大數據技術視角下的網絡安全問題及其對策研究

聶瑞濤

（太原學院軍事理論教研室 山西 太原 030032）

0 引言

隨著互聯網應用技術的發展，日常商品的交易活動、人們出行娛樂及隱私會話都基本實現線上化。在各種信息的交互過程中產生了大量的用戶行為及隱私數據，這些數據蘊含著巨大的商業價值，因此它們就成為黑客攻擊的主要目標。黑客通過非法手段獲取數據開展其不法行為，侵害人們的利益。本文從大數據技術視角進行剖析，探討當前場景及應用技術下存在的信息傳播及網絡安全問題，并提出防范對應策略，以期對大數據技術信息安全及健康發展提供積極作用。

1 大數據技術概述

大數據技術，即所涉及資料規模巨大到無法透過目前主流軟件工具在合理時間內達到擷取、管理、處理并整合成為幫助企業經營決策、提供積極影響的信息，而隨著技術發展也誕生出許多新的數據處理模式對數據分析和處理（如目前比較流行的Hadoop、Spark等技術）。大數據技術發展至今，已滲透到我們的生活。比如喜歡網購的用戶打開手機淘寶時，一些用戶興趣點的商品隨即被推送過來，然后快速形成了訂單；再比如許多用戶喜歡在空余時間打開抖音、快手等短視頻應用瀏覽，用戶的每一次觀看、點贊、停留都會被識別感興趣標簽，從而當他下次打開應用時，同類型的視頻流不斷推來。這些都是大數據技術在人們日常生活十分常見的小微應用場景。大數據的特點分四個層面，互聯網行業將其總結歸納為 4 個“V”，即為 Volume（大量）、Variety（多樣）、Value（價值）、Velocity（高速）。其產生的核心意義并非在于“巨大無比”規模體量的數據，而是大數據技術帶來一種全新的應用思維場景和技術變革的結合，實現不同行業用戶在任何場景下都可以通過一定的規則進行信息的搜集、分析處理，通過相關產業和互聯網結合的載體，實現更大的商業經濟效應的轉化。

2 大數據技術背后面臨的網絡安全問題

Gartner曾說：“大數據安全是一場必要的斗爭”[1]。當大數據技術的應用給人們的生活帶來一定便利的同時，信息安全問題也逐漸凸顯出來。由于大數據的產生是基于各個行業場景下數據的“流動性”和“可獲取性”，這就必然導致了這些數據在場景的各個節點之間都是開放傳輸，結果是傳輸過程中數據泄露的風險大大增加。加之，近年許多企業為了節省物理節點的成本而將服務部署到云服務器上，以及許多中小互聯網應用企業通過隱私協議的形式，大肆搜集用戶數據并進行違規應用。以上所述給用戶隱私數據和敏感信息帶來了巨大的安全隱患。加強數據時代的技術水平，有助于營造一個健康、安全、穩定的數據空間，進而切實提高數據的使用成效，同時強化網絡安全管理，有助于結合形勢的變化等不斷進行技術創新和優化，進而推動技術進步，更好地為行業發展和社會進步提供重要的支撐[2]。

2.1 大數據傳輸過程漏洞

數據采集節點的增加必然涉及大量數據的傳輸，大數據在傳輸階段不但存在數據丟失的風險，還可能被他人竊取利用。在傳輸階段，為了提升傳輸準確性，對數據進行加密或壓縮傳輸，但是這類操作極容易引發信息失真等問題。即使對數據內容本身進行脫敏處理，但由于某些行業數據買賣猖獗，黑客仍然能通過撞庫的方法獲取到對應的用戶信息，因此也存在個人信息泄漏的風險。當然這些風險與大數據傳輸所具備的異構等特點密不可分。數據傳輸最薄弱的網絡層是最容易受到攻擊的，最常見的就是ARP攻擊。ARP（Address ReSolution Protocol）是網絡層在局域網內解析IP地址發起尋址交流的協議，原理是主機將帶有IP地址的ARP請求發到網絡上所有主機，一般其他主機收到消息后會將請求內的IP和MAC address存入本機ARP緩存起來，目的是下次節省查詢成本。而這就使這個ARP的緩存容易被攻擊者利用。ARP協議是沒有專門的安全認證機制的，在一個WLAN中所有的服務器又都是默認互相信任，無論哪個服務器接收到請求響應都會進行緩存，這就為ARP欺騙提供了可能，攻擊者可以發送錯誤的IP地址與MAC地址的映射關系。

應用層的傳輸協議，雖然目前基本上所有的服務方都升級成了HTTPS，但依然有數據挾持的風險。因為HTTPS是單向雙向設計模式均有不合理的地方，當黑客通過動態HOOK的形式可以輕易拿到數據發起方的CA證書，本地代碼不做安全保護的情況下導致HTTPS證書驗證極容易被繞過。

2.2 大數據存儲漏洞

除了數據傳輸之外，數據的存儲服務器也是一個極大的風險高發地。云服務器是數據傳輸的基礎設施，它為大數據提供了儲存場所。因此，其安全問題也成為制約大數據存儲發展的核心影響因素。

許多大數據服務都采用分布式儲存模式，將數倉建在云服務器上，因此云服務器儲存了大量數據。虛擬化技術也讓云服務技術有著較為清晰的存儲路徑視圖，近年來阿里、華為、騰訊等大型公司相繼投入到公有云市場的開發中。然而，由于云廠商作為服務提供方將必備的一些安全組件如DDoS高防、WAF等作為服務有償提供，導致很多公司為了節省成本并未購買，這就帶來了一定的數據泄露的主觀概率。從云服務廠商本身來說，針對存儲的大量數據，他們的安全保護方式較為單一，因大數據環境擁有大量終端管理權限用戶，在認證客戶端身份時，需要消耗大量時間和精力，這就導致部分云廠商為了提升管理效率，在權限細分上未做精細化處理，導致存在數倉被攻擊的隱患。另外，相較于傳統數據，大數據的數據類型、結構具有絕對優勢。數據量高速增長的大數據存儲平臺在存儲不同類型、結構的數據時，必然會出現多種應用程序并發、高頻運行的情況，易于引發數據儲存錯位、數據管理失序的問題，使得大數據儲存、后期處理存在較大的安全風險。

2.3 數據信息不合規使用的風險

隨著數據應用場景的豐富，國家也開始逐漸重視個人信息保護問題。近年來也不斷出臺各種法律法規，但是依然有很多應用服務在簡單迫使用戶勾選一些不合規的用戶信息授權協議之后，便大肆搜集用戶的隱私信息。因我國互聯網行業起步較晚，嚴格來說尚未建立完善的隱私保護法律規定，未能建立成熟的隱私保護技術和合規說明，網絡上的個人隱私信息易于泄露，并處于失控狀態。人們主要通過微信等社交軟件與他人進行線上交流溝通，維護社會關系，系統儲存著人們的交友聊天、網頁瀏覽、購物消費等記錄。但隨著大數據時代的來臨，用戶面臨著雙重威脅，一方面，人們可能遭受個人信息外泄的風險；另一方面，系統在獲取大數據以后，可能會對個體的行為狀態進行預測。例如之前發生的12306賬號信息泄露等安全事件，這也引起了人們對信息傳輸安全問題的高度重視，如果無法妥善解決這些問題，會使用戶面臨隱私泄露的巨大風險。因此，怎樣基于大數據時代對數據信息進行妥善管理，在為數據的使用效益提供保障的同時，也應注重個人隱私保護，這也是當代社會面臨的艱巨挑戰。

3 大數據技術視角下的安全對策

3.1 健全云服務器的安全組件

如今中小型企業“上云”的趨勢愈加明顯，對于企業方來說上云可以減小服務器的投入和運維成本，而對于云廠商來說，專注于云服務及安全技術的提高也是其作為服務基建廠商必須大力投入改善的一個重要方面，應該說是一種雙贏的商業模式。因此，在應對大數據時代的安全技術發展需求下，云廠商應結合大數據的特點，以大數據儲存技術為研究核心之一，探索先進的存儲技術、改善數據的分類方式。通過發展更完善的監控技術和審計機制，以便對數據安全隱患問題及時發現，并對信息泄露等安全事件進行嚴格防范和控制、進行高效處理。此外，云廠商還應將數據備份管理工作落實到位，并以網絡安全防護為核心，加大用戶的身份認證力度，對匿名技術等安全保護措施進行積極探索。及時檢測網絡智能終端，盡早發現漏洞并進行修復，針對病毒等問題，應對大數據技術等進行進一步研究，并改善系統的功能配置、開發大量的技術軟件等，進而為智能終端的全面控制提供有力保障[3]。

而作為中小企業方，一方面需要對數據敏感程度做好數據分類管理，對不同安全級別的數據采用差異化安全存儲，包括差異化脫敏存儲、加密存儲、訪問控制等，并且做好加密算法、脫敏方法的安全性保密。例如，企業方可以將核心數據基于公共云部署，在滿足業務在線化和數據合規安全訴求的同時，所有服務部署在專有網絡（VPC）環境下，運營管理和服務運行維護只能通過專用VPN網關訪問。管理平臺所有公網流量通過專用負載均衡服務接入，并可對負載均衡服務添加WEB應用防火墻攔截非法流量，保證內部網絡安全。具體網絡拓撲結構如圖1所示。

圖1 一種基于VPC環境的公有云服務網絡拓撲圖

3.2 升級數據及其傳輸加密方案

互聯網外網域、外部接入域的數據傳輸活動必然存在安全風險。為了避免數據傳輸的泄露，企業方應對敏感信息的傳輸進行加密保護，并且根據數據敏感級別采用相應程度的加密手段。數據加解密簡單來說就是服務端對消息明文用key進行加密，客戶端收到加密后的密文之后，用對應的key進行解密，流程如圖2所示。

圖2 互聯網數據傳輸加解密過程

不難看出key是整個數據傳輸過程中安全的關鍵。企業服務端在采用密鑰加密時，除了對密鑰的生成、分發、驗證、更新、存儲、備份、有效期、銷毀進行全生命周期管理之外，如何選擇合適的加密方式，也是關鍵步驟。企業應采用公認安全的、標準化、公開的加密算法和安全協議。業界常用的非對稱加密是較好管理key泄露的主流方案之一，通過現在比較常用的RSA非對稱加密方式對數據進行加密保護。詳細加密流程如圖3所示。

圖3 一種基于RSA的非對稱加密數據傳輸方案

數據發送方調用接收方RSA公鑰查詢接口，實時獲取數據接收方當前RSA公鑰數據。發送方將待發送數據使用獲取到的接收方RSA公鑰進行加密；發送方通過調用約定接口將RSA密文數據發送給接收方。接收方將收到的數據密文和當前RSA公鑰信息入庫存儲，接收方解密數據完成業務應用（非必要），接收方返回成功標識（true or false）給發送方。這種場景的方案就能較好地緩解數據在傳輸過程中被攻擊的風險。

然而RSA加密雖然在安全上做得非常優秀，但是對于加解密的性能卻是一大損耗。尤其是客戶端拿到密文之后，通過混合加密的形式，減少信息接收端對RSA密文的解密能耗，從而提升數據傳輸效率。流程圖如圖4所示。

圖4 一種基于RSA+AES的混合加密數據傳輸方案

這個傳輸方案的關鍵在于數據傳輸加密使用的是RSA和AES相結合進行加密傳輸，首先使用RSA對AES密鑰進行加解密，再使用AES對原始明文數據進行加解密，其他方案基本與RSA單獨加密一致。

3.3 完善數據應用的法律法規

首先國家應以數據和網絡安全等為核心，快速健全相應的法律規定、政策，在網絡安全立法等方面，應學習其他國家的先進經驗，重視保護個人隱私信息。針對信息外泄等網絡安全問題，采取嚴厲的懲罰措施，進而對一些不法行為進行嚴厲懲處。此外，應堅持加強用戶的安全意識，加大對政策的宣傳力度。在政策信息等的整合研究中，將大數據平臺等的優勢全面發揮出來，重視個人信息的保護工作，加大對線上交易系統的管理力度，加大關口管理力度，為用戶積極采取措施、將信息儲存等安全保護工作落實到位起到良好的引導作用，進而減小安全隱患的發生率[4-5]。

4 結語

綜上所述，盡管大數據技術應用為人們帶來了各種效益，其相關部門仍應針對當前網絡安全管理的問題嚴重性建立清晰的認知，并從技術角度盡可能規避數據生命周期中安全的各種隱患，仍需重視網絡安全形勢。此外，完善軟硬件系統的功能配置，開發更多的防御技術軟件等，保證智能終端的綜合性和全面性也是必要手段。本文對網絡安全問題的分析及防范策略的設想能對大數據技術在未來的網絡安全風險管理方面具備良好的實踐意義。