徐智華

摘 要：大數(shù)據(jù)時代，網(wǎng)絡(luò)安全形勢嚴峻，國家政務(wù)信息數(shù)據(jù)安全受到嚴重威脅。論文對當前大數(shù)據(jù)時代網(wǎng)絡(luò)安全形勢進行分析，從風險管控和安全評估兩方面總結(jié)提出網(wǎng)絡(luò)安全管理理論，并在此理論基礎(chǔ)上，構(gòu)建基于大數(shù)據(jù)的網(wǎng)絡(luò)安全管理平臺，從而介紹了平臺的技術(shù)特點、體系框架、核心系統(tǒng)及關(guān)鍵要素，最后對該平臺在實踐中的應用進行了總結(jié)和展望。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全；管理平臺

中圖分類號：TP311.13；TP309 文獻標識碼：A

Abstract： In big data era， the situation of network security is grim， and the information security of the national government is seriously threatened. In this paper， around the current network security situation in big data， the theory of network security management is summarized and proposed， from the risk management and security evaluation. According to this theory， a network security management platform in big data is constructed. The technical characteristics， system framework， core system and key elements of this platform are introduced in detail. Finally， the application of the platform in practice is summarized.

Key words： big data； network security； management platform

1 引言

當今世界，網(wǎng)絡(luò)信息技術(shù)日新月異，正在逐步改變?nèi)藗兊纳a(chǎn)生活方式，深刻影響人類社會歷史發(fā)展進程。聚焦中國，隨著信息化和網(wǎng)絡(luò)化的飛速發(fā)展，各類數(shù)據(jù)信息呈指數(shù)式增長，大數(shù)據(jù)應運而生，從個人網(wǎng)上行政審批，到國家的航天測繪工程，都離不開大數(shù)據(jù)，整個社會進入大數(shù)據(jù)時代。2018年8月，國務(wù)院出臺了《關(guān)于加快推進全國一體化在線政務(wù)服務(wù)平臺建設(shè)的指導意見》，有力推進了在線政務(wù)服務(wù)平臺建設(shè)，進一步強化了大數(shù)據(jù)在經(jīng)濟社會發(fā)展中的支撐作用。在政務(wù)平臺運行過程中，網(wǎng)絡(luò)攻擊時常出現(xiàn)，嚴重威脅政務(wù)平臺的正常運轉(zhuǎn)和大數(shù)據(jù)安全。為了有效應對網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全管理平臺從理論研究逐步走向應用實踐，并在全國一體化在線政務(wù)服務(wù)平臺建設(shè)中得到較為廣泛的應用發(fā)展，成為保障政務(wù)網(wǎng)絡(luò)信息數(shù)據(jù)安全的重要工具。

2 網(wǎng)絡(luò)安全形勢

2.1 現(xiàn)實案例

2015年10月，英國電信運營商TalkTalk旗下約有400萬用戶信息泄露，包括電子郵件、名字和電話號碼，以及數(shù)萬銀行賬戶信息；2016年1月，全美最大的有線電視公司時代華納表示旗下約有32萬用戶的郵件和密碼信息被竊??；2017年5月，新型“蠕蟲”式勒索病毒W(wǎng)annaCry爆發(fā)，席卷全球，這場全球最大的網(wǎng)絡(luò)攻擊已經(jīng)造成至少150個國家和30萬臺機器受到感染。根據(jù)國家信息安全漏洞共享平臺（CNVD）收錄的漏洞統(tǒng)計結(jié)果來看，2015年到2017年新增安全漏洞年均增長超過20%，呈快速增長趨勢。根據(jù)《2017年度DDos攻擊報告》數(shù)據(jù)，2017年針對國內(nèi)網(wǎng)絡(luò)數(shù)據(jù)中心（Interner Data Center）攻擊頻率加快，日均達到1050起，其中100Gbps以下的攻擊事件占90%，互聯(lián)網(wǎng)金融、電子商務(wù)、政務(wù)平臺是攻擊的重點對象。大數(shù)據(jù)時代，信息數(shù)據(jù)價值不斷上升，網(wǎng)絡(luò)攻擊者通過發(fā)動網(wǎng)絡(luò)攻擊，獲取重要敏感信息。由此可見，網(wǎng)絡(luò)攻擊已經(jīng)頻繁出現(xiàn)，采取有效措施保障大數(shù)據(jù)安全刻不容緩。

2.2 原因分析

大數(shù)據(jù)的廣泛應用，大幅度提升社會生產(chǎn)力的同時，也對信息安全構(gòu)成了嚴重的挑戰(zhàn)，原因有三點。

第一，網(wǎng)絡(luò)化社會使大數(shù)據(jù)極易成為攻擊目標。網(wǎng)絡(luò)化社會的形成，為大數(shù)據(jù)在各個行業(yè)、領(lǐng)域?qū)崿F(xiàn)資源共享和數(shù)據(jù)互通搭建平臺和通道。大數(shù)據(jù)、云計算等新興技術(shù)促使信息網(wǎng)絡(luò)形成一個開放共享的環(huán)境，大數(shù)據(jù)的信息量大、價值高且相互關(guān)聯(lián)，對于攻擊者而言，相對低的成本可以獲得“滾雪球”的收益。

第二，大數(shù)據(jù)本身安全防護方面存在不足[1]。當前大數(shù)據(jù)類型的千姿百態(tài)，80%以上為非結(jié)構(gòu)化數(shù)據(jù)，雖然NoSQL數(shù)據(jù)存儲具有可擴展性和可用性等優(yōu)點，但NoSQL仍然存在各種漏洞，而且NoSQL服務(wù)器軟件沒有內(nèi)置足夠的，API訪問權(quán)限控制以及密鑰生成、存儲和管理方面的不足都可能造成安全隱患。

第三，網(wǎng)絡(luò)技術(shù)迅速發(fā)展增加了安全風險。計算機網(wǎng)絡(luò)技術(shù)和人工智能的發(fā)展，為大數(shù)據(jù)自動收集以及智能動態(tài)分析提供了便利。但是，網(wǎng)絡(luò)信息技術(shù)發(fā)展是把雙刃劍，利用數(shù)據(jù)挖掘和數(shù)據(jù)分析等技術(shù)獲取有價值信息的同時，攻擊者也在利用這些技術(shù)發(fā)動網(wǎng)絡(luò)攻擊。

3 網(wǎng)絡(luò)安全管理理論

本文所提的網(wǎng)絡(luò)安全管理，其理論研究主要集中在風險管制機制[3]與安全評價機制兩個方面。

3.1 風險管控機制

風險管控機制，主要由控制者、對象、手段與工具組成，這三者是網(wǎng)絡(luò)信息安全風險管控機制構(gòu)建中的重要元素。其中，風險控制者，一般是數(shù)據(jù)庫或服務(wù)器的管理人員；風險控制對象，重點是指軟硬件基礎(chǔ)設(shè)施和數(shù)據(jù)等信息系統(tǒng)；風險控制手段與工具，一般包含管控機構(gòu)、機制、方法。大數(shù)據(jù)時代下，計算機和互聯(lián)網(wǎng)能夠有效提升控制效能，因此控制行為的實施還需緊緊依托此二者。要構(gòu)建網(wǎng)絡(luò)信息安全風險管控機制，必須分析信息安全存在的主要問題，明確控制對象、手段和工具，制定相應安全策略。

3.2 安全評價機制

大數(shù)據(jù)時代下，網(wǎng)絡(luò)攻擊呈現(xiàn)出多樣性特點，對網(wǎng)絡(luò)信息安全進行評價時應當重視評估的全面性，建立安全評價機制時盡可能選取普遍存在的評價指標，充分考慮評價指標的穩(wěn)定性、代表性以及可量化性。同時，需要展現(xiàn)出評價結(jié)果的實用性，在選取指標時，特別需確認該指標是否便于可視化分析[5]。

4 基于大數(shù)據(jù)安全管理平臺

基于大數(shù)據(jù)的安全管理平臺，是一套借助于大數(shù)據(jù)這個媒介，針對網(wǎng)絡(luò)安全方面存在的風險，進行有效網(wǎng)絡(luò)安全風險管控、分析出高質(zhì)量、有價值的網(wǎng)絡(luò)安全評估報告的綜合安全管理體系。本文所提出的安全管理平臺重點研究對網(wǎng)絡(luò)安全風險的管控和分析評估。

4.1 技術(shù)特點

基于大數(shù)據(jù)的安全管理平臺，涵蓋大數(shù)據(jù)收集、存儲、分析及可視化等多種技術(shù)于一體，主要呈現(xiàn)出三個特點。一是涉及的數(shù)據(jù)量龐大。網(wǎng)絡(luò)安全設(shè)備需要收集分析和監(jiān)測的數(shù)據(jù)包量呈指數(shù)式上升，安全網(wǎng)關(guān)要進行分析的網(wǎng)絡(luò)協(xié)議量也急劇增加。二是涉及的數(shù)據(jù)種類繁多。數(shù)據(jù)分析的對象包括漏洞信息、配置信息、身份訪問信息、用戶行為信息等，包含多種數(shù)據(jù)類型，許多數(shù)據(jù)類型非標準化。三是數(shù)據(jù)分析速度要求很高。由于數(shù)據(jù)源的事件發(fā)送頻率越來越快，所以安全管理平臺對數(shù)據(jù)需要高速處理，以便同數(shù)據(jù)源的發(fā)送速度相匹配。

4.2 體系架構(gòu)

安全管理平臺重點在于對其網(wǎng)絡(luò)風險的有效管控和分析評估?；谶@個設(shè)計理念，該平臺是集合多種硬件系統(tǒng)、軟件系統(tǒng)及相關(guān)策略的綜合框架體系。它能夠高速處理龐大的數(shù)據(jù)集合和多種數(shù)據(jù)類型，可以提供多種數(shù)據(jù)分析方法并且實現(xiàn)快速的數(shù)據(jù)操作，支持實時數(shù)據(jù)分析和歷史數(shù)據(jù)查詢，并從人性化角度對分析結(jié)果進行可視化處理[1]?？傮w上，該框架是一個可以實現(xiàn)海量數(shù)據(jù)分布式采集、分布式存儲、分布式分析處理并實現(xiàn)分析結(jié)果可視化的系統(tǒng)框架。

4.3 安全管理平臺

安全管理平臺針對大數(shù)據(jù)的安全分析，重點不在于大數(shù)據(jù)本身，大數(shù)據(jù)只是分析的媒介，重點在于通過針對這些大數(shù)據(jù)的分析進而進行安全管控并得到分析評估報告[2]。本文所研究的安全管理平臺，基于大數(shù)據(jù)安全分析技術(shù)，采用安全域劃分的思想，以安全事件管理為關(guān)鍵流程，協(xié)助網(wǎng)絡(luò)管理人員進行網(wǎng)絡(luò)中的行為監(jiān)測、事件分析、風險評估、預警管理和應急響應的一體式安全管理系統(tǒng)。

安全管理平臺的核心是針對安全信息與事件的管理系統(tǒng)（Security Information and Event Management，簡稱為SIEM系統(tǒng)）。SIEM系統(tǒng)將針對來自所在機構(gòu)中所有IT資源產(chǎn)生的安全信息（包括安全日志、安全警告等）進行實時分析、跟蹤監(jiān)測，對外部的入侵行為和內(nèi)部的違規(guī)操作進行審計分析、調(diào)查取證、出具報告，在遭受嚴重攻擊時進行安全管控并啟動應急響應機制。

安全管理平臺的SIEM系統(tǒng)一般分為四個層級，從下到上依次為：數(shù)據(jù)源審計層、日志采集層、數(shù)據(jù)處理層和綜合應用層。數(shù)據(jù)源審計層主要涉及軟硬件基礎(chǔ)設(shè)施，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安防設(shè)備、數(shù)據(jù)庫和中間件等；日志采集層[5]主要功能是采集信息，包括網(wǎng)絡(luò)安全日志的分類、過濾、歸并及轉(zhuǎn)發(fā)等；數(shù)據(jù)處理層主要進行數(shù)據(jù)的實時存儲、數(shù)據(jù)分析、數(shù)據(jù)處理和查詢索引[2]；綜合應用層是面向用戶的，是SIEM系統(tǒng)最高層級，主要提供權(quán)限配置、系統(tǒng)維護、策略制定、報表管理、可視化展示及其他應用接口等服務(wù)。SIEM系統(tǒng)各個層級分工明確，相互配合，共同形成一個保障大數(shù)據(jù)安全有機整體。

基于大數(shù)據(jù)的安全管理平臺必須具備5V特性[5]：海量的數(shù)據(jù)存儲、分析能力（Volume），支持多種數(shù)據(jù)結(jié)構(gòu)和類型（Variety），快速的數(shù)據(jù)采集、處理能力（Velocity），有效的數(shù)據(jù)分析方法和對數(shù)據(jù)價值的判別能力（Valuability），分析、處理結(jié)果可視化的能力（Visualization）。上述5V特性，是成為基于大數(shù)據(jù)安全分析技術(shù)的安全管理平臺的必要條件，缺一不可。

4.4 構(gòu)建平臺關(guān)鍵要素

基于大數(shù)據(jù)的政務(wù)網(wǎng)絡(luò)安全管理平臺，是保障政務(wù)網(wǎng)絡(luò)安全和數(shù)據(jù)信息安全的重要手段[6]。根據(jù)網(wǎng)絡(luò)安全管理理論，構(gòu)建政務(wù)網(wǎng)絡(luò)安全管理平臺中，需要重點抓好三個關(guān)鍵要素。

第一，在平臺頂層設(shè)計中，要樹立整體安全思維[7]。全面落實總體國家安全觀，樹立網(wǎng)絡(luò)安全底線思維，加強頂層設(shè)計，強化網(wǎng)絡(luò)安全規(guī)劃，建立健全管理機制，嚴格落實網(wǎng)絡(luò)管理工作制度。加強國家關(guān)鍵基礎(chǔ)設(shè)施安全防護，制定平臺數(shù)據(jù)安全管理辦法，加強政務(wù)大數(shù)據(jù)安全管理。

第二，在平臺基礎(chǔ)建設(shè)中，要堅持自主可控原則。加強自主創(chuàng)新能力建設(shè)，運用安全可靠技術(shù)產(chǎn)品，優(yōu)先采用國內(nèi)安全可靠軟硬件產(chǎn)品、系統(tǒng)和服務(wù)，應用符合國家要求的密碼技術(shù)產(chǎn)品加強身份認證和數(shù)據(jù)保護，確保安全可控。

第三，在平臺應用實踐中，要加強綜合安全防范。構(gòu)建全方位、多層次、一致性的防護體系，強化各級政務(wù)服務(wù)平臺安全保障系統(tǒng)的風險防控能力[6]，強化安全管理策略配置，加強安全態(tài)勢感知分析，準確把握安全風險趨勢，定期開展風險評估和壓力測試，制定完善應急預案，強化日常預防、監(jiān)測、預警和應急處置能力。

5 結(jié)束語

當前，基于大數(shù)據(jù)的網(wǎng)絡(luò)安全管理平臺已經(jīng)從理論研究走向?qū)嶋H應用，但其發(fā)展也面臨著一些問題。

首先，網(wǎng)絡(luò)安全管理平臺是一種綜合框架體系而非單一硬件產(chǎn)品。企業(yè)或者組織需要結(jié)合自身安全實際，將該框架體系進行合理設(shè)計、優(yōu)化部署并且與其他安全軟硬件設(shè)備相融合，在應用中不斷探索磨合，這樣才能夠最大限度發(fā)揮整體作用，實現(xiàn)預期效果。

其次，該平臺應用效果很大程度受限于硬件設(shè)備的數(shù)據(jù)處理能力。只有硬件設(shè)備能夠處理大規(guī)模數(shù)據(jù)流及批量流程，才能確保平臺系統(tǒng)實現(xiàn)即時采集、實時處理、及時響應等功能。

最后，該平臺的推廣應用需要專業(yè)人才隊伍作為支撐。目前，具備這種跨領(lǐng)域?qū)I(yè)技術(shù)管理的人才數(shù)量極少。這類專家不僅需要有全面的網(wǎng)絡(luò)安全技術(shù)類知識，而且更需要有豐富的實戰(zhàn)性經(jīng)驗、強大的分析評估能力和統(tǒng)籌協(xié)調(diào)能力。

在大數(shù)據(jù)時代里，網(wǎng)絡(luò)安全管理平臺面臨著發(fā)展的瓶頸，同時也面臨前所未有的發(fā)展機遇。國家對網(wǎng)絡(luò)信息安全重視程度不斷加深，網(wǎng)絡(luò)信息技術(shù)不斷突破，基于大數(shù)據(jù)的網(wǎng)絡(luò)管理平臺將在實踐中不斷探索發(fā)展，以應用促進技術(shù)創(chuàng)新，帶動產(chǎn)業(yè)發(fā)展，確保網(wǎng)絡(luò)和信息數(shù)據(jù)安全。

參考文獻

[1] 王元卓，靳小龍，程學旗.網(wǎng)絡(luò)大數(shù)據(jù)：現(xiàn)狀與展望[J].計算機學報，2013，36（6）： 1125-1138.

[2] 孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術(shù)與挑戰(zhàn)[J].計算機研究與發(fā)展，2013，50（1）： 146-169.

[3] 劉藝，張輝，鄧青.大數(shù)據(jù)背景下的智慧安全應急管理創(chuàng)新若干關(guān)鍵科學問題[J].現(xiàn)代管理科學，2018，10： 94-96.

[4] Bojana， Ratk etc， The Impact of Human Factors in the Implementation of SIEM Systems[J] ，Journal of Electrical Engineering 2017，5：196-203.

[5] 李超.大數(shù)據(jù)環(huán)境下的威脅情報分析[J].情報雜志，2017，36（9）： 24-30.

[6] 趙旭，文佳欣.基于安全訪問設(shè)計的省級網(wǎng)絡(luò)安全應急管理平臺研究[J].實驗室環(huán)境與安全，2018，37（6）： 293-296.

[7] 王世偉.論大數(shù)據(jù)時代信息安全的新特點與新要求[J].圖書情報工作，2016，60（6）： 5-14.