南京師范大學(xué)中北學(xué)院 黃四青

南京師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 馮學(xué)軍

隨著社會(huì)網(wǎng)絡(luò)普及，大數(shù)據(jù)資源越來越豐富，解決大數(shù)據(jù)時(shí)代的信息安全問題迫在眉睫。本文先分析大數(shù)據(jù)時(shí)代的安全風(fēng)險(xiǎn)，然后通過架構(gòu)云安全平臺(tái)來實(shí)現(xiàn)大數(shù)據(jù)的處理、存儲(chǔ)和應(yīng)用的安全保障。

1.大數(shù)據(jù)時(shí)代的安全風(fēng)險(xiǎn)

在當(dāng)今信息化時(shí)代，人們的工作生活離不開電腦、IPAD、智能手機(jī)，而這些電子產(chǎn)品的使用離不開有線或無線網(wǎng)絡(luò)，這些巨大的在線數(shù)據(jù)資源匯聚在大數(shù)據(jù)平臺(tái)。由于利益關(guān)系這必然成為黑客網(wǎng)絡(luò)攻擊的重要目標(biāo)。2018年8月發(fā)生“史上最大規(guī)模數(shù)據(jù)竊取案”，涉及百度、騰訊、阿里等全國(guó)互聯(lián)網(wǎng)巨頭幾十億條用戶數(shù)據(jù)，犯罪分子利用非法竊取的用戶數(shù)據(jù)，操控用戶賬號(hào)非法獲利。如果國(guó)家重要部門數(shù)據(jù)平臺(tái)系統(tǒng)遭遇這類事件，后果將難以想象。大數(shù)據(jù)時(shí)代，我國(guó)網(wǎng)絡(luò)安全面臨著多重安全威脅。第一，由于計(jì)算機(jī)基礎(chǔ)設(shè)施及基礎(chǔ)硬件比較薄弱，我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施及基礎(chǔ)硬件系統(tǒng)受制于人，重要行業(yè)的重要信息系統(tǒng)核心軟硬件設(shè)施中使用的服務(wù)器、操作系統(tǒng)和數(shù)據(jù)庫(kù)等皆采用國(guó)外企業(yè)的產(chǎn)品，國(guó)內(nèi)數(shù)據(jù)安全命脈大部分掌握在國(guó)外企業(yè)手中。其次，由于網(wǎng)站及應(yīng)用系統(tǒng)的漏洞、后門導(dǎo)致重大安全事件頻繁發(fā)生。第三，網(wǎng)絡(luò)攻擊手段越來越復(fù)雜。所以，大數(shù)據(jù)時(shí)代的信息安全問題，將是保障大數(shù)據(jù)應(yīng)用的前提條件。

2.云安全架構(gòu)下的大數(shù)據(jù)安全

云計(jì)算相當(dāng)于計(jì)算機(jī)和操作系統(tǒng)，采用的技術(shù)方案是將大量的硬件資源虛擬化之后再進(jìn)行分配使用。Amazon、Vmware、Openstack為云計(jì)算提供了商業(yè)化的標(biāo)準(zhǔn)。所謂大數(shù)據(jù)技術(shù)就是從從各種類型的數(shù)據(jù)中，以極快速度獲得有價(jià)值信息的能力。大數(shù)據(jù)的安全問題可采用“云安全架構(gòu)”(依托大而靈活的云安全資源池)解決，云安全架構(gòu)是保障大數(shù)據(jù)信息安全的支撐體系。云安全架構(gòu)是在傳統(tǒng)安全架構(gòu)的基礎(chǔ)上發(fā)展來的，繼承了傳統(tǒng)安全架構(gòu)在管理、技術(shù)和運(yùn)維層面的優(yōu)勢(shì)和特點(diǎn)，融入了大容量并行計(jì)算、虛擬化和分布式處理等技術(shù)。通過云安全架構(gòu)可以實(shí)現(xiàn)對(duì)大數(shù)據(jù)處理、存儲(chǔ)和應(yīng)用的安全保障。

云安全架構(gòu)分為四個(gè)部分，如圖1所示。

2.1 主機(jī)安全

主要是指硬件、固件以及配套設(shè)施的自身安全和安全管理措施，包括：不斷完善大數(shù)據(jù)中心管理制度，嚴(yán)格監(jiān)控、保衛(wèi)、加強(qiáng)消防等制度建設(shè)，確保主機(jī)安全保護(hù)環(huán)境。

2.2 網(wǎng)絡(luò)安全

加強(qiáng)大數(shù)據(jù)平臺(tái)云網(wǎng)絡(luò)安全，首先應(yīng)該有效的控制網(wǎng)絡(luò)的流量，并控制網(wǎng)絡(luò)邊界。其次在服務(wù)器內(nèi)部安裝防火墻及完善ACL技術(shù)，服務(wù)器設(shè)置登錄密碼，從而能夠禁止惡意攻擊。在選擇云計(jì)算平臺(tái)提供商時(shí)，選擇具備第三方認(rèn)證的商家。

圖1 云安全架構(gòu)示意圖

2.3 虛擬化安全

基于虛擬化技術(shù)的云計(jì)算安全風(fēng)險(xiǎn)來自兩個(gè)方面，第一、虛擬服務(wù)器的物理安全；第二、虛擬服務(wù)器的軟件安全。

購(gòu)買虛擬服務(wù)器，應(yīng)考慮把具有可信安全模塊（啟動(dòng)時(shí)可以檢測(cè)用戶密碼）并且支持虛擬機(jī)的硬件（保證CPU之間的物理隔離）做為物理服務(wù)器。虛擬服務(wù)器與每一臺(tái)虛擬機(jī)之間在所有方面都要盡可能的進(jìn)行隔離，每臺(tái)虛擬服務(wù)器都應(yīng)分配一個(gè)獨(dú)立的硬盤分區(qū);每臺(tái)虛擬服務(wù)器上應(yīng)安裝和更新基于主機(jī)的反病毒機(jī)制，使用IPSEC或加密技術(shù)。這些措施的目的是當(dāng)黑客對(duì)一臺(tái)虛擬服務(wù)器攻擊時(shí)不會(huì)擴(kuò)散到其他服務(wù)器。

虛擬服務(wù)器的軟件層部署于物理機(jī)之上，具備創(chuàng)建、運(yùn)行和銷毀虛擬服務(wù)器的功能。虛擬化軟件層能確保虛擬機(jī)在租戶很多的情況下相互隔離，可以使租戶在一臺(tái)計(jì)算機(jī)上同時(shí)運(yùn)行多個(gè)操作系統(tǒng)。作為虛擬機(jī)的核心，必須要保證它的安全。

2.4 管理安全

云服務(wù)提供層的管理風(fēng)險(xiǎn)來自于兩方面，一方面是云服務(wù)的安全性。隨著越來越多的大型企業(yè)開始嘗試云計(jì)算，越來越多的大型企業(yè)系統(tǒng)遷移到云架構(gòu)上，尤其是公共云計(jì)算，同時(shí)帶來的風(fēng)險(xiǎn)是大型云計(jì)算供應(yīng)商成為攻擊目標(biāo)。另一方面是云計(jì)算服務(wù)的可靠性。這源于云服務(wù)的兩個(gè)相關(guān)因素，其一是云服務(wù)的復(fù)雜性，隨著大數(shù)據(jù)中心數(shù)據(jù)的快速增長(zhǎng)以及在全世界的擴(kuò)張，云架構(gòu)的復(fù)雜性表現(xiàn)出幾何級(jí)數(shù)的增長(zhǎng)，其中一些自動(dòng)化或半自動(dòng)化進(jìn)程所產(chǎn)生的非預(yù)期性的數(shù)據(jù)交互，會(huì)導(dǎo)致大量的數(shù)據(jù)出錯(cuò)。另一個(gè)原因是目前完善的公共云架構(gòu)很少。為了增強(qiáng)云計(jì)算和云存儲(chǔ)服務(wù)的可信性，一方面是提供云計(jì)算的問責(zé)功能，通過記錄操作信息實(shí)現(xiàn)對(duì)惡意操作的追蹤和問責(zé)。另一方面是構(gòu)建可信的云計(jì)算平臺(tái)，通過可信計(jì)算、安全啟動(dòng)、云端網(wǎng)關(guān)等技術(shù)手段達(dá)到云計(jì)算的可信性。另外需要制定與云安全相關(guān)的法律、法規(guī)、標(biāo)準(zhǔn)。

2.5 應(yīng)用安全

用戶層的應(yīng)用安全主要包括網(wǎng)站安全漏洞檢測(cè)和Web應(yīng)用防火墻兩方面。

(1)網(wǎng)站安全漏洞檢測(cè)

目前網(wǎng)站安全漏洞檢測(cè)的類型包括SQL注入、XSS跨站腳本、緩沖區(qū)溢出、上傳漏洞、源代碼泄露、網(wǎng)頁掛馬、隱藏目錄泄露、數(shù)據(jù)庫(kù)泄露、管理地址泄露、網(wǎng)站性能檢測(cè)、弱口令、網(wǎng)絡(luò)輿論信息監(jiān)測(cè)等等。網(wǎng)頁掛馬的功能是檢測(cè)Web網(wǎng)站是否被黑客或惡意攻擊者非法植入了木馬程序。網(wǎng)絡(luò)輿論信息監(jiān)測(cè)功能是依據(jù)文本挖掘技術(shù)及搜索引擎技術(shù)，通過網(wǎng)頁內(nèi)容的自動(dòng)采集處理、敏感詞過濾、智能聚類分類、主題檢測(cè)、專題聚焦、統(tǒng)計(jì)分析，實(shí)現(xiàn)各單位對(duì)自己相關(guān)網(wǎng)絡(luò)輿論監(jiān)督管理的需要，為決策層全面掌握輿情動(dòng)態(tài)，做出正確輿論引導(dǎo)，提供分析依據(jù)。

(2)Web應(yīng)用防火墻

Web應(yīng)用防火墻依托云計(jì)算架構(gòu)，由引擎中心、運(yùn)營(yíng)監(jiān)控中心以及云用戶控制中心組成?？筛鶕?jù)接入網(wǎng)站的多少和訪問量級(jí)對(duì)防火墻擴(kuò)容，提供全面的WEB安全防御。Web應(yīng)用防火墻功能包括對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)、增強(qiáng)輸入驗(yàn)證、及時(shí)補(bǔ)丁修補(bǔ)Web安全漏洞。

2.6 數(shù)據(jù)安全

依據(jù)云計(jì)算特點(diǎn)和數(shù)據(jù)的生命周期，云端用戶層數(shù)據(jù)安全框架構(gòu)建了數(shù)據(jù)訪問、傳輸、存儲(chǔ)和銷毀四個(gè)環(huán)節(jié)。對(duì)于不同環(huán)節(jié)數(shù)據(jù)安全管理要求如圖2所示。

圖2 云端用戶層數(shù)據(jù)安全框架

3.總結(jié)

依托云安全體系架構(gòu)實(shí)現(xiàn)大數(shù)據(jù)安全的突出問題集中在大數(shù)據(jù)特有的虛擬化安全問題。在架構(gòu)云安全體系時(shí)把安全因素放在首位，通過安全服務(wù)方式進(jìn)行交互，這樣可以增強(qiáng)云計(jì)算的安全防護(hù)能力以及安全服務(wù)的可視交付，并根據(jù)風(fēng)險(xiǎn)預(yù)警進(jìn)行實(shí)時(shí)的策略控制。這將使得云計(jì)算的服務(wù)交付更加安全可靠，從而邁向大數(shù)據(jù)信息技術(shù)時(shí)代。