孟治強(qiáng)

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)的弊端日顯突出。本文從大數(shù)據(jù)的相關(guān)知識(shí)入手，分析當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀及傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的不足之處，提出基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全；安全架構(gòu)

1.大數(shù)據(jù)的相關(guān)知識(shí)

1.1 大數(shù)據(jù)的概念。大數(shù)據(jù)的概念有兩個(gè)方面的含義：首先大數(shù)據(jù)代表了由數(shù)量巨大、結(jié)構(gòu)復(fù)雜、類型眾多的數(shù)據(jù)組合而成的數(shù)據(jù)集合；再者基于云計(jì)算的數(shù)據(jù)處理與應(yīng)用模式，通過(guò)數(shù)據(jù)的集成共享、交叉復(fù)用形成的智力資源和知識(shí)服務(wù)能力也屬大數(shù)據(jù)的概念范疇[1]。

1.2 大數(shù)據(jù)的特征。通常來(lái)說(shuō)大數(shù)據(jù)具有四個(gè)方面的特征，即業(yè)界所說(shuō)的4V特征：第一、大數(shù)據(jù)顧名思義數(shù)據(jù)體量巨大，通常意義上的大數(shù)據(jù)至少為TB級(jí)別，甚至躍升到PB、EB、YB級(jí)別。第二、數(shù)據(jù)類型豐富，數(shù)據(jù)來(lái)源廣泛。通常大數(shù)據(jù)應(yīng)該包含來(lái)自于各種各樣的渠道的各類數(shù)據(jù)，才能體現(xiàn)大數(shù)據(jù)的價(jià)值。第三、商業(yè)價(jià)值高但價(jià)值密度低。大數(shù)據(jù)強(qiáng)調(diào)的是數(shù)據(jù)全面，可能數(shù)據(jù)中有用的只占整個(gè)視頻中的小部分，因此價(jià)值密度低。第四、處理速度快。通常情況下一個(gè)需求要在秒級(jí)給出分析結(jié)果，否則就失去大數(shù)據(jù)處理的價(jià)值，這也是大數(shù)據(jù)與數(shù)據(jù)挖掘的主要區(qū)別所在。

2.網(wǎng)絡(luò)安全現(xiàn)狀分析

根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心（CNCERT/CC）2014年度《中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》數(shù)據(jù)顯示：2014年國(guó)內(nèi)感染木馬僵尸網(wǎng)絡(luò)的主機(jī)達(dá)1108.8萬(wàn)多臺(tái)，被木馬控制的服務(wù)器達(dá)6.1萬(wàn)多個(gè)；2014年全年被篡改網(wǎng)站數(shù)量為36969個(gè)，其中包含政府網(wǎng)站1763個(gè)；網(wǎng)站數(shù)據(jù)和個(gè)人信息泄露呈高發(fā)態(tài)勢(shì)，僅去年12月國(guó)內(nèi)某著名交通購(gòu)票網(wǎng)站遭受撞庫(kù)攻擊數(shù)據(jù)泄露一項(xiàng)，就導(dǎo)致包括賬號(hào)、密碼、身份證號(hào)、手機(jī)號(hào)和電子郵箱等在內(nèi)的13萬(wàn)多條敏感數(shù)據(jù)在網(wǎng)上流傳[2]。

從上述數(shù)據(jù)我們可以看出，我們國(guó)家當(dāng)前網(wǎng)絡(luò)安全形勢(shì)依舊嚴(yán)峻，主要表現(xiàn)在以下幾個(gè)方面：第一、國(guó)民安全意識(shí)不強(qiáng)。從國(guó)內(nèi)感染木馬僵尸網(wǎng)絡(luò)的主機(jī)數(shù)量來(lái)看，用戶對(duì)于網(wǎng)絡(luò)安全的防范意識(shí)薄弱，其中包括了普通用戶和職業(yè)網(wǎng)絡(luò)管理員。第二、網(wǎng)絡(luò)攻擊產(chǎn)業(yè)鏈進(jìn)一步完善。網(wǎng)絡(luò)攻擊越來(lái)越趨于利益化是當(dāng)前網(wǎng)絡(luò)面臨的另外一個(gè)危機(jī)，巨大的利益誘惑使得網(wǎng)絡(luò)攻擊越來(lái)越復(fù)雜、產(chǎn)業(yè)鏈越來(lái)越完善。第三、防范措施相對(duì)滯后。國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施基本都處于靜態(tài)防護(hù)狀態(tài)，對(duì)新木馬、新病毒等的防范能力不足，反復(fù)感染交叉感染的情況時(shí)有發(fā)生。

3.傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)及不足

3.1 傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)。傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的源于PPDR模型，即Policy Protection Detection Response，它的假設(shè)前提是可以檢測(cè)出所有的安全威脅并有相應(yīng)的響應(yīng)方法。該模型以安全策略為核心，假設(shè)當(dāng)前安全架構(gòu)能夠檢測(cè)出所有的安全威脅，并制定一系列的靜態(tài)防護(hù)措施或閥值進(jìn)行匹配，從而實(shí)現(xiàn)安全防護(hù)的目的。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)主要由安全策略、保護(hù)措施、檢測(cè)手段和響應(yīng)手段四個(gè)部分組成。

安全策略是整個(gè)安全架構(gòu)的核心，它包含了在該安全區(qū)域內(nèi)所有與安全相關(guān)活動(dòng)的一系列規(guī)則，并規(guī)定網(wǎng)絡(luò)安全要達(dá)到的目標(biāo)和各種安全措施的強(qiáng)度；保護(hù)措施是傳統(tǒng)安全架構(gòu)的第一道防線，包含制定安全制度、配置系統(tǒng)安全和采取何種安全措施進(jìn)行保護(hù)等。檢測(cè)手段是對(duì)安全策略和保護(hù)措施的有效補(bǔ)充，通常是通過(guò)檢測(cè)發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)的異常狀況，從而發(fā)現(xiàn)可能的攻擊行為。響應(yīng)手段是指在發(fā)生異常或攻擊行為后系統(tǒng)能夠主動(dòng)采取的行動(dòng)如關(guān)閉端口、中斷連接、關(guān)閉服務(wù)等等。

3.2 不足之處。隨著傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的深入應(yīng)用，它的不足之處也日漸明顯，主要有兩個(gè)方面的問(wèn)題：

首先，PPDR模型的安全是也能夠發(fā)現(xiàn)所有安全威脅為基礎(chǔ)的，是一種發(fā)現(xiàn)安全威脅、制定安全策略的被動(dòng)防御措施，他的假設(shè)前提是設(shè)計(jì)者能夠提前預(yù)知所有的安全威脅并作出相應(yīng)的防御措施。這種假設(shè)在實(shí)際應(yīng)用中是不能成立的，因此PPDR模型的安全級(jí)別完全取決于設(shè)計(jì)者的水平，沒(méi)有安全底限。

其次，PPDR模型缺乏主動(dòng)發(fā)現(xiàn)安全威脅并進(jìn)行應(yīng)急響應(yīng)的安全機(jī)制。全網(wǎng)的安全完全依靠于事先制定好的防護(hù)措施，客戶機(jī)與網(wǎng)絡(luò)安全設(shè)備之間缺乏有效的溝通，一旦網(wǎng)絡(luò)中出現(xiàn)一臺(tái)被攻陷計(jì)算機(jī)，而安全設(shè)備和管理員卻一無(wú)所知，整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)就會(huì)面臨巨大威脅。因此，構(gòu)建開(kāi)發(fā)基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)刻不容緩。

4.基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)

基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)應(yīng)該預(yù)測(cè)為前提，充分利用大數(shù)據(jù)特征，運(yùn)用過(guò)往的攻擊行為中提取的安全隱患特征構(gòu)建網(wǎng)絡(luò)安全策略，并從邊界安全、終端安全及其與云數(shù)據(jù)之間的聯(lián)動(dòng)三個(gè)角度構(gòu)建網(wǎng)絡(luò)安全體系。

4.1邊界安全。網(wǎng)絡(luò)邊界安全是指網(wǎng)絡(luò)與外界互通引起的安全問(wèn)題，通常包含黑客入侵、病毒防護(hù)和網(wǎng)絡(luò)攻擊。邊界安全直接影響網(wǎng)絡(luò)用戶的整體安全，是安全架構(gòu)設(shè)計(jì)中最重要的部分。大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全邊界設(shè)計(jì)設(shè)計(jì)應(yīng)該使用數(shù)據(jù)發(fā)掘技術(shù)，分析已經(jīng)出現(xiàn)過(guò)的攻擊手段，并加以防護(hù)，提取已有病毒的特征碼，及時(shí)更新病毒庫(kù)，最大限度的保證邊界安全。

新一代網(wǎng)絡(luò)安全架構(gòu)在邊界安全上最重要的突破是預(yù)測(cè)，利用大數(shù)據(jù)分析攻擊的特征及手法，預(yù)測(cè)可能出現(xiàn)的攻擊行為并予以防護(hù)，化被動(dòng)為主動(dòng)。只有這樣才能最大限度的保證用戶的網(wǎng)絡(luò)及數(shù)據(jù)安全。

4.2 終端安全。終端安全是指網(wǎng)絡(luò)用戶的安全防護(hù)措施。終端安全直接關(guān)系到個(gè)體用戶的安全狀況，同時(shí)也間接影響到整體網(wǎng)絡(luò)安全。一般情況下終端安全包含防火墻技術(shù)、防病毒技術(shù)和行為檢測(cè)技術(shù)等方面。

新一代網(wǎng)絡(luò)安全架構(gòu)下終端安全不但需要及時(shí)更新數(shù)據(jù)庫(kù)，保證用戶終端即時(shí)更新，更重要的是終端之間要有統(tǒng)一的控制，當(dāng)某一終端被攻陷后，能夠迅速反饋到控制端，以便迅速部署，防止疫情的進(jìn)一步蔓延。終端的數(shù)據(jù)應(yīng)該及時(shí)上傳到云端，再通過(guò)云端下發(fā)到各個(gè)終端，防止同一病毒或木馬的重復(fù)感染。

4.3 聯(lián)動(dòng)安全。邊界與終端通過(guò)云端的聯(lián)動(dòng)是大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全架構(gòu)的重要組成部分。通過(guò)大數(shù)據(jù)預(yù)測(cè)和云管理，保證終端和邊界保證安全統(tǒng)一。當(dāng)邊界設(shè)備遭遇安全攻擊，通過(guò)數(shù)據(jù)分析，及時(shí)更新數(shù)據(jù)并下發(fā)到終端，當(dāng)某一終端由于漏洞被攻破，可以通過(guò)邊界設(shè)備及時(shí)進(jìn)行隔離，并迅速進(jìn)行數(shù)據(jù)分析更新病毒庫(kù)，防止網(wǎng)絡(luò)中其他的設(shè)備遭受攻擊，從而實(shí)現(xiàn)智能協(xié)同，主動(dòng)防御，大幅提高終端與邊界安全防御能力，有效應(yīng)對(duì)已知和未知的高級(jí)威脅。

新一代網(wǎng)絡(luò)安全架構(gòu)中當(dāng)網(wǎng)絡(luò)中的終端第一次遇到攻擊，安全終端被攻陷而選擇放行，但同時(shí)會(huì)提交到云查殺和云沙箱處理，安全云經(jīng)過(guò)分析之后發(fā)現(xiàn)是惡意代碼立刻向全網(wǎng)邊界和終端設(shè)備推送威脅情報(bào)并更新數(shù)據(jù)庫(kù)，這樣一來(lái)攻擊者就只入侵了一臺(tái)終端。通過(guò)邊界和終端聯(lián)動(dòng)，通過(guò)大數(shù)據(jù)平臺(tái)，實(shí)現(xiàn)了網(wǎng)絡(luò)安全最大化。

5.總結(jié)

本文通過(guò)分析傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的不足之處，從大數(shù)據(jù)的特點(diǎn)出發(fā)，提出新一代基于聯(lián)動(dòng)的網(wǎng)絡(luò)安全架構(gòu)。通過(guò)邊界安全、終端安全以及他們之間的聯(lián)動(dòng)，結(jié)合云管理最大限度的保證網(wǎng)絡(luò)用戶的安全。（作者單位：江西財(cái)經(jīng)職業(yè)學(xué)院）

參考文獻(xiàn)：

[1]帶您了解大數(shù)據(jù)，http：//www.thebigdata.cn/YeJieDongTai/8470.html

[2]2014年度《中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》，http：//www.cert.org.cn/publish/main/upload/File/2014%20Annual%20Report.pdf

[3]唐擁政，王春風(fēng).基于 PPDR 的動(dòng)態(tài)無(wú)線網(wǎng)絡(luò)安全模型的改進(jìn)研究[J]，鹽城工學(xué)院學(xué)報(bào)（自然科學(xué)版），2013年9月