟蹤和監管，及時發現隱患，采用技術或者強制手段予以消除，并為社會提供咨詢和技術服務。線是指主要行業要針對數據的進入和流出進行嚴格審查，將非法授權者拒之門外，反復試探者列入黑名單，隱私數據必須多重加密存儲和傳送，信息系統定期安全檢測，泄露者必須追溯問責。面是指面向廣大用戶進行大數據安全知識普及，強化安全防范意識，控制傳播途徑，切斷擴散源，讓社會既能享受大數據又可以免遭安全困擾。

四、大數據背景下湖南省網絡信息安全管理策略

大數據給信息網絡帶來了兩大挑戰：第一是把握好便捷和安全的平衡，第二是有效區分隱私信息和資源分享的邊界。建立完善的信息安全管理制度和措施，提高安全防范意識，是提高管控能力的必經之道。

(一)加強制度建設，明確法律底線

發達國家都非常重視大數據的安全，奧巴馬政府將“大數據戰略”上升為最高國策，把大數據看成“未來的新石油”，對數據的占有和控制被視為海陸空之后的第四種國家核心能力，日、英也出臺了相應對策，我國雖然有《計算機信息系統保密管理暫行規定》和《計算機信息系統國際聯網保密管理規定》等專門法律，但針對大數據背景下的隱私保護還沒有明確的規定，難以對利用大數據進行違法犯罪的群體形成震懾。因此，在國家《信息安全法》正式實施之前，我省應該出臺一些地方性法規和制度，對相關行為和危害程度進行界定，明確將“維護國家利益和消費者權益”作為法律底線，打消以身試法者的僥幸心理，遏制犯罪苗頭，保證人們在安全的環境中享受大數據時代的成果。

(二)加大技術研發的力度，構造湖南省大數據安全防護網絡

大數據的表示與傳統數據在組織方式上存在很大的差異，以非結構化和半結構化數據為主，傳統的包過濾、審查、入侵檢測、漏洞掃描技術達不到全面隔離的要求，而對大數據的分析應用正在全面鋪開，廣闊的市場給安全防范技術的研發創造了新的機遇[12]，因此應鼓勵軟件企業自主開發具有知識產權的產品，政府給予經費資助或者政策傾斜，重點扶植一批認證中心、數字簽名、物理識別、可信存取、IPv6、大數據防火墻等軟件生產企業，推動安全產品的普及，營造安全的網絡環境。

(三)建立行業自律條約，規范大數據應用行為

互聯網行業、電商平臺、金融保險、教育等領域掌握有大量的用戶信息，是黑客關注的焦點，也是網民普遍擔心的熱點。通過建立諸如《互聯網搜索引擎服務自律公約》這樣的行業自律條文[13]，對數據管理人員從法律、紀律和經濟角度給出明確的規定，避免敏感數據從系統內部流出，嚴格禁止用戶資料的買賣行為，控制數據的保存和流通環節，是安全防范的關鍵。

(四)利用網絡和APP 軟件，做好宣傳，提高用戶的安全防范意識

智能終端的出現，極大地拓展了網民群體，眾多非IT 專業人員成為數據的制造者，他們缺乏對專業知識的了解，對安全隱患認識不足，熱衷于“隨手拍，任意發，隨時秀，任性炫”，財產、住址、小孩等照片都放進群里分享，一旦被不法分子關注，隱私很容易透露。充分利用網站和應用平臺，加強宣傳與培訓，普及安全常識，提高保護意識，是社會的責任所在。

(五)建立省級信息安全投訴與服務中心

技術的進步和生活節奏的加快，人類工作和生活方式正有逐步改變，人們對網絡的依賴性越來越強，引發的網絡安全事件逐年遞增，目前都是通過工商部門12315 或者公安部門110 投訴或舉報。與普通的商品質量問題和刑事案件不同的是，信息安全事件大多是電子取證，涉及到軟件開發者、網站管理者、通信運營者和用戶等多個實體，且證據的真偽不易識別，因而維權的難度極大，需要有專業機構協調各方資源，運用技術偵察和行政手段才能解決，其技術力量和權限是消協所不具備的。因此，需要建立省級信息安全投訴與服務中心，專門處理網絡信息安全事件。

結語

網絡信息安全問題一直是業界關注的焦點，IP地址本身的缺陷及技術研究的滯后，一直沒有從根本上解決這一難題。大數據時代的到來，全民上網使得這種現象更加突出，對社會的危害巨大。本文立足于技術和管理雙重視角，探討了網絡信息安全問題產生的原因，規劃了湖南省網絡信息安全的概念性框架，并提出了五條管理措施，作為一種在舶來品基礎上搭建起來的應用系統，設備可靠性、技術先進性、使用者的可信性都是必須考慮的因素，本文并未對這些內容做詳細的研究，這也是論文的不足之處。

[1]郭三強，郭燕錦.大數據環境下的數據安全研究[J].科技廣場，2013，(2).

[2]王蒙蒙.基于數據消冗技術的大數據加密算法研究[D].華北水利水電大學，2013.

[3]馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014，（1）.

[4]羅恩韜，胡志剛，楊杰.大數據動態安全SAT 雙向防御模型的研究[J].計算機應用研究，2014，（5）.

[5]王玉龍，曾夢岐.面向Hadoop架構的大數據安全研究[J].信息安全與通信保密，2014，(7).

[6]戚小光，許玉敏，陳紅敏等.大數據環境下的信息安全問題[J].中國信息化，2015，(3).

[7]郭三強，郭燕錦.大數據環境下的數據安全研究[J].信息安全與技術，2015，(2).

[8]陳婷婷，高渠，肖雄.大數據的安全隱患及應對策略研究[J].網絡安全技術與應用，2015，(4).

[9]楊田風.湖南人一周收1812 萬個京滬粵的騷擾電話[N].三湘都市報，2015-01-28.

[10]胡光永.基于云計算的數據安全存儲策略研究[J].計算機測量與控制，2011，(10).

[11]張紅順，王三山.基于大數據平臺的云安全體系的建設[J].中國有線電視.2015，(4).

[12]周路菡.棱鏡下的大數據安全恐慌[J].新經濟導刊.2013，(9).

[13]朱星燁，何涇沙.大數據安全現狀及其保護對策[J].信息安全與通信保密，2014，(10).