大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略

王中亞

（深圳市企鵝網(wǎng)絡(luò)科技有限公司，廣東 深圳 518000）

對大數(shù)據(jù)進(jìn)行收集和分析，可以用來優(yōu)化業(yè)務(wù)流程、提供決策建議，大數(shù)據(jù)的廣泛應(yīng)用也逐漸成為企業(yè)之間相互競爭的關(guān)鍵因素之一，然而企業(yè)也面臨著大數(shù)據(jù)安全風(fēng)險(xiǎn)的挑戰(zhàn)。因此，如何應(yīng)對大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，做好計(jì)算機(jī)網(wǎng)絡(luò)的信息安全防護(hù)工作，已經(jīng)成為企業(yè)需要思考的核心問題。

1 大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全的特點(diǎn)

（1）大數(shù)據(jù)的特點(diǎn)。首先就體現(xiàn)為數(shù)據(jù)量大，隨著互聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，數(shù)據(jù)量呈現(xiàn)指數(shù)型增長，存儲單位也從過去的GB、TB至現(xiàn)在的PB、EB級別。其次是廣泛的數(shù)據(jù)來源，決定了大數(shù)據(jù)形式的多樣性，存儲和利用的數(shù)據(jù)不再只是文字、表格、日志之類的結(jié)構(gòu)化數(shù)據(jù)，而是包含像圖片、音頻、視頻這些非結(jié)構(gòu)化數(shù)據(jù)。接著大數(shù)據(jù)的產(chǎn)生非?？焖?，主要通過互聯(lián)網(wǎng)傳輸。并且產(chǎn)生數(shù)據(jù)是需要及時(shí)處理的，因?yàn)闅v史數(shù)據(jù)不及時(shí)處理會導(dǎo)致數(shù)據(jù)存儲的壓力，所以大數(shù)據(jù)對處理速度也有非常嚴(yán)格的要求。最后，大數(shù)據(jù)可以創(chuàng)造很大的價(jià)值，現(xiàn)實(shí)中有價(jià)值的數(shù)據(jù)是很少的，然而可以通過從大量數(shù)據(jù)中挖掘出對未來趨勢的預(yù)測和分析有價(jià)值的數(shù)據(jù)。

（2）大數(shù)據(jù)時(shí)代下計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)的重要性。很多企業(yè)想著如何收集和分析更多的信息來獲得最大的利益，對大數(shù)據(jù)信息安全的防護(hù)不夠重視，缺乏系統(tǒng)的安全保護(hù)，存在很大的安全隱患。大數(shù)據(jù)高度依賴對數(shù)據(jù)的讀取、采集和應(yīng)用，一旦服務(wù)器等網(wǎng)絡(luò)設(shè)備遭到攻擊可能導(dǎo)致數(shù)據(jù)丟失或泄露，對企業(yè)的信息安全產(chǎn)生重大的影響。因此企業(yè)應(yīng)當(dāng)做好安全防護(hù)工作，增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防護(hù)能力，從而確保大數(shù)據(jù)的信息安全。

2 大數(shù)據(jù)環(huán)境下常見的網(wǎng)絡(luò)信息安全問題

（1）系統(tǒng)漏洞。系統(tǒng)漏洞主要是應(yīng)用系統(tǒng)或操作系統(tǒng)存在缺陷，而這種缺陷容易被黑客利用，導(dǎo)致重要的資料和信息的泄露和丟失。而大數(shù)據(jù)所存儲的數(shù)據(jù)非常巨大，往往采用分布式的方式進(jìn)行存儲，正是由于這種存儲方式，導(dǎo)致數(shù)據(jù)保護(hù)相對簡單，黑客較為輕易利用相關(guān)漏洞，實(shí)施不法操作，造成安全問題。目前針對系統(tǒng)漏洞的問題多采用補(bǔ)丁修復(fù)的方法，然而在修復(fù)之前計(jì)算機(jī)面臨著嚴(yán)重的安全威脅。

（2）病毒入侵。計(jì)算機(jī)病毒是一種可執(zhí)行的代碼程序，病毒程序會影響操作系統(tǒng)或應(yīng)用程序的正常使用，甚至可能導(dǎo)致整個(gè)操作系統(tǒng)癱瘓。大數(shù)據(jù)時(shí)代發(fā)展過程當(dāng)中，計(jì)算機(jī)網(wǎng)絡(luò)開放性越來越明顯，這就造成病毒入侵時(shí)的隱藏性更加突出。針對病毒入侵問題，要做好病毒查殺工作，及時(shí)攔截刪除病毒，同時(shí)加強(qiáng)主機(jī)和服務(wù)器的權(quán)限管理，防止病毒的擴(kuò)散。

（3）網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊是指未授權(quán)進(jìn)入或嘗試進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)的行為。這種行為可以是對網(wǎng)絡(luò)中的單個(gè)主機(jī)或服務(wù)器，也可以是對整個(gè)網(wǎng)絡(luò)進(jìn)行攻擊，比如常見的DDOS（即Distributed denial of service attack，分布式拒絕服務(wù)）攻擊、XSS（即Cross Site Scripting，跨站腳本）攻擊等。大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)信息的開放性與共享性也越來越高，非法用戶可能會利用這一條件對合法用戶的計(jì)算機(jī)進(jìn)行非法攻擊，獲取用戶的信息數(shù)據(jù)。針對網(wǎng)絡(luò)攻擊的問題，可以加強(qiáng)身份認(rèn)證和訪問控制，同時(shí)做好數(shù)據(jù)備份和恢復(fù)。

（4）誤操作。網(wǎng)絡(luò)中不只有外部的安全威脅，在內(nèi)部也存在信息安全問題。運(yùn)維或管理人員在操作網(wǎng)絡(luò)設(shè)備時(shí)，可能會存在誤操作的行為，從而對計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)生危害。比如為普通運(yùn)維人員分配超級管理員用戶，運(yùn)維人員使用錯誤命令，導(dǎo)致重要數(shù)據(jù)丟失。針對誤操作的問題，建議加強(qiáng)身份認(rèn)證，密碼要符合復(fù)雜度要求，同時(shí)強(qiáng)化授權(quán)管理，做到權(quán)限分離。

3 大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)策略

（1）身份認(rèn)證。對于網(wǎng)絡(luò)安全防護(hù)工作來說，身份認(rèn)證起到關(guān)鍵作用。沒有身份認(rèn)證，就無法做好授權(quán)管理和訪問控制。為了加強(qiáng)身份認(rèn)證，首先要選擇合適的認(rèn)證方式。目前市面上主流的身份認(rèn)證方式，除了常用的口令或動態(tài)口令外，更添加了生物識別認(rèn)證。生物識別認(rèn)證包括了指紋、聲音、面部識別等。從安全角度考慮，目前提倡采用雙因子認(rèn)證，也就是在原來口令的基礎(chǔ)上添加其他認(rèn)證方式，這些認(rèn)證方式可以是動態(tài)口令（手機(jī)短信驗(yàn)證碼）、物理認(rèn)證（U盾）、生物識別認(rèn)證等。

其次也要加強(qiáng)認(rèn)證數(shù)據(jù)的保護(hù)，用戶的口令不能明文傳輸和存儲，身份認(rèn)證環(huán)節(jié)一定要使用加密傳輸協(xié)議，例如使用HTTPS、SSH等。口令強(qiáng)度要滿足復(fù)雜度要求，建議14位以上，且包含大寫字母、小寫字母、數(shù)字、特殊符號。對于使用生物認(rèn)證方式，建議通過使用對稱加密算法的方式存儲用于對比的生物特征，在認(rèn)證過程中也需要攜帶及驗(yàn)證時(shí)間戳，防止生物特征泄露偽造認(rèn)證請求。

（2）授權(quán)管理。為了避免產(chǎn)生授權(quán)不嚴(yán)漏洞，應(yīng)該加強(qiáng)對授權(quán)的管理。做好權(quán)限分離，不同的角色分配不同的權(quán)限，例如角色可以分為業(yè)務(wù)人員、運(yùn)維人員、審計(jì)人員等。業(yè)務(wù)人員只能訪問業(yè)務(wù)系統(tǒng)前端進(jìn)行數(shù)據(jù)錄入和查看工作，不能訪問系統(tǒng)后臺進(jìn)行操作。

從安全方面考慮，用戶的權(quán)限越小越好，滿足基本需要就可以。普通用戶不能擁有管理權(quán)限，普通運(yùn)維人員不能擁有超級管理員權(quán)限。特殊情況下，根據(jù)業(yè)務(wù)需求，需要先申請權(quán)限，才能進(jìn)行操作。

（3）訪問控制。首先是做好網(wǎng)絡(luò)層的訪問控制，主要包括網(wǎng)絡(luò)準(zhǔn)入控制、異常外聯(lián)控制和網(wǎng)絡(luò)防火墻控制。網(wǎng)絡(luò)準(zhǔn)入控制可以確保只有符合要求的人員和設(shè)備才能接入和訪問網(wǎng)絡(luò)資源，防止不可信或不安全的設(shè)備接入網(wǎng)絡(luò)中。異常外聯(lián)控制可以防止主機(jī)和服務(wù)器非授權(quán)私自訪問互聯(lián)網(wǎng)，從而避免敏感數(shù)據(jù)的外傳和泄露。網(wǎng)絡(luò)防火墻控制可以進(jìn)出網(wǎng)絡(luò)邊界的數(shù)據(jù)進(jìn)行控制，只有符合策略規(guī)則的數(shù)據(jù)才能通過，可以對內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的防護(hù)。

其次做好主機(jī)層的訪問控制，主要通過使用堡壘機(jī)和自動化運(yùn)維來實(shí)現(xiàn)。部署堡壘機(jī)可以對主機(jī)進(jìn)行統(tǒng)一管理和對登錄來源的控制，只有運(yùn)維人員才能登錄堡壘機(jī)，也只有通過堡壘機(jī)跳轉(zhuǎn)才能訪問和管理網(wǎng)絡(luò)設(shè)備。登錄服務(wù)器本身就屬于高風(fēng)險(xiǎn)行為，通過部署自動化運(yùn)維平臺，減少日常登錄操作，才能避免誤操作等原因造成的配置錯誤、數(shù)據(jù)丟失等風(fēng)險(xiǎn)。

在應(yīng)用和數(shù)據(jù)層方面，可以通過部署統(tǒng)一的應(yīng)用網(wǎng)關(guān)接入，所有業(yè)務(wù)訪問都需要經(jīng)過這個(gè)網(wǎng)關(guān)，這樣就可以在網(wǎng)關(guān)上加強(qiáng)訪問控制。

（4）防病毒。企業(yè)在開展計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)工作的過程中，需要注重應(yīng)用防病毒技術(shù)來保證計(jì)算機(jī)網(wǎng)絡(luò)信息的整體安全。防病毒技術(shù)可以分為兩種，一種是在網(wǎng)絡(luò)邊界或入口處部署防毒墻，一種是在主機(jī)端部署防病毒軟件。

首先，因?yàn)椴《驹趦?nèi)部產(chǎn)生的風(fēng)險(xiǎn)較少，大部分的病毒是由外部網(wǎng)絡(luò)入侵傳入內(nèi)部。在邊界防火墻的內(nèi)側(cè)部署防毒墻或者在防火墻上開啟防病毒模塊功能，可以有效防止外部病毒的入侵。其次，在主機(jī)操作系統(tǒng)上部署殺毒軟件，對操作系統(tǒng)進(jìn)行實(shí)時(shí)的病毒掃描，及時(shí)發(fā)現(xiàn)和查殺病毒。當(dāng)然，同時(shí)也要做好防病毒系統(tǒng)的維護(hù)工作，定期進(jìn)行防病毒系統(tǒng)和病毒庫的升級工作。當(dāng)病毒事件發(fā)生且防病毒系統(tǒng)無法對其進(jìn)行有效處理時(shí)，應(yīng)將主機(jī)進(jìn)行隔離，防止病毒程序在網(wǎng)絡(luò)中進(jìn)一步擴(kuò)散。

（5）漏洞管理。在內(nèi)部網(wǎng)絡(luò)中，定期對計(jì)算機(jī)進(jìn)行漏洞掃描，可以有效檢測安全漏洞，及時(shí)發(fā)現(xiàn)惡意入侵和攻擊行為，第一時(shí)間進(jìn)行漏洞修復(fù)，避免嚴(yán)重安全事件的發(fā)生。同時(shí)也可以使用入侵防御技術(shù)，在網(wǎng)絡(luò)邊界部署入侵防御系統(tǒng)，對進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查，發(fā)現(xiàn)存在外部攻擊行為立即阻止并告警。

（6）安全審計(jì)。審計(jì)就是記錄所有操作，并可以用作事件的追溯。對于網(wǎng)絡(luò)中的所有設(shè)備都應(yīng)該具備審計(jì)功能，主要體現(xiàn)在會話日志、訪問日志、操作日志等方面。當(dāng)安全事件發(fā)生時(shí)或發(fā)生后，需要確保可以通過查詢?nèi)罩緛碚页霭l(fā)生安全事件的原因。

網(wǎng)絡(luò)設(shè)備的日志默認(rèn)記錄在內(nèi)存或硬盤里，但網(wǎng)絡(luò)設(shè)備的內(nèi)存和硬盤空間有限，通常情況不滿足保存期限的要求，建議通過在外部部署日志服務(wù)器的方式，來統(tǒng)一收集、存儲、管理和查看各種網(wǎng)絡(luò)設(shè)備日志。按照網(wǎng)絡(luò)安全法、等級保護(hù)等各類監(jiān)管要求，網(wǎng)絡(luò)日志一般至少需要保存六個(gè)月，用于安全事件的追溯。

除了設(shè)備本身具備審計(jì)功能外，可以添加專用的安全設(shè)備加強(qiáng)網(wǎng)絡(luò)的安全與審計(jì)。例如使用堡壘機(jī)對網(wǎng)絡(luò)設(shè)備的操作行為進(jìn)行審計(jì)，使用數(shù)據(jù)庫審計(jì)系統(tǒng)對數(shù)據(jù)庫的操作進(jìn)行審計(jì)，使用日志管理系統(tǒng)對網(wǎng)絡(luò)日志進(jìn)行分析和審計(jì)等。

4 結(jié)束語

在大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)環(huán)境愈加復(fù)雜，網(wǎng)絡(luò)安全形勢也日益嚴(yán)峻，做好安全防護(hù)工作具有十分重要的意義。只有通過構(gòu)建完善的計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)體系，對大數(shù)據(jù)平臺進(jìn)行系統(tǒng)化的安全防護(hù)，才能有效保障大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)的信息安全。