南京師范大學中北學院 黃四青

南京師范大學計算機科學與技術(shù)學院 馮學軍

隨著社會網(wǎng)絡(luò)普及，大數(shù)據(jù)資源越來越豐富，解決大數(shù)據(jù)時代的信息安全問題迫在眉睫。本文先分析大數(shù)據(jù)時代的安全風險，然后通過架構(gòu)云安全平臺來實現(xiàn)大數(shù)據(jù)的處理、存儲和應(yīng)用的安全保障。

1.大數(shù)據(jù)時代的安全風險

在當今信息化時代，人們的工作生活離不開電腦、IPAD、智能手機，而這些電子產(chǎn)品的使用離不開有線或無線網(wǎng)絡(luò)，這些巨大的在線數(shù)據(jù)資源匯聚在大數(shù)據(jù)平臺。由于利益關(guān)系這必然成為黑客網(wǎng)絡(luò)攻擊的重要目標。2018年8月發(fā)生“史上最大規(guī)模數(shù)據(jù)竊取案”，涉及百度、騰訊、阿里等全國互聯(lián)網(wǎng)巨頭幾十億條用戶數(shù)據(jù)，犯罪分子利用非法竊取的用戶數(shù)據(jù)，操控用戶賬號非法獲利。如果國家重要部門數(shù)據(jù)平臺系統(tǒng)遭遇這類事件，后果將難以想象。大數(shù)據(jù)時代，我國網(wǎng)絡(luò)安全面臨著多重安全威脅。第一，由于計算機基礎(chǔ)設(shè)施及基礎(chǔ)硬件比較薄弱，我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施及基礎(chǔ)硬件系統(tǒng)受制于人，重要行業(yè)的重要信息系統(tǒng)核心軟硬件設(shè)施中使用的服務(wù)器、操作系統(tǒng)和數(shù)據(jù)庫等皆采用國外企業(yè)的產(chǎn)品，國內(nèi)數(shù)據(jù)安全命脈大部分掌握在國外企業(yè)手中。其次，由于網(wǎng)站及應(yīng)用系統(tǒng)的漏洞、后門導致重大安全事件頻繁發(fā)生。第三，網(wǎng)絡(luò)攻擊手段越來越復雜。所以，大數(shù)據(jù)時代的信息安全問題，將是保障大數(shù)據(jù)應(yīng)用的前提條件。

2.云安全架構(gòu)下的大數(shù)據(jù)安全

云計算相當于計算機和操作系統(tǒng)，采用的技術(shù)方案是將大量的硬件資源虛擬化之后再進行分配使用。Amazon、Vmware、Openstack為云計算提供了商業(yè)化的標準。所謂大數(shù)據(jù)技術(shù)就是從從各種類型的數(shù)據(jù)中，以極快速度獲得有價值信息的能力。大數(shù)據(jù)的安全問題可采用“云安全架構(gòu)”(依托大而靈活的云安全資源池)解決，云安全架構(gòu)是保障大數(shù)據(jù)信息安全的支撐體系。云安全架構(gòu)是在傳統(tǒng)安全架構(gòu)的基礎(chǔ)上發(fā)展來的，繼承了傳統(tǒng)安全架構(gòu)在管理、技術(shù)和運維層面的優(yōu)勢和特點，融入了大容量并行計算、虛擬化和分布式處理等技術(shù)。通過云安全架構(gòu)可以實現(xiàn)對大數(shù)據(jù)處理、存儲和應(yīng)用的安全保障。

云安全架構(gòu)分為四個部分，如圖1所示。

2.1 主機安全

主要是指硬件、固件以及配套設(shè)施的自身安全和安全管理措施，包括：不斷完善大數(shù)據(jù)中心管理制度，嚴格監(jiān)控、保衛(wèi)、加強消防等制度建設(shè)，確保主機安全保護環(huán)境。

2.2 網(wǎng)絡(luò)安全

加強大數(shù)據(jù)平臺云網(wǎng)絡(luò)安全，首先應(yīng)該有效的控制網(wǎng)絡(luò)的流量，并控制網(wǎng)絡(luò)邊界。其次在服務(wù)器內(nèi)部安裝防火墻及完善ACL技術(shù)，服務(wù)器設(shè)置登錄密碼，從而能夠禁止惡意攻擊。在選擇云計算平臺提供商時，選擇具備第三方認證的商家。

圖1 云安全架構(gòu)示意圖

2.3 虛擬化安全

基于虛擬化技術(shù)的云計算安全風險來自兩個方面，第一、虛擬服務(wù)器的物理安全；第二、虛擬服務(wù)器的軟件安全。

購買虛擬服務(wù)器，應(yīng)考慮把具有可信安全模塊（啟動時可以檢測用戶密碼）并且支持虛擬機的硬件（保證CPU之間的物理隔離）做為物理服務(wù)器。虛擬服務(wù)器與每一臺虛擬機之間在所有方面都要盡可能的進行隔離，每臺虛擬服務(wù)器都應(yīng)分配一個獨立的硬盤分區(qū);每臺虛擬服務(wù)器上應(yīng)安裝和更新基于主機的反病毒機制，使用IPSEC或加密技術(shù)。這些措施的目的是當黑客對一臺虛擬服務(wù)器攻擊時不會擴散到其他服務(wù)器。

虛擬服務(wù)器的軟件層部署于物理機之上，具備創(chuàng)建、運行和銷毀虛擬服務(wù)器的功能。虛擬化軟件層能確保虛擬機在租戶很多的情況下相互隔離，可以使租戶在一臺計算機上同時運行多個操作系統(tǒng)。作為虛擬機的核心，必須要保證它的安全。

2.4 管理安全

云服務(wù)提供層的管理風險來自于兩方面，一方面是云服務(wù)的安全性。隨著越來越多的大型企業(yè)開始嘗試云計算，越來越多的大型企業(yè)系統(tǒng)遷移到云架構(gòu)上，尤其是公共云計算，同時帶來的風險是大型云計算供應(yīng)商成為攻擊目標。另一方面是云計算服務(wù)的可靠性。這源于云服務(wù)的兩個相關(guān)因素，其一是云服務(wù)的復雜性，隨著大數(shù)據(jù)中心數(shù)據(jù)的快速增長以及在全世界的擴張，云架構(gòu)的復雜性表現(xiàn)出幾何級數(shù)的增長，其中一些自動化或半自動化進程所產(chǎn)生的非預期性的數(shù)據(jù)交互，會導致大量的數(shù)據(jù)出錯。另一個原因是目前完善的公共云架構(gòu)很少。為了增強云計算和云存儲服務(wù)的可信性，一方面是提供云計算的問責功能，通過記錄操作信息實現(xiàn)對惡意操作的追蹤和問責。另一方面是構(gòu)建可信的云計算平臺，通過可信計算、安全啟動、云端網(wǎng)關(guān)等技術(shù)手段達到云計算的可信性。另外需要制定與云安全相關(guān)的法律、法規(guī)、標準。

2.5 應(yīng)用安全

用戶層的應(yīng)用安全主要包括網(wǎng)站安全漏洞檢測和Web應(yīng)用防火墻兩方面。

(1)網(wǎng)站安全漏洞檢測

目前網(wǎng)站安全漏洞檢測的類型包括SQL注入、XSS跨站腳本、緩沖區(qū)溢出、上傳漏洞、源代碼泄露、網(wǎng)頁掛馬、隱藏目錄泄露、數(shù)據(jù)庫泄露、管理地址泄露、網(wǎng)站性能檢測、弱口令、網(wǎng)絡(luò)輿論信息監(jiān)測等等。網(wǎng)頁掛馬的功能是檢測Web網(wǎng)站是否被黑客或惡意攻擊者非法植入了木馬程序。網(wǎng)絡(luò)輿論信息監(jiān)測功能是依據(jù)文本挖掘技術(shù)及搜索引擎技術(shù)，通過網(wǎng)頁內(nèi)容的自動采集處理、敏感詞過濾、智能聚類分類、主題檢測、專題聚焦、統(tǒng)計分析，實現(xiàn)各單位對自己相關(guān)網(wǎng)絡(luò)輿論監(jiān)督管理的需要，為決策層全面掌握輿情動態(tài)，做出正確輿論引導，提供分析依據(jù)。

(2)Web應(yīng)用防火墻

Web應(yīng)用防火墻依托云計算架構(gòu)，由引擎中心、運營監(jiān)控中心以及云用戶控制中心組成。可根據(jù)接入網(wǎng)站的多少和訪問量級對防火墻擴容，提供全面的WEB安全防御。Web應(yīng)用防火墻功能包括對HTTP的請求進行異常檢測、增強輸入驗證、及時補丁修補Web安全漏洞。

2.6 數(shù)據(jù)安全

依據(jù)云計算特點和數(shù)據(jù)的生命周期，云端用戶層數(shù)據(jù)安全框架構(gòu)建了數(shù)據(jù)訪問、傳輸、存儲和銷毀四個環(huán)節(jié)。對于不同環(huán)節(jié)數(shù)據(jù)安全管理要求如圖2所示。

圖2 云端用戶層數(shù)據(jù)安全框架

3.總結(jié)

依托云安全體系架構(gòu)實現(xiàn)大數(shù)據(jù)安全的突出問題集中在大數(shù)據(jù)特有的虛擬化安全問題。在架構(gòu)云安全體系時把安全因素放在首位，通過安全服務(wù)方式進行交互，這樣可以增強云計算的安全防護能力以及安全服務(wù)的可視交付，并根據(jù)風險預警進行實時的策略控制。這將使得云計算的服務(wù)交付更加安全可靠，從而邁向大數(shù)據(jù)信息技術(shù)時代。