摘 ?要：以現(xiàn)有高校校園網(wǎng)絡(luò)體系結(jié)構(gòu)為依托，利用大數(shù)據(jù)的可視化分析和數(shù)據(jù)挖掘技術(shù)，分別從大數(shù)據(jù)背景下高校校園網(wǎng)絡(luò)體系結(jié)構(gòu)存在的風(fēng)險、網(wǎng)絡(luò)信息安全監(jiān)測與分析、網(wǎng)絡(luò)信息安全防護(hù)策略三個維度進(jìn)行分析。通過對網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)的清洗、去冗等操作，實現(xiàn)對數(shù)據(jù)的安全訪問和隱私保護(hù)，從而為高校校園網(wǎng)絡(luò)信息安全實施主動免疫可信計算。

關(guān)鍵詞：大數(shù)據(jù);高校網(wǎng)絡(luò)安全;數(shù)據(jù)處理

中圖分類號：TP309 ? ? 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）12-0148-03

Abstract：Relying on the existing university campus network architecture，combined with the big data visualization analysis and data mining technology，from the massive data to the challenges of the existing university campus network model，network information security monitoring and analysis，network information security protection strategy three dimensions are analyzed. Through the operations such as cleaning and deduplication of data in the network environment，safe access to data and privacy protection are realized，so as to implement active immune trusted computing for campus network information security.

Keywords：big data;college network security;data processing

0 ?引 ?言

近年來，隨著互聯(lián)網(wǎng)、云計算和物聯(lián)網(wǎng)的迅猛發(fā)展，數(shù)以億計的互聯(lián)網(wǎng)服務(wù)時時刻刻都在產(chǎn)生巨量的數(shù)據(jù)，數(shù)據(jù)規(guī)模積極擴(kuò)大對現(xiàn)有高校校園網(wǎng)絡(luò)信息安全造成了一定沖擊。所以在大數(shù)據(jù)背景下，如何確保高校校園網(wǎng)絡(luò)信息安全，已經(jīng)成為一個急需探討的問題。

1 ?大數(shù)據(jù)的概念

大數(shù)據(jù)是指數(shù)據(jù)規(guī)模大、數(shù)據(jù)形式多樣、非結(jié)構(gòu)化特征明顯而導(dǎo)致數(shù)據(jù)存儲、處理和挖掘異常困難的數(shù)據(jù)集，其具有規(guī)模大、種類多、速度快、價值密度低和真實性差等特點。由于高校校園人員密集，大學(xué)生防范意識較弱，在現(xiàn)有數(shù)據(jù)存儲與共享環(huán)境下，如何消除各種網(wǎng)絡(luò)信息安全隱患與漏洞，有效保護(hù)校園網(wǎng)絡(luò)信息安全是一個重要的研究方向。

2 ?大數(shù)據(jù)背景下高校校園網(wǎng)絡(luò)體系結(jié)構(gòu)存在的風(fēng)險

2.1 ?數(shù)據(jù)處理的安全

隨著數(shù)據(jù)規(guī)模增大，電子方式存儲的數(shù)據(jù)總量飛速增長，數(shù)據(jù)規(guī)模的急劇擴(kuò)大超過了當(dāng)前計算機(jī)存儲與處理能力，而且數(shù)據(jù)形式多樣化、非結(jié)構(gòu)化特征明顯。如何有效地提高數(shù)據(jù)處理的安全性至關(guān)重要。例如數(shù)據(jù)在錄入、處理、統(tǒng)計或打印中由于硬件故障、斷電、死機(jī)、任務(wù)的誤操作、程序缺陷、病毒或黑客等造成的數(shù)據(jù)庫損壞或數(shù)據(jù)丟失都是需要關(guān)注的問題。

2.2 ?數(shù)據(jù)的存儲安全

大數(shù)據(jù)是計算機(jī)和互聯(lián)網(wǎng)相結(jié)合的產(chǎn)物，計算機(jī)實現(xiàn)了數(shù)據(jù)的數(shù)字化，互聯(lián)網(wǎng)實現(xiàn)了數(shù)據(jù)的網(wǎng)絡(luò)化，新的數(shù)據(jù)正在以指數(shù)級加速產(chǎn)生，在“人、機(jī)、物”三元世界在網(wǎng)絡(luò)空間融合的過程中，網(wǎng)絡(luò)大數(shù)據(jù)的規(guī)模和復(fù)雜度的增長超出了硬件能力增長的摩爾定律，對高?，F(xiàn)有網(wǎng)絡(luò)體系數(shù)據(jù)存儲的物理安全性提出了更高的挑戰(zhàn)。這里的物理安全主要指數(shù)據(jù)信息存儲介質(zhì)的損壞，物理安全隱患包括網(wǎng)絡(luò)異常下的數(shù)據(jù)安全傳輸、人員誤操作導(dǎo)致的文件刪除和信息泄露及停電斷電等設(shè)備故障。數(shù)據(jù)存儲的安全是指數(shù)據(jù)庫在系統(tǒng)運行之外的可讀性，對于一個標(biāo)準(zhǔn)的SQL Server數(shù)據(jù)庫，一旦數(shù)據(jù)庫被盜，即使沒有原來的系統(tǒng)程序，也可以另外編寫程序?qū)ΡI取的數(shù)據(jù)庫進(jìn)行增刪改查操作。因此需要考慮現(xiàn)有計算機(jī)網(wǎng)絡(luò)通信的保密、安全及軟件保護(hù)等問題。

3 ?大數(shù)據(jù)下網(wǎng)絡(luò)信息安全監(jiān)測與分析

西安財經(jīng)大學(xué)行知學(xué)院校園網(wǎng)絡(luò)體系結(jié)構(gòu)如圖1所示，主要采用混合型拓?fù)浣Y(jié)構(gòu)，由星型拓?fù)浣Y(jié)構(gòu)和點對點拓?fù)浣Y(jié)構(gòu)組成。學(xué)校根據(jù)部門及業(yè)務(wù)需求進(jìn)行子網(wǎng)劃分，子網(wǎng)之間根據(jù)用戶需求可以相互訪問。其中行政辦公網(wǎng)、生活區(qū)網(wǎng)、教務(wù)系統(tǒng)網(wǎng)、學(xué)生宿舍網(wǎng)、DMZ（獨立的網(wǎng)絡(luò)區(qū)域）安全網(wǎng)是星型拓?fù)浣Y(jié)構(gòu)的疊加，網(wǎng)絡(luò)管理平臺和對外服務(wù)器采用點對點的拓?fù)浣Y(jié)構(gòu)。

本校校園網(wǎng)絡(luò)在核心層采用三層交換機(jī)，為了防止其中某個交換機(jī)或鏈路失效，在設(shè)計時采用主備交換機(jī)設(shè)備和雙鏈路部署，確保網(wǎng)絡(luò)安全的容錯性。核心層的兩個交換機(jī)連接的ATM交換機(jī)采用GE（1 000 Mbps）的帶寬速率，其余連接均使用FE（100 Mbps）的帶寬速率。對于教務(wù)系統(tǒng)來說，其承載著高校師生選課、考試、登錄成績、四六級報名等核心業(yè)務(wù)，面對這種噴發(fā)式的數(shù)據(jù)訪問量，為了確保網(wǎng)絡(luò)信息的安全性，在對網(wǎng)絡(luò)體系結(jié)構(gòu)進(jìn)行部署時，采用雙鏈路來提高鏈路數(shù)據(jù)傳輸效率及安全性。防火墻和對外服務(wù)器間接入IPS（入侵預(yù)防系統(tǒng)）用來監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為。

我校網(wǎng)絡(luò)信息安全保障體系主要采用深度保護(hù)戰(zhàn)略模型，如圖2所示，主要包含保護(hù)局域網(wǎng)計算環(huán)境、保護(hù)區(qū)域邊界、保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)支撐基礎(chǔ)設(shè)施。深度保護(hù)戰(zhàn)略體系包含人、技術(shù)和操作三個要素。在網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計時，分別從內(nèi)網(wǎng)接口的安全防護(hù)和對外網(wǎng)接口的安全防護(hù)為切入點。在內(nèi)網(wǎng)接口設(shè)計時，采用防火墻在內(nèi)外網(wǎng)之間實施訪問控制策略，在沒有采取安全措施的情況下，禁止內(nèi)容以任何形式直接接入因特網(wǎng)。對外網(wǎng)接口的設(shè)計時，設(shè)立DMZ（獨立的網(wǎng)絡(luò)區(qū)域）與外部網(wǎng)絡(luò)交換信息，并采取有效的安全措施，保障該信息交換區(qū)不接受非授權(quán)的訪問，來自外部網(wǎng)絡(luò)的特定主機(jī)，經(jīng)身份認(rèn)證后方可訪問內(nèi)部網(wǎng)絡(luò)指定的主機(jī)。

在深度保護(hù)戰(zhàn)略模型下，如何從數(shù)據(jù)輸入源進(jìn)行防護(hù)尤為重要，因此，利用大數(shù)據(jù)處理技術(shù)，通過數(shù)據(jù)采集與記錄，數(shù)據(jù)抽取、清洗與標(biāo)記、數(shù)據(jù)集成、轉(zhuǎn)換與約簡，數(shù)據(jù)分析與建模和數(shù)據(jù)解釋對我校網(wǎng)絡(luò)信息進(jìn)行監(jiān)測，從而分析出有價值的數(shù)據(jù)信息，大數(shù)據(jù)處理全過程如圖3所示。

3.1 ?數(shù)據(jù)采集與記錄

數(shù)據(jù)采集主要是利用數(shù)據(jù)庫提取來自Web、APP或傳感器形式的數(shù)據(jù)，可通過系統(tǒng)日志采集，如Hadoop的Chukwa、Cloudera的Flume、Facebook的Scribe等，將非結(jié)構(gòu)化數(shù)據(jù)從網(wǎng)頁中抽取出來，將其存儲為統(tǒng)一的本地數(shù)據(jù)文件，并以結(jié)構(gòu)化的方式存儲。本次主要采用網(wǎng)絡(luò)爬蟲方式，通過Python語言的Request庫爬取網(wǎng)頁內(nèi)容，使用Beautiful Soup 4庫分析網(wǎng)頁中的數(shù)據(jù)，每個網(wǎng)絡(luò)用戶搜索的網(wǎng)頁數(shù)據(jù)信息被封裝在一個tr結(jié)構(gòu)中，然后再提取網(wǎng)絡(luò)信息安全關(guān)鍵字td，存儲到二維列表中，關(guān)鍵代碼如下：

allUniv=[] ? #存儲全部表格數(shù)據(jù)，二維列表

def fillUnivlist（soup）：

data = soup.find_all（'tr'） ? #找到所有tr標(biāo)簽

for tr in data：

singleUniv=[]

ltd = tr.find_all（'td'） ? ?#在每個tr標(biāo)簽中找到所有td標(biāo)簽

for td in ltd：

singleUniv.append（td.string） ? #提取td標(biāo)簽中的信息

allUniv.append（singleUniv）

3.2 ?數(shù)據(jù)抽取、清洗與標(biāo)記

在前期對數(shù)據(jù)進(jìn)行采集之后，需要對數(shù)據(jù)進(jìn)行有效分析，將前端數(shù)據(jù)抽取到分布式數(shù)據(jù)庫，同時可對數(shù)據(jù)進(jìn)行清洗，消除異常數(shù)據(jù)、清除重復(fù)數(shù)據(jù)、保證數(shù)據(jù)的完整性。這里采用Twitter的Storm對數(shù)據(jù)進(jìn)行流式計算，數(shù)據(jù)持續(xù)地流經(jīng)一個轉(zhuǎn)換實體網(wǎng)絡(luò)，如圖4所示，接收器（處理數(shù)據(jù)）實現(xiàn)了一個流上的單一轉(zhuǎn)換和一個Storm拓?fù)浣Y(jié)構(gòu)中的所有處理，通過過濾、聚合對數(shù)據(jù)進(jìn)行抽取清洗標(biāo)記。流起源于噴嘴，噴嘴將數(shù)據(jù)從外部來源流入Storm拓?fù)浣Y(jié)構(gòu)中。

3.3 ?數(shù)據(jù)集成、轉(zhuǎn)換與約簡

數(shù)據(jù)集成是把不同來源、格式、特點性質(zhì)的數(shù)據(jù)在邏輯或物理上有機(jī)地集中，從而解決數(shù)據(jù)的分布性和異構(gòu)性，數(shù)據(jù)集成系統(tǒng)如圖5所示。在對我校校園網(wǎng)絡(luò)數(shù)據(jù)的預(yù)處理過程中，同時需要進(jìn)行數(shù)據(jù)轉(zhuǎn)換與約簡處理。數(shù)據(jù)轉(zhuǎn)換主要是數(shù)據(jù)平滑、數(shù)據(jù)聚集、數(shù)據(jù)泛化和數(shù)據(jù)規(guī)范化。數(shù)據(jù)約簡是基于數(shù)據(jù)挖掘，尋找網(wǎng)絡(luò)信息安全關(guān)鍵字，在保持?jǐn)?shù)據(jù)原貌的前提下，最大限度地精簡數(shù)據(jù)量。

3.4 ?數(shù)據(jù)分析與建模

數(shù)據(jù)分析旨在對雜亂無章的數(shù)據(jù)進(jìn)行集中、萃取和提煉，進(jìn)而找出研究對象。采用常用的基本數(shù)據(jù)分析方法中的統(tǒng)計方法，通過制作圖表，計算特征量，使用數(shù)理統(tǒng)計方法選定模型。

3.5 ?數(shù)據(jù)解釋

數(shù)據(jù)解釋的目的是幫助網(wǎng)絡(luò)用戶理解分析結(jié)果，主要檢查所提出的假設(shè)并對分析結(jié)果進(jìn)行解釋，采用云計算、標(biāo)簽云、關(guān)系圖等可視化方式展現(xiàn)大數(shù)據(jù)分析結(jié)果。

4 ?高校校園網(wǎng)絡(luò)信息安全防護(hù)策略

4.1 ?基礎(chǔ)設(shè)施支持

針對高校校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施，從承載大數(shù)據(jù)的角度來看，在數(shù)據(jù)中心和虛擬設(shè)備之間使用VLAN作為虛擬主機(jī)，由于防火墻需要檢查通過防火墻的每個數(shù)據(jù)包，已經(jīng)成為大數(shù)據(jù)快速計算能力的瓶頸，因此高校校園需要采用分流策略，分離傳統(tǒng)用戶流量和大數(shù)據(jù)安全數(shù)據(jù)的流量，確保只有受信服務(wù)器流量才可以通過加密網(wǎng)絡(luò)通道及防火墻。

4.2 ?保護(hù)虛擬服務(wù)器

通過在服務(wù)器上按照NIST標(biāo)準(zhǔn)打補(bǔ)丁，卸載不必要的服務(wù)，同時為大數(shù)據(jù)中心部署備份服務(wù)，且對備份進(jìn)行加密，因為安全數(shù)據(jù)站點發(fā)生數(shù)據(jù)泄露事故都是由于備份媒介的丟失或被盜。另外，定期對系統(tǒng)進(jìn)行更新，部署系統(tǒng)監(jiān)視工具對網(wǎng)絡(luò)系統(tǒng)進(jìn)行集中監(jiān)控和控制。

4.3 ?制定嚴(yán)格的培訓(xùn)計劃

在大數(shù)據(jù)背景下，面對激增的數(shù)據(jù)量和高速運轉(zhuǎn)的環(huán)境，需要為網(wǎng)絡(luò)安全維護(hù)人員定制一個系統(tǒng)的培訓(xùn)計劃，培訓(xùn)計劃應(yīng)該著眼于數(shù)據(jù)的分析和使用過程，因為安全大數(shù)據(jù)倉庫將通過這些過程來標(biāo)記和報告異常的活動和網(wǎng)絡(luò)流量。

5 ?結(jié) ?論

隨著數(shù)據(jù)量的不斷增大，網(wǎng)絡(luò)和數(shù)字化生活方式使得高校學(xué)生更容易成為不法分子的攻擊目標(biāo)，大數(shù)據(jù)下高校校園網(wǎng)絡(luò)信息安全問題已成為熱點問題。將大數(shù)據(jù)處理技術(shù)應(yīng)用于傳統(tǒng)高校的網(wǎng)絡(luò)體系結(jié)構(gòu)中，借助于大數(shù)據(jù)的后向分析能力，對網(wǎng)絡(luò)數(shù)據(jù)流量做出預(yù)測性的判斷，可以提前預(yù)防網(wǎng)絡(luò)信息安全事件的發(fā)生。

參考文獻(xiàn)：

[1] 李治城，胡欣宇.大數(shù)據(jù)背景下數(shù)據(jù)安全與隱私保護(hù)問題研究 [J].物聯(lián)網(wǎng)技術(shù)，2020，10（6）：76-78.

[2] 張曉宇.大數(shù)據(jù)時代下計算機(jī)網(wǎng)絡(luò)信息安全問題探討 [J].信息技術(shù)與信息化，2020（5）：171-173.

[3] 丁曉東.大數(shù)據(jù)與人工智能時代的個人信息立法——論新科技對信息隱私的挑戰(zhàn) [J].北京航空航天大學(xué)學(xué)報（社會科學(xué)版），2020，33（3）：8-16+71.

作者簡介：楊佳麗（1987—），女，漢族，陜西西安人，網(wǎng)絡(luò)工程師，碩士，研究方向：計算機(jī)網(wǎng)絡(luò)通信技術(shù)。