基于大数据平台的网络信息安全框架设计

胡伏湘 肖玉朝 张为

（长沙商贸旅游职业技术学院，湖南长沙410116）

基于大数据平台的网络信息安全框架设计

胡伏湘 肖玉朝 张为

（长沙商贸旅游职业技术学院，湖南长沙410116）

从大数据对社会的影响入手，归纳总结了大数据的三层汇聚方法和安全机理，分析了大数据安全隐患的原因，探讨了隐私信息泄露的途径。从六个方面设计了大数据平台的网络信息安全框架，并对敏感信息的级别进行了分类，最后提出了保障信息安全的五条对策。

大数据；网络信息；安全隐患；框架设计；隐私保护

大数据（big data）是伴随云计算、移动计算、物联网的兴起而出现的一个新概念，通常用来形容由大量的非结构化数据和半结构化数据组成的数据集合，如果用传统的关系型数据库来存储和加工，需要消耗巨大的时间和费用，而且技术并不完善。云时代的来临，使大数据受到了越来越多的关注，通过大数据处理，可以对个人或者群体进行行为分析、精确营销和趋势预测，具有极大的商业价值。但是数据的上传者，经常在有意或无意之中将敏感信息透露，成为跟踪及攻击目标，安全隐患令人担忧。

1.大数据对社会的影响

1.1 大数据安全问题透视

大数据是信息化普及到一定程度的必然产物，具有Volume（大量）、Velocity（高速）、Variety（多样）、Value（价值）4V的特点，云计算、物联网、智能终端的出现，使互联网信息量以每年50%的速度增长，通信、学校、医卫、金融保险、房地产、商品零售业所产生的数据急剧上升，其表示单位上升到ZB级（1ZB=240GB），各渠道通过网络汇聚而成的海量数据是社会、经济和组织变革的强大推动力。洛杉矶警局利用大数据预防犯罪，google利用搜索关键词预测禽流感散布，麻省理工学院利用手机定位和交通数据建立城市规划，梅西百货根据SAS系统对7300万种货品实时调价，百度推出了大数量营销、大数据预测、大数据统计等引擎产品，为企业和居民的工作和生活提供科学依据。然而，在享受大数据带来的巨大便利和商业价值的同时，安全成为一种社会问题。首先，大数据对数据的可用性和完整性带来了挑战，防止数据丢失、篡改、窃取和破坏的技术难度在提高，传统安全软件显得力不从心；其次，蜂拥而至的企业数据、客户资料、个人隐私和各种用户记录的涌入和集中存储，增加了向外泄露的风险，倘若被滥用，将会对社会造成严重威胁。斯诺登披露的“棱镜门”事件、为美国政府和500强企业提供安全服务的HBGary?Federal公司6万封邮件在网上公布、EMC旗下资安公司SecurID技术资料遭窃、全球2亿用户信息泄露，给美国当局敲响了警钟。索尼1亿客户的详细资料和1200万个信用卡号码被公开，CSDN的600万邮箱密码被破解，凸显大数据时代的不太平。在中国，类似事件同样不容小视，东软集团CT技术资料、富士康iPad 2设计图纸、三星电子技术开发战略、天涯社区、联通用户、招行和工行客户信息等商业机密泄露，给企业和个人带来了无限烦恼和经济损失。

1.2 大数据安全解决方案述评

大数据时代的安全挑战主要有六个方面：数据来源的审查、隐私保护、可信度检测、细粒度访问控制、数据存贮与事务日志、内部泄密。针对这些问题，郭三强（2013）从数据库角度研究了大数据安全措施[1]，王蒙蒙（2013）设计了基于消冗技术的大数据加密算法[2]，冯登国（2014）提出了大数据安全与隐私保护策略[3]，罗恩韬（2014）设计了动态安全SAT双向防御模型[4]，王玉龙（2014）设计了Hadoop架构的大数据安全算法[5]，张红顺（2015）设计了大数据平台的云安全体系[6]。这些成果立足于技术层面，通过软件方法保护数据免遭泄露，但还不足以从根本上消除安全隐患，因为大数据涉及到发出者、使用者、统计分析者、管理者和恶意窃取者，其安全防范体系不仅需要技术支撑，更需要政府强有力的管理制度和用户的安全意识，因此多视角分析和设计网络信息安全框架尤为重要。

2.大数据汇聚来源及安全机理

随着物联网、云计算、移动互联、三网融合等新兴IT技术的出现，社会进入Web2.0网络时代，每个网民不仅是信息的接收者，同时也是数据的制造者，汇聚而成的大数据在给人们工作和生活带来便利的同时，也成为隐私泄露的重灾区、病毒泛滥和黑客攻击的温床，其破坏力比互联网1.0版本要大得多。

2.1 大数据汇聚来源

2013年中国产生的数据总量是0.8ZB，即8亿TB（1TB=1024GB），预计到2020年达到20ZB，提供数据的主体包括三层：内层是企业信息化系统中关系数据库及数据仓库中的数据；中层由大量用户上网产生，如微信微博QQ等社交软件、电子商务平台在线交易数据、各类评论及投诉信息；外层是由大型服务器采集的数据，如应用服务器日志、传感器、智能电网、监控、RFID、二维码等获得的信息。

大数据的主要来源是各种应用服务器和数据中心数量，主要分布在以下行业：（1）以BAT（百度、阿里巴巴、腾讯）为典型代表的互联网公司；（2）电信、金融、房地产、保险、电力、石化行业；（3）政府、公共安全、医疗卫生、交通领域；（4）教育、气象、地理、电子政务；（5）商业销售、制造业、农业、物流和流通及其它领域。

各类结构化数据和非结构化原本是相互独立存储在应用服务器中，云计算平台及移动计算（智能终端）平台的出现，使这些数据通过Internet和移动通信网汇聚在一起，相互贯通，构成了大数据的基础。其结构如图1所示：

图1 大数据层次结构图

2.2 大数据安全隐患机理

大数据的处理过程包括产生、传递、保存、分析、推送和应用等过程，涉及到数据的生产者、软件开发者、流通环节、加工者、使用者，上传网络的信息分为结构化数据和非结构数据两类，结构化是存储在关系数据库结构系统中的数据，具有明显的逻辑结构，用传统的二维表表示。而进入大数据时代，开放的数据平台暴露在专业人士和各类非专业人员的眼前，任何人无须严格审核即可向服务器发送信息，非结构化占有更大的比例，包括所有格式的办公文档、评论、文本、图片、标准通用标记语言下的子集XML、HTML、各类报表、图像、音频、视频、位置信息等多种媒体，其字段的长度可变，字段重复是合法的，还可设置子字段和多值字段。大数据的非结构化使数据表示的难度加大，无法实现唯一性和精确化，传统的关系数据库管理系统只能管理结构化的那一部分，而面对非结构化的数据无能为力，非结构化数据管理软件虽然已经出现，但还没有达到完善的程度，数据保护存在漏洞，这给了黑客入侵、信息泄露、木马渗透提供了可乘之机，按照系统日志追根溯源变得困难重重。

2.3 大数据安全隐患[7,8]

（1）隐私数据泄露：信息化程度提高，人们对网络的依赖更加严重。在网上购物、医疗、存取款、社交时，填写的表单包含大量的隐私信息，银行卡账号、密码、病历、家庭住址、身份证和手机号码等，有的是加密保存，有的是明文保存，这些数据对于商家分析客户行为，锁定目标群体和市场预测提供了极大的便利，但在大数据时代，客户数量成为衡量商家潜在价值的主要指标，在巨大的利益驱动下，买卖客户资料的现象时有发生。同时，技术的原因和防范管理的不规范，系统存在黑客攻入的可能，导致敏感信息流出。

（2）技术资料泄露：企业技术文档、研发数据、软件源程序都存储在CRM、ERP、OA系统中，它们都是企业的核心机密，如果把关不严，被竞争对手或者黑客通过VPN截获，势必带来经济损失，造成恶性竞争，影响企业的生产和经营。

（3）政府行业数据外流：户籍档案、社保、公积金、储蓄、人事等信息，是国家安全的保障[9]。如果被非法入侵者得到，不仅给居民形成威胁，同时也会给社会带来不安定因素。和平年代，政府数据和信息机构经常会成为恐怖组织和极端分子的攻击目标。

（4）内部数据的泄露：任何网站、计算机信息系统和数据库都有管理员角色，不仅能够进行系统管理，还可以直接进入后台修改数据，受利益的驱使或者个人目的，他们利用管理员权限将内部数据拷贝或非法篡改，且极具隐蔽性，不易暴露。

3.大数据平台的网络信息安全体系设计

3.1 大数据安全框架设计

从数据的制造、存储、管理、使用的流程来分析，保证大数据的安全需要六个层次，相应的安全框架也包括六个层次，即物理安全、网络安全、平台安全、系统安全、应用安全、数据安全[6]，最后汇集到大数据安全控制中心，如图2所示。

图2 大数据平台安全框架

网络安全指采用多层防御手段以抵御网络边界所面临的外部攻击，只允许被正式授权的服务和协议传输，自动丢弃未授权的数据包，由DDoS（分布式拒绝服务）攻击防御、外网访问控制和内网流出检查等技术构成。平台安全通过加固操作系统、数据链路层隔离、部署入侵检测（IDS）模块和防火墙，及时发现排除安全威胁。系统安全城通过建立主机镜像、异常账号和代码清除、防暴力破解、端口扫描等途径实现。应用安全的主要技术手段是建立WEB应用防火墙和漏洞查补，防止恶意篡改、木马入侵、蠕虫渗透，及时消除系统漏洞和后门。数据安全从数据的输入、访问、传输、存储、销毁环节进行审核，建立数据库备份容灾与恢复机制，实现数据流的安全管理。

3.2 根据数据的敏感程度分组管理

大数据平台下，信息安全三分靠技术、七分靠管理[10]，大数据给信息网络带来了两大挑战：第一是把握好便捷和安全的平衡，第二是有效区分隐私信息和资源分享的边界。建立完善的信息安全管理制度和措施，提高安全防范意识，是提高管控能力的必经之道。

根据数据的敏感程度进行分级并实施分级管理，可以分为四级，一级的级别最高，即个人隐私，与财产与生命安全密切相关，比如银行储蓄、病历、家庭住址、账号密码，这些数据只有经系统管理员授权并通过数字认证才能访问；其次是机密数据，包括企业技术资料、各类信息系统数据库保存的数据、政府行业基础数据、社交软件的聊天记录等，需要管理员授权且进行身份确认才能访问；第三级是限制数据，用户登录即可存取的本行业、本单位、本部门、本群的内部信息，通过简单授权与外部隔离；行业最低级的是共享资源，由免费软件、论坛跟帖、新闻、公开发表的论文、文库、百科等信息，匿名用户即可访问。对于不同级别的数据，存储时所采用的加密方法不一样，访问时的审核机制也不相同，多层次立体化技术手段是防止重要数据外泄的基础。

4.大数据安全管理策略

4.1 加强制度建设，明确法律底线

发达国家都非常重视大数据的安全，奥巴马政府将“大数据战略”上升为最高国策，把大数据看成“未来的新石油”，对数据的占有和控制被视为海陆空之后的第四种国家核心能力，日、英也出台了相应对策，我国虽然有《计算机信息系统保密管理暂行规定》和《计算机信息系统国际联网保密管理规定》等专门法律，但针对大数据背景下的隐私保护还没有明确的规定，难以对利用大数据进行违法犯罪的群体形成震慑。因此，在国家《信息安全法》正式实施之前，我省应该出台一些地方性法规和制度，对相关行为和危害程度进行界定，明确将“维护国家利益和消费者权益”作为法律底线，打消以身试法者的侥幸心理，遏制犯罪苗头，保证人们在安全的环境中享受大数据时代的成果。

4.2 加大技术研发的力度，构造大数据安全防护网络

大数据的表示与传统数据在组织方式上存在很大的差异，以非结构化和半结构化数据为主，传统的包过滤、审查、入侵检测、漏洞扫描技术达不到全面隔离的要求，而对大数据的分析应用正在全面铺开，广阔的市场给安全防范技术的研发创造了新的机遇[11]，因此应鼓励软件企业自主开发具有知识产权的产品，政府给予经费资助或者政策倾斜，重点扶植一批认证中心、数字签名、物理识别、可信存取、IPv6、大数据防火墙等软件生产企业，推动安全产品的普及，营造安全的网络环境。

4.3 建立行业自律条约，规范大数据应用行为

互联网行业、电商平台、金融保险、教育等领域掌握有大量的用户信息，是黑客关注的焦点，也是网民普遍担心的热点。通过建立诸如《互联网搜索引擎服务自律公约》这样的行业自律条文[12]，对数据管理人员从法律、纪律和经济角度给出明确的规定，避免敏感数据从系统内部流出，严格禁止用户资料的买卖行为，控制数据的保存和流通环节，是安全防范的关键。

4.4 利用网络和APP软件，做好宣传，提高用户的安全防范意识

智能终端的出现，极大地拓展了网民群体，众多非IT专业人员成为数据的制造者，他们缺乏对专业知识的了解，对安全隐患认识不足，热衷于“随手拍，随意发，随时秀，任性炫”，财产、住址、小孩等照片都放进群里分享，一旦被不法分子关注，隐私很容易透露。充分利用网站和应用平台，加强宣传与培训，普及安全常识，提高保护意识，是社会的责任所在。

4.5 建立信息安全投诉与服务中心

技术的进步和生活节奏的加快，人类工作和生活方式正在逐步改写，人们对网络的依赖性越来越强，引发的网络安全事情逐年递增，目前都是通过工商部门12315或者公安部门110投诉或举报。与普通的商品质量问题和刑事案件不同的是，信息安全事件大多是电子取证，涉及到软件开者、网站管理者、通信运营者和用户等多个实体，且证据的真伪不易识别，因而维权的难度极大，需要有专业机构协调各方资源，运用技术侦察和行政手段才能解决，其技术力量和权限是消协所不具备的。

5.结语

网络信息安全问题一直是业界关注的焦点，由于IP地址本身的缺陷及技术研究的滞后，一直没有从根本上解决这一难题。随着大数据时代的到来，巨大的网民群体使这种现象更加突出，对社会的危害巨大。本文立足于技术和管理双重视角，探讨了安全问题产生的原因，规划了大数据背景下网络信息安全的概念性框架，并提出了五条管理措施。作为一种在舶来品基础上搭建起来的应用系统，设备可靠性、技术先进性、使用者的可信性都是必须考虑的因素，本文并未对这些内容做详细的研究，这也是论文的不足之处。

[1]郭三强,郭燕锦.大数据环境下的数据安全研究[J].科技广场. 2013,(2):28-31.

[2]王蒙蒙.基于数据消冗技术的大数据加密算法研究[D].郑州:华北水利水电大学,2013.

[3]冯登国,张敏,李昊.大数据安全与隐私保护[J].计算机学报, 2014,1(37):247-255.

[4]罗恩韬,胡志刚,杨杰.大数据动态安全SAT双向防御模型的研究[J].计算机应用研究,2014,5(31):1470-1474.

[5]王玉龙,曾梦岐.面向Hadoop架构的大数据安全研究[J].信息安全与通信保密.2014,(7):83-85.

[6]张红顺,王三山.基于大数据平台的云安全体系的建设[J].中国有线电视,2015,(4):516-518.

[7]戚小光,许玉敏,陈红敏等.大数据环境下的信息安全问题[J].中国信息化,2015,(3):94-96.

[8]郭三强,郭燕锦.大数据环境下的数据安全研究[J].信息安全与技术,2015,(2):28-31.

[9]陈婷婷,高渠,肖雄.大数据的安全隐患及应对策略研究[J].网络安全技术与应用.2015，(4):157-158.

[10]胡光永.基于云计算的数据安全存储策略研究[J].计算机测量与控制,2011,19(10):2539-2541．

[11]周路菡.棱镜下的大数据安全恐慌[J].新经济导刊,2013,(9): 81–85.

[12]朱星烨,何泾沙.大数据安全现状及其保护对策[J].信息安全与通信保密,2014,(10):33–35.

TP393

A

1671-5136(2015)03-0130-04

2015-09-16

本文系2015年湖南省省情与决策咨询研究课题《大数据背景下湖南省网络信息安全保障机制研究》（编号：2015BZZ200）的阶段性成果。

胡伏湘(1967-)，男，湖南益阳人，中国计算机学会会员、博士、教授、研究员。研究方向：信息系统、网络技术。