大數據背景下計算機網絡安全問題與對策

摘要：在當今大數據時代背景下，信息技術已深度融入社會生產和生活的各個方面，改變了人民的工作和生活方式。隨之而來的是一系列嚴峻的網絡安全挑戰，如信息泄露、病毒感染、黑客攻擊等，這些問題可能導致嚴重的財產損失和社會混亂。新的安全技術、防護策略以及安全工具的研發可以更好地應對不斷變化的網絡威脅，提供更強大的網絡保護。該文分析了大數據背景下計算機網絡安全面臨的問題，并提出了相應的對策，旨在提高網絡安全提供一定的參考。

關鍵詞：大數據；計算機；網絡安全

doi：10.3969/J.ISSN.1672-7274.2024.10.068

中圖分類號：TP 393.08 文獻標志碼：A 文章編碼：1672-7274（2024）10-0-03

Computer Network Security Issues and Countermeasures

under the Background of Big Data

Abstract： In the context of today's big data era， information technology has deeply integrated into various aspects of social production and life， changing the way people work and live. Along with it comes a series of severe cybersecurity challenges， such as information leaks， virus infections， hacker attacks， etc.， which may lead to serious property losses and social chaos. The development of new security technologies， protection strategies， and security tools can better respond to constantly changing network threats and provide stronger network protection. This article analyzes the problems faced by computer network security in the context of big data and proposes corresponding countermeasures， aiming to provide some reference for improving network security.

Keywords： big data; computer; network security

1 大數據的應用

在當今信息時代，大數據技術已經成為眾多領域的利器，它涵蓋了數據的采集、存儲、應用、交換以及銷毀等關鍵環節。數據采集作為整個大數據應用的起始環節，需要明確的授權機制來確保只有合法的數據來源才被允許接入系統。數據的真實性也需要得到驗證，以防止惡意數據的注入。數據交換環節同樣需要特別關注，數據交換的完整性是防止數據在傳輸過程中被篡改的重要因素之一。為了保護敏感數據，必須實施嚴格的訪問控制機制，確保只有經過授權的人員才能夠訪問敏感信息。此外，數據輸出時的脫敏處理也是一種常見的保護方法，以最大程度地減少敏感信息的泄露風險。在數據存儲方面，除了常規的數據備份和恢復策略，也需要考慮數據銷毀的問題，數據的銷毀需要滿足一定的標準，以確保數據不會被恢復并被不法分子利用。數據分級分類銷毀機制要根據數據的重要性確定適當的銷毀級別，從而在數據不再需要時安全地將其清除[1]。

大數據管理平臺是整個大數據體系的核心，它包括基礎設施層、數據平臺層以及計算分析層?；A設施層提供必要的資源和服務器支持，以滿足數據存儲和計算需求。數據平臺層負責數據的整合、存儲和管理，確保數據的可靠性和可訪問性。計算分析層則為用戶提供強大的數據分析和挖掘能力，從海量數據中提取有價值的信息。根據國家標準GB/T22240—2020所提供的定級對象基本特征以及GB/T35589—2017所闡述的大數據參考架構，可以將大數據相關的等級保護對象抽象為三類重要組件：大數據資源、大數據應用和大數據平臺。如圖1所示。

2 大數據平臺系統概述

2.1 基本情況

本文結合某住建廳大數據平臺展開分析，該系統運維由泰華智慧公司負責，系統等級保護定級為第三級。系統主要功能包括整合住建廳內的信息化資源、建設住建數據庫、開發對外服務接口，以及構建3個業務系統以提供輔助決策支持；系統承載的業務子應用包括：某住建大數據平臺、數字化城市管理系統、物業服務企業信用檔案與評級管理系統、建筑市場監管系統。本系統用戶主要包括普通用戶、管理員用戶，登錄密碼以及業務數據是關鍵數據。該住建廳大數據平臺使用政務云網絡，無物理機房。網絡通信時使用VPN等設備或技術對通信鏈路進行保護，運維人員使用VPN進行服務器登錄，用戶通過用戶名+口令的方式登錄。本系統于2019年10月上線運行，于2020年12月16日完成網絡安全等級保護定級備案，等級為第3級（S3A2G3）。本系統服務于住建廳，用戶為住建廳機關人員，系統服務用戶數量約150人[2]。

2.2 系統網絡拓撲

住建廳大數據平臺的網絡拓撲主要由政務外網接入區、審計區、云平臺計算資源等組成，其中政務外網接入區通過（1+1）+1方式接入，優先使用兩個5G網絡，一條100 Mbps移動線路為裸光纖備線。對于需要WAF防護的業務，系統通過邊界防火墻的精細路由策略將其數據引流至WAF設備進行防護，在核心防火墻上通過策略路由回包，不需要添加WAF防護的業務，數據流直接至核心交換機。審計區具備網頁篡改威脅感知、主動殺毒、漏洞掃描、監控系統等作用；分級防火墻對用戶進行隔離，控制東西向流量[3]。

3 大數據背景下計算機網絡安全風險

3.1 設備和計算安全風險分析

在設備和計算安全方面，住建廳大數據平臺使用服務器及數據庫的本地登錄方式，采用靜態口令鑒別機制，未采用密碼技術對本地登錄的用戶進行身份標識和鑒別，未使用密碼技術的完整性功能來保證服務器和數據庫等系統資源訪問控制信息的完整性，未采用可信計算技術建立從系統到應用的信任鏈實現系統運行過程中重要程序或文件的完整性保護，未使用密碼技術的完整性功能來確保服務器和數據庫日志記錄的完整性[4]。

（1）在當今數字化時代，關于管理員登錄數據庫的問題，必須建立安全的管理員身份鑒別機制，以防止不法分子冒充管理員身份進入系統。管理員登錄數據庫的安全保障可通過多因素身份驗證來實現，例如，結合用戶名和動態口令、指紋識別等方式，以確保只有經授權的管理員才能夠登錄。

（2）住建廳大數據平臺內的應用服務器承載著重要程序和文件，而有關重要程序和文件在生成過程中缺乏必要的密碼技術保護，這為其完整性埋下了隱患。缺乏密碼技術的保護可能使得惡意行為者有機會篡改這些文件，甚至在未經授權的情況下進行訪問和修改。更為令人擔憂的是，在使用或讀取這些關鍵程序和文件時，缺乏完整性校驗的舉措，造成了系統未能對數據的完整性進行有效驗證，進而放大了系統安全風險。由于缺乏完整性校驗使得不可信來源的數據可能被錯誤地接收并執行，為系統可靠運行和數據安全埋下了潛在威脅[5]。

（3）在住建廳的大數據平臺應用中，在處理和存儲日志信息時存在一個明顯的安全隱患，即這些日志信息被以明文形式存儲，沒有經過密碼技術的保護，導致其完整性容易受到威脅。

3.2 應用和數據安全風險分析

住建大數據平臺各業務應用系統采用基于靜態口令的身份鑒別機制，用戶登錄系統時，采用MD5算法對口令進行雜湊后傳輸，密碼算法不符合相關國家標準、行業標準的要求，且無法有效實現身份鑒別信息在傳輸過程中的防截獲、防假冒和防重用功能。住建大數據平臺各業務應用系統采用基于角色的訪問控制策略，未采用密碼技術保證其訪問控制策略的完整性。住建大數據平臺各業務應用系統采用MD5算法對鑒別信息中的口令信息進行雜湊后傳輸，無法有效保障數據傳輸過程的機密性；未采用密碼技術實現重要用戶信息和重要業務數據傳輸過程中的機密性保護。住建大數據平臺各業務應用系統用戶鑒別數據中的口令信息采用AES算法進行加密存儲，AES算法由系統軟件實現，密碼算法不符合相關國家標準、行業標準的要求；未采用密碼技術實現重要業務數據和重要用戶信息在存儲過程中的機密性保護。住建大數據平臺各業務應用系統未采用密碼技術對重要業務數據、重要用戶信息、重要審計數據和重要配置數據在存儲過程中的完整性保護。住建大數據平臺各業務應用系統未使用密碼技術實現對日志記錄的完整性保護[6]。

4 大數據背景下計算機密碼應用設計及

網絡安全原則

（1）合規性。國產密碼應用須根據《中華人民共和國密碼法》《信息系統密碼應用基本要求GM/T 0054》相關規定，選擇經國家密碼管理局核準的密碼產品，開展應用系統國產密碼應用工作。

（2）先進性。為方便實用和兼顧今后發展的需求，優6b4333506b59665c8bb5b6065a8c3a39c5793e8c4af0f649eccb50d94da72b6e先使用平臺現有的密碼資源，在硬件設備、軟件產品等密碼產品使用方面，應選擇當今市場上主流、領先且穩定的產品和技術。

（3）冗余性。考慮容錯能力，關鍵節點設備和核心設備要有適當的冗余，采用靈活的負載均衡機制，避免單點故障導致業務中斷，并最大限度減少故障。

（4）安全性。大數據平臺的安全性從網絡、系統、應用和管理四個方面綜合考慮，采用先進的安全技術，如PKI技術，以具有自主知識產權的產品為基礎，提供完善的安全防護機制，確保數據防篡改、防入侵，并確保數據具有法律認可的證據效力。

5 大數據背景下計算機網絡安全問題的

解決策略

5.1 設備和計算安全

（1）身份鑒別。設備和計算層面的身份鑒別密碼應采用SSL通道來實現，通過安全管理措施強制接入相應設備的方式均必須先通過SSL網關鑒別，再通過設備自身身份鑒別機制實現二次身份鑒別。

（2）遠程管理鑒別信息完整性保護。通過SSL VPN建立的安全通道實現設備遠程管理，對身份鑒別信息進行防竊聽。設備遠程管理通道被限制為SSL VPN，設備遠程管理鑒別信息（信息系統管理員的鑒別信息）的傳遞均發生在VPN安全通道上，保障了鑒別信息的機密性和完整性，有效保障了鑒別信息的防竊聽。

（3）訪問控制信息完整性。系統利用服務器密碼機實現對服務器、業務系統自有數據庫服務器以及其他關鍵計算設備的系統資源訪問控制，確保了訪問信息的完整性保護。計算機系統在相應操作系統上通過部署密碼中間件，并利用密碼中間件通過密碼服務平臺調用服務器密碼機的方式，進行SM3運算和簽名驗證運算，以此實現各類操作系統配置文件的完整性保護。

5.2 系統數據安全

（1）物理訪問控制。系統采用校驗技術保護電子門禁相關的物理訪問控制記錄數據、視頻監控數據、機房環境監測數據等數據存儲的完整性。

（2）身份鑒別。系統對登錄的應用進行身份標識和鑒別，身份鑒別信息應該具有一定的復雜度，并定期進行更換。為了保障身份安全性，系統要對其中運行的數據處理工具進行身份鑒別；同時，應能對接入大數據平臺的采集終端、數據導入服務組件、分布式計算節點設備、數據導出終端、數據導出服務組件等進行身份鑒別。

（3）訪問控制。系統應在通信前對參與數據流動的內外部接口進行封裝和授權，采取訪問控制措施限制對產生數據的數據源和數據存儲系統的訪問，以及進行數據導出、數據備份和恢復等操作。平臺應定期對數據處理全流程使用的各類賬號進行識別、梳理及分類tcneUHatfwfRRycklvdAY/ktXnIlfsJEfClXnf9oGF4=，防止非法賬號、閑置賬號、過期賬號存在。另外，平臺要限制各類數據處理工具的訪問、操作和運行的權限，例如，對數據采集工具、數據脫敏工具、數據共享工具、數據發布工具、數據銷毀工具、數據管理工具等的訪問、操作和運行進行權限。

6 結束語

綜上所述，現代信息技術已經被應用于社會生產和生活的方方面面，一些信息會儲存在計算機網絡中，由此加大了數據被竊取風險，進而給相關個人和單位造成較大的損失。為了進一步降低網絡安全風險，可以從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全幾個方面展開設計，制定一套大數據系統應用的技術方案、安全管理方案和實施保障方案，以營造良好的網絡安全環境，為經濟社會的平穩運行保駕護航。

參考文獻

[1] 汪滔．大數據時代背景下對網絡安全防御措施的探討[J]．網絡安全技術與應用，2022（8）：56-57．

[2] 張永紅．大數據背景下網絡信息安全技術體系分析[J]．數字通信世界，2022（7）：67-69．

[3] 趙爽．大數據背景下計算機網絡信息安全問題分析[J]．現代工業經濟和信息化，2022，12（6）：108-109．

[4] 張孝若，段莉華．大數據時代下計算機網絡安全防范的研究[J]．網絡安全技術與應用，2022（3）：179-180．

[5] 馬津偉．大數據背景下計算機網絡安全防范措施研究[J]．延邊教育學院學報，2022，36（1）：65-67．

[6] 曹赟峰，魏海濤．大數據背景下計算機網絡安全防范研究[J]．電腦知識與技術，2022，18（3）：34-36．