智慧校园的大数据安全研究

汶向东

(陕西省行政学院 电子设备与信息中心， 西安 710068)

0 引言

目前全球教育正不断走向国际化、开放化、智慧化，实现教育智慧化、国际化需以建设智慧校园为先导。智慧校园是将智慧教育与信息化融合的一项庞大复杂的系统工程，大数据技术为其提供了极佳的技术支撑。随着智慧校园的蓬勃发展, 其系统的数据量呈几何级数爆发式增长，与此同时大数据的发展又需不断加大信息的开放度，这便使今后的IT基础架构变得越来越一体化和外向型，这种趋势对海量数据的采集、传输、存储、应用、发布等的安全构成了前所未有的威胁，一旦智慧校园的大数据系统安全防护不当，使敏感数据被恶意窃取，造成信息泄露，重则危及国家安全、影响社会稳定，轻则会造成学校管理混乱，导致学校管理层决策失误，直接影响到学校未来的发展。同时大数据系统安全防护不到位还可能造成教学或科研信息被恶意篡改，直接导致教学和科研无法正常进行。本文将从构建智慧校园大数据安全防护架构出发，通过分析智慧校园大数据安全所面临的威胁，提出相应的对策。

1 智慧校园大数据安全面临的挑战

1.1 数据采集存储方面

智慧校园的数据来源多、增长速度快、数据量大，通常指数据量大于PB(10字节)。这就需要智慧校园采集的数据进行安全分析评估，既要保证数据来源的真实可靠又要防止信息泄漏，确保信息安全。大数据存储采用多节点分布式存储[1]的方法，当单一节点发生故障时，数据查询将会转向其它节点的可用数据，这就为非法入侵提供了便利，增加了智慧校园大数据被窃取或病毒感染的风险。

1.2 数据传输方面

智慧校园中多种类的海量数据，需使用云存储技术在云中进行存储，而将数据传输到云中存储，云的安全存储技术是智慧校园安全系统无法控制的，这将导致校园安全系统对安全边界外的数据失去控制，从而增加了数据保护的难度，因此如何保护校园敏感信息在数据传输过程中的安全是一个亟待解决的问题。

1.3 数据审计方面

智慧校园的数据量庞大，数据结构复杂，且数据类型多样，审计人员难以确定审计重点，不能在短时间内全面掌握和了解数据的内涵关系，大大增加了审计难度。

2 智慧校园大数据应用安全策略

2.1 加强和完善大数据安全管理

从国家层面加强基础设施安全、个人隐私保护、数据安全流动等方面的法律法规建设，在法律框架内科学合理地使用大数据，协调并处理好大数据开放与信息安全防护的矛盾。基层单位要建立健全合理的规章制度，从制度上保障大数据的应用安全。

2.2 严格规范大数据的建设标准和运行机制

大数据搭建是一项有序、动态、持续发展的系统工程，规范的建设标准和运行机制能够确保大数据在统一的安全规范下可靠运行。

2.3 建立一个以异质数据[2]为中心的安全管理平台系统

通过统一管理平台系统，保证大数据的安全访问。在保证使用效率的前提下，实现数据的隔离性、保密性、完整性、可用性、可控性和可追溯性，实现智慧管理与应用。

2.4 实施严格的安全控制等级

可根据大数据的密级程度和用户需求的不同，将大数据和用户分层设定为不同等级，原则上根据数据信息安全要求划分为高、中、低等级。例如，涉密科研攻关项目和高等级考试的试题等为最高安全等级；学校的试题库和科研信息等为较高安全等级；教工和学员信息为中安全等级；部门名称和设备名称为低安全等级。按照不同等级的信息安全要求，对数据流主客体、数据访问权限、用户的登录、访问行数、违规行为等进行严格的控制。[3]贯彻国家对信息进行分级管理保护制度。

2.5 制定大数据安全访问策略

在安全等级保护基础上采用基于风险标签的大数据安全访问控制策略。该安全策略集成了主动捆绑(active bundle)、基于角色的访问控制和基于属性的访问控制，可根据自身数据的安全需求和具体实际应用环境给数据设置相应的安全标签，从而实现不同数据对不同用户的安全映射访问[4]。安全标签包括数据类型、安全等级、副本数、访问策略、风险标签、数据生命周期、散列值等。

2.6 全面提升安全防护能力

隐匿的网络攻击总会留下痕迹，利用大数据技术对海量数据进行分析，能够发现网络的异常行为，并快速准确地找到攻击的源头，有针对性地快速应对安全威胁。

3智慧校园大数据安全防护平台建设

基于对大数据存储、应用、管理等安全策略的综合分析，建立以三大模块为主体的智慧校园大数据安全防护平台：1) 数据采集及敏感信息保护模块：负责数据的集中采集、敏感信息的加密与转换及分等级共享，同时对采集数据进行标准化，分类统一管理。2) 数据分析加工挖掘模块：负责对大数据进行分析加工，提取挖掘更加有深度和广度的计算结果。3) 数据安全应用审计和维护升级模块：负责保证信息安全和安全平台正常稳定地高效运行。在三大模块的基础上，构建智慧校园大数据安全防护平台架构如图1所示。

3 基于大数据安全防护方案架构所采用的安全技术

3.1 数据采集安全技术

大数据利用分布式技术采集大数据，在采集过程中，可能存在数据损坏、数据丢失、数据泄露、数据窃取等隐患和威胁，应采取身份认证、数据加密、数据完整性保护等安全机制来保证采集过程的安全性。

图1 智慧校园大数据安全防护方案架构

3.2 大数据存储安全技术

3.2.1 大数据的加密

大数据的存储主要是通过云存储技术来存储各类数据资源。在云环境下，大数据的加密必须采用同态加密算法，因为大数据被云文件系统切分成64MB的小数据块后，原先用传统加密的数据将无法使用解密密钥进行解密。而同态加密算法可逆，可同时达到加密和解密的目的。[5]使用同态加密技术[6]加密的数据在检索、比较、存取和分析等操作过程中仍能得出正确结果，而在整个运算过程中无需对加密数据进行解密，从而从根本上解决了大数据存储及其运算操作的安全。

3.2.2 数据备份、恢复和并发控制

为了防止系统故障或被攻击而导致重要数据的丢失或损坏，可通过数据的容灾备份和恢复机制、并发控制机制确保恢复数据与原始数据的一致性，并使用事务日志，保证修改的完整性和可恢复性，实现数据存储的安全防护。

3.3 传输数据的安全技术

3.3.1 传输机密性数据要加密

数据机密性检测的目标是检测物联网中传感网络通信时传输的数据是否加密。因无线传感网的网络节点暴露在外部环境中，无线接收装置能够很容易地在接收范围内接收节点发送的数据信号。如果节点间通信是非加密的，势必将造成通信数据的泄露，所以必须检测通信数据的机密性，用专业的捕获设备对传感网中传输的数据进行捕捉，然后根据协议对其帧进行解析，判断该通信是否为密文形式，若非密文，则要对非加密数据进行回溯，对未加密的数据进行加密，确保重要数据无线传输为密文形式。

3.3.2 数据的完整性与一致性检测

数据在传输过程中缺损或被非法篡改，后果不堪设想。数据完整性与一致性检测可以通过解析捕获到的数据包，对帧进行解析，找到保障数据完整性的字段，准确辨识出缺损或被篡改的数据，并将其丢弃，要求重传原始数据，保证接收者收到的数据是原始的数据。

3.3.3 数据网络过滤

使用网络过滤器[7]对传输的数据进行监控，一旦发现被标识数据离开了授权用户网络，就自动阻止数据的传输，有效避免数据的渗漏。

3.4 数据失真(Distortion)技术[8]

该技术要对数据进行扰动(Perturbation)，让数据失真，使攻击者无法根据失真数据还原出原始的真实数据，实现对真实数据的隐藏。

3.5 数据挖掘安全技术

数据挖掘是大数据应用的核心，它融合了数据库、人工智能、机器学习、统计学、高性能计算、模式识别、神经网络、数据可视化、信息检索和空间数据分析等多个领域的理论和技术。通过数据分析与挖掘，从大数据中挖掘出各类黑客攻击、违规操作、内外部威胁源等安全事件，及时发出安全报警和做出动态响应。如利用深度学习算法对大数据进行多维度分析，可发现攻击者各类潜在的低层局部特征、区域组合特征和高层整体特征。

3.6 数据发布安全技术

3.6.1 安全审计

安全审计是完整地对事件进行记录、管理、归类、存储，事后对收集的安全事件进行分析、查询、统计，以及挖掘数据背后的潜在知识模型，用于后续的入侵检测(发现潜在的攻击行为等)。其核心作用是对攻击行为的准确记录，对安全事件进行追溯，查清事故责任的归属。[9]

3.6.2 数据溯源[10]

经过严密的安全审计，还可能出现疏漏，在数据发布后，一旦发现涉密和隐私信息泄漏之类的数据安全问题，安全防护系统中必须有数据溯源机制，迅速回溯到出现问题的环节，准确定位，迅速对泄漏环节进行封堵，追查责任者，杜绝类似问题再次发生。如可利用数字水印技术进行数据溯源等。

3.7 防范高级持续威胁(APT)攻击

APT(advanced persistent threat)攻击具有极强的隐蔽性、长期的潜伏性、攻击的持续性、攻击路径的不确定性、攻击技术的先进性以及对信息安全巨大的危害性等特性。窃取目标组织的机密信息是APT攻击明确目的，APT攻击普遍采用0day漏洞获取权限，其效率和能力明显高于普通的攻击，且攻击方法和技术不断进化。[11]在大数据应用环境下，APT攻击的安全威胁更加突出，可借助大数据技术实时高效的处理能力，来设计实时检测、全面监控采集行为的安全审计方案，通过对入侵检测系统日志文件进行大数据分析，及时采用应对措施，有效抵御APT攻击。

4 融合大数据安全的智慧校园大数据平台

大数据安全平台中的安全管理系统，可通过采集大数据应用平台的配置信息，得出相应的安全基线，建立安全基线自学习[12]机制，对大数据平台进行自动监测，并将监测结果与基线进行比对，有效检测大数据应用平台配置信息的变更，迅速发现系统操作的异常行为，及时还原原有的安全配置，确保智慧校园大数据应用平台安全。

5 总结

智慧校园使教育走向智慧化的同时，其大数据安全面临前所未有的挑战，智慧校园安全防护体系建设非常重要。本文通过系统分析智慧校园大数据采集、传输、存储及审计等方面存在的安全问题，提出了相应的安全策略，构建了完备的大数据安全防护体系，以期保障智慧校园的正常运行。

[1] 杨俊杰，廖卓凡，冯超超．大数据存储架构和算法研究综述[J]. 计算机应用，2016，36(9) : 2465-2471.

[2] 陈敏，张东，张引等.大数据浪潮—大数据整体解决方案及关键技术探索[M]．武汉：华中科大出版社出版，2015.

[3] 胡坤，刘明辉，宫雪. 电信运营商应用数据的安全管控与隐私保护研究[J]. 信息通信技术，2013(12)：63-67.

[4] Hongsong Chen, Bharat Bhargava, Fu Zhongchuan.Multilabels-Based Scalable Access Control for Big Data Applications[J]. IEEE Cloud Computing,2014,1(3):65-71.

[5] 张桂刚，李超，邢春晓. 大数据背后的核心技术[M]．北京：电子工业出版社，2017．

[6] 李浪，余孝忠，杨娅琼,等. 同态加密研究进展综述[J].计算机应用研究,2015,32(11):3209-3214.

[7] 陆奎，王海. 基于网络安全开发包的网络监听检测系统的研究与实现[J]. 安徽理工大学学报( 自然科学版)，2016，36(5):41-45.

[8] 赵勇，林辉，沈寓实,等.大数据革命—理论、模式与技术创新[M]．北京：电子工业出版社， 2014.

[9] 刘静，何运，赖英旭. SDN 架构下的安全审计系统研究与实现[J]. 北京工业大学学报，2017，43(2):180-191.

[10] 张尼，张云勇，胡坤,等. 大数据安全技术与应用[M]．北京：人民邮电出版社， 2014.

[11] 张浩,王丽娜,谈诚,等. 云环境下APT攻击的防御方法综述[J]. 计算机科学，2016,43(3)：1-6.

[12] 樊重俊，刘臣，霍良安.大数据分析与应用[M]．上海：立信会计出版社,2016．