◆趙俊 王圣立

大數(shù)據(jù)時代下保密面臨的風險及技術應對

◆趙俊 王圣立

（上海計算機軟件技術開發(fā)中心 上海 201112）

隨著虛擬化、云計算、大數(shù)據(jù)等新技術的發(fā)展和應用，為適應大型的政府機關及軍工單位辦公、設計、研發(fā)、生產(chǎn)的新需求，信息系統(tǒng)、設備逐步采用虛擬化、云技術、大數(shù)據(jù)技術等相關應用和產(chǎn)品設備；原有的保密規(guī)范標準無法滿足技術發(fā)展，保密工作面臨著新的風險，同時如何應對在大數(shù)據(jù)情境下的風險也是重點工作。

大數(shù)據(jù)；保密技術；保密管理

1 大數(shù)據(jù)時代對保密工作的影響及風險

1.1 大數(shù)據(jù)時代泄密風險增加

隨著云、大、物、移、智等技術的快速發(fā)展和應用，日常工作和學習過程中產(chǎn)生了種類復雜多變的數(shù)據(jù)，海量用戶數(shù)據(jù)之間存在千絲萬縷的關聯(lián)關系，使用某些特定的分析工具技術可以挖掘出用戶的價值信息。用戶信息大數(shù)據(jù)中的私密數(shù)據(jù)和敏感信息在動態(tài)變化的環(huán)境中面臨嚴峻的泄密和竊取風險，信息安全保密問題日益突出，需要高度警惕[1]。

（1）病毒及黑客攻擊帶來安全問題

網(wǎng)絡系統(tǒng)的發(fā)展以及辦公方式的改變，為網(wǎng)絡黑客和病毒傳播提供了良好的介質，對大數(shù)據(jù)的應用和發(fā)展帶來了致命的沖擊，特別是涉密單位的網(wǎng)絡系統(tǒng)。系統(tǒng)數(shù)據(jù)的存儲量大、價值高、管理模式開放，黑客和病毒（如勒索病毒）的入侵能夠輕易控制計算機，獲取重要數(shù)據(jù)信息，容易造成整個系統(tǒng)體系的癱瘓[2-3]。

（2）數(shù)據(jù)垃圾泄密的可能性

數(shù)據(jù)垃圾（如垃圾郵件、垃圾短信等）是指那些已經(jīng)失去價值與作用的數(shù)據(jù)，過去這些數(shù)據(jù)都沒有存儲和防護的必要，但在大數(shù)據(jù)時代，數(shù)據(jù)垃圾有其獨特的價值，可以通過數(shù)據(jù)挖掘和數(shù)據(jù)分析技術，發(fā)現(xiàn)數(shù)據(jù)間的混雜性，從其中提取一些敏感信息和數(shù)據(jù)之間的相關關系，獲取情報與有效信息。因此對于有關單位來說，要切實規(guī)避數(shù)據(jù)垃圾泄密帶來的安全隱患。

1.2 保密管理、檢查難度增大

隨著大數(shù)據(jù)時代的快速發(fā)展，各類系統(tǒng)的數(shù)據(jù)量、信息量的大幅增加，保密管理及檢查人員配備較少，這就加大了保密和設備管理的難度、信息泄露的風險；特別是涉密單位的非涉密網(wǎng)絡、保密安全審計工作和網(wǎng)絡安全系統(tǒng)管理方面。

（1）涉密單位的非涉密網(wǎng)絡可能成為泄密的重災區(qū)

隨著科技日新月異，4G/5G技術、云技術快速發(fā)展和應用，移動終端（手機、PAD）、智能外設等移動設備更加廣泛地使用在日常的工作及生活中。同時有關單位的非涉密網(wǎng)絡安全防護措施普遍低于涉密網(wǎng)絡，且非涉密計算機的使用者的安全防護意識和措施遠遠低于涉密者，因此在大數(shù)據(jù)時代下非涉密網(wǎng)絡出現(xiàn)病毒和黑客攻擊風險進一步增加。

現(xiàn)在使用的保密檢查工具大多是單機版檢查軟件，無法并發(fā)多終端同時檢查，耗時長；且檢查工具一般僅針對終端操作系統(tǒng)，如Windows、Linux等系統(tǒng)，不支持移動端等系統(tǒng)，同時不能識別加密文件、數(shù)據(jù)庫文件或特定格式文件中的內(nèi)容，故無法全面高效檢查終端和移動端的設備。同時非涉密網(wǎng)絡存在其他安全風險隱患：通過大數(shù)據(jù)技術分析，境外敵對機構能更精確地確定涉密人員，分析其習慣、愛好、好友甚至郵件、文檔等各類數(shù)據(jù)，制定針對該人員的非密計算機或移動設備進行點對點的攻擊方案，從而獲取重要信息的可能性大幅增加，為此必須保證在互聯(lián)網(wǎng)使用的設備的安全。

（2）保密審計工作量大并且流于表面

保密審計工作涉及面廣、內(nèi)容復雜，如人員進出、視頻、設備使用等日常記錄數(shù)據(jù)。常見的審計產(chǎn)品：如打印審計、堡壘機、主機審計系統(tǒng)等，但其功能比較單一且無法快速精確地確定問題。隨著用戶使用量的增加，特別是大型單位，保密信息系統(tǒng)復雜、數(shù)據(jù)及操作繁多，但單位的保密審計人員數(shù)量有限，定期對涉密系統(tǒng)進行如此數(shù)量級信息數(shù)據(jù)審計檢查工作存在較大難度，從浩瀚的審計日志、圖片中很難找到可能泄密或者違規(guī)的操作，最終造成審計工作只能流于表面，例行公事而已。

（3）網(wǎng)絡安全系統(tǒng)管理難度增大

傳統(tǒng)的涉密信息網(wǎng)絡系統(tǒng)涉及的網(wǎng)絡安全設備、服務器等設備較少，系統(tǒng)管理員通過人工定期查看設備運行情況、檢查設備負荷情況、檢查各系統(tǒng)運行記錄等來對涉密網(wǎng)絡安全進行維護和管理。隨著大數(shù)據(jù)時代發(fā)展，大型機構的信息系統(tǒng)所使用的網(wǎng)絡設備、安全產(chǎn)品、刀片服務器、存儲設備大幅增加，網(wǎng)絡系統(tǒng)故障點及故障類型種類和數(shù)量增多，僅通過人工定期檢查和維護越來越困難，而且故障的解決效率也越來越低。

2 大數(shù)據(jù)時代下的保密技術發(fā)展及設想

2.1 大數(shù)據(jù)技術應對黑客攻擊及病毒

大數(shù)據(jù)網(wǎng)絡時代面臨黑客攻擊、病毒威脅及數(shù)據(jù)垃圾威脅，目前主要采用在網(wǎng)絡架構中增加網(wǎng)絡安全產(chǎn)品（如防火墻、防毒墻、漏掃、IDS、IPS等），同時對終端設備進行加固；加強使用人員的保密意識，規(guī)范上網(wǎng)行為。但上述措施往往只能防止已知的病毒及漏洞攻擊，對于層出不窮的新生變種病毒、針對性的黑客攻擊等還沒有有效的解決方法。

采用大數(shù)據(jù)安全分析技術可以有效解決這一問題，可以將海量的網(wǎng)絡訪問、攻擊、告警等記錄整合、刪選及智能判斷生成少量存在威脅感知告警，再通過安全管理員對上述威脅告警進行人工核對、分析、判讀、響應，從而將網(wǎng)絡攻擊數(shù)據(jù)分析工作進行得更加精準及快速。同時采用大數(shù)據(jù)數(shù)據(jù)分析技術，可以將各種設備、終端及系統(tǒng)的配置信息、軟件運行情況、協(xié)議運行情況、端口情況、系統(tǒng)資源情況、安全策略運行情況等信息進行收集并分析，智能分析設備/終端存在的漏洞、安全隱患及存在問題的嚴重程度，可以根據(jù)局域網(wǎng)、廣域網(wǎng)內(nèi)受攻擊的設備的相關記錄信息分析溯源，為安全管理員提供快速可靠的分析結果及處理建議。

2.2 大數(shù)據(jù)技術應對非涉密區(qū)設備檢查

傳統(tǒng)的非涉密計算機檢查工具僅限于單機檢查，需要專人在每臺終端上進行操作及人工分析，隨著終端數(shù)量的增加，工作量及時間成本大大提高；同時傳統(tǒng)檢查工具一般只是對于Windows、Linux等主流操作系統(tǒng)中的文本、rar等文件進行檢查，對于數(shù)據(jù)庫文件、加密文件、云存儲文件、特定軟件格式文件或其他操作系統(tǒng)（安卓、蘋果等系統(tǒng)）還無法做到全面檢查及智能分析。

通過大數(shù)據(jù)技術，未來的非涉密系統(tǒng)檢查工具應能做到全面、自動的檢查，包括對各類終端（計算機、平板、手機、移動端、智能外設、服務器、云、虛機等），各類操作系統(tǒng)（Windows、Linux、安卓、MAC OS、云系統(tǒng)等），各類應用（郵件、OA、微信、QQ、釘釘、論壇及各類數(shù)據(jù)庫等），各類文件（文本、圖片、壓縮文件、PDF/OFD、加密文件、虛擬盤、特定格式文件等）。通過B/S或C/S架構快捷部署客戶端檢查工具，執(zhí)行全面檢查策略，并將檢查結果及發(fā)現(xiàn)問題統(tǒng)一上傳到服務器端，對采集的海量信息進行數(shù)據(jù)清理、刪選、快速整合得出有用的數(shù)據(jù)，為單位保密檢查人員提供有用有針對性的數(shù)據(jù)支撐。

現(xiàn)在已有新的保密檢查產(chǎn)品能對多種文件、郵件、數(shù)據(jù)庫等進行分析檢查，同時隨著信創(chuàng)的大力推進，對于國產(chǎn)操作系統(tǒng)的專用保密檢查工具也陸續(xù)上市，相關研發(fā)機構也在積極采用大數(shù)據(jù)技術完善非涉密系統(tǒng)檢查工具；同時大數(shù)據(jù)技術的可視化、態(tài)勢感知等大數(shù)據(jù)衍生應用也逐步在保密領域應用，為保密管理部門提供有力的依據(jù)。

2.3 大數(shù)據(jù)技術輔助安全審計

通過采集工具對審計文件信息數(shù)據(jù)進行匯總歸納，清洗、分析不同結構類型的數(shù)據(jù)，使用大數(shù)據(jù)技術發(fā)掘數(shù)據(jù)之間的關聯(lián)關系。根據(jù)審計員的個性化需求作為篩選條件，對收集的信息數(shù)據(jù)進行有效分析，呈現(xiàn)給審計人員進行核對檢查，通過大數(shù)據(jù)比對及人工智能分析技術可以快速定位到可疑輸出文件，再由人工進行干預判斷，進而提高工作效率，提升工作質量，有效減少泄密事件發(fā)生。

通過大數(shù)據(jù)技術的應用，在海量的數(shù)據(jù)中可以有效追溯檢查，避免人工檢查的片面，有助于快速發(fā)現(xiàn)問題。對于多次發(fā)生的問題可以進行分析匹配，作為失泄密事件追溯的依據(jù)，或者可提前預警失泄密行為，減少造成的危害。通過對打印審計數(shù)據(jù)的分析處理，剔除無用信息，避免人為或失誤所造成的失泄密行為，實質提高單位資質、涉密企事業(yè)審計工作的落實。通過對堡壘機相關數(shù)據(jù)的檢查分析，在海量的圖片及數(shù)據(jù)中分析是否存在異常操作行為，比如數(shù)據(jù)輸入輸出、遠程登錄、異常登錄等操作，對于存在問題或者異常的操作行為重點記錄，并長期存儲，發(fā)現(xiàn)違規(guī)行為時系統(tǒng)自動觸發(fā)警示信息，最終讓審計工作落到實處，避免紙上談兵及表面工作。

2.4 大數(shù)據(jù)技術輔助系統(tǒng)運維保障

在系統(tǒng)運維過程中，某些服務器、網(wǎng)絡設備通常會由小問題、小操作的積累造成重大故障、關鍵故障的發(fā)生，如服務器錯誤記錄可能導致存儲空間減少，時間久了就有可能造成存儲崩潰，進而牽制其他系統(tǒng)的崩潰。網(wǎng)絡上的個別或零散錯誤訪問，可能就是今后病毒暴發(fā)的前兆；遠程登錄延遲，可能就是因為中間機、堡壘機等中間設備出現(xiàn)故障。在系統(tǒng)運維中，系統(tǒng)管理員一般會采用日志管理系統(tǒng)輔助管理大量的網(wǎng)絡及相關設備。

采用大數(shù)據(jù)技術對于涉密體系內(nèi)部網(wǎng)絡的設備信息數(shù)據(jù)（包括交換設備、防火墻、入侵檢測、服務器、終端、打印設備等設備的配置、數(shù)據(jù)、使用記錄等）統(tǒng)一采集梳理、日志管理，使用大數(shù)據(jù)分析技術對設備數(shù)據(jù)進行分析處理，高效地分析海量的日志記錄，在不同產(chǎn)品、不同格式的日志中對于不同的故障及可能趨勢進行分析，定期向使用人員匯總各類日記記錄情況，定期展示各系統(tǒng)運行情況，分析可能出現(xiàn)的故障，輔助管理員判斷系統(tǒng)的健康情況，避免各類故障集中爆發(fā)造成重大損失。最終做到提前發(fā)現(xiàn)問題、快速定位故障、高效解決問題。

3 結語

隨著大數(shù)據(jù)技術在保密系統(tǒng)的逐步深入使用，越來越多的大數(shù)據(jù)技術將會運用到今后的保密信息系統(tǒng)建設中去，為保密工作提供有效的支撐及參考，能更加高效地配合保密管理人員完成單位的信息系統(tǒng)的查漏補缺、安全審計、系統(tǒng)管理等工作。

[1]黃蕗.大數(shù)據(jù)時代的信息安全[J].現(xiàn)代電信科技，2016，46（1）.

[2]杜婧子，劉烜塨.計算機信息系統(tǒng)保密技術與安全管理方式研究[J].信息與電腦，2018（5）.

[3]段立軍.大數(shù)據(jù)時代的信息安全保密工作[J].電子技術與軟件工程，2017（4）.

[4]張旭.大數(shù)據(jù)安全分析技術在安全保密工作中的應用[J].保密科學技術，2015（9）.

[5]于成麗.我國漏洞披露平臺安全問題分析及對策建議[J].保密科學技術，2017（1）.