摘要：在當(dāng)今大數(shù)據(jù)時代背景下，信息技術(shù)已深度融入社會生產(chǎn)和生活的各個方面，改變了人民的工作和生活方式。隨之而來的是一系列嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，如信息泄露、病毒感染、黑客攻擊等，這些問題可能導(dǎo)致嚴(yán)重的財(cái)產(chǎn)損失和社會混亂。新的安全技術(shù)、防護(hù)策略以及安全工具的研發(fā)可以更好地應(yīng)對不斷變化的網(wǎng)絡(luò)威脅，提供更強(qiáng)大的網(wǎng)絡(luò)保護(hù)。該文分析了大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的問題，并提出了相應(yīng)的對策，旨在提高網(wǎng)絡(luò)安全提供一定的參考。

關(guān)鍵詞：大數(shù)據(jù)；計(jì)算機(jī)；網(wǎng)絡(luò)安全

doi：10.3969/J.ISSN.1672-7274.2024.10.068

中圖分類號：TP 393.08 文獻(xiàn)標(biāo)志碼：A 文章編碼：1672-7274（2024）10-0-03

Computer Network Security Issues and Countermeasures

under the Background of Big Data

Abstract： In the context of today's big data era， information technology has deeply integrated into various aspects of social production and life， changing the way people work and live. Along with it comes a series of severe cybersecurity challenges， such as information leaks， virus infections， hacker attacks， etc.， which may lead to serious property losses and social chaos. The development of new security technologies， protection strategies， and security tools can better respond to constantly changing network threats and provide stronger network protection. This article analyzes the problems faced by computer network security in the context of big data and proposes corresponding countermeasures， aiming to provide some reference for improving network security.

Keywords： big data; computer; network security

1 大數(shù)據(jù)的應(yīng)用

在當(dāng)今信息時代，大數(shù)據(jù)技術(shù)已經(jīng)成為眾多領(lǐng)域的利器，它涵蓋了數(shù)據(jù)的采集、存儲、應(yīng)用、交換以及銷毀等關(guān)鍵環(huán)節(jié)。數(shù)據(jù)采集作為整個大數(shù)據(jù)應(yīng)用的起始環(huán)節(jié)，需要明確的授權(quán)機(jī)制來確保只有合法的數(shù)據(jù)來源才被允許接入系統(tǒng)。數(shù)據(jù)的真實(shí)性也需要得到驗(yàn)證，以防止惡意數(shù)據(jù)的注入。數(shù)據(jù)交換環(huán)節(jié)同樣需要特別關(guān)注，數(shù)據(jù)交換的完整性是防止數(shù)據(jù)在傳輸過程中被篡改的重要因素之一。為了保護(hù)敏感數(shù)據(jù)，必須實(shí)施嚴(yán)格的訪問控制機(jī)制，確保只有經(jīng)過授權(quán)的人員才能夠訪問敏感信息。此外，數(shù)據(jù)輸出時的脫敏處理也是一種常見的保護(hù)方法，以最大程度地減少敏感信息的泄露風(fēng)險(xiǎn)。在數(shù)據(jù)存儲方面，除了常規(guī)的數(shù)據(jù)備份和恢復(fù)策略，也需要考慮數(shù)據(jù)銷毀的問題，數(shù)據(jù)的銷毀需要滿足一定的標(biāo)準(zhǔn)，以確保數(shù)據(jù)不會被恢復(fù)并被不法分子利用。數(shù)據(jù)分級分類銷毀機(jī)制要根據(jù)數(shù)據(jù)的重要性確定適當(dāng)?shù)匿N毀級別，從而在數(shù)據(jù)不再需要時安全地將其清除[1]。

大數(shù)據(jù)管理平臺是整個大數(shù)據(jù)體系的核心，它包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺層以及計(jì)算分析層?；A(chǔ)設(shè)施層提供必要的資源和服務(wù)器支持，以滿足數(shù)據(jù)存儲和計(jì)算需求。數(shù)據(jù)平臺層負(fù)責(zé)數(shù)據(jù)的整合、存儲和管理，確保數(shù)據(jù)的可靠性和可訪問性。計(jì)算分析層則為用戶提供強(qiáng)大的數(shù)據(jù)分析和挖掘能力，從海量數(shù)據(jù)中提取有價值的信息。根據(jù)國家標(biāo)準(zhǔn)GB/T22240—2020所提供的定級對象基本特征以及GB/T35589—2017所闡述的大數(shù)據(jù)參考架構(gòu)，可以將大數(shù)據(jù)相關(guān)的等級保護(hù)對象抽象為三類重要組件：大數(shù)據(jù)資源、大數(shù)據(jù)應(yīng)用和大數(shù)據(jù)平臺。如圖1所示。

2 大數(shù)據(jù)平臺系統(tǒng)概述

2.1 基本情況

本文結(jié)合某住建廳大數(shù)據(jù)平臺展開分析，該系統(tǒng)運(yùn)維由泰華智慧公司負(fù)責(zé)，系統(tǒng)等級保護(hù)定級為第三級。系統(tǒng)主要功能包括整合住建廳內(nèi)的信息化資源、建設(shè)住建數(shù)據(jù)庫、開發(fā)對外服務(wù)接口，以及構(gòu)建3個業(yè)務(wù)系統(tǒng)以提供輔助決策支持；系統(tǒng)承載的業(yè)務(wù)子應(yīng)用包括：某住建大數(shù)據(jù)平臺、數(shù)字化城市管理系統(tǒng)、物業(yè)服務(wù)企業(yè)信用檔案與評級管理系統(tǒng)、建筑市場監(jiān)管系統(tǒng)。本系統(tǒng)用戶主要包括普通用戶、管理員用戶，登錄密碼以及業(yè)務(wù)數(shù)據(jù)是關(guān)鍵數(shù)據(jù)。該住建廳大數(shù)據(jù)平臺使用政務(wù)云網(wǎng)絡(luò)，無物理機(jī)房。網(wǎng)絡(luò)通信時使用VPN等設(shè)備或技術(shù)對通信鏈路進(jìn)行保護(hù)，運(yùn)維人員使用VPN進(jìn)行服務(wù)器登錄，用戶通過用戶名+口令的方式登錄。本系統(tǒng)于2019年10月上線運(yùn)行，于2020年12月16日完成網(wǎng)絡(luò)安全等級保護(hù)定級備案，等級為第3級（S3A2G3）。本系統(tǒng)服務(wù)于住建廳，用戶為住建廳機(jī)關(guān)人員，系統(tǒng)服務(wù)用戶數(shù)量約150人[2]。

2.2 系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

住建廳大數(shù)據(jù)平臺的網(wǎng)絡(luò)拓?fù)渲饕烧?wù)外網(wǎng)接入?yún)^(qū)、審計(jì)區(qū)、云平臺計(jì)算資源等組成，其中政務(wù)外網(wǎng)接入?yún)^(qū)通過（1+1）+1方式接入，優(yōu)先使用兩個5G網(wǎng)絡(luò)，一條100 Mbps移動線路為裸光纖備線。對于需要WAF防護(hù)的業(yè)務(wù)，系統(tǒng)通過邊界防火墻的精細(xì)路由策略將其數(shù)據(jù)引流至WAF設(shè)備進(jìn)行防護(hù)，在核心防火墻上通過策略路由回包，不需要添加WAF防護(hù)的業(yè)務(wù)，數(shù)據(jù)流直接至核心交換機(jī)。審計(jì)區(qū)具備網(wǎng)頁篡改威脅感知、主動殺毒、漏洞掃描、監(jiān)控系統(tǒng)等作用；分級防火墻對用戶進(jìn)行隔離，控制東西向流量[3]。

3 大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

3.1 設(shè)備和計(jì)算安全風(fēng)險(xiǎn)分析

在設(shè)備和計(jì)算安全方面，住建廳大數(shù)據(jù)平臺使用服務(wù)器及數(shù)據(jù)庫的本地登錄方式，采用靜態(tài)口令鑒別機(jī)制，未采用密碼技術(shù)對本地登錄的用戶進(jìn)行身份標(biāo)識和鑒別，未使用密碼技術(shù)的完整性功能來保證服務(wù)器和數(shù)據(jù)庫等系統(tǒng)資源訪問控制信息的完整性，未采用可信計(jì)算技術(shù)建立從系統(tǒng)到應(yīng)用的信任鏈實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中重要程序或文件的完整性保護(hù)，未使用密碼技術(shù)的完整性功能來確保服務(wù)器和數(shù)據(jù)庫日志記錄的完整性[4]。

（1）在當(dāng)今數(shù)字化時代，關(guān)于管理員登錄數(shù)據(jù)庫的問題，必須建立安全的管理員身份鑒別機(jī)制，以防止不法分子冒充管理員身份進(jìn)入系統(tǒng)。管理員登錄數(shù)據(jù)庫的安全保障可通過多因素身份驗(yàn)證來實(shí)現(xiàn)，例如，結(jié)合用戶名和動態(tài)口令、指紋識別等方式，以確保只有經(jīng)授權(quán)的管理員才能夠登錄。

（2）住建廳大數(shù)據(jù)平臺內(nèi)的應(yīng)用服務(wù)器承載著重要程序和文件，而有關(guān)重要程序和文件在生成過程中缺乏必要的密碼技術(shù)保護(hù)，這為其完整性埋下了隱患。缺乏密碼技術(shù)的保護(hù)可能使得惡意行為者有機(jī)會篡改這些文件，甚至在未經(jīng)授權(quán)的情況下進(jìn)行訪問和修改。更為令人擔(dān)憂的是，在使用或讀取這些關(guān)鍵程序和文件時，缺乏完整性校驗(yàn)的舉措，造成了系統(tǒng)未能對數(shù)據(jù)的完整性進(jìn)行有效驗(yàn)證，進(jìn)而放大了系統(tǒng)安全風(fēng)險(xiǎn)。由于缺乏完整性校驗(yàn)使得不可信來源的數(shù)據(jù)可能被錯誤地接收并執(zhí)行，為系統(tǒng)可靠運(yùn)行和數(shù)據(jù)安全埋下了潛在威脅[5]。

（3）在住建廳的大數(shù)據(jù)平臺應(yīng)用中，在處理和存儲日志信息時存在一個明顯的安全隱患，即這些日志信息被以明文形式存儲，沒有經(jīng)過密碼技術(shù)的保護(hù)，導(dǎo)致其完整性容易受到威脅。

3.2 應(yīng)用和數(shù)據(jù)安全風(fēng)險(xiǎn)分析

住建大數(shù)據(jù)平臺各業(yè)務(wù)應(yīng)用系統(tǒng)采用基于靜態(tài)口令的身份鑒別機(jī)制，用戶登錄系統(tǒng)時，采用MD5算法對口令進(jìn)行雜湊后傳輸，密碼算法不符合相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的要求，且無法有效實(shí)現(xiàn)身份鑒別信息在傳輸過程中的防截獲、防假冒和防重用功能。住建大數(shù)據(jù)平臺各業(yè)務(wù)應(yīng)用系統(tǒng)采用基于角色的訪問控制策略，未采用密碼技術(shù)保證其訪問控制策略的完整性。住建大數(shù)據(jù)平臺各業(yè)務(wù)應(yīng)用系統(tǒng)采用MD5算法對鑒別信息中的口令信息進(jìn)行雜湊后傳輸，無法有效保障數(shù)據(jù)傳輸過程的機(jī)密性；未采用密碼技術(shù)實(shí)現(xiàn)重要用戶信息和重要業(yè)務(wù)數(shù)據(jù)傳輸過程中的機(jī)密性保護(hù)。住建大數(shù)據(jù)平臺各業(yè)務(wù)應(yīng)用系統(tǒng)用戶鑒別數(shù)據(jù)中的口令信息采用AES算法進(jìn)行加密存儲，AES算法由系統(tǒng)軟件實(shí)現(xiàn)，密碼算法不符合相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的要求；未采用密碼技術(shù)實(shí)現(xiàn)重要業(yè)務(wù)數(shù)據(jù)和重要用戶信息在存儲過程中的機(jī)密性保護(hù)。住建大數(shù)據(jù)平臺各業(yè)務(wù)應(yīng)用系統(tǒng)未采用密碼技術(shù)對重要業(yè)務(wù)數(shù)據(jù)、重要用戶信息、重要審計(jì)數(shù)據(jù)和重要配置數(shù)據(jù)在存儲過程中的完整性保護(hù)。住建大數(shù)據(jù)平臺各業(yè)務(wù)應(yīng)用系統(tǒng)未使用密碼技術(shù)實(shí)現(xiàn)對日志記錄的完整性保護(hù)[6]。

4 大數(shù)據(jù)背景下計(jì)算機(jī)密碼應(yīng)用設(shè)計(jì)及

網(wǎng)絡(luò)安全原則

（1）合規(guī)性。國產(chǎn)密碼應(yīng)用須根據(jù)《中華人民共和國密碼法》《信息系統(tǒng)密碼應(yīng)用基本要求GM/T 0054》相關(guān)規(guī)定，選擇經(jīng)國家密碼管理局核準(zhǔn)的密碼產(chǎn)品，開展應(yīng)用系統(tǒng)國產(chǎn)密碼應(yīng)用工作。

（2）先進(jìn)性。為方便實(shí)用和兼顧今后發(fā)展的需求，優(yōu)6b4333506b59665c8bb5b6065a8c3a39c5793e8c4af0f649eccb50d94da72b6e先使用平臺現(xiàn)有的密碼資源，在硬件設(shè)備、軟件產(chǎn)品等密碼產(chǎn)品使用方面，應(yīng)選擇當(dāng)今市場上主流、領(lǐng)先且穩(wěn)定的產(chǎn)品和技術(shù)。

（3）冗余性?？紤]容錯能力，關(guān)鍵節(jié)點(diǎn)設(shè)備和核心設(shè)備要有適當(dāng)?shù)娜哂?，采用靈活的負(fù)載均衡機(jī)制，避免單點(diǎn)故障導(dǎo)致業(yè)務(wù)中斷，并最大限度減少故障。

（4）安全性。大數(shù)據(jù)平臺的安全性從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理四個方面綜合考慮，采用先進(jìn)的安全技術(shù)，如PKI技術(shù)，以具有自主知識產(chǎn)權(quán)的產(chǎn)品為基礎(chǔ)，提供完善的安全防護(hù)機(jī)制，確保數(shù)據(jù)防篡改、防入侵，并確保數(shù)據(jù)具有法律認(rèn)可的證據(jù)效力。

5 大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)安全問題的

解決策略

5.1 設(shè)備和計(jì)算安全

（1）身份鑒別。設(shè)備和計(jì)算層面的身份鑒別密碼應(yīng)采用SSL通道來實(shí)現(xiàn)，通過安全管理措施強(qiáng)制接入相應(yīng)設(shè)備的方式均必須先通過SSL網(wǎng)關(guān)鑒別，再通過設(shè)備自身身份鑒別機(jī)制實(shí)現(xiàn)二次身份鑒別。

（2）遠(yuǎn)程管理鑒別信息完整性保護(hù)。通過SSL VPN建立的安全通道實(shí)現(xiàn)設(shè)備遠(yuǎn)程管理，對身份鑒別信息進(jìn)行防竊聽。設(shè)備遠(yuǎn)程管理通道被限制為SSL VPN，設(shè)備遠(yuǎn)程管理鑒別信息（信息系統(tǒng)管理員的鑒別信息）的傳遞均發(fā)生在VPN安全通道上，保障了鑒別信息的機(jī)密性和完整性，有效保障了鑒別信息的防竊聽。

（3）訪問控制信息完整性。系統(tǒng)利用服務(wù)器密碼機(jī)實(shí)現(xiàn)對服務(wù)器、業(yè)務(wù)系統(tǒng)自有數(shù)據(jù)庫服務(wù)器以及其他關(guān)鍵計(jì)算設(shè)備的系統(tǒng)資源訪問控制，確保了訪問信息的完整性保護(hù)。計(jì)算機(jī)系統(tǒng)在相應(yīng)操作系統(tǒng)上通過部署密碼中間件，并利用密碼中間件通過密碼服務(wù)平臺調(diào)用服務(wù)器密碼機(jī)的方式，進(jìn)行SM3運(yùn)算和簽名驗(yàn)證運(yùn)算，以此實(shí)現(xiàn)各類操作系統(tǒng)配置文件的完整性保護(hù)。

5.2 系統(tǒng)數(shù)據(jù)安全

（1）物理訪問控制。系統(tǒng)采用校驗(yàn)技術(shù)保護(hù)電子門禁相關(guān)的物理訪問控制記錄數(shù)據(jù)、視頻監(jiān)控?cái)?shù)據(jù)、機(jī)房環(huán)境監(jiān)測數(shù)據(jù)等數(shù)據(jù)存儲的完整性。

（2）身份鑒別。系統(tǒng)對登錄的應(yīng)用進(jìn)行身份標(biāo)識和鑒別，身份鑒別信息應(yīng)該具有一定的復(fù)雜度，并定期進(jìn)行更換。為了保障身份安全性，系統(tǒng)要對其中運(yùn)行的數(shù)據(jù)處理工具進(jìn)行身份鑒別；同時，應(yīng)能對接入大數(shù)據(jù)平臺的采集終端、數(shù)據(jù)導(dǎo)入服務(wù)組件、分布式計(jì)算節(jié)點(diǎn)設(shè)備、數(shù)據(jù)導(dǎo)出終端、數(shù)據(jù)導(dǎo)出服務(wù)組件等進(jìn)行身份鑒別。

（3）訪問控制。系統(tǒng)應(yīng)在通信前對參與數(shù)據(jù)流動的內(nèi)外部接口進(jìn)行封裝和授權(quán)，采取訪問控制措施限制對產(chǎn)生數(shù)據(jù)的數(shù)據(jù)源和數(shù)據(jù)存儲系統(tǒng)的訪問，以及進(jìn)行數(shù)據(jù)導(dǎo)出、數(shù)據(jù)備份和恢復(fù)等操作。平臺應(yīng)定期對數(shù)據(jù)處理全流程使用的各類賬號進(jìn)行識別、梳理及分類tcneUHatfwfRRycklvdAY/ktXnIlfsJEfClXnf9oGF4=，防止非法賬號、閑置賬號、過期賬號存在。另外，平臺要限制各類數(shù)據(jù)處理工具的訪問、操作和運(yùn)行的權(quán)限，例如，對數(shù)據(jù)采集工具、數(shù)據(jù)脫敏工具、數(shù)據(jù)共享工具、數(shù)據(jù)發(fā)布工具、數(shù)據(jù)銷毀工具、數(shù)據(jù)管理工具等的訪問、操作和運(yùn)行進(jìn)行權(quán)限。

6 結(jié)束語

綜上所述，現(xiàn)代信息技術(shù)已經(jīng)被應(yīng)用于社會生產(chǎn)和生活的方方面面，一些信息會儲存在計(jì)算機(jī)網(wǎng)絡(luò)中，由此加大了數(shù)據(jù)被竊取風(fēng)險(xiǎn)，進(jìn)而給相關(guān)個人和單位造成較大的損失。為了進(jìn)一步降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，可以從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全幾個方面展開設(shè)計(jì)，制定一套大數(shù)據(jù)系統(tǒng)應(yīng)用的技術(shù)方案、安全管理方案和實(shí)施保障方案，以營造良好的網(wǎng)絡(luò)安全環(huán)境，為經(jīng)濟(jì)社會的平穩(wěn)運(yùn)行保駕護(hù)航。

參考文獻(xiàn)

[1] 汪滔．大數(shù)據(jù)時代背景下對網(wǎng)絡(luò)安全防御措施的探討[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（8）：56-57．

[2] 張永紅．大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全技術(shù)體系分析[J]．?dāng)?shù)字通信世界，2022（7）：67-69．

[3] 趙爽．大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題分析[J]．現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2022，12（6）：108-109．

[4] 張孝若，段莉華．大數(shù)據(jù)時代下計(jì)算機(jī)網(wǎng)絡(luò)安全防范的研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（3）：179-180．

[5] 馬津偉．大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施研究[J]．延邊教育學(xué)院學(xué)報(bào)，2022，36（1）：65-67．

[6] 曹赟峰，魏海濤．大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)安全防范研究[J]．電腦知識與技術(shù)，2022，18（3）：34-36．