孟治強

摘要：隨著計算機網絡的發(fā)展，網絡安全問題也越來越突出，傳統(tǒng)的網絡安全架構的弊端日顯突出。本文從大數(shù)據的相關知識入手，分析當前網絡安全現(xiàn)狀及傳統(tǒng)網絡安全架構的不足之處，提出基于大數(shù)據的下一代網絡安全架構。

關鍵詞：大數(shù)據；網絡安全；安全架構

1.大數(shù)據的相關知識

1.1 大數(shù)據的概念。大數(shù)據的概念有兩個方面的含義：首先大數(shù)據代表了由數(shù)量巨大、結構復雜、類型眾多的數(shù)據組合而成的數(shù)據集合；再者基于云計算的數(shù)據處理與應用模式，通過數(shù)據的集成共享、交叉復用形成的智力資源和知識服務能力也屬大數(shù)據的概念范疇[1]。

1.2 大數(shù)據的特征。通常來說大數(shù)據具有四個方面的特征，即業(yè)界所說的4V特征：第一、大數(shù)據顧名思義數(shù)據體量巨大，通常意義上的大數(shù)據至少為TB級別，甚至躍升到PB、EB、YB級別。第二、數(shù)據類型豐富，數(shù)據來源廣泛。通常大數(shù)據應該包含來自于各種各樣的渠道的各類數(shù)據，才能體現(xiàn)大數(shù)據的價值。第三、商業(yè)價值高但價值密度低。大數(shù)據強調的是數(shù)據全面，可能數(shù)據中有用的只占整個視頻中的小部分，因此價值密度低。第四、處理速度快。通常情況下一個需求要在秒級給出分析結果，否則就失去大數(shù)據處理的價值，這也是大數(shù)據與數(shù)據挖掘的主要區(qū)別所在。

2.網絡安全現(xiàn)狀分析

根據國家互聯(lián)網應急響應中心（CNCERT/CC）2014年度《中國互聯(lián)網網絡安全報告》數(shù)據顯示：2014年國內感染木馬僵尸網絡的主機達1108.8萬多臺，被木馬控制的服務器達6.1萬多個；2014年全年被篡改網站數(shù)量為36969個，其中包含政府網站1763個；網站數(shù)據和個人信息泄露呈高發(fā)態(tài)勢，僅去年12月國內某著名交通購票網站遭受撞庫攻擊數(shù)據泄露一項，就導致包括賬號、密碼、身份證號、手機號和電子郵箱等在內的13萬多條敏感數(shù)據在網上流傳[2]。

從上述數(shù)據我們可以看出，我們國家當前網絡安全形勢依舊嚴峻，主要表現(xiàn)在以下幾個方面：第一、國民安全意識不強。從國內感染木馬僵尸網絡的主機數(shù)量來看，用戶對于網絡安全的防范意識薄弱，其中包括了普通用戶和職業(yè)網絡管理員。第二、網絡攻擊產業(yè)鏈進一步完善。網絡攻擊越來越趨于利益化是當前網絡面臨的另外一個危機，巨大的利益誘惑使得網絡攻擊越來越復雜、產業(yè)鏈越來越完善。第三、防范措施相對滯后。國內計算機網絡安全防范措施基本都處于靜態(tài)防護狀態(tài)，對新木馬、新病毒等的防范能力不足，反復感染交叉感染的情況時有發(fā)生。

3.傳統(tǒng)網絡安全架構及不足

3.1 傳統(tǒng)網絡安全架構。傳統(tǒng)網絡安全架構的源于PPDR模型，即Policy Protection Detection Response，它的假設前提是可以檢測出所有的安全威脅并有相應的響應方法。該模型以安全策略為核心，假設當前安全架構能夠檢測出所有的安全威脅，并制定一系列的靜態(tài)防護措施或閥值進行匹配，從而實現(xiàn)安全防護的目的。傳統(tǒng)的網絡安全架構主要由安全策略、保護措施、檢測手段和響應手段四個部分組成。

安全策略是整個安全架構的核心，它包含了在該安全區(qū)域內所有與安全相關活動的一系列規(guī)則，并規(guī)定網絡安全要達到的目標和各種安全措施的強度；保護措施是傳統(tǒng)安全架構的第一道防線，包含制定安全制度、配置系統(tǒng)安全和采取何種安全措施進行保護等。檢測手段是對安全策略和保護措施的有效補充，通常是通過檢測發(fā)現(xiàn)系統(tǒng)或網絡的異常狀況，從而發(fā)現(xiàn)可能的攻擊行為。響應手段是指在發(fā)生異?；蚬粜袨楹笙到y(tǒng)能夠主動采取的行動如關閉端口、中斷連接、關閉服務等等。

3.2 不足之處。隨著傳統(tǒng)網絡安全架構的深入應用，它的不足之處也日漸明顯，主要有兩個方面的問題：

首先，PPDR模型的安全是也能夠發(fā)現(xiàn)所有安全威脅為基礎的，是一種發(fā)現(xiàn)安全威脅、制定安全策略的被動防御措施，他的假設前提是設計者能夠提前預知所有的安全威脅并作出相應的防御措施。這種假設在實際應用中是不能成立的，因此PPDR模型的安全級別完全取決于設計者的水平，沒有安全底限。

其次，PPDR模型缺乏主動發(fā)現(xiàn)安全威脅并進行應急響應的安全機制。全網的安全完全依靠于事先制定好的防護措施，客戶機與網絡安全設備之間缺乏有效的溝通，一旦網絡中出現(xiàn)一臺被攻陷計算機，而安全設備和管理員卻一無所知，整個計算機網絡就會面臨巨大威脅。因此，構建開發(fā)基于大數(shù)據的下一代網絡安全架構刻不容緩。

4.基于大數(shù)據的下一代網絡安全架構

基于大數(shù)據的下一代網絡安全架構應該預測為前提，充分利用大數(shù)據特征，運用過往的攻擊行為中提取的安全隱患特征構建網絡安全策略，并從邊界安全、終端安全及其與云數(shù)據之間的聯(lián)動三個角度構建網絡安全體系。

4.1邊界安全。網絡邊界安全是指網絡與外界互通引起的安全問題，通常包含黑客入侵、病毒防護和網絡攻擊。邊界安全直接影響網絡用戶的整體安全，是安全架構設計中最重要的部分。大數(shù)據背景下，網絡安全邊界設計設計應該使用數(shù)據發(fā)掘技術，分析已經出現(xiàn)過的攻擊手段，并加以防護，提取已有病毒的特征碼，及時更新病毒庫，最大限度的保證邊界安全。

新一代網絡安全架構在邊界安全上最重要的突破是預測，利用大數(shù)據分析攻擊的特征及手法，預測可能出現(xiàn)的攻擊行為并予以防護，化被動為主動。只有這樣才能最大限度的保證用戶的網絡及數(shù)據安全。

4.2 終端安全。終端安全是指網絡用戶的安全防護措施。終端安全直接關系到個體用戶的安全狀況，同時也間接影響到整體網絡安全。一般情況下終端安全包含防火墻技術、防病毒技術和行為檢測技術等方面。

新一代網絡安全架構下終端安全不但需要及時更新數(shù)據庫，保證用戶終端即時更新，更重要的是終端之間要有統(tǒng)一的控制，當某一終端被攻陷后，能夠迅速反饋到控制端，以便迅速部署，防止疫情的進一步蔓延。終端的數(shù)據應該及時上傳到云端，再通過云端下發(fā)到各個終端，防止同一病毒或木馬的重復感染。

4.3 聯(lián)動安全。邊界與終端通過云端的聯(lián)動是大數(shù)據背景下的網絡安全架構的重要組成部分。通過大數(shù)據預測和云管理，保證終端和邊界保證安全統(tǒng)一。當邊界設備遭遇安全攻擊，通過數(shù)據分析，及時更新數(shù)據并下發(fā)到終端，當某一終端由于漏洞被攻破，可以通過邊界設備及時進行隔離，并迅速進行數(shù)據分析更新病毒庫，防止網絡中其他的設備遭受攻擊，從而實現(xiàn)智能協(xié)同，主動防御，大幅提高終端與邊界安全防御能力，有效應對已知和未知的高級威脅。

新一代網絡安全架構中當網絡中的終端第一次遇到攻擊，安全終端被攻陷而選擇放行，但同時會提交到云查殺和云沙箱處理，安全云經過分析之后發(fā)現(xiàn)是惡意代碼立刻向全網邊界和終端設備推送威脅情報并更新數(shù)據庫，這樣一來攻擊者就只入侵了一臺終端。通過邊界和終端聯(lián)動，通過大數(shù)據平臺，實現(xiàn)了網絡安全最大化。

5.總結

本文通過分析傳統(tǒng)網絡安全架構的不足之處，從大數(shù)據的特點出發(fā)，提出新一代基于聯(lián)動的網絡安全架構。通過邊界安全、終端安全以及他們之間的聯(lián)動，結合云管理最大限度的保證網絡用戶的安全。（作者單位：江西財經職業(yè)學院）

參考文獻：

[1]帶您了解大數(shù)據，http：//www.thebigdata.cn/YeJieDongTai/8470.html

[2]2014年度《中國互聯(lián)網網絡安全報告》，http：//www.cert.org.cn/publish/main/upload/File/2014%20Annual%20Report.pdf

[3]唐擁政，王春風.基于 PPDR 的動態(tài)無線網絡安全模型的改進研究[J]，鹽城工學院學報（自然科學版），2013年9月