陳 立

(江蘇省科技資源統(tǒng)籌服務中心,江蘇 南京 210009)

0 引言

大數(shù)據(jù)的進程與網(wǎng)絡的發(fā)展是相輔相成的,大數(shù)據(jù)技術的完善為網(wǎng)絡使用者提供了更加全面的服務,網(wǎng)絡技術的快速推進是大數(shù)據(jù)普及的動力。 大數(shù)據(jù)與網(wǎng)絡技術的結(jié)合促進了信息時代的進程,大數(shù)據(jù)在推動管理便利化的同時也帶來“人肉搜索”等信息安全問題也屢見不鮮,如何在確保信息時代為計算機用戶提供更好的服務的條件下,解決大數(shù)據(jù)時代的到來對網(wǎng)絡安全產(chǎn)生的威脅,成為行業(yè)健康發(fā)展亟待解決的問題。

1 大數(shù)據(jù)發(fā)展對網(wǎng)絡安全的威脅

現(xiàn)代信息管理中系統(tǒng)和數(shù)據(jù)是否安全一直是信息化建立的最大問題,不安全因素的來源各種各樣,總結(jié)起來,大致有下面幾種主要威脅:非人為、自然力造成的數(shù)據(jù)丟失、設備失效、線路阻斷;人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失;來自外部和內(nèi)部人員的惡意攻擊和入侵。 前面兩種的預防基本相同,可以加強內(nèi)部的管理、規(guī)范操作來減少這種不必要的損失。最后一種是當前網(wǎng)絡所面臨的最大威脅,也是網(wǎng)絡安全策略最需要解決的問題。

1.1 網(wǎng)絡信息的真?zhèn)伪鎰e

隨著龐大的信息數(shù)據(jù)庫被投入互聯(lián)網(wǎng)應用,大量虛假的、歪曲的信息和價值觀也在進攻網(wǎng)民的精神世界,廣泛的不經(jīng)證實的網(wǎng)絡消息,結(jié)合烏合之眾效應,很有可能會對人們的思想價值觀念造成歪曲,尤其是經(jīng)常上網(wǎng)沖浪的心智還未成熟的兒童或青少年,很容易受到這些思想價值觀念的荼毒和誤導。 大量碎片化的未經(jīng)篩選的信息充斥在網(wǎng)絡平臺,信息傳播的低成本、大眾的心理效應,都是培養(yǎng)偽劣信息的溫床[1]。

1.2 信息安全無法得到保證

信息時代的發(fā)展,信息產(chǎn)生了巨額價值,信息的違法販賣不能得到有效的遏制,個人隱私無處遁形。 例如云數(shù)據(jù)技術是為了保證用戶們擁有獨立的空間儲存自己的信息,有利于數(shù)據(jù)的整合和分析,但是云數(shù)據(jù)技術發(fā)展到如今還很不成熟,容易受到黑客攻擊,用戶的數(shù)據(jù)安全無法得到保證;網(wǎng)絡社交平臺的公共性也潛藏著信息泄漏的危險,哪怕只是普通的曬圖、自拍等日常小事,有心之人也會從中搜尋出個人的隱私信息。另外,會有一些不法分子通過計算機技術間接地對他人的計算機進行病毒攻擊,以此達到竊取信息、破壞他人財物等目的,尤其是對于一個重要企業(yè)或者政府國家,核心數(shù)據(jù)遭到攻擊是非常嚴重的事情。 信息安全問題防不勝防,不論是企業(yè)還是個人都需要高度重視,不給不法分子任何可乘之機。

1.3 網(wǎng)絡詐騙愈發(fā)猖獗

互聯(lián)網(wǎng)的普及使得一部分不法分子使用違法手段,利用網(wǎng)絡交友的低成本性對用戶進行詐騙,或者通過惡性軟件進行病毒傳播。 不法分子先進行個人信息的竊取,再利用個人信息提升自己交流的可信性,以達到蒙蔽詐騙網(wǎng)友的效果,并利用網(wǎng)絡犯罪的難以追蹤性鉆取漏洞。 另外,微信、支付寶等移動支付手段幾乎成了每個人日常生活中的必備品。 然而技術只要不斷在發(fā)展更新,就會有漏洞,騙子們還會利用移動支付,發(fā)掘新型的詐騙形式,例如在任何可能的地點粘貼一些來歷不明的二維碼,用一些煽動性話語誘惑用戶進行掃描,使其誤入陷阱,牟取不義之財。

1.4 外部信息侵入風險

基于分享技術的互聯(lián)網(wǎng)全世界互通互聯(lián),在人工智能技術應用逐步深入的情況下,一些境外不良的信息會主動推送給國內(nèi)的普通互聯(lián)網(wǎng)使用者,除了商業(yè)廣告外,甚至涉及意識形態(tài)、科技情報等方面的內(nèi)容,如不加以防范,有可能會造成無法挽回的損失,網(wǎng)絡強國的建設必須要有絕對的網(wǎng)絡安全作為支撐和保障。

2 危害網(wǎng)絡安全的因素

2.1 網(wǎng)絡平臺的監(jiān)管力度不到位

網(wǎng)絡上一些有害的、違法的信息沒有得到足夠嚴密的篩查,危害用戶的思想觀念和思考方式。 另外,對于網(wǎng)絡上具有煽動性和洗腦性的信息,監(jiān)管部門也要用火眼金睛判決信息是否存在,并及時給予處理。 網(wǎng)絡平臺要遏制自己的部門進行責任推諉、利用話術打太極等失責行為,要及時解決用戶的反饋和投訴。

2.2 用戶對個人隱私保護的忽視

當前,各類App、小程序名目繁多,甚至不經(jīng)授權直接安裝在移動用端,任何鏈接、陌生軟件、不明來歷的二維碼都可能隱藏著竊取個人信息的陷阱,因此不要輕易點擊,公民對個人網(wǎng)絡安全防范意識還很不充分,認為丟失部分信息并不會對自己產(chǎn)生切實的傷害和損失,其實信息安全事關每個人生活的方方面面,個人隱私的暴露始終是深埋的隱患。

2.3 互聯(lián)網(wǎng)自由開放的網(wǎng)絡環(huán)境

互聯(lián)網(wǎng)的自由開放意味著發(fā)言門檻低、禁忌少、缺乏規(guī)范性。 每個人都可以選擇在自己的社交平臺上公開發(fā)表言論,展示自己的日常生活,這也讓不法分子有了鉆漏洞謀取不法利益的機會,為網(wǎng)絡安全帶來很大的隱患。 另外,網(wǎng)絡交友也隱藏著很大的風險,一堆數(shù)據(jù)就可以刻畫、偽造出一個“真實”的人[2]。

2.4 商業(yè)利益的驅(qū)動

部分從業(yè)人員或數(shù)據(jù)平臺的管理人員出于個人利益或者商業(yè)利益的需要,將本不該發(fā)布在互聯(lián)網(wǎng)上的業(yè)務數(shù)據(jù)和資料上傳至互聯(lián)網(wǎng)開放平臺,或者通過互聯(lián)網(wǎng)傳送加密文件,都會導致不該接入互聯(lián)網(wǎng)的信息暴露在各類平臺上,嚴重觸犯了數(shù)字資產(chǎn)所有方的利益。

3 基于海量數(shù)據(jù)的平臺系統(tǒng)建設項目信息安全要求

基于海量數(shù)據(jù)的平臺系統(tǒng)項目建設方應認識并嚴格遵循如下共性信息安全要求:一是應遵循信息安全“三同步”原則,應在應用系統(tǒng)規(guī)劃設計之初考慮應用系統(tǒng)的自身安全,并參照采購方相關規(guī)定,明確定義在技術方案書中,在建設過程中嚴格實現(xiàn),并在系統(tǒng)上線前做完整的安全測試,驗收報告;二是應在應用系統(tǒng)規(guī)劃設計之初考慮系統(tǒng)自身架構安全、網(wǎng)絡部署安全等,根據(jù)業(yè)務需求提出詳細的網(wǎng)絡安全訪問控制策略、部署設計方案;三是應在應用系統(tǒng)需求分析時,從安全合規(guī)性、外圍安全影響、業(yè)務自身安全需求等方面進行安全分析,并滿足規(guī)定要求;四是應考慮采購方系統(tǒng)運維工作現(xiàn)狀及版權等因素,調(diào)研并設計符合后期運維需求的產(chǎn)品使用,包括設備廠商、設備型號等;五是系統(tǒng)設計的安全功能應滿足采購方安全要求,確保業(yè)務功能實現(xiàn)不以犧牲系統(tǒng)安全性為代價;六是在項目實施過程中提供的規(guī)范書、維護手冊、應急預案等文檔必須包含安全內(nèi)容;七是在系統(tǒng)交付前對系統(tǒng)進行的測試應包含安全測試,測試環(huán)境應按照采購方要求搭建,模擬生產(chǎn)環(huán)境;八是在系統(tǒng)交付時,應提供應用系統(tǒng)的安全檢測報告和整改報告。

4 維護網(wǎng)絡安全的具體策略

習近平總書記指出,互聯(lián)網(wǎng)不是法外之地。 要夯實各相關主體責任,加強網(wǎng)絡安全治理,引導大數(shù)據(jù)產(chǎn)生、管理、使用各方按照網(wǎng)絡安全法規(guī)范使用互聯(lián)網(wǎng)和大數(shù)據(jù)。

4.1 物理安全防護策略

對于來自互聯(lián)網(wǎng)的業(yè)務訪問,主要采用防火墻+安全隔離網(wǎng)閘+入侵檢測系統(tǒng)加以隔離、防護,需要在本系統(tǒng)和外網(wǎng)的連接處配置防火墻,通過防火墻的策略配置,可以阻止大部分外部的惡意攻擊。 但防火墻本身在安全防護方面存在一定的缺陷,即它只能提供靜態(tài)的、被動的保護,因此還需要在防火墻后配備入侵檢測系統(tǒng),通過入侵檢測系統(tǒng)發(fā)現(xiàn)外部的可疑攻擊并調(diào)整防火墻的策略。 最大限度地把非預期的信息屏蔽在外,通過對病毒在網(wǎng)絡中存儲、傳播、感染的各種方式和途徑進行分析。 在網(wǎng)絡安全的病毒防護方面可采用“多級防范,集中管理,以防為主、防治結(jié)合”的動態(tài)防毒策略,從用戶端PC、網(wǎng)絡安全區(qū)域結(jié)合部、郵件服務器、文件服務器和應用服務器等病毒可能的傳輸途徑進行防治,實現(xiàn)全方位立體防毒。

4.2 操作系統(tǒng)安全策略

4.2.1 與最新的補丁和升級同步

事實表明,大部分成功的攻擊其罪魁禍首只是軟件中數(shù)量很少的幾種“老”脆弱點。 攻擊者之所以會利用這些最簡單方便的脆弱點,是因為利用這些“著名”安防漏洞的工具在網(wǎng)絡上到處都有;而攻擊者之所以能夠得手卻完全是因為眾多的企業(yè)自身對這些“著名”的安防漏洞視而不見,給攻擊者以可乘之機。

4.2.2 監(jiān)控和分析日志文件

每一臺系統(tǒng)都會生成日志文件,Windows 服務器會生成事件日志,Unix 服務器會產(chǎn)生Syslog 日志,而Web 服務器軟件、防火墻、入侵監(jiān)測系統(tǒng)以及其他第三方應用軟件、安防產(chǎn)品也會生成各種各樣的日志文件。 對這些日志文件的監(jiān)控和分析,可以幫助用戶精準地定位異常事項。

4.2.3 定期復查系統(tǒng)配置

為了確保系統(tǒng)不因非法地對系統(tǒng)配置進行修改而產(chǎn)生安全問題,應定期地復查關鍵系統(tǒng)的系統(tǒng)配置。當然,如果需要復查的系統(tǒng)太多,系統(tǒng)地逐臺檢查其配置是不現(xiàn)實的,這時應該采用一些工具軟件進行輔助。

4.3 應用平臺設計安全策略

從技術防護層面看,修復信息泄露的漏洞,加強網(wǎng)絡安全的防護,要從網(wǎng)絡技術本身出發(fā),提升計算機核心技術,有效阻止黑客的病毒攻擊和技術攻破,提升網(wǎng)絡安全的分級分類防護水平。 同時大數(shù)據(jù)技術也需要不斷創(chuàng)新,仔細甄別數(shù)據(jù)產(chǎn)生的差異,定期對網(wǎng)絡安全數(shù)據(jù)進行歸納檢查,為網(wǎng)絡安全產(chǎn)生防護作用,保證網(wǎng)絡的傳輸質(zhì)量。 利用先進技術加強對不法分子不法行為的追蹤,完善實名認證制度,對網(wǎng)絡詐騙行為進行及時的定位追蹤并且給予相應的懲處。

4.3.1 應用級別權限控制

項目提供的解決方案需支持基于個人、單位、部門、群組、角色、崗位的多維度權限控制,系統(tǒng)可以針對以上屬性進行靈活的權限設定,確保信息安全的可定義性和可執(zhí)行性。

4.3.2 訪問加密

實現(xiàn)HTTPS 通道訪問加密和防DOS 攻擊,記錄訪問請求日志,通過HTTPS 保證傳輸信息加密安全性,同時可以防止蜘蛛爬蟲的信息采樣。

4.3.3 登錄身份認證

一是PKI 統(tǒng)一身份認證。 平臺支持為用戶配置唯一的用戶證書和唯一的一對公鑰/私鑰,在應用過程中進行基于身份的加密傳輸和加密存儲。 二是系統(tǒng)登錄強身份認證。 用戶登錄平臺除了需要常規(guī)的用戶名密碼外,還需要輸入驗證碼,驗證碼支持通過手機短信的方式隨機生成,并設置有效期,有需要的話,平臺也支持接入CA 認證。 三是單點登錄SSO。 系統(tǒng)內(nèi)所有功能模塊或者子系統(tǒng),用戶只需要進行一次登錄驗證,就能夠完整使用。

4.4 數(shù)據(jù)安全策略

4.4.1 用戶敏感信息加密存儲

保證不把敏感性數(shù)據(jù)在數(shù)據(jù)庫里以明文存放。 密碼應該總是在單向(one-way)hashed 過后再存放,同時也必須對數(shù)據(jù)庫里的所有私有數(shù)據(jù)進行加密。

4.4.2 傳輸加密

為了保護數(shù)據(jù)在傳送過程中的安全,系統(tǒng)將采用SSL 加密機制。 在瀏覽器和Web 服務器之間構造安全通道進行數(shù)據(jù)傳輸,采用了RC4,MD5 以及RSA 等加密算法[3]。

4.4.3 雙機熱備份

設置雙擊熱備份,在系統(tǒng)正常情況下,工作機為信息系統(tǒng)提供支持,備份機監(jiān)視工作機的運行情況。 當工作機出現(xiàn)異常,不能支持信息系統(tǒng)運營時,備份機主動接管工作機的工作,繼續(xù)支持信息的運營,從而保證信息系統(tǒng)能夠不間斷的運行。 宕工作機經(jīng)過修復正常后,系統(tǒng)管理員通過管理命令或經(jīng)由以人工或自動的方式將備份機的工作切換回工作機;也可以激活監(jiān)視程序,監(jiān)視備份機的運行情況,此時,原來的備份機就成了工作機,而原來的工作機就成了備份機。

4.4.4 磁盤陣列建設

在一般性的應用上,單一服務器在遇到問題造成停頓或宕機時,作業(yè)都必須停止一段時間,以便進行整理或維修,這樣的情況在大部分的單位里是不被允許的,因此有了雙服務器的應用方案,但雙服務器方案容易造成原配置的數(shù)據(jù)通道不夠,或資料IN/OUT 的時間、位置不統(tǒng)一的狀況,此時磁盤陣列柜可以解決上述問題,因為磁盤陣列大多配備了多個通道,提供給兩個以上的服務器使用,同時RAID 透過控制器的切割,可以切割出多個區(qū)間滿足不同服務器的需要。

4.5 數(shù)據(jù)提供和使用端防護策略

4.5.1 數(shù)據(jù)搜集和提供端

在建立公共服務平臺時,數(shù)據(jù)搜集和提供端是數(shù)據(jù)安全的第一道關,數(shù)據(jù)搜集和扎口單位是第一責任人,要建立和完善數(shù)據(jù)篩選、審查和評估機制,明確相關規(guī)范和標準,確定哪些字段可以上網(wǎng)公開,哪些字段不可以公開或者有權限地公開,從源頭上把好“準入”關,實現(xiàn)數(shù)據(jù)共享和安全的統(tǒng)籌兼顧。

4.5.2 互聯(lián)網(wǎng)用戶端

互聯(lián)網(wǎng)使用者要貫徹網(wǎng)絡安全法,提升自己的網(wǎng)絡安全防范意識,在利用殺毒軟件、防火墻和一些安全性較高的密碼等途徑為自己的信息安全構建堅固的防護的前提之下,去充分享受大數(shù)據(jù)技術帶來的便利。同時,常態(tài)化檢查計算機中的軟件信息,經(jīng)常進行殺毒防護,并鞏固防火墻的強度,避免造成更多的經(jīng)濟損失。 各金融、購物、游戲等相關互聯(lián)網(wǎng)平臺要建章立制,完善用戶隱私信息預警機制和保護制度,實現(xiàn)閉環(huán)管理,從根本上守護信息安全的底線。

4.5.3 政府與平臺端

當前,隨著“放管服”改革的深入開展,各地方政府部門普遍加強部門數(shù)據(jù)集成和共享,以實現(xiàn)對大部分事項的“一網(wǎng)通辦”,數(shù)據(jù)的安全風險便隨之而來。 因此,要不斷完善網(wǎng)絡管理制度,加強對信息的篩選和監(jiān)管力度,遏制不良信息和虛假謠言的傳播,對于信用異常的賬號進行封號或禁言處理,為平臺的用戶構建一個安全文明的網(wǎng)絡環(huán)境。 政府要完善網(wǎng)絡安全相關的法律制度,對網(wǎng)絡上違反犯罪行為給予高效有力的打擊,有效改善網(wǎng)絡環(huán)境的風氣。 貫徹落實《云計算服務安全評估辦法》,推動各級各類政務云計算服務平臺申報并通過安全評估,督促黨政機關、事業(yè)單位、國有企業(yè)采購使用通過安全評估的云計算服務。 強化政務信息系統(tǒng)、黨政機關網(wǎng)站和電子郵件系統(tǒng)安全和保密管理。