文/龔昕

隨著信息技術(shù)在社會政治、經(jīng)濟和軍事各個領(lǐng)域的廣泛應(yīng)用，信息技術(shù)的重要性日益突出，數(shù)據(jù)在經(jīng)濟、政治和軍事發(fā)展中的作用也越來越明顯，大數(shù)據(jù)的應(yīng)用和發(fā)展，海量數(shù)據(jù)的存儲、交換和挖掘，已經(jīng)成為未來大數(shù)據(jù)重要組成部分，數(shù)據(jù)中心建設(shè)方興未艾。試驗數(shù)據(jù)中心通過網(wǎng)絡(luò)系統(tǒng)向服務(wù)對象提供各種試驗數(shù)據(jù)，利用信息技術(shù)并依托各種標準協(xié)議，完成試驗數(shù)據(jù)計算、存儲、傳輸?shù)纫惑w化的信息管理和服務(wù)體系。在用戶需求轉(zhuǎn)型和變化的情況下，如何保證試驗數(shù)據(jù)交換中數(shù)據(jù)資源的安全已成為制約試驗數(shù)據(jù)中心發(fā)展的一個重要問題。

1 試驗數(shù)據(jù)安全威脅來源分析

試驗數(shù)據(jù)交換平臺是指將分散建設(shè)的若干試驗信息系統(tǒng)進行整合，通過計算機網(wǎng)絡(luò)構(gòu)建的數(shù)據(jù)交換平臺，保證分布異構(gòu)系統(tǒng)之間互聯(lián)互通，建立數(shù)據(jù)中心試驗數(shù)據(jù)資源池，完成試驗數(shù)據(jù)的抽取、集中、加載、展現(xiàn)，構(gòu)造統(tǒng)一的數(shù)據(jù)處理和交換，并對外提供數(shù)據(jù)產(chǎn)品和服務(wù)。試驗數(shù)據(jù)安全威脅來源包括內(nèi)部威脅和外部威脅，試驗數(shù)據(jù)交換平臺中的數(shù)據(jù)為涉密數(shù)據(jù)，內(nèi)部的運維人員，管理人員在使用系統(tǒng)過程中可能由于權(quán)限過高、蓄意越權(quán)訪問、誤操作、或是介質(zhì)竊取等方式，導(dǎo)致數(shù)據(jù)泄露；外部的攻擊者通過惡意軟件、非法入侵等方式繞過前端防護系統(tǒng)或者穿透應(yīng)用程序直接訪問數(shù)據(jù)庫，竊取涉密數(shù)據(jù)。試驗數(shù)據(jù)所面臨的具體安全威脅主要包括以下幾個方面：

1.1 涉密試驗數(shù)據(jù)的分布不明確

試驗數(shù)據(jù)交換平臺中的涉密數(shù)據(jù)分布在各個模塊中，管理人員對涉密數(shù)據(jù)的種類和數(shù)據(jù)量不清楚，分布情況缺乏可視化的管理手段，同時對涉密數(shù)據(jù)的檢索、下載等流向缺乏詳細的管控。

1.2 平臺運維人員權(quán)限過高

平臺運維人員擁有權(quán)限較大，甚至是超級管理權(quán)限，系統(tǒng)權(quán)限被濫用，對系統(tǒng)造成嚴重威脅。

圖1：試驗數(shù)據(jù)交換平臺安全架構(gòu)

1.3 內(nèi)部人員違規(guī)訪問

內(nèi)部人員使用試驗數(shù)據(jù)過程中權(quán)限設(shè)置違反了“權(quán)限最小原則”，擁有超高的管理權(quán)限，同時有些用戶認證方式主要為單一的口令方式，權(quán)限盜用容易發(fā)生，極易發(fā)生涉密數(shù)據(jù)泄漏事件。

1.4 外部人員入侵

外部人員通過Web/APP訪問系統(tǒng)，利用插入惡意語句或者利用連接工具發(fā)動緩沖區(qū)溢出攻擊，數(shù)據(jù)庫本身不具備SQL注入攻擊檢測能力，攻擊者便有機會獲得整個數(shù)據(jù)庫的訪問權(quán)限。

1.5 試驗數(shù)據(jù)流轉(zhuǎn)不能溯源

在試驗數(shù)據(jù)流轉(zhuǎn)過程中，包括試驗數(shù)據(jù)上報過程和試驗數(shù)據(jù)交換過程，如果在試驗數(shù)據(jù)接收方發(fā)生數(shù)據(jù)泄露，流轉(zhuǎn)的試驗數(shù)據(jù)沒有進行標記，則無法追溯試驗數(shù)據(jù)來源，確定試驗數(shù)據(jù)泄露責(zé)任人。

1.6 試驗數(shù)據(jù)訪問缺乏審計

對數(shù)據(jù)的訪問和活動情況缺乏必要的監(jiān)控和記錄，如果發(fā)生泄密事件則無法審計和追查，同時也不能發(fā)現(xiàn)試驗數(shù)據(jù)的異?；顒忧闆r和風(fēng)險。

2 試驗數(shù)據(jù)交換平臺安全架構(gòu)設(shè)計

通過有效的層級結(jié)構(gòu)劃分可以全面展現(xiàn)試驗數(shù)據(jù)交換平臺安全架構(gòu)設(shè)計思路，平臺架構(gòu)設(shè)計分為4個層級，分別是包含安全對象層、數(shù)據(jù)采集層、數(shù)據(jù)管理層、數(shù)據(jù)呈現(xiàn)層。試驗數(shù)據(jù)交換平臺安全架構(gòu)如圖1所示。

安全對象層是指平臺中基礎(chǔ)安全設(shè)備或系統(tǒng)，包括應(yīng)用系統(tǒng)、防火墻、數(shù)據(jù)庫、數(shù)據(jù)庫審計和其它數(shù)據(jù)安全設(shè)施，為用戶提供透明的數(shù)據(jù)和磁盤安全服務(wù)，通過認證、審計和鑒權(quán)措施對數(shù)據(jù)實施保護；

數(shù)據(jù)采集層通過安全對象實現(xiàn)試驗數(shù)據(jù)的采集，采用過濾、清洗、監(jiān)控、規(guī)則校驗、安全行檢測等方式對采集的試驗數(shù)據(jù)進行處理；

數(shù)據(jù)管理層對采集的試驗數(shù)據(jù)進行分析，主要包括涉密數(shù)據(jù)定級、數(shù)據(jù)安全入侵檢測、數(shù)據(jù)加密、數(shù)據(jù)溯源、數(shù)據(jù)訪問控制等安全功能；

數(shù)據(jù)呈現(xiàn)層利用數(shù)據(jù)可視化展現(xiàn)工具，對試驗數(shù)據(jù)進行加工和處理，形成可視化界面和報表，提供給試驗數(shù)據(jù)監(jiān)管部門和運維人員供系統(tǒng)安全分析使用。

3 試驗數(shù)據(jù)交換平臺安全設(shè)計方案

試驗數(shù)據(jù)交換平臺對所有數(shù)據(jù)訪問的主體和訪問點進行全程監(jiān)視和訪問控制，建立風(fēng)險分析模型，及時發(fā)現(xiàn)試驗數(shù)據(jù)的異常風(fēng)險并預(yù)警或阻斷，平臺安全設(shè)計方案如圖2所示。

在試驗數(shù)據(jù)交換平臺安全設(shè)計中，數(shù)據(jù)提供方提供數(shù)據(jù)到前置機，在該過程中，數(shù)據(jù)提供方根據(jù)實際共享需求和共享方式，對原始數(shù)據(jù)進行必要批量處理，進行查詢同態(tài)等外發(fā)安全控制，對數(shù)據(jù)做外發(fā)加工；試驗數(shù)據(jù)進入交換平臺中間庫后，共享平臺對提供的數(shù)據(jù)進行合規(guī)性和有效性檢查，對數(shù)據(jù)進行標注；數(shù)據(jù)進入共享平臺資源中心，需要根據(jù)試驗數(shù)據(jù)的密級，進行相應(yīng)的防護，防護手段包括：用戶認證和權(quán)限管理、數(shù)據(jù)加密、數(shù)據(jù)訪問審計與入侵檢測等；交換的試驗數(shù)據(jù)安全，由數(shù)據(jù)提供方、共享平臺和接收方共同負責(zé)，對所有數(shù)據(jù)安全設(shè)備的工作狀態(tài)，以及每個節(jié)點和終端上數(shù)據(jù)的流動情況進行監(jiān)控，進行人工智能分析，及時發(fā)現(xiàn)數(shù)據(jù)風(fēng)險點，形成數(shù)據(jù)安全的態(tài)勢感知，從全局把控數(shù)據(jù)安全狀態(tài)。

4 試驗數(shù)據(jù)交換平臺安全功能實現(xiàn)

4.1 試驗數(shù)據(jù)有效性檢查

根據(jù)預(yù)先設(shè)置的數(shù)據(jù)規(guī)則對接收的試驗數(shù)據(jù)進行有效性檢查，防止違規(guī)的試驗數(shù)據(jù)或者惡意代碼被上傳到共享中心。具體實現(xiàn)以下功能：

（1）問題數(shù)據(jù)檢測：掃描ΙP及端口范圍，根據(jù)問題數(shù)據(jù)發(fā)現(xiàn)規(guī)則發(fā)現(xiàn)問題數(shù)據(jù)。

（2）有效性檢查：設(shè)定有效性規(guī)則，包括正則表達式約束規(guī)則、重復(fù)數(shù)據(jù)約束規(guī)則、SQL約束規(guī)則、關(guān)聯(lián)性約束規(guī)則和算法約束規(guī)則等，對試驗數(shù)據(jù)進行檢查。

4.2 試驗數(shù)據(jù)訪問審計與入侵檢測

全方位的監(jiān)控和記錄試驗數(shù)據(jù)訪問和活動有關(guān)情況進行，及時發(fā)現(xiàn)試驗數(shù)據(jù)的異?；顒忧闆r和風(fēng)險，產(chǎn)生報警，最后通過輸出可視化的報表，便于事后審計和追查分析。具體實現(xiàn)以下功能：

（1）數(shù)據(jù)庫入侵檢測：及時發(fā)現(xiàn)針對試驗數(shù)據(jù)訪問的違規(guī)操作行為，并進行記錄、報警。一旦發(fā)生威脅，可迅速判斷是內(nèi)部人員的越權(quán)操作，還是外部人員的入侵行為，事后追責(zé)，滿足合規(guī)審計要求。

（2）業(yè)務(wù)審計：實時監(jiān)控試驗數(shù)據(jù)活動情況，自動學(xué)習(xí)并建立用戶和系統(tǒng)對試驗數(shù)據(jù)的訪問行為模式，生成不同粒度的訪問規(guī)則。進而根據(jù)設(shè)置的規(guī)則評估訪問操作的風(fēng)險等級，并根據(jù)風(fēng)險等級產(chǎn)生告警。

（3）數(shù)據(jù)接口管理：管理員可以通過接口配置頁面簡單快速地將新的對外服務(wù)數(shù)據(jù)接口納入審計范圍，支持常見類型的數(shù)據(jù)傳輸格式的解析和核心數(shù)據(jù)的提取和結(jié)構(gòu)化處理。

（4）數(shù)據(jù)接口數(shù)據(jù)流出審計：從數(shù)據(jù)提供者的視角，對試驗數(shù)據(jù)流動情況進行審計。利用趨勢圖，熱力圖，地理分布圖等數(shù)據(jù)可視化技術(shù)提供多視角的試驗數(shù)據(jù)流動情況分析，包括試驗數(shù)據(jù)接口數(shù)量趨勢變化，各接口數(shù)據(jù)流出量趨勢變化，流出數(shù)據(jù)類型分布，數(shù)據(jù)接收方分布。

（5）數(shù)據(jù)接口數(shù)據(jù)接收者行為審計：從數(shù)據(jù)接收者的視角，對試驗數(shù)據(jù)流動情況進行審計。利用趨勢圖，熱力圖等數(shù)據(jù)可視化技術(shù)提供多視角的試驗數(shù)據(jù)接收者訪問數(shù)據(jù)的行為分析，包括訪問所有數(shù)據(jù)接口和對每個數(shù)據(jù)接口的訪問行為的刻畫。

（6）數(shù)據(jù)流動追溯：對于需要追溯的數(shù)據(jù)內(nèi)容，試驗數(shù)據(jù)追溯功能可以快速定位該數(shù)據(jù)的歷史流動軌跡和所有數(shù)據(jù)接收者，再結(jié)合數(shù)據(jù)接收者行為審計功能，進而判斷可能存在的風(fēng)險。

（7）檢索與報表：系統(tǒng)記錄訪問日志，并提供可視化的日志檢索功能，生成可讀性高的報表，達到提高數(shù)據(jù)庫及業(yè)務(wù)系統(tǒng)的安全性的目的。提供大量報告模板，包括各種審計報告、安全趨勢等。

4.3 試驗數(shù)據(jù)訪問控制與入侵防護

圖2：試驗數(shù)據(jù)交換平臺安全設(shè)計

通過集中統(tǒng)一的訪問控制和細粒度的命令級授權(quán)策略，確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限，實現(xiàn)集中有序的操作管理，防止非法、越權(quán)訪問事件發(fā)生。同時基于自動學(xué)習(xí)，生成細粒度的訪問控制規(guī)則，阻斷異常的查詢和訪問，防止試驗數(shù)據(jù)泄漏。阻斷異常的和違規(guī)的數(shù)據(jù)修改和刪除操作，防止試驗數(shù)據(jù)被非法篡改。具體實現(xiàn)以下功能：

（1）屏蔽直接訪問數(shù)據(jù)庫的通道：系統(tǒng)部署于數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器之間，屏蔽直接訪問數(shù)據(jù)庫的通道，防止數(shù)據(jù)庫隱通道對數(shù)據(jù)庫的攻擊。

（2）隱藏數(shù)據(jù)庫端口：系統(tǒng)可以部署于數(shù)據(jù)庫之前，提供端口映射功能，隱藏實際的數(shù)據(jù)庫端口，攻擊者難以根據(jù)端口掃描得到數(shù)據(jù)庫信息。數(shù)據(jù)庫的隱通道和其他端口也相應(yīng)被屏蔽，避免被攻擊者直接利用。

（3）訪問授權(quán)認證：通過ΙP地址、MAC地址、時間段、用戶名、客戶端等條件對訪問人員進行授權(quán)限制；可以根據(jù)通過對增、刪、改、查等動作進行權(quán)限劃分，對有權(quán)訪問數(shù)據(jù)庫的人員進行二次限制，防止人員進行超出權(quán)限的動作。

（4）攻擊檢測和入侵保護：實時檢測用戶對數(shù)據(jù)庫進行的SQL注入和緩沖區(qū)溢出攻擊。并報警或者阻止攻擊行為，同時詳細的記錄攻擊操作發(fā)生的時間、來源ΙP、用戶名、攻擊代碼等信息。

（5）自動建立訪問模型：系統(tǒng)開啟學(xué)習(xí)功能，生成白名單規(guī)則，并手工添加黑名單規(guī)則，解決詳細設(shè)置數(shù)據(jù)庫防火墻規(guī)則困難的問題。

4.4 試驗數(shù)據(jù)安全態(tài)勢感知

試驗數(shù)據(jù)安全態(tài)勢感知是獲取全部的試驗數(shù)據(jù)并進行綜合安全態(tài)勢呈現(xiàn)，該過程動態(tài)持續(xù)。通過連續(xù)的信息采集分析不斷更新對目標網(wǎng)絡(luò)安全態(tài)勢的認知理解，掌握安全狀態(tài)、識別發(fā)展規(guī)律、認識威脅預(yù)警。幫助用戶從全局的角度把控全網(wǎng)數(shù)據(jù)的安全狀態(tài)。具體實現(xiàn)以下功能：

（1）數(shù)據(jù)資產(chǎn)的安全態(tài)勢感知：通過采集對試驗數(shù)據(jù)的分布情況、訪問情況、風(fēng)險狀況、數(shù)據(jù)流量等進行關(guān)聯(lián)分析，并進行態(tài)勢可視化呈現(xiàn)，識別其發(fā)展規(guī)律，正確預(yù)測，提前發(fā)現(xiàn)異常情況。

（2）數(shù)據(jù)接口安全態(tài)勢感知：通過對數(shù)據(jù)接口的所有試驗數(shù)據(jù)流動進行分析，全面感知試驗數(shù)據(jù)的流動情況，以及數(shù)據(jù)流動中的風(fēng)險行為。進而基于UBA的思路，建立用戶行為基線，并利用前沿的異常檢測技術(shù)，從訪問的數(shù)據(jù)類型，訪問的數(shù)據(jù)量，訪問數(shù)據(jù)時間，訪問數(shù)據(jù)方式，訪問數(shù)據(jù)頻次以及長期歷史等多個維度來識別發(fā)現(xiàn)數(shù)據(jù)使用和流向的異常。

（3）數(shù)據(jù)庫的安全態(tài)勢感知：監(jiān)控數(shù)據(jù)庫運行狀態(tài)及漏洞高危告警影響度，高危漏洞影響程度，高危攻擊影響度以及告警在數(shù)據(jù)庫中的總覆蓋率和隨時間變化趨勢。提前防止業(yè)務(wù)癱瘓，保障業(yè)務(wù)系統(tǒng)的連續(xù)可用性。

（4）預(yù)警管理：支持針對各種安全數(shù)據(jù)自動生成預(yù)警通報，提早發(fā)現(xiàn)并進行及時整改，同時對未發(fā)現(xiàn)的數(shù)據(jù)異常情況及已發(fā)現(xiàn)的數(shù)據(jù)異常情況聯(lián)動，進行通報預(yù)警。同時通過數(shù)據(jù)可視化技術(shù)，提供方便直觀的風(fēng)險分析能力，幫助安全管理人員快速確認風(fēng)險。

5 結(jié)束語

通過上述設(shè)計的試驗數(shù)據(jù)中心數(shù)據(jù)交換平臺安全架構(gòu)能夠有效解決試驗中心數(shù)據(jù)交換所需的安全問題，提高試驗數(shù)據(jù)資源的安全性、穩(wěn)定性以及可用性。最大程度的保證不會因外部與內(nèi)部攻擊、有意與無意的危險操作、密級數(shù)據(jù)被直接拷貝等原因帶來的信息泄露、篡改、刪除等后果，真正達到數(shù)據(jù)“拿不走，看不懂，改不了，跑不了”的安全目標，該研究對試驗數(shù)據(jù)安全管控工作具有參考意義。