大數據時代高校網絡空間安全層次化保障體系分析

◆張新剛于 波田 燕王保平

（1.南陽師范學院計算機與信息技術學院 河南 473061; 2.信陽師范學院政法學院 河南 464000）

大數據時代高校網絡空間安全層次化保障體系分析

◆張新剛1于 波2田 燕1王保平1

（1.南陽師范學院計算機與信息技術學院 河南 473061; 2.信陽師范學院政法學院 河南 464000）

隨著互聯網技術的快速發展與廣泛應用，網絡空間安全日益受到人們的重視。為了保障大數據環境下高校網絡空間安全，本文在分析高校網絡空間新的典型安全威脅—APT、DDoS、大數據的隱私泄露和移動智能終端安全威脅的基礎上，從設備安全層、系統安全層、數據安全層和內容安全層四個層次，構建并分析了高校網絡空間安全層次化保障體系，為進一步提高高校網絡空間安全保障能力提供了參考。

大數據; 網絡空間安全; 網絡安全; APT; 隱私泄露

0 前言

當前，網絡空間已成為繼陸、海、空、天之外的第五大戰略空間，也成為世界各國爭相控制的重要領地。特別是“棱鏡門”事件爆發以來，各國在網絡空間領域的競爭更加激烈。網絡空間的安全問題日益嚴峻，各國紛紛將網絡空間安全提升至國家戰略[1]。

習近平總書記指出“沒有網絡安全，就沒有國家安全。沒有信息化，就沒有現代化。”2014年2，中央網絡安全和信息化領導小組成立，著眼于推動國家網絡安全和信息化建設，增強安全保障能力。

為了進一步推進國家安全戰略，國務院學位委員會、教育部于2015年6月批準增設了“網絡空間安全”一級學科，并增設了“網絡空間安全”一級學科博士學位授權點，這對于加強我國網絡空間安全領域高層次人才培養具有重要的意義[2]。

大數據環境下高校網絡空間安全問題日益引起人們的重視。本文首先闡述了網絡空間安全的概念，然后分析了大數據時代高校網絡空間的典型安全威脅，最后設計并分析了大數據時代高校網絡空間安全層次化保障體系。

1 網絡空間安全的概念

2008年，美國國家安全第54號總統令中對Cyberspace（網絡空間）進行了定義：“網絡空間是連接各種信息技術基礎設施的網絡，包括互聯網、電信網、計算機系統、嵌入式處理器和控制器系統，并涉及人與人之間相互影響的虛擬信息環境。[3]”

目前對網絡空間還沒有統一的定義，方濱興院士認為網絡空間是“所有由可對外交換信息的電磁設備作為載體，通過與人互動形成的虛擬空間，包括互聯網、通信網、廣電網、物聯網、社交網絡、計算機系統、通信系統、控制系統等。[4]”

2 大數據環境下高校網絡空間典型安全威脅

隨著高校信息化的快速發展，以及云計算、物聯網、移動互聯網、MOOC等技術的推廣應用，數據呈現爆發式增長。高校師生在校園網、一卡通網、電視網、監控網、傳感網、電視網等網絡空間，通過應用一卡通、教學、科研等復雜多樣化的業務系統，積聚了海量數據，海量數據不斷匯聚，促進了高校大數據時代的到來[5]。與普通的企業網絡空間相比，高校網絡空間具有群體同步、輿論聚集的特征。

大數據環境下，高校網絡空間面臨著新型的安全問題，典型的安全問題主要包括APT（高級可持續性威脅）、DDoS（分布式拒絕服務）、大數據的隱私泄露、移動智能終端安全威脅等。

2.1 高級可持續性威脅

APT（Advanced Persistent Threat）即高級可持續性威脅，其不同于傳統的網絡攻擊入侵，利用0day漏洞、社會工程學原理等多種方式，綜合運用多種網絡滲透技術，對政府核心信息資源、工業控制系統等特定組織實施持續性攻擊[6]。據國家計算機網絡應急技術處理協調中心發布的《2015年中國互聯網網絡安全報告》，統計表明2015年針對我國境內科研教育、政府機構等發起的APT攻擊的黑客組織近30個，由于APT的隱蔽性強，這其中可能還有相當一部分APT攻擊事件未被識別，這表明針對我國科研教育行業領域的網絡攻防對抗日趨激烈。APT通常有以下幾個特征：攻擊目標性強、攻擊隱蔽性強、攻擊持續性強、攻擊手段多樣化和攻擊威脅性強等。APT攻擊過程一般經由情報搜集、外部滲透攻擊、獲得內部控制權、內部橫向滲透、價值獲取、實施攻擊行為、持續滲透等6個環節[7]。為了實現攻擊目的，APT會綜合利用多種攻擊技術，特別是各種網絡滲透技術，典型的攻擊手段有：（1）利用SQL注入等方式入侵WEB Server; （2）以被入侵的WEB Server為跳板，對內網的其他服務器或者終端進行滲透; （3）利用社會工程學手段發送帶有惡意程序的郵件進行定向攻擊; （4）通過在目標主機植入木馬、后門等回傳敏感文件; （5）通過對目標郵箱發送XSS郵件進行攻擊，目標郵箱自動向攻擊者發送郵件副本，從而獲得相關信息。

2.2 分布式拒絕服務

DDoS（Distributed Denial of Service，分布式拒絕服務）一般是利用UDP、DNS、NTP等協議的某些特性或漏洞，對攻擊對象進行流量放大攻擊。近年來DDoS攻擊的方式不斷變化，特別是自2014年起，利用網絡傳輸協議設計缺陷發起的反射型DDoS攻擊更加頻繁，這進一步增加了DDoS溯源和防御的難度。另外，隨著主干網絡帶寬的增加和攻擊技術難度的降低，針對高校門戶網站的DDoS攻擊呈現上升趨勢，攻擊者通過僵尸網絡輕易發起大流量DDoS攻擊，從而導致校園網出口堵塞甚至網絡崩潰、DNS暫停服務等情況。

2.3 大數據的隱私泄露

隱私泄露是大數據環境下高校網絡空間的重要安全問題。由于大數據時代個人數據存在潛在的巨大商業價值，從而導致針對個人數據的隱私泄露風險激增[8]。大數據時代，高校師生在使用移動社交網絡、搜索引擎等各種互聯網應用時會將大量個人敏感隱私信息暴露在互聯網上，不經意間在互聯網上留下了使用痕跡，包括位置隱私、身份隱私等信息，這些痕跡信息具有一定的關聯性和累積性，如果將這些海量信息匯聚進行組合分析，隱私風險泄露概率將成倍增加，很可能能夠挖掘出個人的行為習慣、行動軌跡、社交網絡等隱私信息，為惡意分子利用這些信息進行精準網絡詐騙和敲詐勒索提供了可能[9]。個人隱私的泄露會威脅到高校師生的生活安全，也成為影響高校安全穩定的重要因素。

2.4 移動智能終端安全威脅

隨著互聯網的發展和智能終端的普及，高校師生使用智能手機的比例不斷提高。由于智能手機、平板電腦等移動終端設備具有便攜性、互聯性等特點，能夠方便地通過多種形式接入互聯網，滿足了師生移動學習、移動辦公、社交、網購等需求，還可以與其他設備互聯互通實時分享信息。然而，正是由于移動智能終端多樣化的網絡接入方式和豐富的網絡應用，其已成為惡意軟件重點攻擊的目標,主要攻擊方式有無線攻擊、木馬攻擊、蠕蟲攻擊等。

3 高校網絡空間安全層次化保障體系構建及分析

3.1 網絡空間安全基本要素結構

網絡空間安全基本要素由安全主體、安全威脅和安全保障組成，網絡空間安全基本要素立體結構如圖1所示。三者之間的關系是：安全主體是要保護的實體，也是潛在被攻擊的對象; 安全威脅是針對安全主體的潛在攻擊; 安全保障是針對潛在威脅而采取的保護安全主體的措施方法[10]。具體來說，安全主體是指需要保護的實體。例如，校園網的基礎設施、路由器、終端主機、應用系統、支撐軟件、應用平臺、子網等。任何安全都是相對的安全，有限的安全，因此對于安全主體應當劃清安全的層次邊界，進行有限地保護。安全威脅是指攻擊安全實體的方式。例如電磁破壞、DDoS、漏洞利用、僵尸網絡、APT、情報竊取、支付冒充、隱私挖掘等。隨著網絡技術和軟硬件設備漏洞的不斷發現，安全威脅的方式層出不窮，攻擊手段不斷翻新。對于不同的安全威脅，要深入分析其攻擊意圖和攻擊過程，只有做到有的放矢才能夠有效防范[11]。安全保障是指為了應對安全威脅而采取的防護措施。主要有電磁屏蔽、風險評估、訪問控制、VPN部署、防火墻部署、安全傳輸、數字簽名、情報對抗、隱私保護等方式。安全威脅與安全保障是對抗關系，總處于一種動態的演進過程，沒有一勞永逸的安全保障措施。只有實時研判安全主體的安全威脅，掌握網絡攻防態勢，才能有的放矢采取適當方式做好安全保障。

圖1 網絡空間安全基本要素立體結構圖

3.2 高校網絡空間安全層次化保障體系

將網絡空間中的信息系統自下向上分為設備安全層、系統安全層、數據安全層和內容安全層，每層都面臨著不同的安全威脅，整合起來就形成了網絡空間安全的層次化模型[12]。按照大數據環境下高校網絡空間安全保護的對象、安全保護的層次、安全威脅的類型和對應的安全保護技術，構建了高校網絡空間安全層次化保障體系模型如圖2所示。

圖2 高校網絡空間安全層次化保障體系模型

下面結合大數據環境下高校網絡空間實際，分別對設備安全層、系統安全層、數據安全層和內容安全層的安全威脅和安全防御技術進行分析。

（1）設備安全層

設備安全層主要涉及網絡空間中信息系統設備的安全問題，包括電磁破壞、設備失效、終端被攻、電子干擾等威脅。設備安全是信息系統安全的物質基礎，設備的任何安全故障都將會影響信息系統的安全。大數據在設備安全層主要面臨設備失效的威脅，可以對大數據進行災備。針對高校網絡空間中設備安全層的安全威脅，可以采取電磁屏蔽（如防雷擊）容災備份（如遠程備份、雙擊熱備等）、可靠供電（如UPS）、終端安全、探針安全等相關安全技術措施來應對。

（2）系統安全層

系統安全層在網絡空間中面臨著信息系統自身的安全威脅，主要包括黑客攻擊、木馬病毒、僵尸網絡、傳輸干擾、運行干擾、軟件故障等問題。應對技術和策略主要包括風險評估、傳輸安全、網絡對抗、網絡防竊、運行安全等。大數據環境下，系統安全層主要面臨著運行干擾問題。例如，當系統中某個計算節點由于某種故障停止服務時，相應的計算任務要進行轉移，此時大數據計算能否可靠運行是一個重要問題。

（3）數據安全層

網絡空間中數據安全層主要面臨數據處理過程中所帶來的安全威脅，主要包括信息篡改、密碼破解、操作抵賴、非法程序、情報竊取等問題。數據安全層涉及到信息的完整性、真實性、機密性、可用性、不可抵賴性等安全屬性。應對的安全技術主要包括數字簽名、新型密碼、情報對抗、可信云服務等。大數據環境下，數據安全層主要面臨數據混亂的問題。這是由于大量的噪聲數據可能與有價值的數據存儲在一起，如果不能有效地識別噪聲數據，將會導致有價值的海量數據不能有效利用。例如，在網絡輿情中，如何從海量的輿論中識別網絡水軍發布的大量虛假言論，這就需要構建科學合理的識別機制，加強對大數據的可信技術研究。

（4）內容安全層

網絡空間中內容安全層主要面臨著應用所帶來的安全威脅，主要包括有害信息，制造輿論、隱私挖掘、支付冒充等安全威脅。應對的安全技術有輿情研判、隱私保護、可控云服務等。在大數據環境下，內容安全層主要面臨著不當的隱私挖掘帶來的信息泄露問題。這是由于在大數據環境下，通過關聯性能夠從非結構化的海量數據中挖掘出有價值的信息，包括用戶的隱私信息。因此，針對大數據的隱私挖掘，應建立嚴格的隱私保護機制，確保大數據應用規范有序。

4 結論與展望

隨著互聯網技術的快速發展和推廣應用，網絡空間安全面臨著嚴峻的挑戰和威脅。大數據環境下高校網絡空間安全面臨著高級可持續性威脅、分布式拒絕服務、大數據的隱私泄露、移動智能終端安全威脅等典型問題，結合高校網絡空間實際，設計了高校網絡空間安全層次化保障體系模型，分別對模型中的設備安全層、系統安全層、數據安全層和內容安全層的安全威脅和應對措施進行了分析，該模型對提高高校網絡空間安全保障能力具有一定的參考價值。今后隨著云計算、大數據、物聯網、社交網等新技術和新應用的發展，高校網絡空間將會面臨更復雜、更嚴峻的安全問題，下一步需要考慮從主動防御、縱深防御、協同防御、等級保護、態勢感知等角度，構建立體化、動態化的綜合防御體系，不斷提高高校網絡空間安全保障能力和水平。

[1]方興東，張笑容，胡懷亮.棱鏡門事件與全球網絡空間安全戰略研究[J].現代傳播，2014.

[2]李暉，張寧.網絡空間安全學科人才培養之思考[J].網絡與信息安全學報，2015.

[3]張煥國，韓文報，來學嘉，等.網絡空間安全綜述[J].中國科學：信息科學，2016.

[4]方濱興.從層次角度看網絡空間安全技術的覆蓋領域[J].網絡與信息安全學報，2015.

[5]孫其偉，陸春.大數據在高校中的應用研究[J].中國教育網絡，2014.

[6]杜躍進，翟立東，李躍，等.一種應對APT攻擊的安全架構：異常發現[J].計算機研究與發展，2014.

[7]王麗娜，余榮威，付楠，等.基于大數據分析的APT防御方法[J].信息安全研究，2015.

[8]劉雅輝，張鐵贏，靳小龍，等.大數據時代的個人隱私保護[J].計算機研究與發展，2015.

[9]孟小峰，張嘯劍.大數據隱私管理[J].計算機研究與發展，2015.

[10]李芝棠.校園網絡空間的安全視圖[J].中國教育網絡，2015.

[11]張新剛，于波，程新黨，等.大數據與云計算環境下個人信息安全協同保護研究[J].電腦知識與技術，2016.

[12]張新剛，王燕.數字化校園主動安全防御體系分析[J].實驗室研究與探索，2012.

河南省教育廳科學技術研究重點項目（17A520049，17A630046）; 河南省教育廳人文社科項目（2015-ZD-047，2016-zd-027，2015-sz-057，2017-ZZJH-394）。