農(nóng)金橋 王代遠 宋偉奇 孔麗云

關(guān)鍵詞：計算機網(wǎng)絡(luò)；大數(shù)據(jù)系統(tǒng)；應(yīng)用研究

0 引言

當(dāng)前大數(shù)據(jù)為人們的網(wǎng)絡(luò)生活提供了更多的可能，同時也帶來了很多安全威脅，多樣的網(wǎng)絡(luò)病毒及黑客多樣的入侵手段，時刻威脅著計算機網(wǎng)絡(luò)及大數(shù)據(jù)系統(tǒng)的安全。人們對計算機網(wǎng)絡(luò)安全防護的作用，已經(jīng)形成了更加系統(tǒng)化的認知，雖然能有意識地降低大數(shù)據(jù)防范風(fēng)險，但是還需要有針對大數(shù)據(jù)技術(shù)的安全防護措施。為確保大數(shù)據(jù)系統(tǒng)運行的安全與穩(wěn)定，需要運用計算機網(wǎng)絡(luò)安全技術(shù)。所以，深入研究計算機網(wǎng)絡(luò)安全在大數(shù)據(jù)系統(tǒng)中的應(yīng)用十分必要。

1 安全認證

1.1 口令認證

口令認證一般基于目標(biāo)身份口令判斷其是否為合規(guī)用戶，常見的有動態(tài)口令、簡單口令、一次性口令三種形式[1]：

動態(tài)口令在當(dāng)前應(yīng)用比較廣泛，安全性較高，具有很強的變化性。用戶申請的動態(tài)密碼只在一定的時間內(nèi)可被使用，且使用次數(shù)有限。一般只供用戶單次登錄使用，下次登錄時，動態(tài)口令將發(fā)生無規(guī)律變化。動態(tài)口令密碼通常以動態(tài)令牌的形式出現(xiàn)，用戶使用時需將相應(yīng)的動態(tài)密碼輸入對應(yīng)的網(wǎng)絡(luò)終端登錄口。若動態(tài)口令正確即完成安全認證，若不正確則駁回登錄申請。由于每次使用的口令均由動態(tài)令牌提供，且具有很強的隨機性，只有合法用戶才能獲得相應(yīng)令牌和動態(tài)密碼。黑客很難獲取動態(tài)口令，即使截獲了口令，也只能利用該密碼登錄一次，再次登錄時口令則失效了，極大地限制了黑客的惡意攻擊行為，保證了用戶賬號與信息的安全性。但當(dāng)前該技術(shù)尚存在同步不及時的缺陷問題，亟待完善。

簡單口令應(yīng)用時間較早，也是最常見的一類安全認證方式。該技術(shù)主要基于用戶設(shè)定的用戶名、密碼等信息實現(xiàn)安全認證。用戶在使用大數(shù)據(jù)系統(tǒng)時，首先需要使用手機號或其他信息注冊賬號，注冊時系統(tǒng)會要求用戶自行設(shè)置密碼，再次登錄時用戶只需提供用戶名、密碼等信息即可進行身份認證，若二者均正確則判定其為合規(guī)用戶，若有一項錯誤則駁回登錄申請。由于用戶每次登錄時均要輸入明文口令，簡單口令易被系統(tǒng)內(nèi)惡意軟件所記錄，或在輸入過程中被黑客截獲，因此安全性一般。

一次性口令安全認證技術(shù)要求用戶每次登錄大數(shù)據(jù)系統(tǒng)時，使用一次性口令，增加登錄密碼的不確定性。由于一次性身份認證密碼無須網(wǎng)絡(luò)服務(wù)器即可存儲，不使用公用網(wǎng)絡(luò)傳輸，每次登錄時用戶會取得不同密碼，具有很強的安全性；利用一次性口令進行認證，一般包括挑戰(zhàn)與應(yīng)答登錄請求、同步時間、提供口令序列等方法，由于服務(wù)器發(fā)送的挑戰(zhàn)信息與客戶端提供的登錄信息，均以明文形式傳輸，很容易被黑客截取登錄信息，對大數(shù)據(jù)系統(tǒng)內(nèi)部造成攻擊。但如今OTP認證等技術(shù)得到不斷完善，已經(jīng)能夠較為有效地避免內(nèi)部攻擊[2]。

1.2 智能卡認證

智能卡認證一般使用集成芯片的卡片來實現(xiàn)身份認證，認證卡芯片具有存儲身份信息和計算能力，以電磁感應(yīng)等獨特方式實現(xiàn)身份信息的讀寫。目前，金融、通信、醫(yī)療等領(lǐng)域的大數(shù)據(jù)系統(tǒng)建設(shè)中，時常用到智能卡認證，其認證功能也變得越來越多樣，有數(shù)據(jù)加密、數(shù)字簽名等特殊功能[3]。以USBKEY智能卡認證方式為例，基于散列運算、密鑰讀取等技術(shù)，只有使用USBKEY智能卡認證，才能獲取權(quán)限，且使用后網(wǎng)絡(luò)客戶端不會留下任何痕跡，同時，不可逆算法的應(yīng)用能提升大數(shù)據(jù)系統(tǒng)的安全性，降低木馬等病毒的侵入風(fēng)險。智能卡認證具有技術(shù)簡單、成本低、使用方便、功能可靠等優(yōu)點[4]。一般與口令認證等認證技術(shù)聯(lián)合使用，更能滿足各領(lǐng)域大數(shù)據(jù)建設(shè)的多樣化安全認證需求。

1.3 生物特征認證

生物特征安全認證的安全性較高，基于人類生物特征的唯一性與穩(wěn)定性，如每個人的指紋特征、臉部特征、虹膜特征都是唯一的[5]，且能進行便捷的身份認證，因此該技術(shù)逐漸被應(yīng)用于大數(shù)據(jù)系統(tǒng)的安全認證中。以指紋認證為例，該技術(shù)是發(fā)展較早的生物認證技術(shù)，也是目前應(yīng)用最成熟、最廣泛的生物認證技術(shù)，指紋認證應(yīng)用成本較低，需要使用相關(guān)的指紋搜集與存儲設(shè)備。目前，在網(wǎng)絡(luò)商務(wù)、金融等領(lǐng)域應(yīng)用廣泛；人臉認證即利用人的五官特征動態(tài)化地對比各項細微特征，由于人臉隨年齡增長等因素會變化，在不同光照等情況下也會呈現(xiàn)出不同的細微特征，因此三維建模等工作的難度較高。但目前該項技術(shù)已經(jīng)趨于完善，人臉識別的錯誤率大大降低。虹膜是十分穩(wěn)定且難以復(fù)制的，因此虹膜認證安全性很高，虹膜采集工作也較為便捷。目前因算法等因素限制未得到大范圍應(yīng)用，但未來會成為計算機網(wǎng)絡(luò)安全認證的主流方式。

2 數(shù)據(jù)加密

2.1 加密方法

數(shù)據(jù)加密技術(shù)指通過添加一些程序使數(shù)據(jù)不以明文形式直接出現(xiàn)，使用正確的密鑰才能獲取特定的相關(guān)的信息。若未輸入密鑰或密鑰與設(shè)定密鑰內(nèi)容不一致，則數(shù)據(jù)內(nèi)容會無法獲取，或自動轉(zhuǎn)化為無意義的隨機亂碼；輸入正確密鑰后，才能順利打開和使用相關(guān)數(shù)據(jù)。對于數(shù)據(jù)加密的研究主要集中于數(shù)據(jù)密鑰程序的研發(fā)，由于加密需求不斷升級、多樣化，所以，長時間使用被黑客攻擊的風(fēng)險也越大。當(dāng)前，密鑰程序也越來越復(fù)雜化，不斷降低密鑰被攻破的可能性。

常見的數(shù)據(jù)加密方法可分為對稱式的加密、非對稱式的加密。對稱式加密指加密運算與解密運算使用相同的密鑰，不存在任何形式的差異。對稱式加密程序一般十分簡潔，但破譯難度依然較大，因為對稱加密使得數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中具有較強的保密性。在管理中應(yīng)嚴格保存密鑰，根據(jù)權(quán)限合理地使用密鑰，才能保證密鑰及相關(guān)信息的安全。對稱式加密在網(wǎng)絡(luò)數(shù)據(jù)管理中應(yīng)用廣泛，在保證網(wǎng)絡(luò)安全、大數(shù)據(jù)系統(tǒng)安全中發(fā)揮著重要作用。

非對稱式加密一般在加密端、解密端采用不同的密碼，加密與解密過程存在很大不同，一般加密過程使用公鑰，解密過程一般使用私鑰，相比對稱加密更為復(fù)雜，被干擾的概率進一步降低，因此數(shù)據(jù)的保密性能大大提升。由于加密和解密過程較復(fù)雜性，因此用戶需要等待一定的時間才能完成信息加密與解密，如表1顯示了兩種加密方式在各個節(jié)點中相應(yīng)操作，可清晰看出二者在加密流程上的不同。

對稱式加密的公鑰和密鑰是不相等的，但是非對稱式加密的公鑰、密鑰是不可以相互推導(dǎo)的。在管理網(wǎng)絡(luò)數(shù)據(jù)庫中，網(wǎng)絡(luò)數(shù)據(jù)庫本身就具有一定的私密性，但是，數(shù)據(jù)庫在儲存和傳輸過程的安全指數(shù)還是比較低，所以，對稱式加密和非對稱加密技術(shù)的應(yīng)用增強了軟件加密處理，增強了數(shù)據(jù)庫的安全性，給重要數(shù)據(jù)雙重保障。

2.2 數(shù)據(jù)加密類型

一般有鏈路加密、節(jié)點加密、端端加密等方式。

鏈路加密，指數(shù)據(jù)運輸過程中需要經(jīng)過多個節(jié)點，在這些節(jié)點中數(shù)據(jù)被連續(xù)加密直至被傳遞到接收端，因此數(shù)據(jù)得到高強度的保護，在傳輸中被攻破的難度十分大，數(shù)據(jù)被嚴密管理，因此大大提升了數(shù)據(jù)傳輸時的安全性、完整性。

以NDIS構(gòu)思為基礎(chǔ)，列入微端口驅(qū)動程序、中間驅(qū)動程序和協(xié)議驅(qū)動程序，通過驅(qū)動向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)、處理終端、查詢驅(qū)動程序運行狀態(tài)。在Windows環(huán)境下，網(wǎng)卡驅(qū)動程序?qū)?yīng)NDIS微端口驅(qū)動程序。微端口驅(qū)動程序工作在數(shù)據(jù)鏈路層與網(wǎng)絡(luò)接口卡連接的，通過調(diào)動NDIS庫提供接口函數(shù)來完成NIC與上層驅(qū)動程序之間的相互通信。NDIS庫導(dǎo)出一組函數(shù)集合來封裝所有微端口需要調(diào)用的操作系統(tǒng)函數(shù)，而微端口也輸出一組MiniportXxx函數(shù)供NDIS 和上層驅(qū)動程序調(diào)用（設(shè)計方案詳見圖1） 。

NDIS微端口驅(qū)動位于網(wǎng)絡(luò)鏈路層，是網(wǎng)絡(luò)驅(qū)動中與網(wǎng)卡結(jié)合最緊密的驅(qū)動程序。因此可以對微端口驅(qū)動程序進行改造，在驅(qū)動程序中實現(xiàn)對數(shù)據(jù)幀的截取，并調(diào)用加解密模塊對數(shù)據(jù)進行加解密。

節(jié)點加密，指在運輸節(jié)點進行數(shù)據(jù)加密，需要接收設(shè)備與發(fā)送設(shè)備保持高度同步狀態(tài)，才能保證數(shù)據(jù)在多次加密后沒有錯誤，并安全地將數(shù)據(jù)全部轉(zhuǎn)移到數(shù)據(jù)庫中。在加密海外信號時，若兩端設(shè)備同步性較差，則會導(dǎo)致節(jié)點加密的數(shù)據(jù)不完整或信息錯亂。

端端加密，對傳輸途徑、設(shè)備條件等無限制，在發(fā)送端、接收端進行數(shù)據(jù)加密，數(shù)據(jù)發(fā)送前需要對其進行加密處理，傳輸過程中數(shù)據(jù)處在被保護狀態(tài)，若傳輸過程中被攻擊，不會影響傳輸過程，但由于傳輸路徑不唯一，因此具體應(yīng)用時應(yīng)根據(jù)具體節(jié)點情況選擇路徑，該技術(shù)操作簡便、易于維護。

3 安全防御模型

3.1 系統(tǒng)化設(shè)計

為更好應(yīng)用各項網(wǎng)絡(luò)安全技術(shù)，提升大數(shù)據(jù)系統(tǒng)的安全水平，需要基于各項安全技術(shù)建立完善的安全防御模型。在防御功能方面，大數(shù)據(jù)系統(tǒng)主要面臨PC端、移動端等途徑的攻擊，主要受病毒及黑客攻擊的威脅。而防御模型的建設(shè)應(yīng)綜合考慮這些安全威脅及大數(shù)據(jù)系統(tǒng)的功能設(shè)計，如圖2顯示了大數(shù)據(jù)系統(tǒng)安全防御模型的各個功能模塊，包含了應(yīng)用中心的配置管理、網(wǎng)絡(luò)運行日志的管理、網(wǎng)絡(luò)監(jiān)控的管理、運行報告的管理、用戶信息的管理及安全策略的管理等管理功能，圖2還概括了每個管理內(nèi)容的目標(biāo)和具體管理內(nèi)容，可見各功能均承擔(dān)了重要的安全防御工作。

3.2 關(guān)鍵的防御技術(shù)

大數(shù)據(jù)系統(tǒng)要提升安全防御能力，除了應(yīng)用上文詳細介紹的安全認證、數(shù)據(jù)加密等，還應(yīng)綜合應(yīng)用其他安全技術(shù)建設(shè)具有層次化的全面安全防御體系，常用安全技術(shù)如下：

1） 安全預(yù)警。有漏洞預(yù)警、危險行為預(yù)警、攻擊趨勢預(yù)警等。大數(shù)據(jù)系統(tǒng)集成了多種應(yīng)用軟件，在架構(gòu)、語言、環(huán)境等方面均有差異，集成時一般使用接口實現(xiàn)通信，但容易存在更多漏洞，利用數(shù)據(jù)挖掘等技術(shù)構(gòu)建漏洞預(yù)警系統(tǒng)，則能更及時地發(fā)現(xiàn)并處理存在的漏洞，行為預(yù)警與攻擊趨勢預(yù)警主要基于遺傳算法、病毒數(shù)據(jù)庫等技術(shù)，通過觀察網(wǎng)絡(luò)流量情況，進行安全預(yù)警。

2） 安全監(jiān)測與安全響應(yīng)。應(yīng)用網(wǎng)絡(luò)流量抓包、網(wǎng)絡(luò)信息包過濾及入侵檢測、數(shù)據(jù)分析等技術(shù)，實時獲取并分析網(wǎng)絡(luò)流量，實現(xiàn)對大數(shù)據(jù)系統(tǒng)的安全檢測，數(shù)據(jù)挖掘技術(shù)多樣，如決策樹算法、觀念算法等，應(yīng)根據(jù)實際系統(tǒng)需求進行選擇，在挖掘和分析網(wǎng)絡(luò)流量后，將分析結(jié)果報告給安全響應(yīng)層，若安全響應(yīng)層檢測到有病毒、黑客入侵等情況，會激活防火墻、殺毒軟件等軟件以清除威脅。另外，應(yīng)用數(shù)據(jù)挖掘等進行漏洞掃描，能主動地檢測系統(tǒng)中存在的各類漏洞，以更及時地通過添加補丁等方式降低系統(tǒng)被入侵的風(fēng)險。

3） 安全保護。防火墻、各類殺毒軟件、虛擬網(wǎng)絡(luò)等技術(shù)均能為大數(shù)據(jù)系統(tǒng)提供安全保護，部署時應(yīng)根據(jù)大數(shù)據(jù)系統(tǒng)要求設(shè)定相應(yīng)的參數(shù)，將各種技術(shù)整合起來，如身份認證、數(shù)據(jù)加密均提升了對大數(shù)據(jù)系統(tǒng)的安全保護水平，應(yīng)用了數(shù)字簽名、生物特征認證、非對稱式加密等安防技術(shù)，主要避免了相關(guān)數(shù)據(jù)在通信過程中被入侵，而防火墻、殺毒軟件等技術(shù)是通過檢測網(wǎng)絡(luò)通信情況來抵御網(wǎng)絡(luò)病毒、黑客的攻擊。另外，除了被動保護，還應(yīng)結(jié)合蜜罐等技術(shù)進行主動安全反擊。

4） 系統(tǒng)恢復(fù)。為避免大數(shù)據(jù)系統(tǒng)被入侵，造成信息失真等后果，在做好安全防護的同時，應(yīng)利用在線備份、增量備份等技術(shù)做好系統(tǒng)恢復(fù)工作，如定期對信息進行增量備份，當(dāng)系統(tǒng)受威脅后，相關(guān)系統(tǒng)恢復(fù)技術(shù)能使系統(tǒng)復(fù)原到最新的備份狀態(tài)，降低大數(shù)據(jù)系統(tǒng)的損失。

4 結(jié)束語

綜上，大數(shù)據(jù)系統(tǒng)可能受到的安全威脅是十分多樣的，因此需要應(yīng)用到各種網(wǎng)絡(luò)安全技術(shù)，從安全預(yù)測、安全認證、數(shù)據(jù)加密、病毒查殺等方面全方位地提升大數(shù)據(jù)系統(tǒng)的安全性。因篇幅有限，本文只詳細介紹了某些安全技術(shù)在大數(shù)據(jù)系統(tǒng)中的應(yīng)用，后續(xù)還應(yīng)進一步完善。