王照

摘 要大數(shù)據(jù)時(shí)代的來(lái)臨讓我們了解到數(shù)據(jù)資源的重要性的同時(shí)，對(duì)網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)與信息安全提出了新的要求。本文從大數(shù)據(jù)時(shí)代背景出發(fā)，分析目前大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全的基本現(xiàn)狀的基礎(chǔ)上，首先明確了加強(qiáng)大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全的重要性，然后梳理了大數(shù)據(jù)環(huán)境下切實(shí)可用的網(wǎng)絡(luò)安全技術(shù)，并結(jié)合原有的虛擬化網(wǎng)絡(luò)安全架構(gòu)構(gòu)建新型大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)安全SDN架構(gòu)，最后從運(yùn)行機(jī)制的的角度提出了網(wǎng)絡(luò)安全建設(shè)的三大機(jī)制。

【關(guān)鍵詞】大數(shù)據(jù) 虛擬化 網(wǎng)絡(luò)安全架構(gòu) 機(jī)制

1 大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

1.1 大數(shù)據(jù)及其特點(diǎn)

大數(shù)據(jù)（Big Data）最早由美國(guó)提出，并逐漸運(yùn)用于世界各地的學(xué)術(shù)既商業(yè)活動(dòng)之中，具體指相對(duì)于計(jì)算機(jī)的處理能力而言該類數(shù)據(jù)的“海量”與“大”，即在任意有限的時(shí)間內(nèi)不能使用任意的IT或軟硬件技術(shù)工具進(jìn)行操作和運(yùn)用的數(shù)據(jù)集合?？茖W(xué)家John Rauser曾用一句更為簡(jiǎn)單的話解釋了大數(shù)據(jù)，即他認(rèn)為大數(shù)據(jù)的數(shù)據(jù)處理量之大已經(jīng)超過(guò)了任意一臺(tái)計(jì)算機(jī)的處理能力。

大數(shù)據(jù)具有結(jié)構(gòu)復(fù)雜、數(shù)據(jù)量大、類型眾多、集成共享與交叉復(fù)用的特點(diǎn)，對(duì)應(yīng)于大數(shù)據(jù)的處理，計(jì)算機(jī)科學(xué)界產(chǎn)生了與之對(duì)應(yīng)的云計(jì)算技術(shù)方法基于云計(jì)算技術(shù)的應(yīng)用漸趨成熟，大數(shù)據(jù)在行業(yè)內(nèi)被提出具備4V特征，即數(shù)據(jù)容量大種類多（Volume）、數(shù)據(jù)類型多（Variety）、商業(yè)價(jià)值高（Value）、處理速度快（Velocity），大數(shù)據(jù)及其特征可以更好的用圖1表示。

1.2 大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)安全是國(guó)家安全的一個(gè)重要組成部分，根據(jù)我國(guó)互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心CNCERT/CC 其2016年度《中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》中提供的數(shù)據(jù)，截止到15年年底中國(guó)網(wǎng)站總量已達(dá)到426.7萬(wàn)余個(gè)，同比年度凈增長(zhǎng)2萬(wàn)余個(gè)，此外在其發(fā)布的《CNCERT互聯(lián)網(wǎng)完全威脅報(bào)告》中，僅2017年2月，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近118萬(wàn)個(gè)，被篡改網(wǎng)站數(shù)量為4493個(gè)，其中政府網(wǎng)站有109個(gè)?？梢?jiàn)大數(shù)據(jù)時(shí)代，我國(guó)目前網(wǎng)絡(luò)安全形勢(shì)依舊嚴(yán)峻，主要問(wèn)題表現(xiàn)在：

（1）公民個(gè)人安全意識(shí)不強(qiáng)，個(gè)人信息泄露嚴(yán)重，從國(guó)內(nèi)感染木馬網(wǎng)絡(luò)病毒的網(wǎng)站數(shù)來(lái)看，用戶對(duì)于網(wǎng)絡(luò)安全的意識(shí)低下的現(xiàn)狀；

（2）國(guó)內(nèi)網(wǎng)絡(luò)安全保護(hù)與威脅漏洞防范措施滯后，國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的基本措施基本都處于形式的靜態(tài)防護(hù)狀態(tài)，真正對(duì)新木馬、新病毒的發(fā)現(xiàn)和攻克技術(shù)未及時(shí)跟上病毒與木馬產(chǎn)生的速度，防范能力低下，感染與反復(fù)感染情況嚴(yán)重。

（3）網(wǎng)絡(luò)攻擊等行業(yè)逐步壯大與興起，大數(shù)據(jù)時(shí)代，數(shù)據(jù)的商業(yè)價(jià)值被進(jìn)一步挖掘，強(qiáng)大的利益誘惑下，國(guó)內(nèi)不少網(wǎng)絡(luò)攻擊企業(yè)逐漸形成甚至形成不正規(guī)產(chǎn)業(yè)鏈，該行業(yè)的發(fā)展趨勢(shì)有待及時(shí)的制止與修正。

2 虛擬化網(wǎng)絡(luò)安全技術(shù)概述

2.1 病毒防護(hù)技術(shù)

遠(yuǎn)程或者本地主機(jī)上存在的安全漏洞可以通過(guò)漏洞掃描來(lái)自動(dòng)檢測(cè)。漏洞掃描可以“防患于未然”，在問(wèn)題還未發(fā)生，或者在侵犯還未形成時(shí)，就將其隱藏的安全問(wèn)題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部，檢測(cè)解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患，稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的，外網(wǎng)絡(luò)外部掃描，是指把漏洞掃描程序置于外部網(wǎng)絡(luò)，來(lái)保護(hù)網(wǎng)絡(luò)免于來(lái)自外部網(wǎng)絡(luò)的侵犯和攻擊，除去安全隱患。

2.2 入侵檢測(cè)技術(shù)

通過(guò)加強(qiáng)對(duì)網(wǎng)絡(luò)間訪問(wèn)的控制來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源，一般來(lái)說(shuō)，就是我們所說(shuō)的防火墻。它的原理是，避免外部網(wǎng)絡(luò)用戶非法進(jìn)入內(nèi)部環(huán)境。性質(zhì)上，屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備。互聯(lián)網(wǎng)技術(shù)日新月異，防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過(guò)濾型、代理型、監(jiān)測(cè)型，其安全性也是遞增的。最開始的包過(guò)濾型防火墻，它是通過(guò)分析數(shù)據(jù)來(lái)源是否是可靠地安全站點(diǎn)，從而達(dá)到維護(hù)系統(tǒng)安全的要求。

2.3 漏洞掃描技術(shù)

遠(yuǎn)程或者本地主機(jī)上存在的安全漏洞可以通過(guò)漏洞掃描來(lái)自動(dòng)檢測(cè)。漏洞掃描可以“防患于未然”，在問(wèn)題還未發(fā)生，或者在侵犯還未形成時(shí)，就將其隱藏的安全問(wèn)題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部，檢測(cè)解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患，我們稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的，外網(wǎng)絡(luò)外部掃描，是指把漏洞掃描程序置于外部網(wǎng)絡(luò)，來(lái)保護(hù)網(wǎng)絡(luò)免于來(lái)自外部網(wǎng)絡(luò)的侵犯和攻擊，除去安全隱患。

2.4 防火墻技術(shù)

通過(guò)加強(qiáng)對(duì)網(wǎng)絡(luò)間訪問(wèn)的控制來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源，一般來(lái)說(shuō)，就是我們所說(shuō)的防火墻。它的原理是，避免外部網(wǎng)絡(luò)用戶非法進(jìn)入內(nèi)部環(huán)境。性質(zhì)上，屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備?；ヂ?lián)網(wǎng)技術(shù)日新月異，防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過(guò)濾型、代理型、監(jiān)測(cè)型，其安全性也是遞增的。最開始的包過(guò)濾型防火墻，它是通過(guò)分析數(shù)據(jù)來(lái)源是否是可靠地安全站點(diǎn)，從而達(dá)到維護(hù)系統(tǒng)安全的要求。防火墻超出了最初對(duì)防火墻的定義是從監(jiān)測(cè)型防火墻的出現(xiàn)開始的。其表現(xiàn)是，不僅能阻止外來(lái)侵?jǐn)_，更重要的是，它也能對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部的破壞起到防護(hù)的作用

3 大數(shù)據(jù)環(huán)境虛擬化網(wǎng)絡(luò)安全SDN架構(gòu)

網(wǎng)絡(luò)安全應(yīng)用虛擬化（Virtualized Security Appliance）是較為有效的解決網(wǎng)絡(luò)安全的常見(jiàn)方式，本節(jié)根據(jù)大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全特征及可用技術(shù)，結(jié)合傳統(tǒng)軟件定義網(wǎng)絡(luò)SDN安全架構(gòu)方式，提出如下所示的基于安全應(yīng)用虛擬化的網(wǎng)絡(luò)安全SDN架構(gòu)，即SDN-VSN。

該架構(gòu)首先在安全業(yè)務(wù)管理實(shí)踐的基礎(chǔ)上運(yùn)用SDN API進(jìn)行業(yè)務(wù)需求與計(jì)算機(jī)指令的靈活轉(zhuǎn)換，在SDN控制層能夠?qū)崿F(xiàn)網(wǎng)絡(luò)虛擬化安全防護(hù)，包括有安全協(xié)議的描述、安全網(wǎng)絡(luò)檢測(cè)、安全路由保證、網(wǎng)絡(luò)拓?fù)涔芾砑鞍踩Y源管理的基礎(chǔ)業(yè)務(wù)描述與控制；其次，在安全策略方面，該架構(gòu)采用二級(jí)分解方式，指定的物理資源進(jìn)行了映射配置和安全防控，并采用事件驅(qū)動(dòng)的啟動(dòng)模式，達(dá)到一種及時(shí)響應(yīng)、及時(shí)防護(hù)的安全防控效果；最后，在安全實(shí)施方面，上述架構(gòu)包含了字符段匹配、安全協(xié)議識(shí)別等通過(guò)標(biāo)準(zhǔn)Open Flow表示、識(shí)別與實(shí)施的安全運(yùn)作機(jī)制。

4 大數(shù)據(jù)環(huán)境下虛擬化網(wǎng)絡(luò)安全機(jī)制

4.1 邊界安全機(jī)制

網(wǎng)絡(luò)邊界安全機(jī)制指從網(wǎng)絡(luò)與外界之間互通引起的安全問(wèn)題進(jìn)行防護(hù)的一種防護(hù)機(jī)制，包括黑客入侵、網(wǎng)絡(luò)攻擊及木馬病毒攻擊的防護(hù)，大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)邊界安全直接影響網(wǎng)絡(luò)用戶的整體安全，因此如何從數(shù)據(jù)挖掘的角度設(shè)計(jì)并分析已有病毒或木馬庫(kù)的特征，及時(shí)更新病毒庫(kù)進(jìn)行有效的邊界保護(hù)，最大限度實(shí)現(xiàn)邊界隔離。

4.2 終端安全機(jī)制

網(wǎng)絡(luò)終端指網(wǎng)絡(luò)的最終使用者即網(wǎng)絡(luò)用戶，網(wǎng)絡(luò)終端安全機(jī)制即是強(qiáng)調(diào)網(wǎng)絡(luò)安全防護(hù)過(guò)程中從網(wǎng)絡(luò)用戶端入手，運(yùn)用防火墻、防病毒、防木馬等技術(shù)對(duì)可能的網(wǎng)絡(luò)安全漏洞進(jìn)行措施性規(guī)避，新一代的大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)終端數(shù)量劇增，在對(duì)于網(wǎng)絡(luò)終端防護(hù)的安全機(jī)制需要考慮終端之間的統(tǒng)一有效控制，即當(dāng)某一終端出現(xiàn)安全漏洞威脅時(shí)，其他與之相近的終端能夠迅速接受信號(hào)，并在統(tǒng)一受控的基礎(chǔ)上進(jìn)行迅速的防護(hù)技術(shù)部署，防止漏洞和威脅進(jìn)一步無(wú)限制的蔓延，終端防護(hù)的技術(shù)在大數(shù)據(jù)環(huán)境下需要過(guò)更多運(yùn)用云技術(shù)，通過(guò)云端有效控制數(shù)以億增的網(wǎng)絡(luò)終端量及相應(yīng)的可能遭受的安全風(fēng)險(xiǎn)。

4.3 聯(lián)動(dòng)安全機(jī)制

聯(lián)動(dòng)安全機(jī)制是在保證邊界安全和終端安全的基礎(chǔ)上運(yùn)用云端技術(shù)及大數(shù)據(jù)預(yù)測(cè)技術(shù)及時(shí)的將終端與邊界聯(lián)動(dòng)起來(lái)的一種安全機(jī)制，即保證終端與邊界的安全統(tǒng)一。實(shí)際的操作中，網(wǎng)絡(luò)的邊界與終端無(wú)論哪一邊遭受到安全攻擊，通過(guò)數(shù)據(jù)分析及時(shí)更新數(shù)據(jù)并下發(fā)到另一端，以確保實(shí)現(xiàn)聯(lián)動(dòng)的防護(hù)機(jī)制。雙防御的及時(shí)防護(hù)就像一個(gè)新型高效網(wǎng)絡(luò)護(hù)盾，如當(dāng)某一終端遭受攻擊或漏洞被篡改，可以迅速的通知邊界設(shè)備進(jìn)行及時(shí)的物理或網(wǎng)絡(luò)隔離，并迅速進(jìn)行數(shù)據(jù)分析更新數(shù)據(jù)庫(kù)病毒庫(kù)，防止同網(wǎng)絡(luò)種其他設(shè)備遭受到相同黑客病毒的攻擊。聯(lián)動(dòng)機(jī)制有效的提高了終端和邊界雙方面聯(lián)動(dòng)的防護(hù)效果，有效應(yīng)對(duì)未知攻擊并可以進(jìn)行及時(shí)的防護(hù)措施，并運(yùn)用大數(shù)據(jù)預(yù)測(cè)與分析技術(shù)可以預(yù)測(cè)可能受到的安全攻擊，進(jìn)行對(duì)應(yīng)的防護(hù)措施，從而將損害降到最低，實(shí)現(xiàn)網(wǎng)絡(luò)安全最大化的終極目標(biāo)。

參考文獻(xiàn)

[1]CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告.國(guó)家互聯(lián)網(wǎng)應(yīng)急中心[EB/OL].http：//www.cert.org.cn/publish/main/upload/File/2017monthly02.pdf.

[2]孟治強(qiáng).基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)初探[J].商，2015（34）：207-207.

[3]楊艷，張瑩.大數(shù)據(jù)背景下的網(wǎng)絡(luò)信息安全研究[J].自動(dòng)化與儀器儀表，2016（10）：149-150.

[4]劉新，常英賢，田健偉.大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安全防護(hù)策略研究[J].探索科學(xué)，2016（10）.

[5]馬文靜.下一代無(wú)線網(wǎng)絡(luò)安全及切換機(jī)制研究[D].北京郵電大學(xué)，2010.

[6]吳越，孫皓，張樹彬.下一代網(wǎng)絡(luò)中的無(wú)線網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2007（05）：12-14.

作者單位

河南護(hù)理職業(yè)學(xué)院 河南省安陽(yáng)市 455000