倪 斌，張明真

(1.河南司法警官職業(yè)學(xué)院，河南 鄭州 450000； 2.鄭州鐵路職業(yè)技術(shù)學(xué)院，河南 鄭州 451460)

基于大數(shù)據(jù)分析的安全管理平臺技術(shù)研究及應(yīng)用
——以鐵路數(shù)據(jù)管理平臺為例

倪 斌1，張明真2

(1.河南司法警官職業(yè)學(xué)院，河南 鄭州 450000； 2.鄭州鐵路職業(yè)技術(shù)學(xué)院，河南 鄭州 451460)

大數(shù)據(jù)分析能給現(xiàn)代人帶來更多的便捷，能給企業(yè)帶來更多的利益，同時也會增加企業(yè)的成本。在有效利用大數(shù)據(jù)分析的同時保護好數(shù)據(jù)資源，既不讓重要數(shù)據(jù)外泄又能阻止外來數(shù)據(jù)的干擾，是現(xiàn)代數(shù)據(jù)安全管理平臺技術(shù)研究的重要方向。

大數(shù)據(jù);數(shù)據(jù)安全;平臺建設(shè)

大數(shù)據(jù)分析在網(wǎng)絡(luò)與信息安全管理平臺的應(yīng)用已經(jīng)取得了一些重要的成績，特別是在甄別風險和漏洞并尋找解決方案的時候，利用大數(shù)據(jù)分析技術(shù)能帶來意想不到的效果。通過進行大數(shù)據(jù)分析，我們能發(fā)現(xiàn)大量的正常途徑無法發(fā)現(xiàn)的安全事件，尋找到關(guān)聯(lián)點，從而描繪出一個較為接近完整的安全威脅。不僅如此，大數(shù)據(jù)分析技術(shù)還能整合原本雜亂無章的零散數(shù)據(jù)，幫助安全人員尋找并選擇更為主動的安全防御途徑[1]。

為了應(yīng)對不斷變化的安全挑戰(zhàn)，人們部署了多重防火墻、UTM、IDS、IPS、系統(tǒng)漏洞掃描系統(tǒng)、病毒防護系統(tǒng)、終端加密管理系統(tǒng)、WAF、DB-AUDIT以及設(shè)備安全監(jiān)控平臺等，構(gòu)建起了一道道看似固若金湯的安全防線。然而，這些所謂的安全防線大都僅僅是為了抵御來自某個具體已知方面的安全威脅，迫使整個系統(tǒng)形成了一個個“安全防御孤島”，無法產(chǎn)生協(xié)同效應(yīng)。另一種結(jié)果是，這些復(fù)雜的IT設(shè)備資源及其安全防御設(shè)施在日夜不停的運作過程中產(chǎn)生了大量臃腫的安全日志和事件，形成了附屬的“信息孤島”[2]。技術(shù)和數(shù)量有限的安全管理人員在這些數(shù)量龐大、割裂存在的安全大數(shù)據(jù)面前，面對著各種產(chǎn)品自身復(fù)雜的控制界面和警告窗口，顯得窘迫無力，根本無法發(fā)現(xiàn)真正的安全隱患。研究大數(shù)據(jù)的安全管理平臺，需要結(jié)合實際，選擇確實可靠的案例進行分析，又不能用太小眾的產(chǎn)品，否則不具備代表性。我國鐵路建設(shè)成績舉世矚目，高鐵運營班次及運載人數(shù)世界第一。 如此龐大的體系，每天產(chǎn)生的數(shù)據(jù)量多如牛毛，全國鐵路數(shù)據(jù)管理平臺能十分及時地提供實時票務(wù)情況并安排相關(guān)班次調(diào)整。這樣的大系統(tǒng)大平臺必然涉及很多人員，數(shù)據(jù)的安全與保密是鐵路部門需要重點建設(shè)的。乘客的個人信息，與購票系統(tǒng)相連的銀行信息等等，一旦泄密，造成的后果不可估量。

1 數(shù)據(jù)安全管理需求

大數(shù)據(jù)分析是一種新興的卻普遍適用的技術(shù)，在目前的安全環(huán)境下并沒有專門建立針對大數(shù)據(jù)的比較完整及系統(tǒng)化的數(shù)據(jù)安全管理體系標準。要對大數(shù)據(jù)信息安全進行根本意義上的防護，應(yīng)當優(yōu)先考慮安全系統(tǒng)的標準化建設(shè)，包括大數(shù)據(jù)技術(shù)的使用過程、平臺建設(shè)、運行細節(jié)、風險評估等多個方面，逐步實現(xiàn)大數(shù)據(jù)信息安全管理可視可控化的目標。鐵路部門數(shù)據(jù)管理平臺的大數(shù)據(jù)包括了乘客的個人信息、銀行信息，列車的班次信息，票務(wù)信息，新軌道交通的建設(shè)信息等重要信息，大量的數(shù)據(jù)通過網(wǎng)絡(luò)在數(shù)據(jù)管理平臺上實時共享。作為國家重要的交通工具管理當局，鐵路部門必須嚴格控制數(shù)據(jù)的安全性、機密性與可操作性[3]。

一方面，平臺業(yè)務(wù)涉及全國鐵路部門，波及全部平臺使用對象及有關(guān)單位。許多用戶在使用數(shù)據(jù)時缺乏安全管理意識及能力，有的用戶直接在網(wǎng)吧就登錄對應(yīng)的網(wǎng)站，進行購票交易。因為使用對象的不穩(wěn)定性，登錄端口的不確定性，給平臺的安全管理帶來很大的壓力，也給來自網(wǎng)絡(luò)和黑客的各種病毒(如木馬、蠕蟲等各種破壞程序)帶來巨大的機會，一旦攻擊成功，將對全國的鐵路運營系統(tǒng)造成巨大的影響，甚至使其癱瘓，導(dǎo)致群眾心理恐慌。

另一方面，數(shù)據(jù)本身也具有安全管理的需求。系統(tǒng)數(shù)據(jù)是鐵路管理平臺的重要核心內(nèi)容，也是鐵路管理部門的重要資產(chǎn)和后續(xù)分析資源。一旦發(fā)生數(shù)據(jù)丟失、外泄或損壞，將破壞整體數(shù)據(jù)的保密性、完整性和使用性，給鐵路部門帶來巨大損失。因此，必須根據(jù)數(shù)據(jù)的性質(zhì)分別評估特定數(shù)據(jù)的安全風險。

根據(jù)數(shù)據(jù)的性質(zhì)和來源，我們可以將平臺數(shù)據(jù)區(qū)分為常規(guī)數(shù)據(jù)及敏感數(shù)據(jù)。敏感數(shù)據(jù)指用戶資料、交易信息、鐵路班次調(diào)整數(shù)據(jù)等，這些數(shù)據(jù)對使用對象存在安全問題及利益相關(guān)，屬于敏感及重點數(shù)據(jù)，應(yīng)重點保護。而類似余票信息、空座數(shù)量等則構(gòu)成了整個大數(shù)據(jù)分析的整體性，一旦缺失就會對整體分析造成重要影響。

所以，鐵路部門存在極為重要的數(shù)據(jù)安全管理需求，需要加強安全管理平臺技術(shù)研究與應(yīng)用，建立更為完善的用戶身份認證系統(tǒng)及完善登錄端口防護功能，滿足平臺用戶日益增加的使用安全需求。

2 安全管理平臺與大數(shù)據(jù)的聯(lián)系

大數(shù)據(jù)分析在所有網(wǎng)絡(luò)安全領(lǐng)域中對安全管理平臺(包括安全信息與事件分析系統(tǒng))所造成的影響可以說是最為深遠的，這是與這兩個系統(tǒng)先天具備的大數(shù)據(jù)分析特質(zhì)緊密相關(guān)的。

安全管理平臺，有的學(xué)者也稱之為SOC(Security Operations Center，安全運營中心)平臺，一般是指在安全管理系統(tǒng)中，建立安全分區(qū)，以資產(chǎn)和安全事件為核心，組建實時資產(chǎn)風險評估模型，為系統(tǒng)管理員提供事件分析、風險預(yù)警、應(yīng)急處理的集中安全管理系統(tǒng)。

安全信息與事件管理是安全管理平臺的重要核心，也稱作SIEM(Security Information and Event Management)系統(tǒng)。一般情況下，SIEM通過對所有數(shù)據(jù)來源的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用資源、安全系統(tǒng)的日志以及告警信息進行分析處理，實時監(jiān)控，調(diào)查審計，取證分析，并出具各種報表以實現(xiàn)來自企業(yè)和組織的各種IT資源的合法合規(guī)管理，同時提升管理對象的危機處理能力及安全管理能力。

一般的SIEM系統(tǒng)都具備安全事件或日志的有效采集、規(guī)范處理、數(shù)據(jù)存儲、智能分析、多樣展示等幾個過程，而以上功能與大數(shù)據(jù)分析的數(shù)據(jù)收集、海量存儲、智能分析和可視化處理過程是幾近相同的。因此，SIEM系統(tǒng)與大數(shù)據(jù)分析技術(shù)具備天生配對特質(zhì)。

安全管理平臺是基于SIEM系統(tǒng)的原理，以多樣化的安全管理信息采集與存儲，多種安全分析與多結(jié)構(gòu)展示為核心，大規(guī)模擴充采集的數(shù)據(jù)，增加安全分析模型，實現(xiàn)在一定風控基礎(chǔ)上的資產(chǎn)和業(yè)務(wù)的集中化安全化管理。鐵路系統(tǒng)的數(shù)據(jù)安全管理體系需要利用SIEM系統(tǒng)打造一個統(tǒng)一平臺，通過系統(tǒng)內(nèi)分層建設(shè)、分級防護，并多層次增加安全數(shù)據(jù)的采集，達到平臺能力及相關(guān)應(yīng)用的可成長、可擴充，創(chuàng)造面向鐵路信息安全防護數(shù)據(jù)的安全管理體系系統(tǒng)框架。鐵路數(shù)據(jù)安全管理體系架構(gòu)自下而上可分為基礎(chǔ)數(shù)據(jù)分析層、重點數(shù)據(jù)防泄露層、敏感數(shù)據(jù)脫敏層、敏感數(shù)據(jù)隔離交換層和全體數(shù)據(jù)庫加固層，從而組成完善的鐵路部門數(shù)據(jù)標準體系和安全管理體系[4]。

3 安全管理平臺技術(shù)研究及應(yīng)用

涉及數(shù)據(jù)的安全，從硬件到軟件的管理都至關(guān)重要。安全管理平臺技術(shù)的研究具體可以分為以下幾個方面：

一是基礎(chǔ)設(shè)備安全管理。主要指硬件層面的安全管理，涉及使用環(huán)境安全管理、設(shè)備安全管理、數(shù)據(jù)介質(zhì)安全管理、防盜安全管理等。數(shù)據(jù)管理中心是平臺的管理核心，數(shù)據(jù)管理中心的安全是平臺數(shù)據(jù)的第一保障。數(shù)據(jù)管理中心的用電用水安全、消防安全、防盜安全都是數(shù)據(jù)安全管理的前提條件。

二是網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)安全管理是數(shù)據(jù)安全管理的根本方法，只有先保證網(wǎng)絡(luò)使用安全，才能保證數(shù)據(jù)傳輸安全。從網(wǎng)絡(luò)結(jié)構(gòu)、進出控制、網(wǎng)絡(luò)監(jiān)控、路由交換機等多個方面，將系統(tǒng)網(wǎng)絡(luò)劃分為不同的安全等級，在各自的安全等級中采用不同的交互安全策略，形成閉環(huán)保護。

三是主機安全管理。主要是對各個虛擬機的操作系統(tǒng)、防火墻、WEB環(huán)境、局域網(wǎng)安全進行保護，利用現(xiàn)有的殺毒程序和軟件進行漏洞掃描及病毒程序清理，分析并修復(fù)系統(tǒng)漏洞，定期維護主機的操作系統(tǒng)及升級，減少虛擬機的漏洞。

四是數(shù)據(jù)傳輸安全管理。數(shù)據(jù)傳輸安全主要體現(xiàn)在用戶調(diào)用和操作的時候，因此，對登錄者采用復(fù)雜的身份認證，包括用戶名、登錄密碼、驗證碼及圖案等信息時，結(jié)合公安部門的實名認證，能更好地排除非法分子。同時加強SSL協(xié)議加密手段，對用戶操作進行敏感區(qū)分，一旦進行敏感數(shù)據(jù)操作時，系統(tǒng)自動報警功能啟動，還應(yīng)該加強數(shù)據(jù)備份功能，避免傳輸丟失[5]。

五是安全管理平臺的統(tǒng)一管理。鐵路系統(tǒng)在全國有許多分支部門，因此有必要建立統(tǒng)一的數(shù)據(jù)管理中心，由數(shù)據(jù)管理中心統(tǒng)一數(shù)據(jù)管理及傳輸途徑，避免網(wǎng)絡(luò)交叉?zhèn)鬏攲?dǎo)致數(shù)據(jù)掉包。同時，用戶端APP和其他合作APP的數(shù)據(jù)應(yīng)采用統(tǒng)一的網(wǎng)絡(luò)協(xié)議，并經(jīng)過統(tǒng)一的云平臺數(shù)據(jù)管理，采用多級網(wǎng)絡(luò)協(xié)同安全管理策略。

我們可以從幾個方面重點思考大數(shù)據(jù)分析背景下數(shù)據(jù)安全存在的問題。首先是大數(shù)據(jù)分析技術(shù)的安全防護技術(shù)創(chuàng)新和強化。大數(shù)據(jù)時代信息技術(shù)日新月異，各類數(shù)據(jù)信息安全威脅也層出不窮，只有不斷地進行技術(shù)創(chuàng)新技術(shù)升級，提前針對安全漏洞進行預(yù)防預(yù)警，避免安全風險，才能實現(xiàn)安全可視的目標。其次是加強信息安全立法和監(jiān)管力度，對安全管理平臺的技術(shù)標準通過法律法規(guī)進行規(guī)范化和嚴格化。由于大數(shù)據(jù)在進行數(shù)據(jù)海量收集、傳輸、存儲和處理過程中，難以集中，可控性不強，因此需要國家相應(yīng)政策法規(guī)配合，推進大數(shù)據(jù)安全管理技術(shù)開發(fā)的標準化建設(shè)。再次是運用大數(shù)據(jù)技術(shù)本身的特點結(jié)合其他技術(shù)不斷篩選可能項并排除解決問題項，進而提升系統(tǒng)安全防護能力。比如大數(shù)據(jù)技術(shù)與云安全技術(shù)交互融合，統(tǒng)一平臺，統(tǒng)一分析歸集，進行多層次多途徑安全防護[6]。

當前國內(nèi)外針對大數(shù)據(jù)安全與隱私保護的相關(guān)研究和技術(shù)開發(fā)還不充分，也沒有相應(yīng)完整系統(tǒng)化的信息數(shù)據(jù)安全管理體系。因此，基于大數(shù)據(jù)分析的安全管理平臺技術(shù)研究及應(yīng)用任重道遠，只有通過有效的技術(shù)革新和相關(guān)政策法規(guī)等緊密結(jié)合，才能從根本上解決安全管理平臺的技術(shù)問題。當然，安全沒有絕對的，正如進攻與防護也是相對的，一方松懈必然有另一方進步。只有充分發(fā)揮大數(shù)據(jù)分析的作用，才能更為有效地建設(shè)安全管理平臺。

[1]楊曉春,劉向宇,王斌，等.支持多約束的K-匿名化方法[J].軟件學(xué)報,2006,17(5):1222-1231.

[2]鄧京璟,葉曉俊.基于R樹多維K-匿名算法[J].計算機工程,2008,34(1):80-82.

[3]王一蕾,吳英杰,唐慶明，等.基于混合劃分技術(shù)的隱私保護關(guān)系型數(shù)據(jù)發(fā)布算法[J].南京理工大學(xué)學(xué)報(自然科學(xué)版),2013,37(4):493-499.

[4]尚璇.面向發(fā)布的序列類數(shù)據(jù)隱私保護技術(shù)研究[D].杭州：浙江大學(xué),2012.

[5]徐紅云,江麗,彭曙光，等.匿名系統(tǒng)中統(tǒng)計分析攻擊及防御策略研究[J].湖南大學(xué)學(xué)報(自然科學(xué)版),2007,34(7):73-77.

[6]史麗燕,谷保平,姚學(xué)禮，等.基于改進K-匿名算法的個人信息隱私保護應(yīng)用[J].計算機仿真,2014,31(3):217-220.

[責任編輯：趙 偉]

Research and Application of Security Management Platform Based on Large Data Analysis——Take the Platform of Railway Data Management For Example

NI Bin1，ZHANG Mingzhen2

(1.Henan Vocational College of Judicial Police Officers, Zhengzhou 450000,China;2.Zhengzhou Railway Vocational and Technical College, Zhengzhou 451460,China)

Big data analysis can bring more convenient to modern people, can bring more benefits to the enterprise, it will also increase the cost of enterprise. With the effective use of big data analysis, protecting the data resources, letting the important data not leaked and preventing the interference from foreign data is the important direction of modern data security management platform technology research.

large data;data security;platform construction

2017-03- 14

河南省科技攻關(guān)計劃(社會發(fā)展領(lǐng)域)項目(162102310377)；河南省教育廳高等學(xué)校重點科研項目計劃(16B520013)

倪斌(1983—)，男，河南鄭州人，河南司法警官職業(yè)學(xué)院講師，碩士，一級警司，研究方向為網(wǎng)絡(luò)信息安全、大數(shù)據(jù)應(yīng)用。 張明真(1987—)，女，河南新鄉(xiāng)人，鄭州鐵路職業(yè)技術(shù)學(xué)院助教，碩士，研究方向為網(wǎng)絡(luò)技術(shù)、信息安全。

TP393

A

1008-6811(2017)02-0006-04