馮金才

摘要：在攻防不對(duì)等的今天，該文通過(guò)剖析智慧校園大數(shù)據(jù)面臨的危險(xiǎn)，提出了數(shù)據(jù)采集、存儲(chǔ)、傳輸、硬件保護(hù)方面的措施，防患于未然，以筑造智慧校園大數(shù)據(jù)的安全長(zhǎng)城。

關(guān)鍵詞：大數(shù)據(jù)；安全防護(hù)；信息技術(shù)

1概述

近年來(lái)，隨著互聯(lián)網(wǎng)尤其是移動(dòng)終端的快速深覆蓋，數(shù)據(jù)呈現(xiàn)幾何級(jí)的爆發(fā)增長(zhǎng)，“大數(shù)據(jù)”成為了各行各業(yè)開(kāi)始關(guān)注的焦點(diǎn)。SaaS（Software ss a Service一軟件即服務(wù)）、PaaS（Platform as a Service-平臺(tái)即服務(wù)）和IaaS（Infrastructure as a Service-基礎(chǔ)架構(gòu)即服務(wù)）這幾種云計(jì)算服務(wù)平臺(tái)也逐步在業(yè)界推廣運(yùn)用。但是，在網(wǎng)絡(luò)空間，漏洞無(wú)處不在且長(zhǎng)期存在，在攻防不對(duì)等的今天，云計(jì)算產(chǎn)業(yè)將傳統(tǒng)的安全邊界已模糊，安全的隱患越來(lái)越嚴(yán)峻。如一些新興的DDoS攻擊利用客戶(hù)/服務(wù)器技術(shù)來(lái)發(fā)動(dòng)對(duì)某一服務(wù)器或平臺(tái)進(jìn)行持續(xù)攻擊，以達(dá)到消耗防護(hù)資源，讓安全人員無(wú)法分身，從而掩蓋對(duì)網(wǎng)絡(luò)數(shù)據(jù)盜取攻擊的真正目的，未來(lái)網(wǎng)絡(luò)安全的防范趨勢(shì)相當(dāng)不樂(lè)觀。

2016年11月，2016年第二屆中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)在北京召開(kāi)，會(huì)議中，學(xué)術(shù)界和產(chǎn)業(yè)界對(duì)國(guó)際安全新趨勢(shì)進(jìn)行了充分分析，并對(duì)構(gòu)建智慧連接新生態(tài)、云安全一從虛擬到現(xiàn)實(shí)、安全范式的改變等熱點(diǎn)問(wèn)題展開(kāi)了熱烈的討論，旨在發(fā)現(xiàn)云服務(wù)的安全漏洞并尋求相對(duì)安全的防范解決方案，以及對(duì)網(wǎng)絡(luò)生態(tài)進(jìn)行安全評(píng)估。

2智慧校園大數(shù)據(jù)安全面臨的安全風(fēng)險(xiǎn)

2.1數(shù)據(jù)源的安全風(fēng)險(xiǎn)

智慧校園經(jīng)過(guò)長(zhǎng)期的數(shù)字化建設(shè)，累積了龐大的數(shù)據(jù)資源庫(kù)，各種教育統(tǒng)計(jì)、基礎(chǔ)建設(shè)、教學(xué)資源、科研成果、學(xué)生信息等都是真實(shí)有效的。信息使用者通過(guò)云服務(wù)預(yù)采集信息的目的非常明確，希望讀取的信息真實(shí)有效，更希望從中篩選出的信息是可信可用的。

然而，攻擊者往往通過(guò)隱蔽手段，靜悄悄地進(jìn)入云服務(wù)器，伺機(jī)對(duì)數(shù)據(jù)源一些關(guān)鍵信息進(jìn)行偽造修改，甚至直接植入對(duì)自己有利的數(shù)據(jù)源，讓客戶(hù)端直接獲取攻擊者的數(shù)據(jù)，從而影響信息使用者的判定。有些修改后的信息仿真度極高，真假難分，更加讓決策者誤入陷阱而無(wú)法察覺(jué)。

2.2數(shù)據(jù)存儲(chǔ)的安全風(fēng)險(xiǎn)

目前，除一部分互聯(lián)網(wǎng)企業(yè)外，數(shù)據(jù)在存儲(chǔ)領(lǐng)域還是以傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)（RDBMS）為主，并且以O(shè)racle，IBM/DB2，Microsoft/SQL Server為代表的數(shù)據(jù)庫(kù)幾乎占據(jù)了全球市場(chǎng)份額，這些傳統(tǒng)的數(shù)據(jù)庫(kù)以行存儲(chǔ)形式進(jìn)行物理存儲(chǔ)，數(shù)據(jù)的增減比較方便，但對(duì)于統(tǒng)計(jì)分析類(lèi)的數(shù)據(jù)查詢(xún)存儲(chǔ)效率比較低。隨著大數(shù)據(jù)的運(yùn)用，人機(jī)會(huì)話(huà)模式已經(jīng)發(fā)生了質(zhì)的變化，以網(wǎng)絡(luò)安全設(shè)備、云服務(wù)器、應(yīng)用系統(tǒng)自動(dòng)處理的融合機(jī)制成為了今天的主角。因此，在面對(duì)特別是幾何級(jí)增長(zhǎng)的數(shù)據(jù)時(shí)，在數(shù)據(jù)的深度挖掘、迭代分析、自助的即席能力方面，在對(duì)非結(jié)構(gòu)化數(shù)據(jù)的提取、檢索、比對(duì)、交叉分析等方面，傳統(tǒng)的數(shù)據(jù)庫(kù)在功能需求或技術(shù)上都無(wú)法滿(mǎn)足用戶(hù)的要求，最重要的是與之關(guān)聯(lián)擬定的軟件存在比較多的漏洞，比如在輸入驗(yàn)證環(huán)節(jié)、服務(wù)器軟件的內(nèi)置安全等。

2.3數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)

在數(shù)據(jù)傳輸領(lǐng)域，好比現(xiàn)代物流，客戶(hù)下了訂單付了款，自然希望包裹在自己拆封之前是完好無(wú)損、不被替換的.在智慧校園大數(shù)據(jù)領(lǐng)域，一種情況是在傳輸過(guò)程中失真或被破壞，有可能是人工采集數(shù)據(jù)過(guò)程中產(chǎn)生的誤差，也有因時(shí)間差造成前后數(shù)據(jù)差異，或者是執(zhí)行中間人攻擊MITM（Man In The Middle）或者重攻擊等手段，在數(shù)據(jù)傳輸過(guò)程中實(shí)行破壞。另一種情況是數(shù)據(jù)在傳輸過(guò)程中被攔截造成泄露，如果傳輸數(shù)據(jù)不進(jìn)行技術(shù)加密，攻擊者就比較容易竊取。有些供一定權(quán)限范圍人員使用的重要數(shù)據(jù)，若被竊取或泄露，可能給用戶(hù)造成比較大的損失。

3智慧校園大數(shù)據(jù)安全防范的技術(shù)

3.1大數(shù)據(jù)的采集安全技術(shù)

大數(shù)據(jù)采集面臨最大的問(wèn)題是數(shù)據(jù)失真，數(shù)據(jù)失真有幾個(gè)方面的原因，如人為的惡意捏造，篡改重要信息，數(shù)據(jù)的完整性缺失等。數(shù)據(jù)溯源技術(shù)所記錄的是從原始數(shù)據(jù)到目標(biāo)數(shù)據(jù)演變過(guò)程，或者發(fā)生數(shù)據(jù)崩潰性災(zāi)難時(shí)可以進(jìn)行數(shù)據(jù)恢復(fù)。通過(guò)信息比對(duì)，目標(biāo)數(shù)據(jù)發(fā)生改變時(shí)，數(shù)據(jù)溯源技術(shù)可以保證數(shù)據(jù)的可信程度，從而避免信息使用者陷入信息坑或誤用錯(cuò)誤信息。當(dāng)前，數(shù)據(jù)溯源技術(shù)已集成到云服務(wù)器、云存儲(chǔ)報(bào)務(wù)中，通過(guò)對(duì)系統(tǒng)的監(jiān)測(cè)記錄、日志文件的分析以及對(duì)特定客戶(hù)端定制得到廣泛的應(yīng)用。

3.2大數(shù)據(jù)的數(shù)據(jù)存儲(chǔ)安全技術(shù)

當(dāng)前，大數(shù)據(jù)的數(shù)據(jù)來(lái)源已發(fā)生了質(zhì)的變化，數(shù)據(jù)的處理也由人機(jī)會(huì)話(huà)轉(zhuǎn)變?yōu)橥ㄟ^(guò)服務(wù)器、設(shè)備和應(yīng)用自動(dòng)化集成處理。智慧校園的大數(shù)據(jù)應(yīng)用主要是對(duì)教學(xué)、科研、行政、后勤、實(shí)習(xí)、就業(yè)等方面的各類(lèi)數(shù)據(jù)進(jìn)行整理、交叉分析、比對(duì)，通過(guò)數(shù)據(jù)的深度挖掘，為用戶(hù)提供自助的即席、迭代分析，以及對(duì)存儲(chǔ)文件系統(tǒng)信息的特征提取，指定關(guān)系數(shù)據(jù)庫(kù)的內(nèi)容檢索等。

比較典型的技術(shù)路線(xiàn)有兩種方案：

1）采用MPP架構(gòu)的新型數(shù)據(jù)庫(kù)集群（圖1）。主要面對(duì)行業(yè)大數(shù)據(jù)，通過(guò)列存儲(chǔ)、粗粒度索引技術(shù)，結(jié)合MPP架構(gòu)高效的分布式計(jì)算模式，完成對(duì)分析類(lèi)應(yīng)用的支撐，運(yùn)行成本低，效率高，在分析類(lèi)領(lǐng)域方面取得了廣泛的應(yīng)用。

2）采用HBase數(shù)據(jù)庫(kù)集群（圖2）。HBase數(shù)據(jù)庫(kù)可靠性較強(qiáng)，性能強(qiáng)大，在數(shù)據(jù)備份中的可靠性達(dá)到了9個(gè)9。在Master節(jié)點(diǎn)出現(xiàn)故障時(shí)，可采用直接切換強(qiáng)制性HA機(jī)制，實(shí)現(xiàn)主從同步，保證了Master（A）和Master（B）內(nèi)存數(shù)據(jù)的一致性。另外在運(yùn)維方面體現(xiàn)了低成本的特點(diǎn)，實(shí)現(xiàn)自動(dòng)備份，一鍵增容和構(gòu)建，修改配置等.

3.3大數(shù)據(jù)的傳輸安全技術(shù)

大數(shù)據(jù)的傳輸安全包括數(shù)據(jù)采集后的傳送和訪(fǎng)問(wèn)者的讀取兩個(gè)過(guò)程。如在星形的網(wǎng)絡(luò)結(jié)構(gòu)中，對(duì)系統(tǒng)的集成和數(shù)據(jù)互換要求提供統(tǒng)一的標(biāo)準(zhǔn)化傳輸接口和通道，同時(shí)建立智慧校園數(shù)據(jù)交換標(biāo)準(zhǔn)，明確智慧校園數(shù)據(jù)的名稱(chēng)、格式、字段等，同時(shí)提供統(tǒng)一的數(shù)據(jù)交換接口標(biāo)準(zhǔn)，以便各應(yīng)用系統(tǒng)可以按照這一標(biāo)準(zhǔn)來(lái)研發(fā)Web Service接口，將規(guī)定的各項(xiàng)數(shù)據(jù)傳遞到智慧校園數(shù)據(jù)中心。對(duì)訪(fǎng)問(wèn)者的控制通過(guò)設(shè)置控制權(quán)限，視用戶(hù)需求和數(shù)據(jù)的密級(jí)將大數(shù)據(jù)和用戶(hù)設(shè)定不同的權(quán)限等級(jí)，嚴(yán)格控制訪(fǎng)問(wèn)權(quán)限，以加強(qiáng)用戶(hù)權(quán)限管理。訪(fǎng)問(wèn)控制常用的技術(shù)有身份和口令（加密）雙重認(rèn)證、文件權(quán)限設(shè)置、網(wǎng)絡(luò)設(shè)備權(quán)限控制等。

3.4硬件保護(hù)防范

智慧校園大數(shù)據(jù)安全面臨的最大威脅來(lái)自網(wǎng)絡(luò)，如危險(xiǎn)性極大的）DDoS攻擊。DDoS（Distributed Denial of Service分布式拒絕服務(wù)，也稱(chēng)“洪水式攻擊”）攻擊于1996年初現(xiàn)，2002年登陸我國(guó)，2003就形成規(guī)模，常見(jiàn)的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、ConnectionsFlood、Script Flood、Proxy Flood等。而2016年新發(fā)現(xiàn)的DDOS攻擊技術(shù)精細(xì)度和網(wǎng)絡(luò)攻擊性融合趨勢(shì)漸顯，連美國(guó)三大政府網(wǎng)站：congress.gov、美國(guó)國(guó)會(huì)圖書(shū)館網(wǎng)站以及美國(guó)版權(quán)局都遭到這種攻擊。美國(guó)主要DNS服務(wù)器提供商Dyn Inc.的服務(wù)器遭遇大規(guī)模DDoS攻擊后，美國(guó)東海岸主要網(wǎng)站幾乎全部癱瘓，媒體堪稱(chēng)為“史上最嚴(yán)重DDoS攻擊”。

因此，應(yīng)對(duì)DDoS攻擊應(yīng)以防范為主，主要措施是加強(qiáng)硬件防護(hù)和技術(shù)防范措施。硬件防護(hù)包括擴(kuò)大帶寬，在骨干節(jié)點(diǎn)配置防火墻，充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源，通過(guò)安裝apachebooster插件應(yīng)對(duì)突增的流量和內(nèi)存占用，提高web server的負(fù)載能，使用高可擴(kuò)展性的DNS設(shè)備來(lái)保護(hù)針對(duì)DNS的DDoS攻擊，啟用路由器或防火墻的反IP欺騙功能等。如在SYNFlood、HTTP Flood防御中，通過(guò)特殊網(wǎng)絡(luò)處理器芯片的清洗設(shè)備和特別優(yōu)化的操作系統(tǒng)、TCP/IP協(xié)議棧，可以處理非常巨大的流量和SYN隊(duì)列。

4結(jié)束語(yǔ)

大數(shù)據(jù)的安全已經(jīng)引發(fā)了新一輪的科技革命，新的技術(shù)無(wú)疑是教育資源最好的安全保障。然而，新的攻擊技術(shù)也會(huì)隨之而來(lái)，攻擊和保護(hù)本身就是矛和盾的關(guān)系，只要不斷地研究新的安全技術(shù)，提高防范意識(shí)，使“盾”越來(lái)越堅(jiān)固，就可筑造智慧校園大數(shù)據(jù)的安全長(zhǎng)城。